主要观点总结
本文报道了近期发生的网络安全事件、漏洞预警、风险预警以及恶意软件等相关信息,涉及多个国家和行业。包括网络钓鱼攻击、Telegram加密功能的安全性、大选网络攻击防御、数据中心故障引发的混乱、大型语言模型服务器泄露敏感信息、工业系统漏洞、Apache OFBiz高危漏洞、与勒索软件团伙合作的多国组织攻击等。
关键观点总结
关键观点1: 网络钓鱼攻击手段和防御策略
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)联合发布指南,揭露恶意黑客使用的网络钓鱼技术,并提供了防御措施。网络钓鱼是一种社会工程攻击,通过诱骗个人泄露敏感信息或执行有害操作。组织应制定书面响应计划,及时向CISA和FBI报告网络钓鱼企图。
关键观点2: Telegram加密功能的安全性
Telegram被广泛视为安全的通讯工具,但其加密功能存在显著缺陷。密码学家指出,虽然Telegram提供端到端加密功能,但这一功能默认不启用,且不适用于群聊。此外,Telegram收集的元数据也存在安全风险。用户使用时需谨慎。
关键观点3: 美国情报官员对抵御大选网络攻击的信心
美国高级情报官员表示,他们有信心应对2024年大选可能面临的外国网络攻击。官员们与其他联邦安全机构合作紧密,并采取了多项措施来防范潜在威胁。
关键观点4: 荷兰国防部数据中心故障引发的混乱
荷兰国防部使用的数据中心发生故障,导致全国范围内的广泛混乱。目前故障原因尚未确定,但已经影响了空中交通管制和紧急服务通信。
关键观点5: 大型语言模型服务器泄露敏感信息
数百个大型语言模型(LLM)应用程序构建器服务器被发现向开放网络泄露敏感信息,包括GitHub访问令牌、OpenAI API密钥等。这些数据的暴露可能导致更严重的安全问题。
关键观点6: 罗克韦尔自动化ThinManager漏洞
罗克韦尔自动化的ThinManager ThinServer存在多个严重漏洞,包括信息泄露和远程代码执行。这些漏洞的CVSS评分从5.5到9.8不等,已经得到了趋势科技的安全研究员的证实。
关键观点7: CISA警告Apache OFBiz高危漏洞
美国网络安全和基础设施安全局(CISA)警告称,Apache OFBiz开源企业资源规划(ERP)系统中的一个严重安全漏洞被积极利用。该漏洞的CVSS评分高达9.8,允许未经身份验证的攻击者执行远程代码。
关键观点8: FBI警告:伊朗与勒索软件团伙合作攻击多国组织
美国联邦调查局(FBI)等发布警告,指出伊朗政府与勒索软件团伙合作,针对美国、以色列等多个国家的组织发动攻击。这些攻击不仅针对政府实体,还扩展到教育、金融、医疗保健和国防部门。
关键观点9: PoorTry驱动程序演变为成熟的EDR擦除器
PoorTry是一种恶意的内核模式Windows驱动程序,最初用于关闭端点检测和响应(EDR)解决方案,现已演变为一种EDR擦除器,能够删除安全解决方案的关键文件。
关键观点10: 新型Tickler恶意软件攻击政府及国防机构
伊朗黑客组织使用新型Tickler恶意软件攻击美国和阿拉伯联合酋长国的政府、国防等组织。该恶意软件标志着该组织在过去一年中持续对关键行业的攻击活动。
正文
2024-08-29 星期四
Vol-2024-208
1
.
CISA
和
FBI
联合揭露网络钓鱼攻击手段及防御策略
2.
Telegram
加密功能:安全还是幻觉?
3.
美国情报官员对抵御
2024
年大选网络攻击表示信心
4.
荷兰国防部数据中心故障引发全国性混乱
5.
LLM
服务器和矢量数据库泄露敏感信息
6.
罗克韦尔自动化
ThinManager
漏洞严重威胁工业系统安全
7.
CISA
警告
Apache OFBiz
高危漏洞正被积极利用
8.
FBI
警告:伊朗与勒索软件团伙合作攻击多国组织
9.
PoorTry
驱动程序演变为成熟的
EDR
擦除器
10.
新型
Tickler
恶意软件攻击美国政府及国防机构
11
.
OSI推动统一“开放人工智能”定义以规范行业标准
12
. 美国运动商品巨头DICK'S
Sporting Goods遭受网络攻击
1
3. 德克萨斯州公共安全部投资530万美元于争议监控系统
14. 加密劫持利用Atlassian
Confluence漏洞(CVE-2023-22527)威胁组织安全
15.
自行车无线变速系统漏洞再引关注:赛事安全与公平受威胁
16.
Fortra FileCatalyst Workflow软件中发现关键SQL注入漏洞
17
. Ubuntu修复QEMU中的三个安全漏洞
1. CISA和FBI联合揭露网络钓鱼攻击手段及防御策略
cybersecuritynews 8月28日消息,美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)联合发布了一份指南,详细揭露了恶意黑客使用的网络钓鱼技术,并提供了防御措施。网络钓鱼是一种社会工程攻击,通过诱骗个人泄露敏感信息或执行有害操作。攻击者常冒充同事或IT人员,利用电子邮件、短信等手段获取登录凭证,或发送恶意链接和附件部署恶意软件。CISA和FBI建议实施多因素认证(MFA)、使用DMARC验证电子邮件真实性、部署电子邮件过滤器和应用程序白名单、定期更新软件,并采用DNS过滤等措施来防范。对于中小型企业,报告特别强调了用户培训的重要性,建议实施定期的反网络钓鱼培训和意识计划。此外,组织应制定网络钓鱼事件的书面响应计划,并及时向CISA和FBI报告网络钓鱼企图,以协助追踪和减轻新威胁。
来源:https://cybersecuritynews.com/cisa-fbi-details-phishing-techniques/
最近,全球传出Telegram首席执行官帕维尔·杜罗夫 (Pavel
Durov) 因未能充分监管内容而被法国当局逮捕的消息。尽管这引发了许多问题,但将社交媒体定为犯罪这一事实本身就是一个值得讨论的严肃问题。Telegram被广泛视为安全的通讯工具,但其加密功能存在显著缺陷。密码学家马修·格林指出,尽管Telegram提供“秘密聊天”的端到端加密,但这一功能默认不启用,用户需手动激活,且不适用于群聊。这导致大多数对话实际上并未加密,容易受到攻击。格林还批评了Telegram自2016年以来在加密方面的停滞不前,认为其营销策略可能超过了技术诚意。此外,Telegram收集的元数据,如用户关系和通信时间,同样存在安全风险。格林建议用户在使用Telegram时需考虑加密的局限性和风险,不应盲目信任其安全性。
来源:https://www.securitylab.ru/news/551534.php
3. 美国情报官员对抵御2024年大选网络攻击表示信心
Therecord 8月29日消息,美国高级情报官员表示,他们对应对2024年大选可能面临的外国网络攻击有充分的信心,即使在伊朗黑客近期入侵特朗普竞选活动之后。美国网络司令部兼国家安全局局长蒂莫西·霍夫将军在情报与国家安全联盟年度峰会上表示,与其他联邦安全机构的合作非常紧密,美国处于有利地位。中央情报局副局长戴维·科恩回顾了2016年俄罗斯对大选的数字攻击,认为政府现在的应对措施比当时更加成熟和有序。一周多前,美国联邦调查局将特朗普竞选团队的泄密事件归咎于伊朗黑客,这些黑客也试图攻击拜登-哈里斯竞选团队。美国国家情报总监办公室曾警告,伊朗、俄罗斯和中国可能干涉选举,德黑兰可能支持民主党候选人,而莫斯科则在网上为特朗普提供支持。联邦调查局副局长保罗·阿巴特承认,政府需要时间适应不断演变的外国网络和影
响行动,并预计从现在到大选将有更多攻击努力。
来源:https://therecord.media/intel-officials-anticipate-more-hacking-attempts-us-election-trump-harris
Therecord 8月29日消息,荷兰国防部使用的数据中心在周二(27日)晚间发生故障,导致全国范围内的广泛混乱。目前,故障原因尚未确定。此事件影响了空中交通管制,导致民航航班停飞,并使紧急服务通信受到干扰。国防部和其他使用同一网络的部门的公务员无法访问政府工作站,导致服务提供受阻。荷兰国家网络安全中心 (NCSC-NL) 将此次事件称为“全国性中断”,并表示正在研究和解读情况。目前尚不清楚该故障是否由网络攻击引发,影响范围包括埃因霍温机场的航班取消,阿姆斯特丹史基浦机场尚未报告影响。国防部表示正在制定解决方案,并将在其网站上提供最新信息。
来源:https://therecord.media/netherlands-defense-ministry-data-center-malfunction-outages
Darkreading 8月28日消息,Legit安全研究员Naphtali
Deutsch的最新报告揭示了开源大型语言模型(LLM)构建器服务器和矢量数据库在网络安全方面的重大疏忽。数百个Flowise LLM应用程序构建器服务器和数十个矢量数据库被发现向开放网络泄露敏感信息,包括GitHub访问令牌、OpenAI API密钥、纯文本密码、配置和提示等。这些数据的暴露可能会导致更严重的安全问题,如后续攻击、数据窃取、数据库篡改或恶意软件植入。Flowise服务器的不安全源于身份验证绕过漏洞CVE-2024-31621,使得攻击者能够轻易访问。而矢量数据库的未受保护状态则可能允许攻击者直接访问、操纵或破坏存储的数据。这些安全漏洞不仅威胁到个人和公司的隐私,还可能对依赖这些数据的AI工具的准确性和可靠性造成影响。
来源:https://www.darkreading.com/application-security/hundreds-of-llm-servers-expose-corporate-health-and-other-online-data
6. 罗克韦尔自动化ThinManager 漏洞严重威胁工业系统安全
Gbhackers 8月28日消息,罗克韦尔自动化的ThinManager ThinServer 被发现存在多个严重漏洞,包括信息泄露和远程代码执行,可能导致系统被攻击者控制。这些漏洞由趋势科技的安全研究员 Nicholas Zubrisky 发现,编号为 CVE-2024-7986、CVE-2024-7987 和 CVE-2024-7988,CVSS 评分从 5.5 到 9.8 不等,表明其严重程度各异。特别是 CVE-2024-7987 和 CVE-2024-7988 涉及远程代码执行,可能导致文件覆盖和系统完整性受损。罗克韦尔自动化已发布修正版并建议用户及时更新,以防范潜在威胁。公司强调应优先处理这些漏洞,以保护工业系统的安全和数据完整性。
来源:https://gbhackers.com/rockwell-automation-thinmanage/
7. CISA警告Apache OFBiz高危漏洞正被积极利用
Thehackernews 8月28日消息,美国网络安全和基础设施安全局(CISA)近日将Apache OFBiz开源企业资源规划(ERP)系统中的一个严重安全漏洞(CVE-2024-38856)加入其已知被利用漏洞(KEV)目录,该漏洞的CVSS评分高达9.8,表明其严重性极高。CISA指出,该漏洞是一个授权错误,可能允许未经身份验证的攻击者执行远程代码。此前,SonicWall将该漏洞视为另一个漏洞(CVE-2024-36104)的补丁绕过方法,后者允许通过特制请求执行远程代码。Apache OFBiz系统曾被滥用部署Mirai僵尸网络,且近三周前,CISA已将另一个Apache OFBiz漏洞(CVE-2024-32113)列入KEV目录。尽管目前没有公开报告说明CVE-2024-38856如何在野外被利用,但已有概念验证(PoC)漏洞公开。这表明攻击者对公开披露的漏洞有浓厚兴趣,并倾向于利用这些漏洞攻击易受攻击的实例。为应对威胁,建议组织更新至Apache OFBiz的18.12.15版本,联邦民事行政部门(FCEB)机构需在2024年9月17日前应用必要更新。
来源:https://thehackernews.com/2024/08/cisa-flags-critical-apache-ofbiz-flaw.html
8. FBI警告:伊朗与勒索软件团伙合作攻击多国组织
Therecord 8月28日消息,美国联邦调查局(FBI)、国防部和网络安全与基础设施安全局(CISA)发布警告,指出伊朗政府与勒索软件团伙合作,针对美国、以色列、阿塞拜疆和阿拉伯联合酋长国的组织发动攻击。这些攻击不仅针对政府实体,还扩展到教育、金融、医疗保健和国防部门。伊朗威胁行为者通过开发网络访问权限,然后与勒索软件团伙合作部署勒索软件,同时进行更广泛的活动,目的是窃取敏感技术数据。这些黑客以Pioneer Kitten、Rubidium和Lemon Sandstorm等名称在私营部门为人所知,自2017年以来一直以美国组织为目标。他们尝试获取并维持对受害者网络的访问权,然后出售或与勒索软件团伙合作锁定受害者网络。此外,这些攻击者还利用对受害者云计算资源的访问权发动其他攻击,特别是针对学术机构和国防公司。FBI和CISA指出,伊朗IT公司Danesh Novin Sahand被用作网络活动的掩护,攻击者依赖于面向互联网的资产的利用,并使用Shodan搜索引擎查找易受攻击的设备。一旦进入受害者网络,黑客会创建账户、提高权限、访问更多网络,并与勒索软件分支机构合作,执行窃取敏感数据的附带任务。
来源:https://therecord.media/iran-government-working-with-ransomware-hackers-fbi-advisory
9. PoorTry驱动程序演变为成熟的EDR擦除器
Bleepingcomputer 8月28日报道,PoorTry,一种恶意的内核模式Windows驱动程序,最初被多个勒索软件团伙用于关闭端点检测和响应(EDR)解决方案,现已演变成一种EDR擦除器,能够删除安全解决方案的关键文件,使恢复变得更加困难。Trend Micro自2023年5月以来就对这一功能发出警告,Sophos已确认在野外观察到EDR擦除攻击。PoorTry的演变标志着勒索软件行为者策略的激进转变,他们现在优先考虑更具破坏性的设置阶段,以确保在加密阶段获得更好的结果。该工具,也被称为'BurntCigar',自2021年开发以来,已被BlackCat、Cuba和LockBit等多个勒索软件团伙使用。PoorTry通过身份验证绕过漏洞利用,优化代码,并使用VMProtect、Themida和ASMGuard等混淆工具进行打包以逃避检测。Sophos的最新报告基于2024年7月的一起RansomHub攻击,该攻击使用PoorTry删除了关键的可执行文件(EXE)、动态链接库(DLL)和其他安全软件的必需组件,确保EDR软件无法被防御者恢复或重新启动,从而使系统在随后的加密阶段完全无保护。
来源:https://www.bleepingcomputer.com/news/security/poortry-windows-driver-evolves-into-a-full-featured-edr-wiper/
10. 新型Tickler恶意软件攻击美国政府及国防机构
Bleepingcomputer 8月28日报道,伊朗黑客组织APT33(亦称Peach
Sandstorm和Refined Kitten)使用新开发的Tickler恶意软件,针对美国和阿联酋的政府、国防、卫星、石油和天然气领域的组织进行网络攻击。微软安全研究人员发现,该组织在2024年4月至7月间发起了这一情报收集行动,利用微软Azure基础设施进行命令与控制(C2)操作。APT33 通过密码喷射攻击成功入侵多个目标组织,并特别利用教育部门的被盗账户来建立其操作基础设施。这一新型恶意软件标志着APT33在过去一年中持续对关键行业的攻击活动,微软计划从10月15日起强制启用多因素认证(MFA),以保护Azure帐户免受网络钓鱼和劫持攻击。
来源:https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/
备注:第11-第17为订阅用户专享!
