专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240806】188期

网空闲话plus · 公众号 · · 2024-08-06 07:19

正文

2024-08-06 星期二 Vol-2024-188

今日热点导读

1. 美国拟立法推动医疗电子设备在机密设施中的规范使用

2. 英国发布 ACD 2.0 ，提升网络安全

3. 马来西亚启动即时数据泄露报告新系统

4. Cryptonator 加密钱包因洗钱被查封

5. Rabbit 公司内部泄密事件及应对措施

6. CISA 实验人工智能提升政府网络安全

7. CrowdStrike 否认导致达美航空大规模停飞，指责诉讼制造误导

8. Keytronic 遭勒索软件攻击，损失超 1700 万美元

9. 新加坡教育部因数据泄露下令移除 Mobile Guardian 应用

10. 数字录像机严重漏洞暴露 40 万设备给黑客

11. Windows 壁纸漏洞“ FakePotato ”允许攻击者提升权限

12. Ubiquiti 设备漏洞暴露两万用户信息，补丁未能完全解决问题

13. Microsoft Authenticator 设计缺陷导致账户锁定问题

14. Apache OFBiz 新发现严重漏洞，旧漏洞正被积极利用

15. Apache InLong 关键漏洞紧急修复：立即行动防止数据泄露

16. 新型 Android 银行木马 BlankBot 威胁土耳其用户

资讯详情

政策法规

1. 美国拟立法推动医疗电子设备在机密设施中的规范使用

美国参议员彼得·韦尔奇和鲍勃·凯西提出立法，旨在为机密信息设施（SCIFs）中的医疗电子设备使用制定标准化政策和透明度要求。该法案确保需使用医疗设备的员工能在储存机密信息的设施中工作，同时维持严格的安全标准。该法案主要关注允许在SCIFs中使用的设备类型，并要求官员更重视哪些医疗设备可以进入这些机密设施。联邦监督机构近期敦促情报界明确政策。政府问责办公室的报告指出，机构对需使用医疗设备的残障人员进入SCIFs的权限应用不一致。国家情报总监办公室（ODNI）4月发布指令，要求情报界统一管理这些设备并制定审查程序。法案将部分ODNI指令法制化，并要求机构向国会提交设备审批信息。法案要求情报机构负责人跟踪每个SCIF的设备使用请求，并在180天内制定相关政策。

来源：https://www.nextgov.com/people/2024/08/lawmakers-look-clarify-electronic-medical-device-use-secure-facilities/398578/

2. 英国发布ACD 2.0，提升网络安全

英国国家网络安全中心（NCSC）宣布推出新版Active Cyber Defence (ACD)计划，以帮助企业和政府部门应对新兴网络威胁。ACD 2.0将引入更先进的网络安全工具和服务，填补商业市场的安全空白。NCSC计划重新评估现有工具和服务，并在必要时将其管理权转交给私营部门，目标是在三年内实现大部分服务的成功转移。ACD计划最初于2017年启动，提供四个方向的免费服务：自主检查、威胁检测、防护和防御，以及支持多种ACD服务的通用平台。尽管ACD取得了成功，NCSC承认自2017年以来提供的服务相对稳定，而私营部门的网络安全能力大幅提升。因此，ACD 2.0将扩大服务范围，首先研究现有工具，并与行业提供商合作进行改进。NCSC还邀请行业代表提出未来的产品和实验建议。详细的服务管理转移计划将在九月公布。

来源：https://www.securitylab.ru/news/550798.php

3. 马来西亚启动即时数据泄露报告新系统

马来西亚政府为加强网络安全，推出了一个新的数据泄露警报系统，要求所有数据使用者在发生个人信息泄露事件时立即报告。这一新规定的目的是快速响应网络安全事件，分析事件信息，采取措施防止数据进一步泄露，并监控事件的持续影响。交通部副部长张汝静强调，为了维持公众对国家数据管理的信任，需要加强数据处理规则，提高控制力度，并发起了一场大规模的宣传活动。张汝静还提到，随着数字化的发展，技术滥用和欺诈风险也在增加，这要求国家不断适应攻击者策略的变化。为此，马来西亚成立了国家欺诈应对中心（NSRC），以确保各利益相关方之间的有效互动，包括信息交流、协调努力，分析并改进现行立法，以及解决欺诈活动的全球性问题。通过这些措施，马来西亚政府希望能够提高国家网络安全水平，保护公民个人信息安全。

来源：https://www.securitylab.ru/news/550814.php

安全事件

4. Cryptonator加密钱包因洗钱被查封

美国司法部、国税局和FBI联合德国执法机构查封了Cryptonator加密货币钱包平台，因其未实施反洗钱措施并涉嫌洗钱。该平台自2014年起允许用户在个人账户内交易和兑换多种加密货币。俄罗斯人Roman Pikulev被控运营此未注册的货币服务业务，处理非法资金超2.35亿美元。Cryptonator缺乏有效的AML和KYC程序，允许匿名注册，被用于洗钱和其他犯罪活动。Pikulev利用虚假身份在美注册网站和电邮，并通过美国社交媒体推广其平台。区块链分析显示，Cryptonator与暗网市场、欺诈商店、勒索软件团体等有大量交易，涉案金额达14亿美元。此案展示了国际执法合作和区块链技术在打击网络犯罪中的重要性。

来源：https://gbhackers.com/authorities-seized-cryptonator/

5. Rabbit公司内部泄密事件及应对措施

Rabbit公司近期揭露了2024年5月发生的大规模数据泄露事件的原因，确认为一名前员工非法向黑客活动分子提供了机密API密钥，导致黑客声称能够访问公司的内部源代码。事件发生后，该员工已被解雇，公司迅速采取行动，撤销并更新了所有泄露的密钥，并将其安全转移到AWS Secrets Manager。Rabbit强调，此次泄密是员工个人非法行为所致，并非安全系统被黑客攻破，目前正与执法部门合作深入调查。为应对此次事件，Rabbit对安全系统进行了全面审查，并邀请了Obscurity Labs的专家进行渗透测试。测试结果显示，公司系统没有严重漏洞，人工智能源代码和敏感信息安全未受损害。管理层表示，公司的多层安全策略有效，但仍将继续加强安全协议，并与行业专家合作，积极识别和解决潜在风险。此外，Rabbit宣布将制定官方漏洞披露政策，为报告和解决安全问题提供更有力的机制。

来源：https://www.securitylab.ru/news/550796.php

6. CISA实验人工智能提升政府网络安全

美国国土安全部(DHS)旗下的网络安全与基础设施安全局(CISA)完成了一项试点项目，该实验旨在测试人工智能(AI)在识别和消除关键政府系统中的安全漏洞方面的潜力。实验从2023年底持续至2024年初，通过两个场景——评估联邦合作伙伴网络的安全性和在受控环境中的测试——来评估AI工具与传统工具相比在检测网络和系统漏洞的准确性和速度上的提升。CISA得出结论，人工智能在漏洞检测中的最佳应用是作为现有工具的补充而非替代品。尽管AI展现出在提高检测效率方面的潜力，但同时也指出，在某些情况下，培训分析师使用AI功能所需的时间和提升的效率可能并不显著。此外，AI工具的不可预测性有时也会导致故障排除过程变得复杂。尽管存在局限性，CISA认为AI工具在不断进步，并将持续关注市场动态，测试新兴工具。

来源：https://www.securitylab.ru/news/550794.php

7. CrowdStrike否认导致达美航空大规模停飞，指责诉讼制造误导

2024年8月5日，CrowdStrike否认对上月达美航空系统大规模停飞负责，称航空公司拒绝了多次现场援助的提议。达美航空CEO Ed Bastian在接受CNBC采访时表示，此次停运导致公司损失5亿美元，6,000多次航班停飞，并决定对CrowdStrike和微软提起诉讼。虽然CrowdStrike的问题影响了全球数百万台Windows设备，但达美航空系统恢复比其他航空公司慢数天，且美国交通部正调查此次事件的处理方式。CrowdStrike在回应信中重申对达美航空的歉意，但“强烈反对”任何关于其严重疏忽或故意不当行为的指控。CrowdStrike指出，其CEO曾亲自联系达美航空CEO提供现场援助，但未获回应，并且多次尝试提供帮助均被拒绝。CrowdStrike的律师Michael Carlinsky表示，如果达美航空继续诉讼，将不得不向公众、股东和陪审团解释为何CrowdStrike迅速、透明地承担责任，而达美航空没有。CrowdStrike还提到其合同责任上限为“数百万美元”，如果被迫应诉，将“积极回应”。

来源：https://www.theverge.com/2024/8/5/24213521/crowdstrike-refutes-blame-delta-outage-litigation

8. Keytronic遭勒索软件攻击，损失超1700万美元

2024年5月，电子制造服务提供商Keytronic遭遇勒索软件攻击，导致公司损失超过1700万美元。Keytronic成立于1969年，最初生产键盘和鼠标，现已成为全球最大的印刷电路板组装（PCBA）制造商之一，在美国、墨西哥、中国和越南设有工厂。公司在向美国证券交易委员会（SEC）提交的文件中表示，5月6日检测到该事件后，墨西哥和美国的业务受到影响，导致第四季度额外支出约230万美元，收入损失约1500万美元。虽然大部分订单预计在2025财年完成，但公司仍面临约70万美元的保险赔偿。黑客组织Black Basta宣称对这次攻击负责，并在其暗网泄漏网站上公布了从Keytronic系统中窃取的广泛数据，包括员工护照、社保卡、客户演示文稿和公司文件。Black Basta自2022年4月起作为勒索软件即服务（RaaS）运营，已侵入超过500家机构，收取超1亿美元赎金。Keytronic尚未回应有关此次事件的更多信息，包括数据泄露影响人数。

来源：https://www.bleepingcomputer.com/news/security/keytronic-reports-losses-of-over-17-million-after-ransomware-attack/

9. 新加坡教育部因数据泄露下令移除Mobile Guardian应用

2024年8月5日，新加坡教育部（MOE）宣布，因Mobile Guardian应用发生数据泄露事件，决定从所有学生的个人学习设备中移除该应用。此次数据泄露发生在8月4日，导致新加坡26所中学的13,000名学生受到影响，表现为学生设备被远程清除数据。Mobile Guardian应用主要用于家长管理孩子的屏幕使用时间和访问特定网站及应用，此次安全漏洞影响到了全球范围内的用户。初步调查显示，尽管发生了未授权访问，但攻击者并未接触到用户文件。此次事件与7月底影响1000多名学生的技术故障无关，后者是由于Mobile Guardian配置错误导致的人为失误。作为对网络安全事件的响应，MOE采取预防措施，从所有iPad和Chromebook中移除Mobile Guardian设备管理应用，并正在努力安全地恢复这些设备的正常使用。教育部还在探索其他措施来规范设备使用，以确保在这段时间内持续支持学生的学习需求。

来源：https://thecyberexpress.com/mobile-guardian-data-breach/

漏洞预警

10. 数字录像机严重漏洞暴露40万设备给黑客

2024年8月5日，Dhivya报道发现多款数字录像机（DVR）存在严重安全漏洞，超过40.8万台设备面临潜在的网络攻击风险。受影响的型号包括TVT DVR TD-2104TS-CL、TD-2108TS-HP，Provision-ISR DVR SH-4050A5-5L(MM)，以及AVISION DVR AV108T。漏洞主要因设备网络服务器的访问控制不足，允许未经授权访问敏感设备信息。根据Netsecfish的报告，该漏洞被归类为CWE-200：信息暴露，通过特定端点（/queryDevInfo）可被利用，无需认证即可获取设备的硬件、软件版本、序列号及网络配置等详细信息。受影响的软件版本包括1.3.4.22966B181219.D00.U1(4A21S)等多个版本。Provision-ISR已承认问题，正与TVT合作制定缓解策略。攻击者只需发送特制的POST请求即可利用该漏洞获取敏感信息。

来源：https://cybersecuritynews.com/vulnerability-digital-video-recorders/

11. Windows壁纸漏洞“FakePotato”允许攻击者提升权限

2024年8月5日，安全研究人员Andrea Pierini揭露了一个严重的Windows安全漏洞，该漏洞被追踪为CVE-2024-38100，并被称为“FakePotato”。这个漏洞存在于Windows处理壁纸的机制中，允许攻击者通过操纵特定壁纸文件的属性，从有限的系统访问权限提升至SYSTEM账户权限，从而完全控制受影响的机器。该漏洞影响包括Windows 10和Windows Server 2019在内的多个Windows版本，并被分配了7.8的CVSS v3.x基础得分，表明其严重性高。概念验证（PoC）利用由GitHub用户Michael Zhmaylo开发，展示了攻击者如何利用此漏洞获取用户凭据的未授权访问。攻击者可以通过运行利用工具，针对具有更高权限的用户会话，通过操纵Windows文件资源管理器，迫使目标会话尝试连接到恶意SMB共享，从而泄露目标用户的NetNTLM哈希。成功利用此漏洞可以使攻击者提升受影响系统的权限，获取敏感用户信息，并可能使用获得的凭据在网络中横向移动。

来源：https://gbhackers.com/leaked-wallpaper-vulnerability-exposes- windows/

12. Ubiquiti设备漏洞暴露两万用户信息，补丁未能完全解决问题

2024年8月5日，Check Point Research发现超过20,000台连接到互联网的Ubiquiti设备存在严重漏洞，导致攻击者可以访问所有者的个人数据。受影响设备包括流行的Ubiquiti G4 Instant Wi-Fi摄像头和Cloud Key+设备，问题源于通过UDP运行的不安全端口10001和7004。这些漏洞已被利用，部分被黑设备上出现“HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD”等信息。泄露信息包括平台名称、软件版本及IP地址，为社会工程攻击提供了有价值的资源。尽管2019年发现漏洞并发布补丁，但问题依旧存在。Check Point Research的实验表明，G4摄像头和CK+设备对虚假请求有响应，证实互联网上仍有超过20,000台设备易受攻击。暴露的信息还包括所有者的姓名及位置。尽管Ubiquiti发布了补丁，但物联网设备更新缓慢，用户常常忽视系统更新，导致漏洞长期存在。

来源：https://www.securitylab.ru/news/550791.php

13. Microsoft Authenticator设计缺陷导致账户锁定问题

微软的Microsoft Authenticator应用存在设计缺陷，当用户通过扫描二维码添加新账户时，应用会覆盖现有账户，导致用户可能被锁定在自身账户之外。这一问题由于Microsoft Authenticator在处理账户时仅使用用户名，而非像Google Authenticator等其他应用那样添加发行者名称来避免冲突。覆盖发生后，用户往往不易察觉问题所在，导致服务台浪费大量时间解决非本公司造成的问题。尽管用户投诉可追溯至2020年，该问题自2016年应用发布以来一直未得到解决。专家建议，解决此问题最简单的方法是使用其他身份验证应用，或在添加账户时不使用二维码扫描，而是手动输入代码。安全和IT专家已确认该问题，并指出这不仅增加了帮助台的工作负担，也反映了可用性和网络安全之间的矛盾。微软方面虽然确认了问题的存在，但将其归咎于用户和发行商，认为是正常的功能而非错误，并指出应用在覆盖前会提示用户确认。然而，这一声明并未平息IT专家的疑虑，他们呼吁微软应采取行动修复这一明显的设计缺陷。

来源：https://www.csoonline.com/article/3480918/design-flaw-has-microsoft-authenticator-overwriting-mfa-accounts-locking-users-out.html

14. Apache OFBiz新发现严重漏洞，旧漏洞正被积极利用

研究人员在分析Apache OFBiz（一款开源企业资源规划系统）的补丁时发现了一个新的远程代码执行（RCE）漏洞，该漏洞无需认证即可执行。这是今年发现的第五个严重漏洞，编号为CVE-2024-38856，影响至18.12.14版本的Apache OFBiz，并在8月3日发布的18.12.15版本中被修复。Apache OFBiz广泛应用于会计、人力资源、供应链管理等多个领域，包括IBM、惠普、埃森哲等大型企业。与此同时，另一个在5月修复的路径遍历漏洞（CVE-2024-36104）也被发现在野外被积极利用。这表明OFBiz及其构建的应用成为攻击者的目标，暴露在互联网上的应用面临即时风险。专家建议依赖此ERP框架的组织尽快升级至最新版本，并确保其漏洞监控产品覆盖OFBiz。SonicWall对OFBiz开发者在24小时内提供有效补丁的快速响应表示赞扬。

来源：https://www.csoonline.com/article/3481545/new-critical-apache-ofbiz-vulnerability-patched-as-older-flaw-is-actively-exploited.html

15. Apache InLong关键漏洞紧急修复：立即行动防止数据泄露

近日，广泛应用于多行业的大规模数据流管理框架Apache InLong发布了重要安全公告，指出其TubeMQ组件存在严重漏洞CVE-2024-36268。此漏洞允许远程攻击者在受影响系统上执行任意代码，可能危及整个InLong基础设施，导致数据完整性和机密性受损。GitHub的CVSSv3.1评分系统将该漏洞评定为“关键”，基础分数高达9.8，凸显了其广泛利用和严重后果的风险。鉴于Apache InLong在金融、医疗、电商等领域的广泛部署，漏洞可能造成广泛影响。为应对这一漏洞，InLong团队迅速发布了1.13.0版本，修复了安全缺陷。用户应立即升级至最新版本或应用官方提供的补丁，以防止潜在攻击。

来源：https://thecyberexpress.com/cve-2024-36268-vulnerability-exploitable/

恶意软件

16. 新型Android银行木马BlankBot威胁土耳其用户

网络安全研究人员发现了一款名为BlankBot的新型Android银行木马，主要针对土耳其用户，用以窃取财务信息。该木马具有客户注入、键盘记录、屏幕录制以及通过WebSocket与控制服务器通信等功能。BlankBot被发现滥用Android辅助功能服务权限，实现对受感染设备的完全控制。该恶意软件通过会话基础的包安装程序规避Android 13的受限设置，允许侧载应用绕过直接请求危险权限的限制。BlankBot能够执行多种恶意操作，包括拦截短信、卸载应用、收集联系人和已安装应用数据，以及利用辅助功能服务API阻止用户访问设备设置或启动防病毒应用。尽管Google Play Protect在Google Play服务安装的Android设备上默认启用，自动保护用户免受已知恶意软件侵害，但谷歌发言人表示，尚未在Google Play Store中发现含该恶意软件的应用程序。

来源：https://thehackernews.com/2024/08/new-android-trojan-blankbot-targets.html

5th域安全微讯早报【20240806】188期

正文

请到「今天看啥」查看全文