2024-10-26 星期六
Vol-2024-258
1
.
CISA
发布安全软件部署指南,强化产品与服务安全性
2.
美国发布新规保护员工免受隐秘监控
3.
美国拟推汽车数据隐私贴纸保护驾驶员
4.
俄罗斯网络攻击阻止格鲁吉亚靠拢西方的战略意图
5.
墨西哥机场运营商遭
RansomHub
勒索软件攻击影响运营
6.
四名
REvil
成员被由四年以上监禁
7.
Linus Torvalds
支持清晰除与俄罗斯有关的
Linux
内核维护者
8.
Windows 11 CLFS
驱动程序严重漏洞可提升权限
9.
AWS CDK
重大安全漏洞或致攻击者接管账户
10.
CFPB
预警“深度入侵式”工作场所数字监控
1
1. 俄罗斯启动视频游戏自主标签实验以提高内容透明度
12. 俄罗斯封禁VPN服务数量逼近200个,监管持续加码
13. 联合健康数据泄露影响超过1亿用户
14. 乌克兰政府机构和军事单位遭受武器化RDP攻击
15. 黑客组织Kill
Security声称入侵NoBroker并索要赎金
16. 苹果开放PCC来源代码提供研究人员识别云AI安全漏洞
17. Wi-Fi联盟测试套件中发现命令注入漏洞
18. 西门子和施耐德电气产品中发现13个严重漏洞
19. Embargo组织利用Rust语言开发新一代勒索软件
20. 乌克兰面临新型HOMESTEEL恶意软件威胁
备注: 第11-20条资讯为订阅用户专享!(更多信息,欢迎订阅!)
1. CISA发布安全软件部署指南,强化产品与服务安全性
【ExecutiveGov网站10月25日消息】美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)及澳大利亚网络安全中心合作,发布了一份针对软件制造商和服务业的《安全软件部署》》指南。第12页的文件旨在帮助软件公司确保产品和服务的安全性,并维护可靠的部署流程。指南分为规划、开发、内部部署、测试、客户试用和反馈六个关键阶段,提出了各阶段的安全部署注意事项,以帮助公司构建高效且有弹性的部署手册,确保未来参考或使用。该指南建议纳入紧急协议以解决部署后潜在问题,包括事故检测、报告及恢复与另外,CISA和FBI近期发布了《产品安全不良实践》目录,鼓励公众提出改进安全软件结构的建议。
【SecurityLab网站10月25日消息】美国消费者金融保护局(CFPB)发布新规则,旨在保护工人免受隐秘监控和自动化决策系统的侵害。根据新规,使用第三方收集员工数据的公司必须遵守《公平信用报告法》(FCRA),这意味着雇主必须获得员工同意,披露正在收集的数据类型,并提供更正不准确信息的机会。CFPB指出,这些监控系统过去主要用于贷款行业,但现在已扩展到工作场所。新规则要求雇主在收集和使用数据前获得员工许可,提供透明度,并允许员工更正报告中的错误信息。此外,公司只能将数据用于员工决策,不能用于销售或其他目的。CFPB建议雇主审查数据实践,确保符合FCRA要求,并计划与其他机构合作,监督规则执行。
【SecurityLab网站10月25日消息】美国商务部提议要求汽车经销商在汽车挡风玻璃上贴上数据隐私贴纸,以便告知买家车辆数据的收集与出售情况,以及如何选择不被追踪。这些贴纸应简洁明了,类似于现有的燃油效率和安全贴纸,并可能包含提供更详细信息的二维码。这一提议背景是公众对汽车制造商如何使用联网汽车数据的担忧。尽管汽车创新协会代表厂商利益,声称汽车公司已告知消费者数据收集情况,但商务部还提出对物联网设备的数据收集和使用进行强制监管。专家认为,隐私贴纸有助于用户了解他们的汽车可能与制造商和第三方共享的数据。尽管为物联网设备创建通用的反监控系统可能复杂且昂贵,但这对于保护用户免受个人信息泄露至关重要。
4. 俄罗斯网络攻击阻止格鲁吉亚靠拢西方的战略意图
【美国之音网站10月25日消息】彭博社调查披露,在格鲁吉亚议会选举前夕,俄罗斯情报机构持续通过网络攻击格鲁吉亚关键部门。分析人士指出,这种大规模攻击旨在阻止格鲁吉亚的亲西方关系,为莫斯科获取敏感情报并控制格鲁吉亚政治局势奠定基础。网络专家亚什维利指出,格鲁吉亚安全机构等机构遭到打击,电信、能源及公共服务等领域也面临严重威胁。前部长乌季阿”政府默许甚至资助亲俄势力渗透到格鲁吉亚经济和安全系统,质疑政府是否利用外部援助打击俄罗斯威胁信息的同时,反而加强了对批评者的监控。分析认为,格鲁吉亚政府对俄罗斯的默许援助了克里姆林宫实现其地缘政治目标。
5. 墨西哥机场运营商遭RansomHub勒索软件攻击影响运营
【The Record网站10月26日报道】墨西哥机场运营商Grupo
Aeroportuario del Centro Norte(简称OMA)遭受了RansomHub黑客组织的网络攻击,导致其IT系统中断。OMA负责运营墨西哥中部和北部的13个机场,包括蒙特雷等主要城市,迄今已服务超过1900万名乘客。攻击发生后,OMA的IT团队被迫转向备用系统以维持机场运作。RansomHub组织在攻击后声称责任,并威胁如果不支付未公开的赎金,将公开盗取的3TB数据。美国机构曾在8月份警告该组织的攻击行为,指出其自2月份出现以来已发动了210多起攻击事件。OMA表示,正在与外部网络安全专家合作,积极调查事件,以确定影响范围并确保系统安全。尽管RansomHub声称对此次事件负责,但OMA并未对此进行确认。OMA通过社交媒体通知乘客,机场的航班信息显示屏幕暂时无法使用,但机场工作人员和二维码指引将协助乘客找到登机口,并建议乘客准时到达并关注航空公司的社交媒体更新。微软在本周的报告中指出,RansomHub继续在勒索软件领域占据主导地位,是一些最活跃的勒索软件运营商使用的最普遍的有效载荷之一。
【The Record网站10月26日消息】俄罗斯军事诉讼办公室宣布,四名REvil勒索软件团伙成员因黑客攻击和洗钱被判定多年监禁。根据圣彼得堡驻军军事法庭的判决,阿尔乔姆·耶扎茨被判刑四年半监禁,阿列克谢·马洛泽莫夫被判判五年,丹尼尔·普济列夫斯基和鲁斯兰·汉斯维亚罗夫分别被判判五年半和六年。济列夫斯基被认为是该团体的头目,除监禁外,可能面临死刑。这四人是根据美国缉捕提供的线索逮捕的14名嫌疑人之一。2022年初,他们在俄罗斯各地的突袭中,警方缉获了价值超过4.26亿卢布(约438万美元)的现金和加密货币。此次逮捕行动在美国总统乔·拜登与俄罗斯总统弗拉基米尔·十七年后实施,涉及REvil团伙在全球范围内发起的多起网络攻击,包括针对JBS和Kaseya的重大网络攻击数据泄露事件。REvil于2021年解散,诉称其成员的指控经过多年争论后
最终得以落实。
7. Linus
Torvalds支持清晰除与俄罗斯有关的Linux内核维护者
【The Record网站10月25日消息】Linux创始人Linus
Torvalds本周将支持约十名俄罗斯人从Linux内核维护者名单中剔除。这一决定引发了编码社区的广泛争论,具体是由主要开发人员Greg Kroah-哈特曼宣布。托瓦尔兹指出,该决定与俄罗斯的制裁相关,表示这一变化“不会被撤销”。剔除的维护者主要是那些与受制裁的公司或组织有联系的开发者。Kroah-Hartman表示,如果未来能够提供足够的证明,相关人员可以重新加入。此次震动可能与美国在9月针对俄罗斯科技行业的新制裁相关。对此,Linux社区内部部分开发者对这一决定表示震惊,认为明确除某些人侵犯了开源项目的核心原则,即人们都可以查看和修改源代码。另外,Torvalds对批评者的反应表示,这些批评来自“俄罗斯巨魔工厂”,他明确表示不会影响任何改变决定。此事件并非第一次Linux内核开发,自俄罗斯入侵乌克兰以来,Linux对与俄罗斯相关的贡献已经拒绝。
8. Windows 11
CLFS驱动程序严重漏洞可提升权限
【Cybersecuritynews网站10月25日消息】Windows 11的通用日志文件系统(CLFS)驱动程序中发现严重漏洞,允许本地用户通过利用系统内特定功能提升权限。问题在于CClfsBaseFilePersisted::WriteMetadataBlock函数未正确检查ClfsDecodeBlock的返回值,导致攻击者可能破坏CLFS内部结构。此外,该漏洞还能泄露内核池地址,绕过Windows 11 24H2的缓解措施。一位独立安全研究人员在TyphoonPWN 2024中发现此漏洞并获第一名,但微软声称该问题已解决,尽管研究人员表示漏洞在最新版Windows 11中仍然存在。
9. AWS CDK重大安全漏洞或致攻击者接管账户
【Cybersecuritynews网站10月25日报道】Aquasec的安全研究人员发现了AWS云开发工具包(CDK)中的一个严重漏洞,该漏洞可能允许攻击者获得目标AWS账户的完全管理访问权限。该问题影响使用v2.148.1或更早版本的CDK用户。漏洞源于CDK在引导过程中创建资源时使用的可预测命名约定,特别是默认创建的S3存储桶。攻击者可通过控制同名存储桶来注入恶意资源,进而完全控制受害者账户。AWS从CDK版本v2.149.0开始发布修复,但旧版本用户需升级并重新运行cdk bootstrap命令。专家建议将AWS账户ID视为敏感信息,并避免使用可预测的S3存储桶名称。
10. CFPB预警“深度入侵式”工作场所数字监控
【The Record网站10月25日消息】消费者金融保护局(CFPB)警告公司不要不当使用数字监控和人工智能工具来监视员工。CFPB的新指南指出,依赖第三方分析和收集数字征文、人工智能等工具信息的企业,可能违反《公平信用报告法》(FCRA)。根据该法,雇主必须征得员工同意并公开数据使用情况,同时允许员工对不诚实的信息提出抗议。指南强调,数字监控工具所收集的数据必须受到保护和收获地处理。CFPB局长罗希特·乔普拉表达了对使用不透明算法评分员工的担忧,认为这可能会泄露不应由渔业的个人隐私造成的。护士工会主席杰米·布朗指出,数字职责的使用使得雇主能够追踪员工的活动,包括上厕所的时间,这种监控方式侵犯了员工的隐私。她表示,这些技术本质上是为了降低成本,而不是改善病人护理,强调了确保人性、同理心在人工智能应用中的重要性。
