专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20241023】255期

网空闲话plus · 公众号 · · 2024-10-23 07:03

正文

2024-10-23 星期三 Vol-2024-255

今日热点导读

1 . 美国政府在软件责任标准上的挣扎

2. 美国网络司令部面临改革，拟推“网络司令部 2.0 ”

3. 英国政府考虑全面措施以应对网络威胁

4. Zendesk 协助 Internet Archive 修复账户漏洞，黑客利用邮件系统入侵

5. Akira 勒索软件开发 Rust 变种攻击 ESXi 服务器

6. 新注册的超过 1000 个新恶意域名针对美国大选

7. 加密支付服务提供商 Transak 遭数据泄露影响 92,000 名用户

8. OneDev DevOps 平台严重漏洞曝光，攻击者可读取敏感数据

9. 黑客利用 perfctl 恶意软件攻击 Docker 远程 API 服务器

10. 情报官员警告外国对手将在选举后煽动社会动荡

1 1. 美国立法者敦促司法部起诉税务公司共享数据行为

12. 欧洲人权法院裁定俄罗斯《外国代理人法》侵犯人权并判予赔偿

13. 网络专家工作组为2024年美国总统大选提供网络安全建议

14. 数百万Android和iOS应用暴露AWS和Azure身份验证密钥

15. SEC指控四家科技公司淡化SolarWinds违规行为，要求支付罚款

16. CISA将ScienceLogic SL1严重漏洞加入KEV目录

17. Windows远程注册表客户端漏洞引发中继攻击风险

18. VMware vCenter Server 严重漏洞可导致远程代码执行，需立即更新

19. 严重漏洞使mbNET.mini和Helmholz工业路由器面临攻击风险

20. Cicada3301勒索病毒的出现：BlackCat的继任者

备注: 第11-20条资讯为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 美国政府在软件责任标准上的挣扎

【The Record网站10月23日报道】六年前，美国国会委托的网络空间日光浴委员会提出了一系列网络安全建议，其中近80%已被采纳，但关于软件公司应对缺陷代码导致的故障承担法律责任的提案却迟迟未能实施。这一议题再次被提及时，正值微软、CrowdStrike等软件供应商遭受黑客攻击，凸显了软件责任的紧迫性。尽管拜登政府表示关注，但软件责任的立法进程缓慢，原因在于其设计难度大，行业反对声音强烈，担心会抑制创新和安全。软件行业长期以来享有法律保护，几乎所有软件许可证都包含免责条款。法律专家、技术专家和行业代表之间对于如何界定软件的“谨慎标准”存在分歧，且技术发展迅速使得制定具体标准变得困难。白宫网络安全战略要求软件供应商在未履行客户注意义务时承担责任，但相关工作进展缓慢。反对者认为，责任制会分散公司对安全性的注意力，并带来沉重的合规成本。此外，对于如何界定软件责任、如何处理民事诉讼、开源软件的挑战以及哪些损害可以诉诸法律等问题，各方意见不一。白宫正在探索责任制度的选择，但过程充满挑战。

2. 美国网络司令部面临改革，拟推“网络司令部2.0”

【The Record网站10月22日消息】美国网络司令部为应对未来威胁，启动“网络司令部2.0”计划，旨在通过改进与工业界的合作，建立创新中心、组建人才管理工作组和新的部队生成模式等来加强战备。立法者对该司令部的战备水平和人才短缺问题感到担忧，推动其改革。审查报告包括五项核心建议，其中创新中心的设立最具约束力，将加强尖端网络技术的应用。而新的部队生成模式将让不同军种专注于各自的数字领域特长，如陆军专注云安全、海军处理射频网络攻击等。改革还提出高级网络培训和优化司令部与私营部门的合作，以应对中国和俄罗斯的竞争。目前这些建议是否能满足国会要求尚不确定，但改革已引起广泛关注。

3. 英国政府考虑全面措施以应对网络威胁

【The Record网站10月22日消息】英国安全国务大臣丹·贾维斯在伦敦的一次会议上表示，英国政府正在考虑“所有选项”来加强对网络威胁的应对。这包括可能改革被认为已过时的《计算机滥用法案》，该法案使网络防御者在进行合法的网络安全活动时面临额外法律风险。贾维斯强调，网络攻击对英国组织造成了“重大损害”，并破坏了企业和生命。他提到，政府正在审查面临的威胁，并解决勒索软件等优先网络威胁。贾维斯还提到，英国情报机构正与国际合作伙伴一起，揭露和打击其他国家的恶意网络活动，特别是俄罗斯和中国的网络攻击。他警告说，俄罗斯利用勒索软件和其他网络攻击牟利，而中国则与多起引人注目的网络攻击事件有关。贾维斯表示，英国不会容忍俄罗斯的网络干扰，并将继续与国际伙伴合作，揭露网络侵略行为，并要求克里姆林宫为其恶意行为负责。英国政府也在与中国接触，希望网络空间成为更安全的商业和消费环境。

安全事件

4. Zendesk协助Internet Archive修复账户漏洞，黑客利用邮件系统入侵

【The Record网站10月23日消息】客户服务平台Zendesk与Internet Archive合作，解决了该机构账户被黑客入侵的事件。黑客利用Internet Archive的Zendesk账户回复用户邮件，宣称其仍可访问部分系统。Zendesk发言人确认此次攻击的原因是Internet Archive未能保护其身份验证令牌，导致黑客能够持续访问，但Zendesk平台本身并未受到攻击。目前，Zendesk已协助Internet Archive修复账户漏洞。Internet Archive的图书馆服务主管Chris Freeland证实，黑客通过第三方系统发送邮件，该组织正在加固防火墙和数据保护。此前Internet Archive经历多次网络攻击，被迫暂停多项服务，尽管部分服务已恢复，但功能如上传、借阅等仍处于关闭状态。此次事件还揭露了Internet Archive未及时更换暴露的API密钥和GitLab令牌。该组织目前正采取措施增强防御能力。

5. Akira勒索软件开发Rust变种攻击ESXi服务器

【Cybersecuritynews网站10月22日报道】Akira勒索软件攻击者正在开发Rust变种，专门针对ESXi服务器。自2023年3月首次发现以来，Akira勒索软件已经影响了众多组织，尤其是美国的组织，其技术架构从C++转变为Rust编程语言。新变种使用rust-crypto库替代了之前的Crypto++库。Akira运营商积极利用关键漏洞如SonicWall SonicOS中的CVE-2024-40766、Cisco VPN服务中的CVE-2023-20269和FortiClientEMS软件中的CVE-2023-48788等，以获取未授权访问。他们使用PowerShell脚本、WMI和RDP等技术在网络内部移动并收集凭证。Akira的最新变种同时针对Windows和Linux环境，使用独特的文件扩展名加密文件，并部署Megazord加密器。攻击者通过破坏VPN凭证和利用网络设备开始攻击链，并通过Veeam.Backup等工具提升权限。Akira勒索软件组织似乎正在放弃基于Rust的Akira v2变体，转而回归传统的C++编程方法，以提高操作的可靠性。针对此威胁，专家建议定期评估漏洞、强化密码策略、部署SIEM和EDR/XDR进行威胁监控、保护ESXi接口、禁用不必要的WMI访问，并使用Windows Defender Credential Guard防止凭证转储。

6. 新注册的超过1000个新恶意域名针对美国大选

【Cybersecuritynews网站10月22日报道】网络安全研究人员发现超过1000个新注册的恶意域名，旨在利用公众对即将到来的选举的兴趣。这些域名的激增对选民信息安全和选举过程的完整性构成了重大风险。这些域名通常包含“votefor”、“vote4”、“trump2024”和“voteharris”等短语，试图利用人们对总统竞选的高度关注。这些可疑域名大部分在美国注册，其中636个域名来自美国，加拿大和德国也有注册。这些域名可能被用于网络钓鱼、传播虚假信息和发动网络攻击。研究人员还发现了冒充合法政治捐款平台的欺诈性筹款网站，这些网站旨在收集捐款和个人信息。此外，暗网论坛上出现了针对特朗普和哈里斯支持者的钓鱼工具包广告。网络安全专家敦促选民保持警惕，核实捐赠平台的合法性，并使用官方政府来源获取投票信息。选举官员和竞选组织也被建议加强网络安全措施，以保护选举免受数字威胁。

7. 加密支付服务提供商Transak遭数据泄露影响92,000名用户

【Cybersecuritynews网站10月22日报道】领先的加密支付服务提供商Transak遭受重大数据泄露，影响超过92,000名用户。此次泄露源于一次复杂的网络钓鱼攻击，该攻击入侵了一名员工的笔记本电脑。泄露的数据包括用户的姓名、出生日期、护照详细信息、驾照信息以及用于KYC验证的自拍照。Transak首席执行官Sami Start强调，没有财务敏感信息被泄露，如银行对账单、社会安全号码或信用卡详细信息。Transak为Binance、MetaMask和Coinbase等主要平台提供非托管法定货币到加密货币网关，并已迅速采取行动解决这一问题，包括聘请网络安全公司和法医专家进行彻底调查，并通知受影响的用户。勒索软件组织Stormous声称对此次攻击事件负责，并威胁泄露或出售剩余数据。此次事件引发了对加密货币公司及其第三方供应商安全措施的担忧，凸显了行业在保护用户数据免受复杂网络威胁方面的挑战。Transak承诺改进其安全措施，以防止未来的网络钓鱼和社会工程攻击。

漏洞预警

8. OneDev DevOps平台严重漏洞曝光，攻击者可读取敏感数据

【cybersecuritynews网站10月22日消息】OneDev DevOps 平台中发现了编号为CVE-2024-45309的严重漏洞，影响到11.0.9版本之前的系统。该漏洞允许未经身份验证的攻击者读取由OneDev服务器进程访问的任意文件，导致配置文件、源代码等敏感数据面临泄露风险。这一漏洞特别严重，因为攻击者无需凭证即可利用，可能进一步提升访问权限或部署恶意软件。安全专家强调，未及时更新软件可能导致更严重的攻击。OneDev已经发布了11.0.9版本修复此问题，用户应立即升级。此外，企业应定期审查其安全措施，确保DevOps环境抵御未来威胁。该漏洞提醒我们，随着开发工具对企业运营的重要性增加，维护其安全性至关重要。

9. 黑客利用perfctl恶意软件攻击Docker远程API服务器

【cybersecuritynews网站10月22日消息】网络犯罪分子正越来越多地瞄准暴露的Docker Remote API服务器，部署perfctl恶意软件，对依赖容器化环境的组织构成重大威胁。这些攻击通过结构化探测序列、容器创建和有效负载执行，利用Docker配置中的漏洞。攻击者通过发送ping请求定位易受攻击的服务器，创建特权模式下的容器，共享主机的PID命名空间，从而控制主机进程。成功创建容器后，攻击者执行Base64编码的有效负载，通过“nsenter”命令逃离容器环境，获取提升的权限。恶意软件通过创建systemd服务或cron作业维持访问权限，确保在系统重启后继续活跃。Trend Micro观察到，攻击者利用这些技术部署加密货币挖矿机。为减轻风险，建议组织加强访问控制，定期监控Docker环境，遵循容器安全最佳实践，保持软件更新，并教育员工安全意识。

风险预警

10. 情报官员警告外国对手将在选举后煽动社会动荡

【Nextgov网站10月22日报道】情报官员警告称，外国对手正加紧努力影响11月5日的总统大选结果，并可能在选举日至明年1月总统就职日期间加大虚假宣传活动，煽动暴力行动。美国国家情报总监办公室的官员表示，俄罗斯、伊朗和中国将继续致力于破坏美国民主，推选他们中意的候选人。俄罗斯和伊朗可能考虑使用煽动暴力的策略。俄罗斯倾向于支持前总统特朗普，而伊朗倾向于支持副总统哈里斯。中国则试图影响下级选举，因为两位总统候选人的政策议程都不太倾向于北京。情报官员还指出，外国驱动或放大的暴力抗议、暴力或人身威胁可能挑战州和地方官员进行选举认证和选举人团程序的能力。此外，外国黑客集团可能试图篡改选举、州政府或新闻网站，制造混乱。美国执法部门特别关注伊朗和俄罗斯的选举相关黑客攻击和虚假信息传播行为。

5th域安全微讯早报【20241023】255期

正文

请到「今天看啥」查看全文