Linuxcat周刊(第6期) 打爆云账单，只需要S3桶名

正文

1 TensorFlow AI 模型因 Keras API 缺陷面临风险

由于Keras API中存在的一个漏洞，可能导致潜在不安全代码执行，使得基于TensorFlow的AI模型面临供应链攻击的风险。
Keras是一种神经网络API，用Python编写，为深度学习软件库（如TensorFlow和Theano）提供高级接口。
被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本，该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中，Lambda Layers是一种AI“构建块”，允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。

消息来源: SC杂志

2 黑客利用两个零日漏洞（CVE-2024-20353、CVE-2024-20359）对Cisco ASA设备进行了后门植入

一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备（ASA），并利用两个零日漏洞（CVE-2024-20353，CVE-2024-20359）在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。
首个由思科客户确认的活动发生在2024年1月初，但实际攻击始于2023年11月。“此外，我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。

消息来源: helpnetsecurity

3 打爆云账单，只需要S3桶名

如果您正在使用亚马逊网络服务，并且您的S3存储桶可以从公开网络访问，那么最好不要选择一个通用的名称作为空间名。避免使用“example”，跳过“change_me”，甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法，但这可能会让您损失一台MacBook的金额。
问问Maciej Pocwierz吧，他恰好选择了一个S3名称，而“其中一个流行的开源工具”使用了该名称作为其默认备份配置。在为客户项目设置存储桶后，他查看了自己的账单页面，发现在一天之内有近1亿次未经授权的尝试在他的存储桶上创建新文件（PUT请求）。账单超过了1300美元且还在不断增加。

消息来源: arstechnica

4 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS。

特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金，就像是一种轮上的AWS。
由埃隆·马斯克领导的这家公司在其最近的日历第一季度财报电话会议上表示，他们注意到其车辆有相当一部分时间只是闲置不动。许多车辆都装备了相当数量的处理能力，那么为什么不让它们做些有用的事情，也为公司赚些钱呢？

消息来源: The Register

5 数百万个 Docker 存储库在推送恶意软件和钓鱼网站

自2021年初以来，已发现三次大规模活动针对 Docker Hub 用户，植入了数百万个存储库，推送了恶意软件和钓鱼网站。
据JFrog安全研究人员发现，Docker Hub托管的1500万个存储库中约有20%含有恶意内容，从垃圾邮件到危险的恶意软件和钓鱼网站不等。
研究人员发现了近460万个不包含 Docker 镜像的存储库，这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行，并且将约281万个存储库与三个大规模的恶意活动联系起来。

消息来源: bleepingcomputer