专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240813】194期

网空闲话plus · 公众号 · · 2024-08-13 07:29

正文

2024-08-13 星期二 Vol-2024-194

今日热点导读

1. 白宫制定应对灾难性网络事件的网络保险政策

2. 美国参议院提案推动联邦网络安全措施并实施强制性漏洞披露政策

3. 英法磋商限制商业网络入侵工具滥用问题

4. 英国 NCSC 建立全国网络欺骗证据库以增强网络防御

5. 弗洛里内尔·科曼转会费遭黑客 BEC 骗局窃取

6. 黑客失误助力公司避免勒索软件攻击

7. 澳大利亚金矿公司 Evolution Mining 遭受勒索软件攻击

8. 美国地方政府遭遇勒索软件攻击，政府高层探讨应对方案

9. 乌克兰政府设备遭遇大规模网络钓鱼攻击， CERT-UA 发出警告

10. 高通 Adreno GPU 芯片漏洞影响数十亿 Android 设备

11. IBM Aspera Shares 软件漏洞允许攻击者登录为任意用户

12. FreeBSD 系统中 OpenSSH 关键漏洞允许远程获取根访问权限

13. 科沃斯机器人吸尘器存在严重安全漏洞，可被用作监控工具

14. DARPA 挑战赛展示 AI 在网络安全漏洞检测和修复中的潜力

15. 研究人员绕过 Windows LSASS 安全保护

资讯详情

政策法规

1. 白宫制定应对灾难性网络事件的网络保险政策

白宫正在制定一项旨在应对灾难性网络事件的网络保险新政策。在黑帽网络安全会议上，美国国家网络安全局局长哈里·科克（Harry Coker Jr.）表示，他的办公室正与财政部和网络安全与基础设施安全局（CISA）合作，预计将在年底前发布该政策。该政策旨在通过稳定保险市场和增强国家网络安全弹性来管理风险，而非规避风险。此举源自去年的《国家网络安全战略》，该战略强调了在灾难性网络事件发生前结构化联邦响应的重要性，而不是事后匆忙制定援助方案。政策还涉及网络保险市场的一个关键问题，即精算师是否拥有足够的数据来有效评估风险。虽然具体细节尚未公开，但该政策旨在填补保险市场在应对灾难性网络事件方面的不足，并将通过与行业利益相关者的合作，确保政策满足多方需求。这一举措正值网络保险市场因可能助长勒索软件攻击而备受争议之际，部分原因在于保险赔付款项可能被用来支付赎金。

来源：https://therecord.media/white-house-cyber-insurance-catastrophic

2. 美国参议院提案推动联邦网络安全措施并实施强制性漏洞披露政策

2024年8月，美国参议院推出了一项两党支持的新法案，旨在通过确保联邦承包商遵守国家标准与技术研究院（NIST）的准则来加强联邦网络安全。该法案名为《2024年联邦承包商网络安全漏洞减少法案》，要求管理和预算办公室（OMB）监督更新联邦采购条例（FAR），以确保联邦承包商实施与联邦机构一致的漏洞披露政策。法案还规定国防部负责更新国防联邦采购条例补充（DFARS），以确保国防承包商同样执行这些政策。漏洞披露政策（VDP）是一个重要工具，可以让组织在漏洞被恶意利用前修补漏洞。此法案将推动联邦承包商与联邦机构遵循相同的国家准则，从而更好地保护关键基础设施和敏感数据免受潜在攻击。该提案得到了多方支持，进一步填补了联邦承包商网络安全保护中的关键空白。

来源：https://industrialcyber.co/regulation-standards-and-compliance/senate-bill-to-boost-federal-cybersecurity-measures-implement-mandatory-vulnerability-disclosure-policies/

3. 英法磋商限制商业网络入侵工具滥用问题

近日，英国宣布其将与法国将就商业网络入侵工具的扩散和不负责任的使用展开磋商，这一对话属于“波迈尔进程”的一部分。该进程是由英国和法国牵头的政府倡议，旨在限制间谍软件等商业黑客工具的滥用。英国政府表示，此次磋商将邀请利益相关者分享关于商业网络入侵能力的良好实践，并且可能会与法国政府的合作伙伴共享这些信息。波迈尔进程于2024年2月签署，涉及多国政府、企业和民间社会组织，包括苹果、谷歌和微软等跨国公司，各方计划在2025年巴黎会议前继续磋商。英国网络安全研究员安德鲁·德怀尔认为，这一举措虽然短期内可能难以取得重大成果，但将为制定商业黑客工具的使用标准奠定基础。他指出，关键挑战在于如何协调不同社区对网络入侵工具的不同看法。GCHQ此前警告称，过去十年间，已有80多个国家购买了间谍软件，有些国家用于合法执法，但也有不少用于打压记者、人权活动家和政治异见人士。随着2025年巴黎会议临近，各方提前磋商将为未来的讨论提供重要信息，可能决定该进程的成功与否。

来源：https://therecord.media/united-kingdom-france-pall-mall-process-cyber-intrusion-tools

4. 英国NCSC建立全国网络欺骗证据库以增强网络防御

2024年8月12日，英国国家网络安全中心（NCSC）在伦敦总部举办了一次重要会议，汇集了国际政府合作伙伴、英国政府官员和行业领袖，讨论如何利用网络欺骗技术加强网络防御。此次会议的核心目的是建立一个全国范围的网络欺骗证据库，以支持其主动网络防御2.0战略。NCSC计划在英国互联网上部署5000个低交互和高交互网络欺骗解决方案实例，内部网络中部署20000个实例，云环境中部署20万个资产，以及200万个令牌。这些部署将帮助回答关于网络欺骗技术在发现潜在威胁和影响威胁行为者行为的有效性问题。网络欺骗技术主要包括数字绊网、蜜标、蜜罐等，用于检测和监视威胁行为者。NCSC鼓励公共和私营部门组织分享其网络欺骗部署和成果，以共同建立一个全面的证据基础，并计划总结和发布这些研究成果。这一雄心勃勃的计划旨在提升网络安全防护能力。

来源：https://gbhackers.com/ncsc-to-build-nation-scale-evidence/

安全事件

5. 弗洛里内尔·科曼转会费遭黑客BEC骗局窃取

罗马尼亚足球运动员弗洛里内尔·科曼转会至卡塔尔阿尔加拉法俱乐部的交易因一场BEC（商业电子邮件泄露）骗局陷入困境。原定由阿尔加拉法向科曼的前东家FCSB支付525万欧元的转会费，但据FCSB老板吉吉·贝卡利透露，该款项至今未收到。贝卡利指出，卡塔尔方面已成为黑客攻击的受害者，攻击者侵入电子邮件并转移了付款至错误账户，资金可能流向了越南。由于付款期限已于7月31日到期，FCSB现在要求获得625万欧元的赔偿，包括延迟罚款，并已向国际足联提出申诉。与此同时，科曼在新东家的首场比赛中已经取得了进球，其合同至2027年6月，且有一年的延长选项。尽管科曼在球场上取得了成功，但其转会背后的财务问题仍待解决。

来源：https://www.securitylab.ru/news/551026.php

6. 黑客失误助力公司避免勒索软件攻击

六家公司幸运地避免了向勒索软件攻击者支付大笔赎金，这得益于黑客自身系统中的安全漏洞。Atropos.ai的安全研究员兼技术总监Vangelis Stykas对超过100个从事勒索和数据泄露的黑客组织的控制服务器进行了深入研究，目的是发现可能泄露攻击者及其潜在目标信息的安全漏洞。Stykas在至少三个黑客组织的网络面板中发现了一系列严重漏洞，使他能够访问这些组织操作的内部结构。例如，Everest组织使用标准密码访问其SQL数据库，BlackCat组织则有开放的API接口允许实时追踪其攻击目标。此外，Stykas发现了一个漏洞，使他能够访问Mallox组织管理员的所有消息，并找到了两个解密密钥，这些密钥随后被提供给了受影响的公司。虽然Stykas没有透露这些公司的名称，但指出其中两家是小型企业，其余四家是加密货币公司，其中两家的估值超过十亿美元。值得注意的是，这些公司并未公开报道这些事件。

来源：https://www.securitylab.ru/news/551029.php

7. 澳大利亚金矿公司Evolution Mining遭受勒索软件攻击

澳大利亚金矿公司Evolution Mining近期遭受勒索软件攻击，该公司在澳大利亚和加拿大运营，并已于8月8日发现此事件。Evolution Mining正与外部网络取证专家合作调查，但未透露攻击细节或是否支付赎金。公司声明称，预计攻击不会对运营产生重大影响，并强调保护人员健康、安全和隐私以及公司系统和数据的重要性。此外，Evolution Mining已向澳大利亚网络安全中心（ACSC）报告了此次攻击。目前，澳大利亚政府正考虑出台新的《网络安全法》，要求企业向ACSC报告受到的勒索软件攻击情况，尽管有关该义务是否适用于小型企业的讨论仍在进行中。此前，澳大利亚已发生多起备受关注的勒索软件攻击事件，包括Optus、Medibank和MediSecure的攻击，这些事件促使澳大利亚进行网络安全改革。

来源：https://therecord.media/evolution-mining-gold-ransomware-incident

8. 美国地方政府遭遇勒索软件攻击，政府高层探讨应对方案

2024年8月，德克萨斯州基林市和佛罗里达州萨姆特县分别遭遇了BlackSuit和Rhysida勒索软件团伙的攻击，导致市政服务中断和敏感信息泄露。基林市切断了与贝尔县网络的连接，并与德克萨斯州信息资源部合作恢复服务；萨姆特县则与佛罗里达数字服务公司联手应对。此类事件在全美范围内频繁发生，引发了政府高层的关注。在拉斯维加斯的DefCon会议上，白宫网络事务副国家安全顾问安妮·纽伯格表示，尽管赎金支付问题备受争议，政府目前缺乏有效应对勒索软件的方案，并强调需加强国际合作和创新策略。前NSA局长保罗·中曾根呼吁对庇护攻击者的国家施加更大压力，强调需要政府间的全面协作以应对这一威胁。

来源：https://therecord.media/texas-florida-local-governments-ransomware-neuberger-nakasone-white-house

9. 乌克兰政府设备遭遇大规模网络钓鱼攻击，CERT-UA发出警告

2024年8月12日，乌克兰计算机应急反应小组（CERT-UA）发现了一起针对乌克兰政府的大规模网络钓鱼活动。攻击者冒充乌克兰国家安全局（SSU），通过电子邮件传播恶意软件。邮件附带一个名为“Document.zip”的下载链接，用户点击后会下载并运行 MSI 文件，从而激活名为ANONVNC的恶意软件，攻击者因此能够未经授权访问受害者的设备。CERT-UA 已确认中央和地方政府的100多台设备受到编号为UAC-0198的威胁影响，并敦促政府部门提高警惕，立即报告任何可疑活动。目前，CERT-UA 正在积极采取措施以减轻这一威胁。

来源：https://www.darkreading.com/vulnerabilities-threats/ukraine-cert-phishing-campaign-poses-as-nations-security-service

漏洞预警

10. 高通Adreno GPU芯片漏洞影响数十亿Android设备

谷歌研究人员在高通的Adreno GPU中发现了关键安全漏洞，这些漏洞可能影响全球数十亿Android设备。若被利用，攻击者可能未经授权访问和控制受影响设备，对用户数据和隐私构成重大风险。高通已在其最新安全公告中确认这些漏洞的存在，并与Android设备制造商紧密合作，开发并部署必要的补丁以降低风险。漏洞主要与高通Adreno GPU中的专有软件有关，涉及多技术领域，包括多模式呼叫处理器、虚拟机和高级操作系统（HLOS）。受影响的包括三星、谷歌、小米、一加等多个使用高通Adreno GPU的设备制造商。高通已发布受影响芯片组列表，并敦促设备制造商尽快将补丁集成到他们的固件更新中。关键漏洞包括CVE-2024-23350可能导致拒绝服务攻击，CVE-2024-21481导致内存损坏，CVE-2024-23352和CVE-2024-23353分别触发无限循环和缓冲区过度读取，也可能导致拒绝服务。此外，高通音频处理组件中也发现了一个缓冲区过度读取漏洞CVE-2024-21479，可能导致播放ALAC音频内容时出现短暂的拒绝服务。

来源：https://cybersecuritynews.com/vulnerabilities-in-qualcomms-adreno-gpu-chipset/

11. IBM Aspera Shares软件漏洞允许攻击者登录为任意用户

IBM公司披露了其Aspera Shares软件中的一个安全漏洞，编号为CVE-2023-38018。该漏洞与用户会话处理不当有关，可能允许攻击者在系统中冒充任何用户，给依赖此软件进行数据传输的组织带来重大安全风险。漏洞的CVSS基础得分为6.3，表明其严重程度为中等，但在网络环境中容易受到攻击且攻击复杂度低。受影响的产品版本为IBM Aspera Shares 0.0.0至1.10.0 PL2。IBM已迅速发布补丁以解决此问题，并强烈建议用户更新至1.10.0 PL3版本以降低风险。目前没有其他可用的变通方法或缓解措施，因此应用提供的补丁对确保受影响系统的安全性至关重要。IBM鼓励用户订阅“My Notifications”以获取安全公告和产品支持警报的及时更新，这种主动方法可以帮助组织避免潜在的漏洞并保护其系统。

来源：https://cybersecuritynews.com/ibm-aspera-shares-vulnerability/

12. FreeBSD系统中OpenSSH关键漏洞允许远程获取根访问权限

在FreeBSD系统的OpenSSH实现中发现了一个严重的安全漏洞CVE-2024-7589，可能允许攻击者在无需认证的情况下远程执行代码。该漏洞影响所有受支持的FreeBSD版本，起因是在SSH守护进程（sshd）中的信号处理程序调用了异步信号安全环境中不安全的日志记录函数。当客户端在默认的120秒LoginGraceTime认证失败时触发该信号处理程序，由此产生的竞态条件可被攻击者利用来远程执行任意代码。漏洞代码在sshd的特权上下文中执行，具有完整的根访问权限。FreeBSD已发布补丁，适用于14.1-RELEASE-p3、14.0-RELEASE-p9和13.3-RELEASE-p5版本。系统管理员被强烈建议立即更新其FreeBSD系统。如果无法立即更新，临时解决方案是将sshd配置文件中的LoginGraceTime设置为0，但此方法可能会使系统面临拒绝服务攻击的风险。此漏洞允许未经认证的远程代码执行，可能导致系统完全被攻击者控制，攻击者可以获取根访问权限、安装后门、窃取数据或部署恶意软件。该漏洞特别令人关注，因为它在sshd的特权上下文中运行，没有被沙箱化，并且具有完整的根权限。

来源：https://cybersecuritynews.com/openssh-vulnerability-freebsd/

13. 科沃斯机器人吸尘器存在严重安全漏洞，可被用作监控工具

近日，研究人员Dennis Giese和Braylynn在DEF CON会议上揭示了科沃斯机器人吸尘器和割草机的安全漏洞，这些设备可能被黑客用作监控工具。研究发现，这些设备的蓝牙连接存在严重漏洞，使得攻击者可以在130米范围内通过蓝牙控制设备。由于设备连接到Wi-Fi，黑客可以通过互联网远程入侵，控制设备的摄像头和麦克风。特别令人担忧的是，大多数新型号的科沃斯设备配备了摄像头和麦克风，但缺乏有效的设备活动指示器。这意味着攻击者可以在不被察觉的情况下开启摄像头并进行监控。此外，设备的用户数据在用户删除账户后仍存储在科沃斯云服务器上，割草机的PIN码以明文形式存储，也使得黑客容易破解。Giese和Braylynn已尝试联系科沃斯报告这些问题，但未获回复。专家对科沃斯未能解决这些问题表示严重关切，担心全球数百万用户面临潜在的安全威胁。研究还发现，被黑客入侵的设备可能影响附近其他科沃斯机器人。

来源：https://www.securitylab.ru/news/551043.php

新兴技术

14. DARPA挑战赛展示AI在网络安全漏洞检测和修复中的潜力

2024年8月，在拉斯维加斯举行的DEF CON会议上，美国国防高级研究计划局（DARPA）展示了一项耗资数百万美元的人工智能（AI）网络安全挑战赛。该竞赛召集了90支团队，旨在开发能够自动检测和修复开源代码库漏洞的AI工具。参赛队伍在Linux内核等主要开源程序中发现了22个独特漏洞，并成功修补了其中15个。特别是，亚特兰大队的Atlantis项目在广泛使用的数据库SQLite中发现了一个新的未曾发现的漏洞。这项为期两年的挑战赛自2023年在DEF CON启动，旨在通过AI技术解决当前漏洞修复资源不足的问题。比赛设有2950万美元奖金，并由微软、谷歌、Anthropic和OpenAI提供模型支持。参赛队伍需设计能够自动执行漏洞检测和修复的系统，同时确保生成的“漏洞证明”真实可靠。竞赛成果将于明年DEF CON发布，旨在提升开源软件的安全性，为解决开源程序中的漏洞问题提供有效的技术路径。

来源：https://cyberscoop.com/darpa-competition-shows-promise-of-using-ai-to-find-and-patch-bugs/

15. 研究人员绕过Windows LSASS安全保护

2022年7月，微软对Protected Process Light (PPL)系统进行了更新，以修复LSASS（本地安全机构服务）中的安全漏洞。LSASS是Windows系统中负责存储和管理用户凭证的关键进程。然而，研究人员仍在探索如何绕过这些新安全措施。一种方法是利用易受攻击的库，即“自带易受攻击的DLL”(BYOVDLL)，这允许将存在漏洞的DLL版本加载到LSASS进程中。Orange Cyberdefense的专家发现并演示了一种绕过微软安全机制，在LSASS进程中执行任意代码的方法。研究重点在于CNG密钥隔离服务（KeyIso），专家通过修改注册表设置，尝试加载存在漏洞的keyiso.dll库版本到LSASS中。尽管遇到了未签名文件的错误，但通过使用包含加密哈希值的文件目录，成功绕过了签名问题，使系统识别并加载了存在漏洞的库。随后，研究人员注册了一个新的密钥提供程序，利用ncryptprov.dll的易受攻击版本，在登录后成功将存在漏洞的DLL加载到LSASS进程中。通过OutputDebugStringW输出调试消息的方式，确认了在受保护的LSASS进程中成功执行了任意代码，从而验证了攻击的有效性。

来源：https://www.securitylab.ru/news/551042.php

5th域安全微讯早报【20240813】194期

正文

请到「今天看啥」查看全文