专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240628】155期

网空闲话plus · 公众号 · · 2024-06-28 06:53

正文

2024-06-28 星期五 Vol-2024-155

今日热点导读

1 . 美国隐私权法案因反对声取消听证会

2. 俄罗斯为关键设施制定网络和 IT 基础设施统一标准

3. “ Black Suit ”勒索软件攻击角川公司并索要赎金

4. BSNL 数据泄露使数百万用户面临欺诈和安全风险

5. TeamViewer 遭 APT 黑客入侵，内部网络安全受威胁

6. 克里米亚电信运营商遭受 DDoS 攻击导致互联网中断

7. Clearview AI 面部识别搜索量翻倍引发隐私担忧

8. 美国对俄公民提起指控并悬赏，涉及乌克兰网络攻击事件

9. Fortra FileCatalyst SQL 注入漏洞（ CVE-2024-5276 ）修复及 PoC 公布

10. TP-Link Omada 系统多漏洞允许远程代码执行

11. Vanna.AI 库即时注入缺陷导致远程代码执行漏洞

12. KakaoTalk Android 应用曝出允许任意代码执行的漏洞

13. 黑客利用云服务攻击 Linux 云服务器以完全控制

14. Xeno RAT 利用 GitHub 和 .gg 域名威胁游戏社区

15. 基于区块链的物联网位置零知识证明

16. SoK ：端到端加密时代的 Web 身份验证

资讯详情

政策法规

1. 美国隐私权法案因反对声取消听证会

原定于周四举行的《美国隐私权法案》(APRA)听证会因民权和隐私倡导者的强烈反对以及共和党领导层的抵制而被取消。APRA因删除了防止数据歧视和算法偏见的章节而受到批评。委员会主席凯西·麦克莫里斯·罗杰斯在听证会前发表声明，承诺继续争取通过该法案，强调商业数据监控问题和数据滥用对个人自由的影响。消费者、隐私权倡导者和行业团体一直在寻求联邦数据隐私立法，但APRA的当前版本因未能提供足够的保护而受到质疑。目前已有20个州颁布了全面的数据隐私立法，其他州也在迅速跟进。法律下的民权律师委员会和其他55个组织呼吁恢复法案中的民权保护和算法偏见保障措辞，否则将反对该法案。法案的未来不明朗，共和党领导层和州检察长也对该法案表示反对，担心其优先于州隐私法的条款。

来源：https://therecord.media/apra-data-privacy-bill-markup-cancelled-congress

2. 俄罗斯为关键设施制定网络和IT基础设施统一标准

俄罗斯数字发展部正在制定针对具有社会重要意义的设施（SSO）的网络和IT基础设施的统一标准。这一举措旨在规范教育机构、急救站、政府机构等关键场所的电信系统建设。6月18日，成立了一个工作组，包括电信运营商在内，负责为新建、改建和维修的NWO电信系统设计提出建议。自2019年至2022年，作为联邦信息基础设施项目的一部分，电信运营商已将SZO连接到宽带互联网，项目预算达1020亿卢布。Rostelecom通常是赢家，但也存在ER-Telecom和MTS等公司在某些地区实施项目的情况。目前，对于SZO的电信建设尚无统一规则，而新草案将规定至少安装两台自供电摄像头和每两个房间至少一个Wi-Fi接入点。所有安装的设备必须是国产的，除非没有国外产品的替代品。

来源：https://www.securitylab.ru/news/549586.php

安全事件

3. “Black Suit”勒索软件攻击角川公司并索要赎金

6月27日，名为Black Suit Ransomware的勒索软件组织声称对日本角川公司发起了网络攻击，并成功加密了公司文件。据该组织在其网站上发布的消息，此次攻击导致角川公司大约1.5 TB的敏感数据被非法下载。这些数据包括合同、法律文件、用户数据、商业计划、项目代码、财务记录等。Black Suit Ransomware组织还声称，尽管角川公司能够察觉到他们的入侵行为，但未能有效阻止。目前，双方正在就数据解密和防止数据泄露进行谈判，但勒索软件组织认为角川公司提出的赎金金额过低。此次事件再次凸显了企业网络安全防护的重要性，以及面对勒索软件攻击时的挑战。

来源：https://dailydarkweb.net/black-suit-ransomware-allegedly-targeted-kadokawa-corporation/

4. BSNL数据泄露使数百万用户面临欺诈和安全风险

印度国有电信提供商Bharat Sanchar Nigam Limited（BSNL）遭受了名为“kiberphant0m”的威胁行为者策划的重大数据泄露。这次网络攻击泄露了超过278GB的敏感数据，使数百万用户面临SIM卡克隆、身份盗窃和金融诈骗的风险。据数字风险管理公司Athentian Tech的报告，泄露的数据包括国际移动用户身份（IMSI）号码、SIM卡详情、家庭位置寄存器（HLR）数据和关键安全密钥。这些广泛的运营数据可能使针对BSNL及相互连接的系统和网络的复杂攻击成为可能，带来重大的国家安全风险。Athentian Tech的首席执行官Kanishk Gaur告诉《经济时报》，被泄露的数据正在暗网上以5000美元的价格出售。Gaur强调了被泄露数据的复杂性和关键性，这些数据超出了典型用户信息，直接针对BSNL运营系统的核心。此次事件是BSNL在过去六个月内遭受的第二次数据泄露。

来源：https://gbhackers.com/bsnl-data-breach-exposes-millions/

5. TeamViewer遭APT黑客入侵，内部网络安全受威胁

2024年6月26日，TeamViewer公司检测到其内部IT环境存在异常，随后确认遭遇APT黑客组织的攻击。公司立即启动应急响应并与全球知名的网络安全专家展开调查和采取补救措施。TeamViewer强调，其内部IT环境与产品环境完全独立，目前没有证据表明产品环境或客户数据受到影响。然而，考虑到TeamViewer广泛应用于消费者和企业环境，此次入侵仍引发广泛关注。APT29（俄罗斯高级持续威胁组织）被怀疑是此次攻击的幕后黑手，健康信息共享和分析中心（Health-ISAC）也发布了相关警报。TeamViewer表示将保持透明，并持续更新调查进展情况。

来源：https://www.bleepingcomputer.com/news/security/teamviewers-corporate-network-was-breached-in-alleged-apt-hack/

6. 克里米亚电信运营商遭受DDoS攻击导致互联网中断

克里米亚地方当局近日警告，当地电信运营商遭到大规模分布式拒绝服务(DDoS)攻击，攻击者通过向目标网络注入大量垃圾流量导致网络服务中断。受影响最严重的是米兰达媒体，该公司与俄罗斯国家电信提供商Rostelecom有关联，此前因服务克里米亚非法当局而受到欧盟制裁。尽管米兰达媒体尚未就服务中断发表官方声明，但已有用户在Telegram上抱怨互联网连接质量下降。此次攻击还暂时扰乱了塞瓦斯托波尔市紧急呼叫中心的运营，但当地政府已迅速恢复其功能。乌克兰军事情报局(HUR)声称对此次网络攻击负责，该机构表示“系统地”攻击俄罗斯的数字基础设施，包括互联网提供商。

来源：https://therecord.media/crimea-internet-disruptions-ddos-telecom

7. Clearview AI 面部识别搜索量翻倍引发隐私担忧

过去一年，执法部门通过 Clearview AI 技术进行的面部识别搜索次数翻了一番，达到200万次。据首席执行官 Hoan Ton-That 称，该公司数据库中存储的图像数量也从去年11月的400亿张增至500亿张。虽然一些警察局已禁止使用该技术，但部分警局仍通过其他部门进行搜索，导致滥用现象频发。近期，印第安纳州一名警官因个人原因滥用该技术而辞职。此外，Clearview 解决了一项侵犯隐私的集体诉讼，同意向提起诉讼且脸部出现在数据库中的群体提供23%的股份。Clearview的技术广泛应用于联邦和地方执法机构，其数据库涵盖了绝大多数美国人的面部信息，引发了广泛的隐私担忧。

来源：https://therecord.media/clearview-ai-police-searches-doubled-2023

8. 美国对俄公民提起指控并悬赏，涉及乌克兰网络攻击事件

美国司法部宣布对俄罗斯公民阿明·蒂莫维奇·斯蒂加尔提出指控，指控其在2022年2月俄罗斯全面入侵乌克兰前参与了一系列破坏性网络攻击。斯蒂加尔被认为是Cadet Blizzard组织成员，该组织为俄罗斯军事情报部门（GRU）服务。法庭文件显示，22岁的斯蒂加尔通过一家美国公司将WhisperGate恶意软件分发到数十个乌克兰政府实体的系统中。该恶意软件伪装成勒索软件，旨在破坏受害者系统。斯蒂加尔还涉嫌在2022年8月攻击支持乌克兰的中欧国家的交通基础设施。美国司法部表示，斯蒂加尔目前仍在逃，美国愿意为提供其下落线索的人支付高达1000万美元的奖励。如果罪名成立，斯蒂加尔将面临最高五年的监禁。

来源：https://www.securityweek.com/us-announces-charges-reward-for-russian-national-behind-wiper-attacks-on-ukraine/

漏洞预警

9. Fortra FileCatalyst SQL 注入漏洞（CVE-2024-5276）修复及 PoC 公布

近日，Fortra FileCatalyst Workflow 中的严重 SQL 注入漏洞（CVE-2024-5276）已被修补，并发布了 PoC 漏洞利用代码。该漏洞影响了 FileCatalyst Workflow 5.1.6 Build 135 及之前版本，现已在Build 139 中修复。CVE-2024-5276漏洞源于应用程序未正确验证输入，攻击者可通过构造特定输入字符串，触发 SQL 注入，从而创建新的管理员用户，修改或删除数据库中的数据。成功的攻击需匿名访问启用或通过已验证用户进行。此前，Fortra 的其他产品也曾因类似漏洞遭受攻击，强调了安全防护的重要性。

来源：https://www.helpnetsecurity.com/2024/06/27/cve-2024-5276-poc/

10. TP-Link Omada系统多漏洞允许远程代码执行

近日，TP-Link Omada系统中发现了多个严重漏洞，这些漏洞可能被攻击者利用来执行远程代码，造成严重的安全威胁。受影响的设备包括无线接入点、路由器、交换机、VPN设备和Omada软件的硬件控制器。具体来说，共有12个独特的漏洞被识别并报告给供应商。受影响的设备包括EAP 115和EAP 225无线接入点、ER7206千兆VPN路由器以及Omada软件控制器。漏洞类型包括堆栈缓冲区溢出、内存损坏、命令执行和拒绝服务等。这些漏洞可能允许攻击者远程重置设备、获得root访问权限并执行任意命令。TP-Link已经发布了补丁来修复这些漏洞，用户被强烈建议尽快更新设备固件，以减轻潜在的安全风险。

来源：https://gbhackers.com/tp-link-omada-vulnerabilities/

11. Vanna.AI库即时注入缺陷导致远程代码执行漏洞

网络安全研究人员揭露了Python机器学习库Vanna.AI中的一个高严重性安全漏洞CVE-2024-5565，该漏洞评分为8.1，存在提示注入问题，可能被利用实现远程代码执行。Vanna.AI允许用户通过自然语言查询与SQL数据库交互，但现被发现存在安全缺陷。攻击者可以利用该漏洞通过提示注入技术，绕过内置安全机制，执行任意命令。这种即时注入攻击属于人工智能越狱的一种形式，允许攻击者无视大型语言模型（LLM）提供商建立的护栏，执行违反应用程序预期目的的指令。JFrog安全研究人员指出，该漏洞与Vanna的“ask”函数有关，通过Plotly图形库动态生成的代码，允许攻击者提交特制提示，嵌入要在底层系统上执行的命令。Vanna已发布强化指南，警告用户相关集成可能被用于生成任意Python代码，并建议在沙盒环境中执行。

来源：https://thehackernews.com/2024/06/prompt-injection-flaw-in-vanna-ai.html

12. KakaoTalk Android应用曝出允许任意代码执行的漏洞

KakaoTalk 是一款广泛使用的安卓应用，在全球拥有超过1亿用户，尤其在韩国非常流行。近日，研究人员发现该应用存在一个关键漏洞（CVE-2023-51219），允许未经授权的远程攻击者通过 HTTP 请求头泄露受害者的访问令牌，并接管受害者的用户账户。此漏洞主要影响CommerceBuyActivity WebView，通过深度链接和 JavaScript 启用等多个攻击点实现。研究人员发现，KakaoTalk 的同源策略使其无法加载任意 URL，但在m.shoppinghow.kakao.com 子域中发现的 XSS 漏洞允许攻击者创建恶意深度链接，导致用户访问令牌被泄露并发送到攻击者控制的服务器。

来源：https://gbhackers.com/kakaotalk-1-click-exploit/

TTPs动向

13. 黑客利用云服务攻击Linux云服务器以完全控制

FortiGuard Labs的安全研究人员观察到，像UNSTABLE和Condi这样的僵尸网络正在积极利用Linux云平台来获得控制和存储能力。UNSTABLE僵尸网络是Mirai的一个变种，以JAWS Webserver的RCE漏洞（CVE-2016-20016）作为初始访问点，该僵尸网络包含扫描器、DDoS攻击和利用三个主要模块，支持十三种架构，其攻击技术的选择由C2服务器发出的命令决定。Condi DDoS僵尸网络则利用CVE-2023-1389漏洞感染设备，通过trembolone.zapto.org传播恶意软件。Skibidi恶意软件基于TP-Link Archer AX21的“CVE-2023-1389”和Ivanti Connect Secure的“CVE-2024-21887”两个漏洞，使用脚本拉取适合攻击的Linux架构。该恶意软件采用进程派生、字符串编码和进程名操作等策略来规避检测。

来源：https://gbhackers.com/hackers-linux-cloud-control-storage/

14. Xeno RAT利用GitHub和.gg域名威胁游戏社区

朝鲜黑客组织及其他行为者被发现利用名为XenoRAT的远程访问木马（RAT），通过GitHub存储库和.gg域名针对游戏社区进行攻击。该恶意软件通过伪装成Roblox脚本工具的GitHub仓库以及流行的电子竞技.gg域名进行传播，利用游戏玩家对美观工具的信任，可能导致个人数据、游戏物品和财务信息被盗。XenoRAT提供高级功能如HVNC、音频监视和SOCKS5代理，其客户端和控制器之间的通信采用可识别的TCP套接字模式。此外，相关YouTube账户指导用户安装恶意软件，甚至建议关闭安全软件以避免检测。

来源：https://gbhackers.com/xeno-rat-attacks-via-github-gg-domains/

新兴技术

15. 基于区块链的物联网位置零知识证明

随着精准定位技术的发展，越来越多的基于位置的服务（LBS）便利了人们的生活。大多数LBS需要位置证明（PoL）来证明用户满足服务要求，从而暴露用户的隐私。本文提出一种零知识位置证明（zk-PoL）协议来更好地保护用户的隐私。利用zk-PoL协议，用户可以选择将必要的信息暴露给服务器，从而实现分级的隐私保护。评估表明zk-PoL具有良好的安全性，能够抵御主要的攻击，而且计算效率与输入参数无关，适用于对延迟有容忍要求的LBS。

来源：https://arxiv.org/html/2406.18389v1

16. SoK：端到端加密时代的 Web 身份验证

端到端加密（E2EE）通信服务的兴起给身份验证和数据恢复带来了挑战。由于E2EE的加密特性，服务提供商无法恢复用户忘记的密码或丢失的设备，这就需要创新的身份验证恢复机制。解决方案包括随机恢复码和社交验证等。同时，无密码身份验证作为一种新兴技术，尽管有潜力替代传统密码，却受限于设备绑定，影响了用户跨设备的登录和数据恢复能力。用户期望能够跨设备使用服务并在设备丢失时恢复访问，导致服务提供商尝试通过E2EE同步凭据到云存储，但这引发了与E2EE服务相同的安全挑战。文章系统化地分析了E2EE身份验证的安全性、隐私性、可用性和可恢复性，审视了广泛使用的E2EE服务和无密码身份验证部署，并基于行业实践与学术研究的差距，提出了研究方向，旨在推动E2EE身份验证技术的改进和用户便利性的提升。

来源：https://arxiv.org/html/2406.18226v1

5th域安全微讯早报【20240628】155期

正文

请到「今天看啥」查看全文