专栏名称: 天融信阿尔法实验室

天融信阿尔法实验室将不定期推出技术研究新方向成果，专注安全攻防最前沿技术

每周安全动态精选（1.29-2.2）

天融信阿尔法实验室 · 公众号 · · 2024-02-05 08:00

正文

本周精选

1、 IAPP发布《欧盟数据法案》概述

2 、 Docker 和 runc 容器越界漏洞

3、针对 Rust 恶意软件 KrustyLoader 的分析

4、俄罗斯 280 台服务器被摧毁，200 万 GB 数据丢失

5、TruffleHog：2024年全面指南，揭秘Git仓库中的秘密扫描技术

政策法规动态

1、 IAPP发布《欧盟数据法案》概述

Tag：欧盟、数据法案

IAPP研究和洞察团队发布了第五期“欧洲数据战略”新法规概述“系列。欧洲运营协调员劳拉·普利斯凯特（LauraPliauskaite）的“欧盟数据法案101”提供了一个图表，概述了根据《数据法案》允许哪些实体访问和使用欧盟所有经济部门生成的数据。

https://iapp.org/news/a/iapp-publishes-series-on-eu-data-act

2、 CCPA儿童隐私修正案出台

Tag：儿童隐私、美国

加州总检察长罗伯·邦塔（Rob Bonta）和加州立法机构成员提出了2024年法案，涵盖青少年隐私和未成年人使用社交媒体的日益严重的问题。拟议的《儿童数据隐私法》旨在修订《加州消费者隐私法》，以加强对青少年的覆盖。这两项提案都旨在补充《加州适龄设计规范法案》，该法案在正在进行的法律挑战中处于禁令之下。IAPP新闻编辑乔·杜博尔（Joe Duball）报道了这些介绍及其潜在影响。

https://iapp.org/news/a/ccpa-childrens-privacy-amendment-introduced/

3、加拿大艾伯塔省承诺在未来 18 个月内加强隐私保护

Tag：加拿大、隐私法

据DiscoverAirdrie报道，阿尔伯塔省技术和创新部表示，它将发布立法，加强对滥用信息或侵犯个人隐私的处罚。该机构还将为艾伯塔人创建一个门户网站，以了解他们的数据是如何被使用的，如果他们认为使用不当，可以提出投诉。

https://iapp.org/news/a/alberta-promises-increased-privacy-protections-in-next-18-months/

4、丹麦 DPA 在 Chromebook 案中发布禁令

Tag：信息安全、禁令

丹麦的数据保护机构Datatilsynet规定，学区不能传递学生信息，以帮助谷歌维护和改进其服务，或衡量其Chrome产品中新功能的性能。数据可以传递以帮助提供服务并提高其安全性，以及用于通信目的。各区必须在 3 月 1 日之前报告他们将如何遵守该命令。

https://www.innoreader.com/article/3a9c6e74eb14835a-dpa-chromebook

技术标准规范

1、NIST着手实施隐私框架1.1，计划数据治理纲要

Tag：隐私框架

美国国家标准与技术研究院（U.S. National Institute of Standards and Technology）将开始更新其最新版本的隐私框架，并将在其框架之间创建一个联合数据治理配置文件。NIST就资源应该是什么样子征求公众意见。

https://iapp.org/news/a/nist-embarks-on-privacy-framework-update

2、 荷兰的DPA呼吁制定隐私标准，并在教育中使用人工智能

Tag：隐私标准、人工智能

荷兰数据保护机构Autoriteit Persoonsgegevens表示，需要有更好的标准来保护教育领域的隐私，特别是当它开始更多地使用人工智能技术时。对实践的审查发现，教育工作者已采取措施遵守隐私法，但在人工智能软件使用方面几乎没有监管。

https://iapp.org/news/a/dutch-dpa-calls-for-standards-for-privacy-ai-use-in-education

重点漏洞情报

1、Docker 和 runc 容器越界漏洞

Tag：容器安全、Docker、runc、漏洞披露、容器越界漏洞

Snyk 安全实验室团队发现了核心容器基础设施组件中的四个容器越界漏洞，包括 Docker 和 runc，这也影响到了 Kubernetes。这些漏洞允许攻击者从容器内部获取未授权访问底层主机操作系统的权限，进而访问系统上的数据，包括敏感数据，以及发动进一步的攻击。建议用户尽快更新运行容器引擎和容器构建工具的系统。

https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/

2、 GNU C 库（glibc）存在堆溢出漏洞，可能导致特权提升

Tag：安全漏洞，glibc，堆溢出，特权提升，安全性

Qualys 近日发布了一份安全公告，揭示了 GNU C 库（glibc）中的一个严重堆溢出漏洞（CVE-2023-6246）。该漏洞可能导致攻击者利用特权提升，从普通用户权限提升至完全 root 权限。该漏洞影响到包括 Debian、Ubuntu、Fedora 等多个流行 Linux 发行版。漏洞的原因是在 glibc 的__vsyslog_internal() 函数中存在堆溢出。通过构造超长的 argv [0] 参数或 openlog() 的 ident 参数，攻击者可以触发堆溢出漏洞。

https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt

3、Ivanti两款产品的身份验证绕过和命令注入漏洞

Tag：Ivanti，Connect Secure，Policy Secure，漏洞，身份验证绕过，命令注入

软件公司 Ivanti 的 Connect Secure 和 Policy Secure Gateways 被发现存在严重漏洞。这些漏洞影响所有支持的版本，包括 9.x 和 22.x 版本。其中，CVE-2023-46805 漏洞可绕过身份验证，CVE-2024-21887 漏洞可进行命令注入，导致恶意攻击者能够在系统上执行任意命令。

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

4、ModSecurity WAF 绕过漏洞

Tag：ModSecurity, WAF 绕过漏洞，CVE-2024-1019

最近，ModSecurity 版本 3.0.0 至 3.0.11 中出现了一个重要的漏洞，被标识为 CVE-2024-1019。这个漏洞使得 Web 应用防火墙（WAF）绕过成为可能，由此带来了严重的安全风险。漏洞利用方式为通过在请求 URL 中使用URL编码的问号（“%3F”），绕过 ModSecurity 的路径检查规则。漏洞影响 ModSecurity 变量 REQUEST_FILENAME 和 REQUEST_BASENAME，使得依赖这些变量的规则对该漏洞攻击检测失效。

https://securityonline.info/cve-2024-1019-exposing-modsecuritys-critical-waf-bypass-flaw/

恶意代码情报

1、针对 Rust 恶意软件 KrustyLoader 的分析

Tag：KrustyLoader、Rust、Ivanti ConnectSecure、安全漏洞、恶意软件

2024 年 1 月 10 日，Ivanti 披露了两个影响 Connect Secure VPN 产品的零日安全漏洞：CVE-2024-21887 和 CVE-2023-46805，可导致未经身份验证的远程代码执行。Volexity 和 Mandiant 发表了多篇文章，详细介绍了漏洞如何被黑产利用。1 月 18 日，Volexity 发布了新的观察结果，包括在受感染的 Ivanti Connect Secure 设备上下载的 Rust 载荷的哈希值。本文介绍了这些未经确认的 Rust 载荷的恶意软件分析，将其命名为 KrustyLoader。

https://www.synacktiv.com/publications/krustyloader-rust-malware-linked-to-ivanti-connectsecure-compromises.html

2、 RedLine窃密软件感染链分析 – Part 1

Tag：RedLine，感染链，LNK，VBScript，PowerShell

每周安全动态精选（1.29-2.2）

正文

请到「今天看啥」查看全文