专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240702】158期

网空闲话plus · 公众号 · · 2024-07-02 06:53

正文

2024-07-02 星期二 Vol-2024-158

今日热点导读

1 . 印度储备银行发布银行业网络安全咨询以应对日益增长的网络威胁

2. 俄罗斯工业家和企业家联盟探索加密货币规避制裁新策略

3. 欧盟反垄断机构质疑 Meta “付费或同意”广告模式

4. 新型 Skimmer 恶意软件攻击电子商务网站，窃取信用卡数据

5. 美国对 Kaspersky 和 TikTok 的禁令背后的互联网自由问题

6. Niconico 确认遭受网络攻击：用户和商业伙伴受到影响

7. CISA 局长：美国不怕揭露大型科技公司的安全问题

8. 澳大利亚国民银行警告四大银行面临严重网络威胁

9. 美国调查报道中心对 OpenAI 和微软提起版权侵权诉讼

10. 东芝多功能打印机曝 40 多个严重漏洞，威胁用户信息安全

11. Linux 内核漏洞允许权限提升， Red Hat 环境缓解策略发布

12. OpenSSH 服务器面临 regreSSHion 漏洞，数百万服务器或受影响

13. 路由器制造商 Mercku 支持门户遭入侵，发送 MetaMask 网络钓鱼邮件

14. 黑客利用 Google 广告传播“ Poseidon ” Mac 窃取程序

15. 谷歌推出 kvmCTF 漏洞赏金计划，奖励高达 25 万美元

资讯详情

政策法规

1. 印度储备银行发布银行业网络安全咨询以应对日益增长的网络威胁

印度储备银行（RBI）发出警告，提醒商业银行注意网络攻击风险的增加，并强调了在数字化银行业务中网络安全的重要性。RBI咨询文件突出了公司治理在银行内部问责制中的核心作用，特别是信息技术治理，要求强有力的领导支持和清晰的组织结构。RBI指导银行明确董事会和高级管理层在IT治理中的角色和责任，建议在董事会层面成立IT战略委员会，并根据银行规模和业务活动构建IT组织结构。同时，RBI强调了实施与国际标准接轨的IT治理实践的必要性，包括价值交付和IT风险管理。在信息安全方面，RBI建议银行制定全面的安全治理框架，包括安全政策、风险评估和合规性监管。此外，咨询还强调了风险管理和合规性的重要性，敦促银行将IT风险纳入整体风险管理框架，并进行有效监控。通过这些措施，银行能够提高运营弹性，保护客户数据，维护金融稳定，并增强公众对银行业的信任。

来源：https://thecyberexpress.com/rbi-advisory-on-banks/

2. 俄罗斯工业家和企业家联盟探索加密货币规避制裁新策略

俄罗斯工业家和企业家联盟（RSPP）正在制定一种新的外贸策略，以规避国际支付制裁的限制。该策略涉及创建一个在俄境内开采的加密货币基金，并发行与该基金挂钩的数字金融工具，从而在不引入国内流通的情况下，合法使用加密货币进行跨境交易。这种结算方式将通过发行数字金融资产的索取权来进行，避免了加密货币在市场上的流通和投机需求。RSPP提出在特别行政区（离岸地区）成立加密基金，允许矿工开设账户并转移加密货币，同时基金可具有公共和私人所有权。尽管存在因制裁而账户被封锁的风险，但提出通过创建支付代理网络来解决。RSPP认为俄罗斯的基础设施已准备好利用加密货币在国际支付中的潜力，但实施这一策略需要改变央行的立场，并考虑市场参与者的意见。目前，财政部和俄罗斯银行尚未对此倡议发表评论，俄罗斯对加密货币的监管也尚未明确。

来源：https://www.securitylab.ru/news/549694.php

3. 欧盟反垄断机构质疑Meta“付费或同意”广告模式

欧盟反垄断监管机构对Meta的“付费或同意”广告模式提出质疑，认为该模式违反了《数字市场法》（DMA）。Meta的政策允许用户选择付费免广告，但欧盟委员会认为这未满足DMA的具体要求，因为该模式没有提供使用较少个人数据的服务层级选项，也没有让用户明确同意或拒绝将个人数据整合成单一资料的选项。尽管Meta认为自己的做法符合DMA并期待与欧盟委员会进行对话，但监管机构和消费者团体均对此提出投诉，认为Meta的策略侵犯了用户的基本权利，并提供了虚假选择。Meta的全球事务总裁尼克·克莱格警告称，欧盟的法规可能正在扼杀创新。欧盟委员会预计将在一年内完成对Meta的调查，同时也在调查苹果和Alphabet是否违反DMA规则。

来源：https://www.theregister.com/2024/07/01/meta_eu_dma_violation/

安全事件

4. 新型Skimmer恶意软件攻击电子商务网站，窃取信用卡数据

研究人员发现了一种名为“Caesar Cipher Skimmer”的新型恶意软件，它利用凯撒密码技术混淆其恶意代码，专门攻击多个内容管理系统 (CMS) 包括 WordPress、Magento和OpenCart。此恶意软件通过注入恶意代码到结帐PHP文件中，窃取用户信用卡信息。它使用混淆字符串技术，使代码难以被发现，尤其在WooCommerce结帐页面上的form-checkout.php文件中。攻击者通过WebSocket连接到远程服务器获取指令，并且某些版本还能识别已登录的WordPress用户。恶意软件还利用了WooCommerce和WordPress插件中的漏洞，对Magento的core_config_data表进行攻击，并可能在OpenCart中找到目标位置。开发者的代码注释表明其可能讲俄语。安全专家警告电子商务网站加强防护，防止此类恶意软件侵袭。

来源：https://cybersecuritynews.com/skimmer-malware-e-commerce/

5. 美国对Kaspersky和TikTok的禁令背后的互联网自由问题

美国商务部计划于7月20日禁止销售莫斯科卡巴斯基实验室生产的流行杀毒软件，此举发生在美国总统拜登签署一项法律两个月后，该法律将迫使TikTok的中国母公司出售其在美国的业务，否则将在美国禁止该社交媒体应用。美国政府自2017年起禁止联邦机构使用卡巴斯基的杀毒软件，但随着美俄关系的进一步恶化，美国官员对俄罗斯政府可能将卡巴斯基软件武器化的担忧持续存在。然而，美国政府以国家安全为由禁止这些外国软件，正在树立一个先例，这破坏了自由开放互联网的基本原则，即用户可以访问他们选择的任何信息和软件。卡巴斯基反驳称，美国商务部的决定是基于当前的地缘政治气候和理论上的担忧，而不是对卡巴斯基产品和服务完整性的全面评估。TikTok则起诉美国政府，声称对其应用的潜在禁令违反了第一修正案。

来源：https://www.wired.com/story/tiktok-kaspersky-us-ban-internet-freedom/

6. Niconico确认遭受网络攻击：用户和商业伙伴受到影响

2024年6月，日本视频分享网站Niconico及其母公司KADOKAWA Inc.确认遭受重大勒索软件攻击，引发了对数据安全和用户隐私的严重担忧。此次攻击窃取了商业合同、报价单等商业伙伴信息，使用音乐货币化服务（NRC）的创作者个人信息，以及所有员工的个人数据。Niconico保证用户账号密码采用加密方式存储，但建议用户尽快更改密码，并确认信用卡信息未受影响。为应对此次事件，Niconico和KADOKAWA Inc.迅速启动应急响应计划，部署专门小组并邀请外部网络安全专家进行彻底调查，向执法机构报告，并向所有受影响者发送通知和道歉。用户被建议更改密码、警惕网络钓鱼和可疑活动，并报告任何异常。Niconico和KADOKAWA Inc.对事件造成的不便和担忧表示深切歉意，感谢所有受影响者的耐心和理解。

来源：https://thecyberexpress.com/niconico-cyberattack-update/

7. CISA局长：美国不怕揭露大型科技公司的安全问题

CISA局长Jen Easterly 表示，尽管针对微软的严厉报告引发担忧，网络安全安全审查委员会（CSRB）依然会在发现问题时直言不讳。CSRB 在与微软合作后发布了一份34页的报告，揭示了微软安全文化的不足和延迟公开核心问题的事实，导致中国国家支持的黑客入侵 Exchange Online 并获取美国高级官员的电子邮件账户。尽管微软自愿配合调查，但CSRB没有法律权力强制公司合作。Easterly称微软是关键基础设施中最重要的公司之一，并赞扬其 CEO Satya Nadella 积极回应报告建议，优先考虑安全。CISA 推出了“Secure by Design”承诺，已有超过150家组织签署，旨在减少产品漏洞。Easterly 强调，只有要求供应商提高安全标准，才能有效预防网络攻击。

来源：https://www.theregister.com/2024/07/01/cisa_big_tech_security/

8. 澳大利亚国民银行警告四大银行面临严重网络威胁

澳大利亚国民银行（NAB）高管克里斯·希恩（Chris Sheehan）警告称，澳洲四大银行——澳新银行、联邦银行、国民银行和西太平洋银行，正面临持续不断的网络攻击。这些攻击旨在窃取客户的敏感信息和资金，每分钟都有威胁行为者发起攻击。网络攻击不仅针对银行系统，还针对客户，导致数百万人面临复杂的诈骗和金融盗窃风险。攻击手段多样，包括恶意代码、漏洞利用和拒绝服务攻击。希恩将这种情况描述为“不对称战争”，攻击者从业余黑客到高度组织化的跨国犯罪集团，甚至包括国家行为者。这些犯罪分子认为网络攻击的风险较低，但回报高。澳大利亚每年因网络诈骗损失约30亿美元。NAB在其网站瘫痪数小时后发布这一警告。尽管服务已恢复，但停机原因不明。

来源：https://thecyberexpress.com/national-australia-bank-warn-cyber-threats/

9. 美国调查报道中心对OpenAI和微软提起版权侵权诉讼

美国调查报道中心（CIR），作为历史悠久的非营利新闻机构和版权保护者，已对人工智能公司OpenAI和科技巨头微软提起联邦诉讼。CIR指控这两家公司未经许可且未支付报酬，擅自使用其内容来改进他们的人工智能产品，尤其是文章摘要生成技术。CIR认为这种行为不仅不公平，而且侵犯了其版权。此前，《纽约时报》也因相似原因对OpenAI和微软提起了诉讼，争议焦点在于未经授权使用其报纸文章来训练人工智能模型，如ChatGPT。这起诉讼凸显了人工智能技术发展与版权保护之间的紧张关系，引发了对AI在内容创作领域应用的法律和伦理问题的关注。

来源：https://www.securitylab.ru/news/549701.php

漏洞预警

10. 东芝多功能打印机曝40多个严重漏洞，威胁用户信息安全

东芝e-STUDIO多功能打印机(MFP)中发现了超过40个漏洞（CVE-2024-27141 – CVE-2024-27180），影响103种不同型号。这些漏洞包括远程代码执行、XML外部实体注入(XXE)、权限提升、凭证泄漏和XSS等，威胁全球企业和组织的安全。攻击者可利用这些漏洞，通过注入恶意代码到结帐PHP文件、使用凯撒密码混淆技术等方式窃取用户信息。部分漏洞甚至允许以root权限执行远程代码。东芝已收到漏洞报告并发布了安全公告，建议用户立即更新固件以防范风险。

来源：https://cybersecuritynews.com/toshiba-mfp-40-vulnerabilities/

11. Linux内核漏洞允许权限提升，Red Hat环境缓解策略发布

Linux内核在netfilter子系统中发现严重漏洞，编号为CVE-2024-0193，它是一个使用后释放（Use-After-Free, UaF）漏洞，允许具有CAP_NET_ADMIN权限的本地非特权用户执行权限提升。此问题源于对nftables模块的不当处理，特别是在删除规则集时的垃圾收集操作。虽然漏洞不直接影响RHEL 6、7和8的内核版本，但利用CONFIG_USER_NS配置，非特权用户可能获得CAP_NET_ADMIN权限，从而触发漏洞。Red Hat Enterprise Linux CoreOS（RHCOS）和基于它的OpenShift容器平台（OCP）也受到波及，但由于RHCOS的特性，本地用户已具备root权限，使得该漏洞的威胁性降低。Red Hat提供了具体的缓解措施，包括禁用用户命名空间来减少漏洞利用的可能性。管理员被建议实施这些措施，并关注Red Hat的进一步指导和更新。

来源：https://cybersecuritynews.com/poc-exploit-published/

12. OpenSSH服务器面临regreSSHion漏洞，数百万服务器或受影响

一种名为regreSSHion的OpenSSH漏洞（CVE-2024-6387）被披露，可能导致数百万服务器面临未认证的远程代码执行风险。该漏洞由Qualys的安全研究团队发现，被认为与2021年的Log4Shell漏洞同样严重。该漏洞源于OpenSSH服务器进程sshd的信号处理竞争条件，允许攻击者在基于glibc的Linux系统上以root权限执行远程代码。目前尚不清楚Windows和macOS系统是否受影响。利用此漏洞可完全控制系统，安装恶意软件和创建后门。OpenSSH广泛用于企业远程服务器管理和安全数据通信。Qualys通过Shodan和Censys服务搜索显示，可能有超过1400万的OpenSSH实例直接暴露在互联网上。该漏洞是2006年CVE-2006-5051漏洞的回归，于2020年10月在OpenSSH 8.5p1版本中重新引入。Qualys已分享regreSSHion的技术细节，但未提供概念验证代码以防止恶意利用，而是提供了一些入侵指标帮助组织检测潜在攻击。

来源：https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/

TTPs动向

13. 路由器制造商 Mercku 支持门户遭入侵，发送 MetaMask网络钓鱼邮件

加拿大路由器制造商 Mercku 的支持门户被攻击，目前正在向提交支持请求的用户发送伪装成 MetaMask 更新通知的网络钓鱼邮件。这些邮件声称用户必须在24小时内更新 MetaMask帐户，以防止丢失访问权限，但实际上链接指向恶意网站。MetaMask 是一种流行的加密货币钱包，因其受欢迎程度常成为网络钓鱼攻击目标。用户应避免点击这些钓鱼邮件中的链接。Mercku 已收到报告，建议用户暂时避免使用其支持门户并警惕相关通信。

来源：https://www.bleepingcomputer.com/news/security/router-makers-support-portal-responds-with-metamask-phishing/

14. 黑客利用Google广告传播“Poseidon” Mac窃取程序

黑客通过滥用Google广告传播名为“Poseidon”的Mac窃取程序，该恶意软件专门针对macOS设备，秘密提取密码、财务数据和个人文件等敏感信息。研究人员发现，该活动利用恶意广告攻击Arc浏览器，并使用XSS地下论坛上的广告技术，与Atomic Stealer竞争。恶意软件通过欺诈网站诱导用户下载DMG文件，绕过安全措施，安装恶意程序。该恶意软件还尝试从Fortinet和OpenVPN窃取VPN配置。攻击者使用特定IP地址泄露数据，指向Poseidon控制面板。Malwarebytes已将此威胁检测为OSX.RodStealer，并通知Google。建议用户使用网络保护工具，如Malwarebytes Browser Guard，以防止此类针对Mac的恶意软件攻击。

来源：https://gbhackers.com/hackers-using-google-ads/

其他动态

15. 谷歌推出kvmCTF漏洞赏金计划，奖励高达25万美元

谷歌宣布启动一项名为kvmCTF的新漏洞赏金计划，旨在发现和修复基于内核的虚拟机（KVM）管理程序中的漏洞。该计划类似于CTF（Capture The Flag）活动，参与者可以在实验室环境中访问托管的客户虚拟机，并尝试进行客户机到主机的攻击。谷歌希望通过该项目识别虚拟机逃逸、任意代码执行缺陷、信息泄露问题和拒绝服务（DoS）漏洞。参与者的目标是利用主机内核KVM子系统中的零日漏洞，成功攻击后将获得一个标志，证明已成功利用该漏洞。谷歌为不同类型的漏洞设置了丰厚的奖励，完整的虚拟机逃逸漏洞可获得高达25万美元的奖励，任意内存写入漏洞奖励10万美元，任意内存读取漏洞或相对内存写入漏洞奖励5万美元，DoS攻击奖励2万美元，相对内存读取漏洞奖励1万美元。

来源：https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/

5th域安全微讯早报【20240702】158期

正文

请到「今天看啥」查看全文