美国网路安全暨基础设施安全局(CISA)上周发布资安公告,表示他们增列2个漏洞至已遭利用的漏洞目录(KEV),这两项漏洞分别是:Check Point安全闸道漏洞CVE-2024-24919、Linux核心元件漏洞CVE-2024-1086。
其中,CVE-2024-24919已有资安业者透露相关细节,但今年1月公布的CVE-2024-1086,目前尚未有研究人员或资安机构公布相关攻击行动细节,后续的发展有待观察。
【攻击与威胁】
5月31日Hugging Face安全团队发出警告,他们侦测到机器学习应用代管平台Spaces上,与金钥或令牌等相关的机密内容有未经授权的存取活动,部分机密资讯疑似已经遭窃。该公司已经注销了多笔包含其中的HF令牌,并发出电子邮件通知受影响的用户。
为安全起见,Hugging Face建议所有用户重设所有金钥或令牌,并考虑将HF令牌改成可细部设定的存取令牌,目前Hugging Face已经将后者设为新的预设验证方式。
【资安防御措施】