专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240726】179期

网空闲话plus · 公众号 · · 2024-07-26 07:11

正文

2024-07-26 星期五 Vol-2024-179

今日热点导读

1. 美国 FCC 通过提案要求政治广告披露 AI 内容

2. 欧盟评估电信和电力行业网络安全风险

3. 英国《网络安全与恢复力法案》被视为基础设施保护的里程碑

4. 俄罗斯禁止士兵在乌克兰使用私人手机

5. Z-lib 钓鱼克隆网站泄露用户数据：近千万用户隐私受损

6. 根西岛网络钓鱼攻击激增， ODPA 呼吁加强安全措施

7. 白俄罗斯关联黑客利用 PicassoLoader 攻击乌克兰

8. 美国起诉朝鲜黑客，指控其对医院发动勒索软件攻击

9. Meta 清理 63,000 个尼日利亚性勒索诈骗账户

10. Red Art Games 遭遇黑客攻击导致客户信息泄露

11. Google Cloud Platform 曝 ConfusedFunction 权限提升漏洞

12. 揭秘廉价 IP 摄像机中的硬编码根密码

13. Nvidia 修补高危漏洞以保护 AI 和网络产品

14. Progress Telerik 报告服务器严重漏洞允许远程代码执行

15. 黑客出售 Albatross 协议 RCE 漏洞，售价 1 万美元

16. 新报告评估美国太空军扩散式卫星网络计划的前景与挑战

资讯详情

政策法规

1. 美国FCC通过提案要求政治广告披露AI内容

美国联邦通信委员会（FCC）近日通过了一项提案，要求电视和广播上的政治广告必须披露是否使用了人工智能生成的内容。这项提案以3比2的投票结果通过，民主党委员支持，共和党反对。该提案不会禁止AI内容的使用，但要求广播公司在播出时明确标识。这一举措旨在防止AI技术被用于制造选举中的混乱和误导。FCC主席杰西卡·罗森沃塞尔强调，公众有权知道广告中是否使用了AI技术。提案将在《联邦公报》公布后30天内征询公众意见，并在之后的15天内接受回复意见。此外，FCC还在考虑制定有关使用AI自动拨号电话的法规。共和党成员对此表示担忧，认为FCC越权，而联邦选举委员会（FEC）应负责相关监管。

来源：https://www.nextgov.com/artificial-intelligence/2024/07/fcc-proposes-requiring-advertisers-disclose-ai-political-ads-radio-tv/398341/

2. 欧盟评估电信和电力行业网络安全风险

2024年7月25日，欧盟成员国在欧盟委员会和ENISA支持下发布了一份评估欧洲电信和电力行业网络安全的报告。报告指出供应链安全风险、网络安全专业人员短缺，以及来自网络犯罪分子和国家支持行为者的威胁。报告强调，对第三国关键零部件的依赖和供应链脆弱性对电信和电力行业构成特别风险。电信行业面临勒索软件、间谍活动和物理破坏等威胁，而电力行业则面临内部人员渗透和外部网络攻击风险。报告还强调了5G网络和物联网设备的安全性问题，以及欧盟减少碳排放对可再生能源技术的需求增加带来的新挑战。最后，报告提出了17项建议，旨在提高民用电力和电信部门的整体网络安全态势和恢复力，包括改进集体网络态势感知、加强供应链安全等措施。

来源：https://industrialcyber.co/reports/new-eu-risk-assessment-report-assesses-cybersecurity-in-europes-telecommunications-electricity-sectors/

3. 英国《网络安全与恢复力法案》被视为基础设施保护的里程碑

英国政府通信总部国家网络安全中心（NCSC）的国家复原力主管Jon Ellison将《网络安全与恢复力法案》的出台称为国家基础设施保护的“里程碑时刻”。该法案目的在于加强英国关键国家基础设施（CNI）的保护，以应对日益严峻的网络威胁。Ellison在博客中指出，CNI面临的威胁规模、速度和复杂性正在上升，且除了勒索软件外，国家和国家结盟团体的攻击也在增加。法案将扩大监管机构的职权范围，强化基础并增加报告要求，以更好地了解网络威胁。此外，法案还将更新传统监管框架，扩大保护范围，以覆盖更多数字服务和供应链，填补国家防御的直接空白。这标志着英国在网络安全领域迈出关键一步，与欧盟即将实施的“NIS 2”制度相呼应。

来源：https://industrialcyber.co/regulation-standards-and-compliance/ncsc-executive-says-uk-cyber-security-and-resilience-bill-landmark-moment-for-national-infrastructure-protection/

4. 俄罗斯禁止士兵在乌克兰使用私人手机

俄罗斯本周通过一项法律，禁止士兵在乌克兰战斗期间使用个人手机，违者可被关押在军事监狱最多十天。该法律旨在防止士兵通过电子设备泄露军事行动信息，包括音频、照片、视频资料和地理位置数据。军事指挥官有权直接执行惩罚，而无需法院判决。此举引发俄罗斯军人和军事博主的批评，他们认为由于军队通信不可靠，士兵依赖手机和Telegram进行通信。批评者指出，禁令可能阻碍士兵获取重要信息和沟通，且未能提供有效的替代通信手段。俄罗斯军事博主还怀疑，禁令的真正目的是防止士兵在网上讨论军队问题，避免泄露“丑陋的真相”。

来源：https://therecord.media/russia-mobile-phone-military-ban-ukraine

安全事件

5. Z-lib钓鱼克隆网站泄露用户数据：近千万用户隐私受损

2024年6月27日，Cybernews研究团队发现了一个包含近1000万用户数据的开放数据库。这些数据来自一个假冒Z-Library网站，该网站自2022年底起以钓鱼手段收集用户信息。攻击者在获取用户个人信息、密码、加密货币钱包地址和支付信息后，不小心将这些数据泄露。该假冒网站冒充Z-Library的合法所有者，在其Telegram频道中声称自己是唯一的官方网站。假网站流量巨大，其中一个域名每月有1070万访问者。泄漏的数据包括使用bcrypt算法加密的密码和受损的加密货币钱包信息。研究人员发现攻击者的Web服务器启用了目录列表，导致数据泄露。此次泄露影响深远，建议用户立即更改密码、阻止恶意邮件地址、停止使用受感染的加密货币钱包，并改用更安全的电子邮件服务，以保护其数据和资产。

来源：https://www.securitylab.ru/news/550483.php

6. 根西岛网络钓鱼攻击激增，ODPA 呼吁加强安全措施

根西岛数据保护局(ODPA) 发布警告，要求提高网络安全意识，应对近期针对 Microsoft 365 系统的钓鱼攻击增加。犯罪分子通过欺骗电子邮件绕过多因素身份验证 (MFA)，获取敏感信息。ODPA 强调采用分层网络安全策略，包括强大的邮件和网络过滤，以及员工培训，以提高对网络钓鱼的识别能力。尽管 IT 官员迅速采取行动，减轻了根西岛网络攻击的影响，但事件处理过程中暴露出的问题引发了对 IT 支持合同有效性的质疑。ODPA 提供了应对钓鱼攻击的指导，建议谨慎处理所有通信，核实请求的真实性，并通过既定渠道确认可疑邮件的合法性。ODPA 强调，组织和个人需要采取主动措施，增强网络安全意识，以抵御未来的网络威胁。

来源：https://thecyberexpress.com/cyberattacks-on-guernsey/

7. 白俄罗斯关联黑客利用PicassoLoader攻击乌克兰

据最新报告，一个疑似得到白俄罗斯国家支持的黑客组织GhostWriter利用PicassoLoader恶意软件和Cobalt Strike Beacon后门工具，对乌克兰的组织和地方政府机构发起攻击。乌克兰计算机应急响应小组(CERT-UA)研究人员推测，攻击可能针对的是地方政府办公室和美国国际开发署代表，特别是与Hoverla项目相关的网络钓鱼邮件。GhostWriter组织以网络间谍活动著称，可能对乌克兰的金融、经济指标和地方自治机构改革感兴趣。该组织此前已多次攻击乌克兰实体，包括政府组织和国防大学。谷歌Mandiant公司报告称， GhostWriter与白俄罗斯政府有联系，且俄罗斯可能对其活动有影响。此外，GhostWriter也攻击了乌克兰的盟友国家，以其一贯使用的工具集而知名。

来源：https://therecord.media/belarus-ukraine-picasso-malware-ghostwriter

8. 美国起诉朝鲜黑客，指控其对医院发动勒索软件攻击

7月24日，美国联邦政府起诉朝鲜黑客林正赫，指控其参与对美国医院和医疗保健公司的勒索软件攻击。林正赫被认为是朝鲜情报机构侦察总局下属安达利尔部队的成员，使用Maui病毒在2021年和2022年发动多起攻击，影响医疗服务。美国调查发现，安达利尔还攻击了多家美国国防承包商和空军基地，并窃取敏感信息。司法部表示，林正赫被指控密谋实施计算机黑客攻击和洗钱，美国已追回60多万美元的赎金。报告指出，朝鲜利用勒索软件资助其军事和核计划，安达利尔被标记为APT45，持续对全球各行业构成威胁。

来源：https://therecord.media/us-indicts-north-korean-hacker-ransomware

9. Meta清理63,000个尼日利亚性勒索诈骗账户

Meta Platforms近期删除了约63,000个与尼日利亚性勒索诈骗有关的Instagram账户，包括一个由20人团体操作的2,500个协调账户网络。这些账户主要针对美国成年男性，使用虚假身份进行诈骗。Meta还删除了7,200项尼日利亚资产，包括Facebook账户、页面和群组，这些被用于招募和培训新的诈骗者。此外，Meta将另一犯罪集群归咎于名为Yahoo Boys的网络犯罪组织。国际刑警组织的"Jackal III"行动也针对西非有组织犯罪集团，逮捕了数十人，并查获了价值300万美元的非法资产。Meta表示，金融性勒索犯罪具有毁灭性后果，犯罪分子不断进化以逃避防御措施。在全球范围内，执法机构正通过各种行动打击网络犯罪，包括美国、乌克兰、西班牙和英国的执法成果。

来源：https://thehackernews.com/2024/07/meta-removes-63000-instagram-accounts.html

10. Red Art Games 遭遇黑客攻击导致客户信息泄露

知名电子游戏发行商和分销商Red Art Games遭受网络攻击，导致客户敏感信息泄露。该公司于2024年7月25日通过社交媒体宣布了这一安全漏洞，泄露信息包括客户姓名、电子邮件地址、实际地址和付款详情。Red Art Games尚未公布受影响客户数量，但已采取措施评估事件影响，并关闭网上商店进行安全审计，同时聘请网络安全专家调查事件。公司建议客户更改密码并启用双重验证，并对事件表示遗憾，承诺提供后续更新。此次泄密在客户群体中引发担忧，可能对公司声誉和销售造成影响。事件凸显了加强网络安全措施在数字时代的重要性。

来源：https://cybersecuritynews.com/red-art-games-hacked-personal-information/

漏洞预警

11. Google Cloud Platform曝ConfusedFunction权限提升漏洞

网络安全研究人员发现了Google Cloud Platform（GCP）中的一个名为ConfusedFunction的权限提升漏洞，该漏洞影响Cloud Functions服务。攻击者可利用此漏洞未经授权地访问其他服务和敏感数据。Tenable公司指出，攻击者可升级权限至默认云构建服务账户，访问包括源代码在内的多种服务。Cloud Functions是GCP提供的无服务器执行环境，允许开发者在云事件触发时运行单一用途函数。问题源于创建或更新Cloud Function时后台创建的Cloud Build服务账户，该账户权限过大，易被滥用。Google已更新默认行为以减少滥用风险，但现有实例不受影响。研究人员提醒，尽管Google的修复降低了风险，但并未完全消除问题，用户仍需谨慎分配权限。

来源：https://thehackernews.com/2024/07/experts-expose-confusedfunction.html

12. 揭秘廉价IP摄像机中的硬编码根密码

本文介绍了Matt Brown对VStarcam CB73安全摄像机的逆向工程过程。Matt首先从该摄像机中提取了固件，并发现其中包含硬编码的IP地址和Linux变体的运行证据。随后，他探索了是否存在硬编码的根密码。通过找到UART引脚并启动控制台会话，Matt利用未锁定的引导程序强制摄像机进入shell会话，从而获取了根密码的哈希值。尽管暴力破解哈希失败，但他使用Ghidra工具分析了固件中的可疑程序"encoder"，最终成功识别出该制造商所有摄像机的硬编码根密码。这一发现不仅揭示了制造商在安全编码上的疏忽，也展示了IoT设备普遍存在的安全问题。Matt的努力和清晰的演示激发了人们对IoT安全漏洞的进一步探索。

来源：https://hackaday.com/2024/07/24/hacking-an-iot-camera-reveals-hard-coded-root-password/

13. Nvidia修补高危漏洞以保护AI和网络产品

Nvidia本周宣布修补了影响其多款AI和网络产品的高严重性漏洞。该公司发布了两份安全公告，其中之一涉及CVE-2024-0108，这一漏洞影响Jetson系列产品，包括Jetson AGX Xavier和Jetson Nano，可能导致拒绝服务、代码执行和权限提升。另一份公告涵盖Mellanox OS及其后继产品OnyX、Skyway 和MetroX，涉及CVE-2024-0101和CVE-2024-0104漏洞，可能导致拒绝服务、信息泄露、数据篡改和权限提升。Nvidia强调，及时修补这些漏洞对于防止潜在的安全威胁至关重要。自今年初以来，Nvidia已通报了超过60个产品漏洞。

来源：https://www.securityweek.com/nvidia-patches-high-severity-vulnerabilities-in-ai-networking-products/

14. Progress Telerik报告服务器严重漏洞允许远程代码执行

Progress Software公司发现其Telerik® 报告服务器存在一个高危安全漏洞，该漏洞编号为CVE-2024-6327，CVSS评分高达9.9分，表明其严重性。该漏洞影响2024年第二季度之前的版本（10.1.24.709），属于不安全的反序列化问题（CWE-502），可能使攻击者在受影响的系统上执行远程代码。Progress Software已发布更新，强烈推荐所有用户升级到最新版本以解决此问题。对于无法立即更新的用户，提供了临时缓解措施，即更改报告服务器应用程序池的用户帐户权限。用户可以通过登录报表服务器Web UI并导航至配置页面来检查当前版本，并在Telerik账户的产品下载部分获取更新。此次事件凸显了软件安全的重要性及定期更新的必要性，同时提醒组织必须保持警惕，及时进行安全更新以保护关键基础设施和数据。

来源：https://cybersecuritynews.com/progress-telerik-report-server-flaw/

15. 黑客出售Albatross协议RCE漏洞，售价1万美元

一名黑客声称拥有Albatross协议中的远程代码执行（RCE）漏洞，并以1万美元出售。该漏洞利用缓冲区溢出技术，但在启用地址空间布局随机化（ASLR）时无效，同时面临绕过只读重定位（FULL RELRO）的困难。尽管如此，该漏洞能成功绕过数据执行保护（DEP），并在过去七个月内对所有版本有效。潜在买家可通过提供的线索联系卖家获取更多信息。此外，该黑客还提供了Nimiq区块链协议的缓冲区溢出漏洞，测试平台为最新的Linux版本，售价5000美元。此漏洞可导致远程代码执行，但尚未完全武器化，支付方式仅限比特币和托管。

来源：https://dailydarkweb.net/a-threat-actor-claims-to-have-rce-exploit-in-albatross-protocol-selling-for-10k/

其他动态

16. 新报告评估美国太空军扩散式卫星网络计划的前景与挑战

美国航空航天公司发布的一份新报告深入分析了美国太空部队太空发展局（SDA）的扩散作战空间架构（PWSA），该计划旨在四年内发射约500颗卫星，耗资90亿美元。报告赞扬了SDA的创新采购模式，该模式能够快速交付新功能，摆脱了传统缓慢的采购流程。然而，报告也指出了SDA面临的挑战，包括大规模展示系统能力、管理增加的发射频率、保持竞争性工业基础的可持续性以及在扩大运营的同时维持创新方式。此外，报告对整合来自不同制造商的卫星的可行性提出质疑，这是SDA方法的关键方面。供应链问题已经打乱了SDA的时间表，制造商难以迅速提高产量，这些挑战预计将持续存在。

来源：https://spacenews.com/new-report-examines-space-force-agencys-ambitious-satellite-network-program/

5th域安全微讯早报【20240726】179期

正文

请到「今天看啥」查看全文