专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20241209】295期

网空闲话plus · 公众号 · · 2024-12-09 06:36

正文

2024-12-09 星期一 Vol-2024-295

今日热点导读

1. 跨国网络安全机构更新“安全设计”警报以对抗威胁

2. 俄罗斯国企将优先采购本土软件开发商产品

3. 特朗普任命AI和加密货币沙皇，业界看好其潜力

4. 欧盟执法行动成功捣毁Manson Market犯罪市场

5. 加密信息网络钓鱼诈骗瞄准美国国会议员

6. Ultralytics AI模型被黑客篡改，感染数千设备并部署加密货币矿工

7. DaMAgeCard攻击：通过SD卡威胁系统内存安全

8. Windows零日漏洞曝光，攻击者可窃取用户NTLM凭据

9. HCL DevOps Deploy & Launch平台存在HTML注入漏洞

10. 新型诈骗利用虚假视频会议应用针对Web3专业人员

11. 俄监管机构拟限制外国托管服务以增强数字主权

12. 美国商务部部长警告特朗普放弃《CHIPS法案》将对中国有利

13. X公司助力《儿童网络安全法案》更新以求众议院通过

14. 研究发现流行开源机器学习框架存在安全缺陷

15. NOZOMI NETWORKS发现WAGO PLC安全漏洞并更新固件

16. SONICWALL修复SMA100网关6个高危漏洞，包括远程代码执行

17. MITEL MICOLLAB平台零日漏洞致数千公司数据泄露风险

18. CAPIBARAZERO固件成为低成本的FLIPPER ZERO渗透测试工具替代品

19. 新型QR码攻击手段可绕过浏览器隔离安全措施

20. 技术分析揭示“白蚁”勒索软件攻击BLUE YONDER的手法

备注: 第11-20条，为订阅用户专享。更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. 跨国网络安全机构更新“安全设计”警报以对抗威胁

【Industrial Cyber网站12月6日报道】跨国网络安全机构发布了对5月份“安全设计”警报的更新，指导组织在采购数字产品和服时考虑安全设计因素。随着网络威胁的增加，组织必须优先考虑安全、可验证的技术。客户必须评估数字产品或服务的安全性和风险，并要求制造商提供“安全设计”和“默认安全”的解决方案。这种方法增强了消费者的弹性，降低了风险，减少了修补和事件响应相关的成本。警报由美国网络安全和基础设施安全局（CISA）与澳大利亚信号局澳大利亚网络安全中心（ASD ACSC）合作发布，旨在帮助采购组织和数字产品及服务的制造商选择和开发安全设计的技术。警报还指出，将安全缓解措施主动整合到采购过程中可以帮助管理技术供应链中的风险，并降低组织的成本。参与提供建议的合作伙伴包括加拿大网络安全中心（CCCS）、英国国家网络安全中心（NCSC-UK）、新西兰国家网络安全中心（NCSC-NZ）和韩国国家情报服务（NIS）及国家网络安全中心（NCSC）。组织被敦促审查这些指导方针，以协助在采购数字产品和服时做出安全和明智的选择。软件制造商也被鼓励将这些指导方针中的安全设计原则和实践纳入其产品中。

2. 俄罗斯国企将优先采购本土软件开发商产品

【SecurityLab网站12月6日报道】俄罗斯数字发展部正在制定一项新计划，要求国有企业购买国内软件开发商的产品。该计划旨在支持俄罗斯软件开发商，特别是中小企业，因为国企通常避免向它们采购，而更倾向于自行开发重复产品。根据总统令，从2025年1月1日起，政府机构和企业将被禁止在关键信息基础设施上使用外国操作系统和软件。国内软件市场在2023年增长至约1.3万亿卢布，预计2024年增长率将保持在10-12%。专家表示，设置10亿卢布的收入门槛将支持成熟软件制造商，同时强调了对购买软件进行严格质量控制和实施有效性评估的重要性。ARPP Domestic Software认为，限制国企自行开发的重复解决方案在IT预算的30%以内，将有效增加对国内产品的需求。俄罗斯铁路公司和Rostec等国企表示，市场上并非所有系统都能满足其特定需求，因此在缺乏合适软件的情况下，他们寻求可定制的解决方案。

3. 特朗普任命AI和加密货币沙皇，业界看好其潜力

【Nextgov网站12月6日报道】美国当选总统唐纳德·特朗普选择风险投资家大卫·萨克斯担任其政府的人工智能和加密货币沙皇，业界对此表示乐观。萨克斯拥有深厚的技术背景，包括担任PayPal首席运营官和创建软件即服务公司Yammer。特朗普确认，萨克斯将负责为加密货币行业制定法律框架，并领导总统科学技术顾问委员会。萨克斯的任命被认为有助于美国在全球科技领域保持竞争力，特别是在人工智能领域。信息技术和创新基金会副总裁丹尼尔·卡斯特罗表示，萨克斯的任命是一个好消息，有助于美国维持在AI领域的领导地位。BSA软件联盟高级副总裁Craig Albright认为，萨克斯将推动技术的广泛采用，并关注竞争力。特朗普政府的这一任命被视为对即将离任的拜登政府在AI政策领域所做工作的补充，尽管特朗普曾表示将废除拜登的AI行政命令。

安全事件

4. 欧盟执法行动成功捣毁Manson Market犯罪市场

【Cyber Security News网站12月6日报道】欧盟刑警组织（Europol）宣布成功摧毁了一个复杂的在线诈骗网络“曼森市场”（Manson Market）。该行动由德国执法机构主导，欧洲多国合作参与，最终查封超过50台服务器并逮捕两名主要嫌疑人。曼森市场自2022年开始运营，为数千用户提供非法获取的个人和金融信息交易服务，并按地区和账户余额进行分类。这一高度定制化的平台支持犯罪分子高效实施针对性诈骗。案件最初于2022年秋季因冒充银行职员骗取敏感信息的举报而启动。进一步调查揭示，该网络还运营多个虚假网店，用于钓取消费者支付信息，并通过曼森市场出售盗取的凭证获利。12月4日，执法机构在德国、奥地利、芬兰、荷兰和挪威展开联合行动，拆除相关基础设施并收集超过200TB的数字证据。两名分别为27岁和37岁的主要嫌疑人在德国和奥地利被捕，目前处于审前拘留阶段。欧盟网络犯罪中心（EC3）为此次历时两年的调查提供了关键支持，包括先进的取证工具和数据科学分析。此次行动彰显国际合作对打击跨国网络犯罪的重要性，并对全球网络犯罪分子发出了明确警告：“正义必将到来。”

5. 加密信息网络钓鱼诈骗瞄准美国国会议员

【Nextgov网站12月6日消息】近期网络安全官员发现针对美国国会议员的网络钓鱼活动，该活动通过伪装成政府官员的邮件，诱导收件人下载加密消息应用程序。众议院首席行政官办公室与众议院警卫官办公室随后发出警告，提醒收件人避免下载并与相关部门联系。邮件建议，收件人应验证通信来源，并避免点击不明链接或回复未预期的信息。此次事件背景是中国黑客组织Salt Typhoon入侵美国及海外约80家电信公司，包括AT&T和Verizon等。尽管此次网络钓鱼活动尚未明确与Salt Typhoon相关，但其攻击目标包括高价值对象，如与前总统特朗普有关的人员。此前报道显示，该组织曾窃取约150名高价值目标的通信数据。此外，联邦通信委员会正在推进更新电信窃听标准，要求电信公司保护窃听请求系统免受未经授权的访问。众议院国土安全委员会呼吁电信公司配合调查，以提升网络安全的整体韧性。网络安全审查委员会当天首次会议将专注于调查Salt Typhoon的行动。

6. Ultralytics AI模型被黑客篡改，感染数千设备并部署加密货币矿工

【BleepingComputer网站12月6日报道】Ultralytics公司发布的流行AI模型YOLO11在Python包索引（PyPI）上遭遇供应链攻击，导致8.3.41和8.3.42版本被恶意篡改，安装了加密货币矿工。安装这些版本的用户，包括依赖Ultralytics的SwarmUI和ComfyUI，发现设备被感染并启动了XMRig矿工程序，连接到矿池进行挖矿。此事件导致部分Google Colab帐户被因“恶意活动”标记和封禁。Ultralytics创始人兼CEO Glenn Jocher确认，受影响的版本已被从PyPI移除，并发布了修复版本8.3.43。公司正在进行安全审计，调查此次供应链攻击的根本原因，初步分析表明，黑客通过提交带有恶意代码注入的拉取请求（PR）成功进行攻击。当前尚不清楚此次攻击是否涉及用户数据泄露，社区仍在等待更多的官方说明。为防止进一步损害，建议已下载受感染版本的用户进行全面系统扫描。

7. DaMAgeCard攻击：通过SD卡威胁系统内存安全

【网络安全新闻网站12月7日报道】一种名为DaMAgeCard的新攻击方式，该攻击利用SD Express标准通过SD卡读卡器直接访问设备内存，绕过传统安全措施。SD Express卡能在SDIO和PCIe模式间切换，提供了与系统内存总线直接交互的能力。研究人员通过模拟模式切换，成功欺骗主机控制器，使恶意设备能访问系统内存。这种攻击可能导致敏感数据泄露、恶意代码注入，并绕过如IOMMU等安全协议。尽管一些设备如MSI游戏笔记本实施了IOMMU限制内存访问，但许多设备默认未启用此保护，使得各种设备面临风险。随着SD Express技术因其高速数据传输能力而受到关注，安全措施也必须同步发展，以保护用户数据和系统完整性。

漏洞预警

8. Windows零日漏洞曝光，攻击者可窃取用户NTLM凭据

【Cyber Security News网站12月6日报道】研究人员发现Windows系统存在一处严重零日漏洞，影响范围涵盖从Windows 7到最新的Windows 11（v24H2）及Server 2022版本。攻击者通过诱使用户在资源管理器中查看恶意文件，即可窃取NTLM凭据。触发方式包括访问共享文件夹、插入含恶意文件的U盘，或下载攻击者页面中的文件。研究团队已向微软报告此漏洞并推出免费微补丁（Micropatches）作为临时防护，覆盖多个受支持和不支持的Windows版本，包括Windows Windows Server 2008 R2至最新的Windows 11及Server 2022。用户无需重启系统即可应用这些补丁。值得注意的是，这是同一团队近期披露的第三个零日漏洞，前两个为“Windows主题文件漏洞”和“网页标记（Mark of the Web）问题”，尚未获得微软官方修复。此外，NTLM身份验证相关漏洞（如PetitPotam、PrinterBug等）虽已公开，但微软归类为“无法修复”，对组织安全构成潜在威胁。为防止漏洞利用，建议用户立即安装0patch提供的微补丁，并采取补充防护措施，如及时更新系统、限制NTLM的使用等。

9. HCL DevOps Deploy & Launch平台存在HTML注入漏洞

【Cybersecuritynews网站12月5日报道】HCL Software的DevOps Deploy和Launch平台最近披露了一个安全漏洞（CVE-2024-42195），该漏洞允许攻击者在Web用户界面中嵌入任意HTML标签，可能导致敏感信息泄露。这个被归类为HTML注入漏洞的问题影响HCL Launch（7.0至7.3版本）和HCL DevOps Deploy（8.0版本）的多个版本。由于用户输入的不当清理，恶意行为者可以注入HTML代码到Web UI中，可能导致未经授权访问平台上显示的敏感数据。该漏洞的CVSS基础得分为3.1，表示低严重性风险。然而，HCL分析师指出，由于潜在的敏感数据暴露风险，依赖这些工具的组织必须及时解决此漏洞。HCL Software已发布更新以缓解此漏洞，并强烈建议用户升级到修补后的版本。目前，除了应用推荐的更新外，尚未确定此漏洞的其他解决方案或缓解措施。安全团队被敦促优先修补受影响的系统，并审查他们在HCL DevOps Deploy和Launch平台上的访问控制，以最小化风险。

风险预警

10. 新型诈骗利用虚假视频会议应用针对Web3专业人员

【TheHackerNews网站12月7日报道】一项新的诈骗活动通过虚假视频会议应用程序传播名为Realst的信息窃取程序，专门针对Web3领域的工作人员。Cado Security研究人员Tara Gould指出，威胁行为者利用人工智能创建虚假公司以增加其合法性，并诱导目标用户下载虚假的视频会议应用程序，实则为Realst窃取程序。这些虚假网站使用了Clusee、Cuesee、Meeten等名称，攻击者通过Telegram联系潜在目标，讨论投资机会，并诱导他们加入视频通话。该恶意软件能窃取包括加密货币钱包数据在内的多种敏感信息，并导出到远程服务器。Realst还能窃取Telegram凭证、银行信息、iCloud Keychain数据以及多个浏览器的cookie。攻击者越来越多地使用人工智能生成内容，以增加骗局的合法性并使检测更加困难。

5th域安全微讯早报【20241209】295期

正文

请到「今天看啥」查看全文