2024-08-15 星期四
Vol-2024-196
1.
美国政府承诺
1,100
万美元推进开源安全计划
2.
美联邦法院裁定地理围栏搜查令违法:
保护隐私权
3.
美国一生物技术公司因数据泄露支付
450
万美元和解金
5.
DARPA AI
代码审查竞赛颁发
1400
万美元奖项,推动自动化漏洞检测与修复
7.
Orion
公司因商业电子邮件诈骗损失
6000
万美元
8.
美国民主党账户信息被盗,
ZeroFox
揭露
Telegram
机器人服务
9.
Kootenai Health
遭受勒索软件攻击
46
万患者数据泄露
10.
白俄罗斯
-
乌克兰双重国籍黑客因勒索软件和网络犯罪被引渡至美国
11.
哥伦布市确认勒索软件攻击,保证没有可用的个人数据泄露至暗网
12.
荷兰黑客发现太阳能系统漏洞威胁欧洲电网安全
13.
Chrome V8
引擎
RCE
漏洞曝光,用户访问恶意网站即可能遭受攻击
14.
Fortinet
修复多项漏洞,保护
FortiOS
等产品免受潜在威胁
15.
GitHub
竞态条件漏洞引发
ArtiPACKED
攻击
1. 美国政府承诺1,100万美元推进开源安全计划
美国白宫与国土安全部(DHS)联合发起了一项1,100万美元的开源软件安全计划,旨在评估开源软件在关键基础设施中的使用情况并提升其安全性。该计划名为“开源软件普及倡议”(OSSPI),将通过《2021年两党基础设施法》资助,目标是加强医疗、交通和能源等领域的国家网络安全。美国国家网络总监Harry Coker在DEF CON大会上宣布了该计划,并表示将组建公私合作的工作组以提出进一步的保护措施。报告中列出的建议包括:确保软件包存储库安全、加强政府与开源社区的联系、推进软件物料清单的使用、改善软件供应链安全等。此外,Coker提及正在制定软件责任机制,计划将网络安全责任归于技术生产者,以推动更安全的软件开发。
来源:https://therecord.media/open-source-software-security-white-house-dhs-11million-funding
2. 美联邦法院裁定地理围栏搜查令违法:保护隐私权
2024年8月14日,美国联邦第五巡回上诉法院裁定,地理围栏搜查令(Geofence Warrant)违反第四修正案,因其在未明确具体嫌疑人的情况下获取用户位置数据,构成非法搜查。这一决定覆盖了路易斯安那州、密西西比州和德克萨斯州。地理围栏搜查令允许执法机构划定特定区域,并要求科技公司如谷歌提供该区域内所有设备的定位数据。法院认为,这种做法可能侵害无辜公众的隐私权。尽管地理围栏搜查令在另一巡回法院曾被裁定合法,但第五巡回法院认定该行为违反宪法,并判定该搜查令不具法律效力。谷歌已采取措施,计划将用户位置数据保存在设备本地,以保护用户隐私。
来源:https://www.securitylab.ru/news/551130.php
3. 美国一生物技术公司因数据泄露支付450万美元和解金
Enzo Biochem,一家在2023年4月遭受勒索软件攻击的生物技术公司,已同意向纽约、新泽西和康涅狄格三个州政府支付450万美元,因其未能妥善保护近250万人的诊断测试信息和个人数据。纽约州、新泽西州和康涅狄格州的总检察长于本周二宣布了与这家总部位于纽约的公司的和解协议。纽约州总检察长办公室(OAG)的调查显示,攻击者使用两个员工登录凭证访问了Enzo的网络,其中一个凭证在过去十年中未被更改,显著增加了公司遭受网络攻击的风险。此外,公司未对远程电子邮件访问使用多因素认证。作为和解协议的一部分,Enzo已同意采取多项措施加强其网络安全,包括为所有员工账户添加多因素认证,并更新其他安全政策和程序。公司将进行和记录年度风险评估,并制定及实施事件响应计划。纽约州将获得和解金中的大部分,即280万美元,近150万纽约人的数据显示在此次事件中被泄露。
来源:https://therecord.media/enzo-biotech-company-pays-states-over-2023-breach
4. 印度电信监管机构下令打击垃圾电话
印度电信监管机构(TRAI)已指示服务提供商封锁所有未经注册发送者的促销电话,无论是预录还是计算机生成的,以应对日益增多的垃圾电话问题。违规的服务提供商将被列入黑名单,并可能面临长达两年的网络断开。TRAI要求所有电信服务提供商在24小时内通知违规情况,并切断违规者使用的电话号码。同时,所有服务提供商必须定期提交针对垃圾电话采取的行动更新。TRAI表示,这一决定预计将显著减少垃圾电话,为消费者提供缓解。该决定是在用户对可能导致欺诈或其他恶意活动的垃圾或网络钓鱼电话投诉不断增加的情况下作出的。据2月份当地媒体报道,超过60%的印度人在过去12个月平均每天收
到三个或更多的垃圾电话。Reddit上的当地用户抱怨每天收到6-7个垃圾电话。
来源:https://therecord.media/indian-telecom-regulator-cracks-down-spam
5. DARPA AI代码审查竞赛颁发1400万美元奖项,推动自动化漏洞检测与修复
美国国防部通过DARPA举办的AI代码审查竞赛,共向七支半决赛获胜队伍颁发了每队200万美元的奖金。这些团队由高校研究人员、学生等组成,在为期两年的比赛中,他们利用AI系统自动识别和修复关键代码中的漏洞。比赛中,39支队伍使用了Google、Microsoft等公司提供的AI工具,检测和修复了基于Jenkins、Linux内核等实际项目中插入的漏洞。其中,一支队伍还发现了SQLite3中的真实漏洞。总计22个独特漏洞被发现,并成功修复了其中15个。所有参赛团队的AI系统将在未来一年内进行改进,最终的优胜者将在明年的DEF CON大会上揭晓并获2900万美元奖金。竞赛的成功展示了AI在代码分析与修复中的巨大潜力,推动了自动化网络安全技术的发展。
来源:https://therecord.media/darpa-awards-14-million-ai-code-review
6. 俄罗斯关联网络钓鱼活动针对人权组织和媒体
两个与俄罗斯有关的网络钓鱼活动被曝光,专门针对东欧和美国的独立媒体、人权组织及民间社会成员。据Access Now和The Citizen Lab的报告,技术证据显示攻击者与俄罗斯政权关系密切。这些活动由Coldriver和新发现的Coldwastrel两个组织发起,通过发送假冒熟悉机构或个人的恶意邮件,企图获取受害者的账户密码和双因素认证代码。尽管没有直接观察到攻击者获取凭据,但研究人员认为攻击者可能已经非法访问了一些受害者的电子邮件账户。这些攻击若成功,可能对目标组织造成严重损害,尤其是俄罗斯和白俄罗斯的组织,因为其邮件账户可能包含敏感信息。攻击活动从2022年10月开始,至今仍在进行,活动者可能仍在使用针对性的网络钓鱼和其他技术继续针对民间社会成员。
来源:https://therecord.media/phishing-campaigns-eastern-europe-coldriver-coldwastrel
7. Orion公司因商业电子邮件诈骗损失6000万美元
卢森堡碳黑供应商Orion公司因商业电子邮件诈骗损失约6000万美元。此次事件中,一名非高管员工遭到网络犯罪分子的欺骗,被诱导进行了多次电汇,将公司资金转移至不明第三方账户。Orion公司已向美国证券交易委员会(SEC)报告该事件,并预计将因此记下一次性税前损失。此事件现正由执法部门调查,公司计划通过法律手段及潜在的保险赔偿追回应对款项。FBI早已警告企业,网络犯罪分子通过冒充高管等方式实施商业电子邮件诈骗(BEC),此类犯罪在2023年造成29亿美元的损失。2016至2022年间,BEC和电子邮件账户诈骗累计造成超过430亿美元的损失。
来源:https://therecord.media/orion-carbon-black-bec-scam-millions
8. 美国民主党账户信息被盗,ZeroFox揭露Telegram机器人服务
安全公司ZeroFox的研究人员发现,在民主党全国代表大会即将举行之际,一个基于Telegram的机器人服务“IntelFetch”正在收集与民主党账户相关的被盗登录凭据。该机器人被指聚合了可能用于“渗透安全系统、获取机密信息和破坏操作”的登录信息。研究人员定位到与“demconvention[.]com”和"democrats[.]org"相关的账户,以及在民主党官方网站注册的用户账户。报告还指出,民主党在华盛顿和爱达荷州的办事处的特定“域名和电子邮件地址”也在泄露的凭据之中。报告称,这些数据似乎来源于僵尸网络日志和第三方数据泄露,尽管这次泄露似乎并非针对攻击,但它仍可能给民主党和全国民主党委员会的敏感系统和信息带来未授权访问的风险。报告并未明确这些凭证是最近被盗还是之前网络事件中披露的。ZeroFox指出,一些发现的记录“以前在私人威胁行为者运营的存储库中观察到过”。
来源:https://www.nextgov.com/cybersecurity/2024/08/compromised-dnc-credentials-found-telegram-bot-cyber-firm-says/398814/?oref=ng-home-top-story
9. Kootenai
Health遭受勒索软件攻击 46万患者数据泄露
位于爱达荷州科达伦的著名医疗服务提供者Kootenai Health遭受了严重的勒索软件攻击,导致464,088名患者的敏感信息暴露。此次数据泄露发生在2024年2月22日,直到8月1日才被缅因州总检察长办公室发现,引发了对患者数据安全和隐私的担忧。泄露被确定为外部系统被黑事件,涉及个人身份信息和其他敏感信息的泄露。Kootenai Health的律师Todd Rowe确认了此次泄露。受此影响,83名缅因州居民已依法接到通知,并被提供12个月的信用监控和CyberScan监控服务,以及高达100万美元的保险赔偿政策和全面管理的身份盗窃恢复服务。此次事件引发了对医疗机构安全措施及其法律后果的讨论,突显了医疗行业需要强大的网络安全协议以保护患者敏感信息免受恶意攻击的必要性。Kootenai Health在继续调查此次泄露的同时,敦促受影响的个人保持警惕,并利用提供的身份盗窃保护服务。
来源:https://cybersecuritynews.com/kootenai-health-ransomware-attack/
10. 白俄罗斯-乌克兰双重国籍黑客因勒索软件和网络犯罪被引渡至美国
英国国家犯罪署(NCA)协调的执法机构联盟逮捕并引渡了一名与俄罗斯网络犯罪集团有关的白俄罗斯和乌克兰双重国籍人士。38岁的Maksim Silnikau(别名Maksym Silnikov),网名J.P. Morgan等,于2024年8月9日从波兰被引渡至美国,面临国际计算机黑客和电信欺诈计划的指控。NCA表示,这些人是开发和分发如Reveton和Ransom Cartel勒索软件,以及Angler等漏洞工具包的“精英网络犯罪分子”。Reveton勒索软件作为“首个勒索软件即服务商业模
式”在2011年推出。Silnikau与Volodymyr Kadariya和Andrei Tarasov一起,涉嫌参与分发Angler,并利用恶意广告技术从2013年10月至2022年3月传播恶意和欺诈内容,诱骗用户提供敏感个人信息。被盗信息如银行信息和登录凭证,以及对受感染设备的访问权,随后在暗网的俄罗斯网络犯罪论坛上出售。美国司法部(DoJ)表示,犯罪计划不仅导致无数互联网用户无意中被重定向到恶意内容,还欺诈并试图欺诈美国各公司。Silnikau还被弗吉尼亚东区的单独起诉书指控为Ransom Cartel勒索软件的创建者和管理员。他和其他同谋被控共谋实施电信欺诈、共谋实施计算机欺诈,以及多项电信欺诈和严重身份盗窃等罪名。如果所有罪名成立,Silnikau将面临超过50年的监禁。
来源:https://thehackernews.com/2024/08/belarusian-ukrainian-hacker-extradited.html
11. 哥伦布市确认勒索软件攻击,保证没有可用的个人数据泄露至暗网
2024年7月,哥伦布市遭受了一次网络攻击,市长Andrew Ginther确认这次攻击由海外勒索软件组织Rhysida发起,但被窃取的数据最终无法使用。市长保证,没有个人资料被泄露到暗网上,为担心敏感数据安全的市政府员工和居民提供了一些安慰。Rhysida声称他们窃取了6.5TB的城市数据,包括员工密码和登录信息,但市长表示,被盗数据要么被加密,要么损坏,使其大部分无法使用。尽管没有勒索要求,市长确认没有纳税人或员工的个人信息被发布到暗网上,但承认在勒索软件攻击期间,员工记录是可以访问的,这引起了对潜在长期风险的担忧。为了解决这些问题并保护员工,哥伦布市最初为所有现任市政府员工提供了免费的信用监控和身份盗窃保护服务,最近这项服务已扩展到所有前员工。哥伦布市的财务影响显著,市长估计该市将花费数百万美元来处理这次攻击的后果。
来源:https://thecyberexpress.com/city-of-columbus-cyberattack/
12. 荷兰黑客发现太阳能系统漏洞威胁欧洲电网安全
荷兰黑客维特斯·邦斯特拉(Wietse Boonstra)发现了一个严重的安全漏洞,仅需一键即可在全球150个国家关闭400万台太阳能系统。这一发现突显了“智能”技术易受攻击的风险。在荷兰,太阳能板产生的能源相当于40个博尔塞勒核电站的总和,但许多制造商未能提供足够的网络安全保护。邦斯特拉是司法IT机构(JIO)的安全研究员,他在Enphase公司系统中发现了一个严重的漏洞。Enphase系统使用微逆变器连接太阳能板与电网,客户可以通过个人账户进行系统配置和管理。他发现了一个关键的软件错误,允许攻击者获得他人账户的管理员权限,通过创建账户测试,成功控制了多个账户。与同事合作,邦斯特拉发现了Enphase设备的六个漏洞,这些漏洞可能被用来感染数百万太阳能系统。这种风险类似于托尔金《指环王》中的“统治之环”,一个账户即可控制全球数百万太阳能系统,对全球能源安全构成威胁。
来源:https://www.securitylab.ru/news/551131.php
13. Chrome V8引擎RCE漏洞曝光,用户访问恶意网站即可能遭受攻击
2024年5月,编号为CVE-2024-5830的严重安全漏洞被发现于Chrome浏览器的V8
JavaScript引擎中。该漏洞为一种类型混淆漏洞,攻击者只需诱导用户访问恶意网站,即可在Chrome渲染器沙箱内执行任意代码。漏洞源自V8引擎处理对象映射和转换时的错误,导致内存越界访问并可能被利用。GitHub安全实验室的研究员Man Yue Mo发表的技术报告详细描述了攻击者如何通过操纵对象属性和布局,利用该漏洞获得V8堆内的任意读写权限,进而绕过V8堆沙箱并获取对整个Chrome渲染器进程内存的控制。Google已于2024年7月底发布补丁修复此漏洞。该事件凸显了Web浏览器复杂代码库中的持续安全挑战和强化技术研究的重要性。
来源:https://cybersecuritynews.com/chrome-v8-engine-rce-vulnerability/
14. Fortinet修复多项漏洞,保护FortiOS等产品免受潜在威胁
2024年8月,知名网络安全公司Fortinet发布了针对其多款产品的补丁,修复了FortiOS、FortiProxy、FortiPAM、FortiSwitchManager、FortiManager和FortiAnalyzer中存在的多个漏洞。这些漏洞可能导致未授权访问和权限升级,构成严重安全风险。其中,CVE-2022-45862是一个会话过期处理不足的漏洞,可能允许攻击者在用户退出登录后重用Web会话。CVE-2024-21757则是一个未验证密码更改的漏洞,可能导致权限升级。CVE-2024-36505涉及文件完整性检查系统的访问控制不当,允许具有写权限的攻击者绕过安全检查。Fortinet建议用户尽快升级受影响的产品版本,以防范潜在的网络威胁并确保系统安全。
来源:https://cybersecuritynews.com/fortinet-patches-multiple-vulnerabilities/
15. GitHub竞态条件漏洞引发ArtiPACKED攻击
安全研究人员发现了GitHub Actions功能中的“ArtiPACKED”竞态条件漏洞,该漏洞可通过配置错误和安全缺陷导致令牌泄露,允许攻击者注入恶意代码。GitHub的CI/CD流程中生成的工件无意中捕获了敏感令牌,攻击者可利用这些令牌在服务中执行远程代码。尽管令牌设计为快速过期,但最近的更新为攻击者提供了机会。研究人员展示了在令牌过期前下载工件的能力,并在包括Google、Microsoft和Red Hat等维护的知名项目中创建了未授权分支。受影响的项目包括被广泛引用的JavaScript包firebase-js-sdk和Ubuntu的adsys工具。专家警告,这可能导致CI/CD运行器或开发工作站上的远程代码执行,攻击者可能绕过安全检查直接推送代码。为降低风险,研究人员开发了“upload-secure-artifact”GitHub操作,以在上传前扫描潜在秘密。GitHub将此问题视为信息性,强调用户需确保上传工件的安全性。开源社区和项目维护者被敦促审查GitHub Actions工作流程,最小化权限,并加强安全措施。
来源:https://cybersecuritynews.com/artipacked-github-repositories/
