2024-12-13 星期五
Vol-2024-299
1. 欧盟《网络弹性法案》实施,确立数字产品网络安全新标准
2. 俄罗斯新法案或导致Steam等游戏平台被封禁
4. Forescout揭示DrayTek设备漏洞被勒索软件利用的详情
5. 欧盟刑警局打击DDoS平台,27个网站被关闭,管理员被捕
6. OpenAI
ChatGPT全球服务中断三小时后恢复
7. APT组织Cloud Atlas对俄罗斯和白俄罗斯发起大规模网络攻击
8. iOS版Facebook Messenger群聊漏洞可通过表情符号触发
9. Apache
Struts漏洞可导致远程代码执行,需紧急修复
11. 朝鲜IT工人骗取美国8800万美元,14人被起诉
15. SPLUNK安全网关应用漏洞允许远程代码执行
16. 斯柯达与大众汽车安全漏洞或导致用户隐私暴露
17. MALICHUS恶意软件利用CLEO零日漏洞进行攻击
18. NOVA
KEYLOGGER:SNAKE恶意软件家族新变种威胁加剧
19. 新型BADRAM攻击利用AMD SEV漏洞威胁云安全
20. ZLOADER恶意软件利用DNS隧道技术逃避检测
备注: 第11-20条,为订阅用户专享。更多资讯信息,欢迎订阅!
1. 欧盟《网络弹性法案》实施,确立数字产品网络安全新标准
【IndustrialCycle网站12月12日报道】《欧盟网络弹性法案》正式生效,这是欧盟首次对含有数字组件的产品实施强制性网络安全标准的立法。法案要求制造商承担更多责任,确保硬件和软件产品的安全性,包括提供解决安全漏洞的软件更新和持续的安全支持。产品将带有CE标志以符合法规要求,主要义务将于2027年12月11日生效。该法案增强了消费者对欧盟市场上产品安全性的了解,使其能够做出更明智的购买决策。《网络弹性法案》补充了NIS2网络安全框架,是欧盟加强数字化和互联欧洲网络安全的一系列措施之一。法案还旨在确保产品具有强大的网络安全,并在用户选择和使用数字产品时考虑网络安全。此外,欧盟委员会呼吁成员国转置商定的规则,保护关键基础设施和关键实体的弹性。
2. 俄罗斯新法案或导致Steam等游戏平台被封禁
【SecurityLab网站12月12日报道】俄罗斯一群众议员和参议员制定了一项法案,要求数字平台向玩家告知视频游戏的内容,并通过手机号码、统一识别和认证系统(ЕСИА)或生物识别系统强制识别用户。该法案名为“关于俄罗斯联邦视频游戏的开发和发行活动”,涉及对视频游戏发行商、发行服务组织者以及用户的要求。特别是,发行服务所有者必须为视频游戏发行商提供技术能力,以告知用户其内容,包括存在“脏话”、暴力场景等。此外,视频游戏发行商在授权用户时必须识别用户身份,这一要求适用于所有在俄罗斯的视频游戏发行商,无论其原籍国为何。如果该法案通过,外国数字发行商可能无法遵守要求,导致如Steam和GOG等平台被封锁。市场参与者对此意见不一,有观点认为现行立法已足够,而该法案可能会给俄罗斯开发商带来额外的财务和行政负担。
【TheRecord网站12月13日报道】美国非营利组织人权观察(Human Rights Watch)发表声明,对萨尔瓦多新通过的网络安全和数据保护法表示担忧,认为该法律可能威胁到媒体自由和隐私权。新法成立了一个由总统任命官员领导的国家网络安全机构,拥有广泛的权力,包括下令删除个人网上信息。人权观察担心,这些法律可能被用来删除批评政府的在线出版物,加剧审查和不透明。此外,萨尔瓦多政府曾被指控滥用权力监视媒体和民间社会,2022年发现数十名记者和活动人士的手机遭到Pegasus间谍软件攻击。新法中的“被遗忘权”允许个人要求从互联网上删除其数据,包括搜索引擎和媒体渠道,如果信息被视为不充分或过时。违反数据保护要求的媒体和搜索引擎可能面临高达40个月最低工资的罚款。人权观察强调,“被遗忘权”应严格限制在从搜索结果中删除内容,并且不能凌驾于公众获取有关政府官员或公共利益事务的信息的权利之上。萨尔瓦多的新立法并非孤例,印度近期也出台了新规定,旨在保护关键基础设施网络免受网络威胁,但同样引起了隐私专家的担忧。
4. Forescout揭示DrayTek设备漏洞被勒索软件利用的详情
【IndustrialCyber网站12月12日消息】Forescout Technologies在2024年欧洲黑帽大会上提供了对DrayTek设备中14个新漏洞被利用的进一步分析。这些漏洞被用于大规模勒索软件活动,影响全球超过20,000台DrayTek Vigor设备。PRODAFT公司提供了独特见解,揭露了2023年针对DrayTek设备的勒索软件活动,这是该活动首次公开讨论。攻击者利用疑似零日漏洞渗透网络、窃取凭证并部署勒索软件,涉及三个主要威胁行为者:Monstrous Mantis (Ragnar Locker)、Ruthless Mantis (PTI-288)和LARVA-15 (Wazawaka)。Monstrous Mantis作为核心角色,通过共享解密凭证控制受害者分配并保持运营秘密,从而间接获利。Ruthless Mantis和LARVA-15利用提供的凭证独立锁定受害者,其中LARVA-15作为初始访问代理,出售被盗访问权。Forescout强调,只要这些漏洞未被解决,攻击就可能继续,建议采取风险缓解措施,包括确保网络设备的全面可见性、理解风险状况、替换默认凭证、及时修补设备以及网络分段。
5. 欧盟刑警局打击DDoS平台,27个网站被关闭,管理员被捕
【CyberSecurity News网站12月12日报道】欧盟刑警局(Europol)协调的国际行动“Operation PowerOFF”成功关闭了27个用于分布式拒绝服务(DDoS)攻击的平台,并逮捕了法国和德国的三名平台管理员。行动涉及15个国家,不仅针对平台运营者,还追踪了300多名用户。这些被关闭的网站,包括zdstresser.net、orbitalstress.net和starkstresser.net,是提供非法流量攻击服务的“booter”和“stresser”平台。此类攻击通常在节假日期间集中爆发,给受害者造成经济损失、声誉受损和运营混乱。行动背后动机多样,包括经济破坏、黑客牟利以及意识形态宣传,例如由Killnet或Anonymous Sudan等黑客组织实施的攻击。欧盟刑警局的欧洲网络犯罪中心(EC3)在此次行动中发挥了关键作用,包括组织技术冲刺会议、提供密码追踪与取证支持,以及通过联合网络犯罪行动小组(J-CAT)促成情报交流。为防范未来类似犯罪,行动还开展了在线宣传活动,通过谷歌搜索和YouTube广告警示潜在犯罪分子。此外,执法部门采用“敲门谈话”、发送超过250封警告信和2000多封电子邮件等方式教育非法服务用户。
6. OpenAI
ChatGPT全球服务中断三小时后恢复
【Cybersecuritynews网站12月12日报道】OpenAI旗下的流行AI聊天机器人ChatGPT在周四早上经历了全球性中断,导致数百万用户近三小时无法访问服务。此次中断始于东部时间晚上7点前(印度标准时间早上5:30),同时影响了OpenAI的API和Sora服务,给依赖这些工具的商业和个人用户带来不便。用户尝试登录时收到服务不可用的错误信息。社交媒体平台上充斥着投诉和不满,许多用户报告登录过程缓慢和性能下降。Downdetector平台记录了超过28,000起投诉。OpenAI迅速在X平台(前Twitter)上承认问题,并表示正在努力修复。此次中断凸显了各行业日常运营对ChatGPT等AI工具的日益依赖。集成OpenAI
API的工作流程受到重大干扰,突显了在日益以AI为驱动的世界中此类中断带来的挑战。尽管给数百万用户造成了不便,OpenAI在几小时内成功解决了问题。服务在印度标准时间上午恢复,OpenAI在X平台上确认了这一消息。此次事件紧随Meta平台(包括WhatsApp、Instagram和Facebook)全球中断之后,提醒人们数字基础设施的脆弱性及其对全球用户可能产生的连锁反应。OpenAI尚未披露中断的具体原因,但其迅速响应和沟通受到了许多用户的赞赏。然而,一些高级订阅用户对即使支付了高级服务也面临停机时间表示不满。随着AI工具在现代生活和商业运营中变得越来越重要,确保其可靠性对开发者来说是一个关键挑战。目前,ChatGPT已重新在线,让其全球用户群松了一口气。OpenAI已向用户保证,将继续监控情况,以防止未来发生类似事件。
7. APT组织Cloud Atlas对俄罗斯和白俄罗斯发起大规模网络攻击
【SecurityLab网站12月12日消息】Positive Technologies安全专家中心接到一家发现钓鱼邮件的俄罗斯国家组织的求助。调查显示,这起事件是针对俄罗斯和白俄罗斯国家机构的新网络攻击活动的一部分,该活动由APT组织Cloud Atlas发起,自2014年以来一直活跃。攻击在早期侦察阶段被发现,由于及时响应,攻击者未能在IT基础设施中立足并造成严重损害。Cloud Atlas利用包含官方信息请求的Word文档作为诱饵,通过Microsoft Equation公式编辑器的漏洞执行恶意脚本,与C2服务器交互,进而在受害者设备上部署间谍和数据窃取工具。Cloud
Atlas还使用了“模板注入”技术,通过远程模板自动加载绕过静态分析和杀毒软件。该组织还利用合法云服务存储和传递恶意模块,增加了检测和阻止的难度。专家建议用户遵循最新的信息安全规则,仔细检查邮件,及时联系专家以最小化公司损失。
8. iOS版Facebook Messenger群聊漏洞可通过表情符号触发
【Cybersecuritynews网站12月12日报道】Facebook Messenger for iOS中新发现的一个漏洞揭示了一个严重缺陷,该缺陷可以通过利用表情符号反应来破坏群组通话。这个拒绝服务(DoS)漏洞由Signal 11
Research在版本472.0.0中识别,并在版本477.0.0中进行了分析,目前已被修补。该漏洞突出了未加密群聊的风险。Messenger在全球拥有数亿用户,于2023年12月引入了默认的端到端加密(E2EE)聊天和通话。然而,群聊最初缺乏E2EE,允许访问加密聊天中不可用的功能,例如群组通话中的表情符号反应。这个漏洞被归类为DoS问题,通过在群组通话中发送无效的表情符号反应触发。研究人员通过逆向工程和动态分析Messenger应用程序发现,表情符号反应由两个关键类处理:SendEmojiInputModel和ReactionsApi$CProxy。这些类处理将表情符号数据传输到接收者设备。使用Frida等工具,研究人员拦截并修改了sendEmoji方法,发送无效的表情符号字符串而不是有效的。例如,用不对应任何Unicode字符的十六进制字符串替换表情符号,如F_fe0fACE_WITH_COLON_THREE,会触发参与群组通话的iOS设备上的应用程序崩溃。Meta已在较新版本的Messenger for iOS中修补了此问题,确保对表情符号反应进行强有力的输入验证。用户被建议更新他们的Messenger应用程序以避免潜在的利用。此外,尽可能为群组聊天启用E2EE可以减轻与未加密功能相关的风险。
9. Apache
Struts漏洞可导致远程代码执行,需紧急修复
【CyberSecurity News网站12月12日报道】Apache Struts 2这一流行的开源Web应用框架存在严重安全漏洞(CVE-2023-50164),使众多组织面临远程代码执行(RCE)的重大网络威胁。该漏洞存在于文件上传逻辑中,可被攻击者利用参数操作实现路径遍历,最终上传并执行恶意文件,获得系统完全控制权。受影响版本包括Struts 2.0.0至2.3.37(已停止支持)、2.5.0至2.5.32,以及6.0.0至6.3.0。漏洞的CVSS评分高达9.8,表明其危害性极高。一种关键的攻击方式是利用HTTP参数的大小写敏感性,通过组合大小写混合参数绕过安全检查并实施攻击。成功利用该漏洞可能导致远程代码执行、未经授权的数据访问、系统完全妥协及内网进一步攻击。ApacheStruts项目已发布修复版本,包括2.5.33和6.3.0.2及更高版本,强烈建议受影响组织立即升级。同时,当前无已知有效的替代解决方案。为降低风险,建议采取以下额外安全措施:审查并限制文件上传配置;部署Web应用防火墙(WAF);定期更新所有软件组件;并监控应用程序中的可疑活动。此次事件凸显 了及时更新开源组件的重要性,以及加强系统安全监控和防御策略的必要性。
【SecurityLab网站12月12日报道】开源软件开发人员正面临一个新的问题:由人工智能生成的大量低质量错误报告。这些报告看似合理,迫使开发人员花费时间进行分析和反驳。Python软件基金会的安全研究员Seth
Larson指出,使用语言模型创建的漏洞垃圾邮件报告数量急剧增加。对于Python、WordPress和Android等大型开源项目来说,这是一个严重的问题,因为它们大多由无偿的志愿者支持。HackerOne的开发人员Daniel Sternberg批评了提交由人工智能生成的错误报告的行为。尽管代码生成工具如GitHub
Copilot和ChatGPT在创建项目基础结构和查找软件库功能方面表现出色,但它们有时会产生错误或不完整的代码。专家表示,这些工具对新手程序员影响最大,而完全由人工智能构建的简单应用程序可能已经存在。智能技术简化了垃圾邮件的大规模生产,可能需要开发新的安全机制如验证码来应对。
