2024-11-07 星期四
Vol-2024-268
1. 澳大利亚增强网络弹性,将46项关键基础设施资产列为国家重要系统
2. NIST介绍加密模块验证计划,寻求提高网络安全标准的意见
4. 保护者还是恶棍?研究人员因信息泄露而受到审理的争议
6. 乌克兰主要大学禁用Telegram以减轻网络威胁
7. SelectBlinds客户数据泄露,20万用户信息受黑客恶意软件影响
8. Azure API管理服务严重漏洞或致攻击者完全控制
10. 从32%到50%:到2024年每发生两起网络事件就有一起扰乱业务流程
1
1
.
德国起草法律保护发现安全漏洞的研究人员
13.
Azure
API管理服务严重漏洞或致攻击者完全控制
15.
CERT-In紧急提醒:修补Synology应用漏洞,防止远程代码执行攻击
17.
LameDuck的Skynet僵尸网络发动35,000次DDoS攻击
18.
HookBot恶意软件利用覆盖攻击伪装成知名品牌窃取用户数据
19.
Winos
4.0恶意软件通过游戏优化应用感染玩家设备
20.
Andariel黑客组织使用复杂键盘记录器对抗安全分析
备注: 第11-20条资讯为订阅用户专享!(更多信息,欢迎订阅!)
1. 澳大利亚增强网络弹性,将46项关键基础设施资产列为国家重要系统
【IndustrialCyber网站11月6日报道】澳大利亚网络和基础设施安全中心(CISC)近日宣布,将额外46个关键基础设施资产指定为国家重要系统,这是澳大利亚政府提升国家关键基础设施网络弹性的持续努力的一部分。目前,被列为国家重要系统的基础设施总数已超过200个,覆盖能源、通信、交通等多个领域。政府对这些资产的所有者和运营者施加了一系列网络安全义务,包括制定事件响应计划、进行安全演习、评估和修复漏洞,并向澳大利亚信号局提供信息。这些措施旨在加强国家安全,保护澳大利亚人免受网络攻击的威胁。
2. NIST介绍加密模块验证计划,寻求提高网络安全标准的意见
【IndustrialCyber网站11月6日报道】美国国家标准与技术研究院(NIST)通过其国家网络安全卓越中心(NCCoE)发布了加密模块验证程序(CMVP)的详细介绍,并呼吁各方对该程序提出意见。该验证程序旨在确保加密模块符合《联邦信息处理标准(FIPS)出版物140-3》中对加密模块的安全要求。NCCoE目前正在进行自动化加密模块验证项目(ACMVP),以提高验证流程的效率和及时性。ACMVP计划通过自动化工具,使组织能够根据FIPS 140-3要求测试其加密产品,并直接将结果报告给NIST。该项目分为三个主要工作流:测试证据(TE)工作流、协议工作流和研究基础设施工作流。每个工作流有不同的重点,旨在简化和自动化测试过程。到目前为止,项目已经为CMVP验证所需的测试证据类别进行了分类,并开始开发自动化支持所需的云基础设施。此外,美国国土安全部(DHS)和网络安全与基础设施安全局(CISA)也在积极推进运营技术(OT)环境中向后量子加密的过渡。
【SecurityLab网站11月6日报道】俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)正在开发自己的互联网基础设施,以验证IP地址路由。该计划旨在到2035年实现,涉及RPKI(资源公钥基础设施)协议,这是BGP(边界网关协议)的扩展,负责互联网数据的动态路由。俄罗斯的发展战略计划创建一个替代基础设施,提供独立核算和路由规则的形成,特别是开发路线验证服务。目前全球有五个地区互联网注册机构负责RPKI协议的运营,Roskomnadzor打算为此协议创建自己的基础设施。这一举措需要大量的技术和财政资源,旨在建立一个能够识别前缀劫持者的监控系统。Roskomnadzor已经在2024年4月推出了类似的Whois服务和Runet的地址号码资源公共寄存器(RANR),提供有关IP地址和自治系统的信息。此外,Roskomnadzor计划在未来五年内拨款近590亿卢布更新封锁互联网资源的系统,包括反威胁技术手段的现代化。
4. 保护者还是恶棍?研究人员因信息泄露而受到审理的争议
【SecurityLab网站11月6日报道】今年夏天,据俄亥俄州哥伦布市遭遇Rhysida勒索软件攻击,50人的数据可能泄露,包括姓名、出生日期、地址、银行信息、驾驶模拟和社会安全号码。安全研究员康纳·古德沃尔夫(即大卫·勒罗伊·罗斯)分析后指出,泄露的数据中包含敏感信息,例如家庭暴力受害者的身份数据,可能导致严重后果。哥伦布市在事件发生后采取措施阻止未授权访问,随后对古德夫提起诉讼,指控他传播数据,指控超过25,000美元并要求停止泄露。尽管该研究人员寻求公共利益公开信息,仍引发了关于道德黑客行为边界的争议。白帽黑客面临两个难点:揭示漏洞以保护公众或避免法律诉讼。两个月后,双方和解,古德沃尔夫同意在市政府批准前不再披露信息。Bugcrowd创始人Casey Ellis警告,该案可能会阻碍其他研究人员进行公开披露,给网络安全带来负面影响。
【The Record网站11月6日报道】美国网络安全和基础设施安全局(CISA)局长Jen Easterly在选举日表示,目前没有证据显示有恶意活动影响选举基础设施的安全性或完整性。尽管在国家层面出现了一些轻微的破坏性活动,但这些活动大多在预料之中且已做好计划。自特朗普声称2020年大选存在舞弊以来,选举安全一直是重点关注议题。CISA选举高级顾问Cait
Conley否认了特朗普关于密歇根州和宾夕法尼亚州存在大规模舞弊的说法,Easterly也支持这一立场。联邦和地方官员表示,最大的干扰来自几个摇摆州的虚假炸弹威胁,尤其是佐治亚州的近40起。联邦调查局(FBI)表示,已获悉多个州投票站受到炸弹威胁,许多威胁似乎来自俄罗斯的电子邮件域,但这些威胁均未被确定为可信的。尽管如此,Easterly提醒,认证结果还需更多工作,不能排除外国对手可能仍在实施影响行动,以破坏对结果合法性的信心。
6. 乌克兰主要大学禁用Telegram以减轻网络威胁
【TheRecord网站11月6日报道】乌克兰最大的大学——基辅塔拉斯舍甫琴科国立大学(KNU)近日禁止教职员工使用Telegram进行任何工作相关交流,以减少网络安全风险。此举是乌克兰政府限制对俄罗斯开发的 Telegram依赖的最新步骤,乌克兰国防情报机构称,Telegram可能被俄罗斯情报部门利用,获取用户通信及删除的消息数据。尽管Telegram发言人否认向俄罗斯提供数据,指出数据泄露主要因设备被没收或遭恶意软件入侵,KNU仍指示教职员工删除所有与大学相关的Telegram频道、机器人及账号,并公开声明鼓励学生选择替代的通信应用。投票结果显示Instagram和WhatsApp受欢迎。尽管该禁令仅限于官方交流,部分学生反映在校园Wi-Fi下无法加载Telegram,影响日常使用。其他大学如国立航空大学也发表看法,表示暂未考虑全国性禁令,因Telegram仍被广泛用于接收空袭警报和报告军事动态。乌克兰使用Telegram的紧迫性和安全性考量已达到新高度。
7. SelectBlinds客户数据泄露,20万用户信息受黑客恶意软件影响
【The Record网站11月6日报道】在线百叶窗零售商SelectBlinds于近期披露了一起重大数据泄露事件,黑客通过在公司网站植入恶意软件,导致超过20万客户的信用卡信息和个人数据被盗。SelectBlinds员工在9月28日发现了这一恶意软件,调查显示其自今年1月7日起便已潜伏在公司网站的结账页面上。恶意软件允许黑客获取用户在网站结账页面输入的登录信息、支付卡数据、用户名及密码、姓名、电子邮件、地址和电话号码等敏感数据。为应对此次攻击,SelectBlinds已锁定用户账户,强制密码更改,并删除恶意软件,提醒用户如在其他网站上使用相同的登录信息需立即更改。近年来,黑客频繁利用电子盗刷器对易受攻击的零售网站实施攻击,通过在支付页面注入恶意代码窃取用户支付信息并将其售卖至暗网。今年4月,俄罗斯曾起诉六名涉嫌窃取大量信用卡数据的黑客,欧洲刑警组织也对网络卖家发出警告。数据泄露问题持续威胁用户隐私和金融安全。
8. Azure API管理服务严重漏洞或致攻击者完全控制
【Cybersecuritynews网站11月6日报道】Binary Security的安全研究人员发现了Microsoft Azure API管理(APIM)服务中的严重漏洞,这些漏洞可能允许具有基本读者权限的攻击者获得对该服务的完全管理控制权。最严重的漏洞涉及利用旧版API版本获取管理访问令牌,使攻击者能够绕过所有预期的访问控制。研究人员还发现了多个可能暴露敏感信息的漏洞,包括订阅密钥、OAuth凭据和集成密钥。攻击者可以利用旧版本的Azure资源管理器(ARM)API访问这些本应受限制的资源。微软已解决部分问题,但许多遗留API漏洞仍然可以被利用。Binary
Security推荐了几种缓解策略,包括限制对管理接口的网络级访问、实现VNET、跳转主机和专用CI/CD
IP地址、立即禁用APIM服务中的旧版API以及配置管理API设置以防止使用旧版API。
【BleepingComputer网站11月6日报道】思科修复了一个编号为CVE-2024-20418的严重安全漏洞,该漏洞存在于思科统一工业无线软件的基于Web的管理界面中,允许未经身份验证的攻击者以root权限在易受攻击的超可靠无线回程(UWRB)接入点上执行命令。这一命令注入攻击不需要用户交互,影响Catalyst
IW9165D重型接入点、Catalyst
IW9165E坚固型接入点和无线客户端以及Catalyst
IW9167E重型接入点。思科的产品安全事件响应团队(PSIRT)尚未发现公开可用的漏洞代码或该漏洞已被利用的证据。管理员可以通过检查“show mpls-config”CLI命令是否可用来判断URWB操作模式是否启用,以确定设备是否受此漏洞影响。
10. 从32%到50%:到2024年每发生两起网络事件就有一起扰乱业务流程
【SecurityLab网站11月6日报道】Positive Technologies安全专家在SOC论坛上发布了2023年底至2024年前三季度网络事件调查分析报告。报告指出,2024年因网络事件导致的业务中断份额32%上升至50%。攻击成功的主要原因是软件过时、缺乏双因素身份验证及网络分段不足,尤以工业企业、政府机构和IT公司考察最为严重。在所有分析案例中,39%与17个已知APT组织的活动有关,这些组织使用定制软件远程窃取组织数据,且具有实现快速目标的能力。调查中还提到了三个特别活跃的APT,包括技术最先进的Hellhounds、最活跃的ExCobalt和攻击持续时间长达数千年的XDSpy(自2011年起攻击美国公司)。另外,报告几乎显示,利用Web应用程序漏洞进行初步渗透的攻击很常见,其中1C-Bitrix CMS占33%。另外,Microsoft
Exchange漏洞攻击从50%至17%。报告还指出了35%的事件网络犯罪中,攻击者多利用勒索软件、蛛网器等工具破坏数据并窃取痕迹。Windows主机仍是主要攻击目标,但Linux主机的受攻击比例已增至28%。
