HackerNews

E安全消息，网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046，CVSS得分10，可能允许攻击者在系统上执行任意代码。 Apache MINA框架用于构建高性能和可扩展的网络应用，以其事件驱动异步API而闻名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被广泛应用于各种应用。 然而，其ObjectSerializationDecoder组件的一个缺陷为恶意行为者打开了大门。这个解码器利用Java的本地反序列化来处理序列化数据，被发现缺乏关键的安全检查。 问题的根源在于易受攻击版本的MINA处理对象反序列化的方式。没有适当的防护措施，攻击者可以发送特别制作的恶意序列化数据，当ObjectSerializationDecoder处理这些数据时，可能会导致远程代码执行（RCE）。这意味着攻击者可能完全控制受影响的系统。 CVE-2024-52046漏洞影响了一系列Apache MINA版本，具体包括： Apache MINA 2.0.0至2.0.26 Apache MINA 2.1.0至2.1.9 Apache MINA 2.2.0至2.2.3 需要注意的是，并非所有使用MINA的应用程序都会自动受到影响。 当应用程序使用IoBuffer#getObject()方法时，风险就会出现，这可能在ProtocolCodecFilter实例使用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。如果你的应用程序依赖这些特定类和方法，你可能已经暴露了风险，必须立即采取行动。 Apache MINA团队通过发布以下修补版本迅速解决了这一关键漏洞： Apache MINA 2.0.27 Apache MINA 2.1.10 Apache MINA 2.2.4 仅仅升级是不够的。更新的版本引入了一个重要的安全增强功能：开发人员必须明确定义ObjectSerializationDecoder被允许反序列化的类。 通过三个新方法实现： accept(ClassNameMatcher classNameMatcher) accept(Pattern pattern) accept(String… patterns) 默认情况下，解码器现在将拒绝所有类，遵循“拒绝所有”的原则，除非明确允许。这增加了一个重要的控制层，防止了不受信任和潜在恶意对象的反序列化。 Apache MINA团队已表示，FtpServer、SSHd和Vysper子项目不受此漏洞影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/OC8JgmYZ1uWYTVFhKJyJcQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 黑客已找到多种绕过多因素认证（MFA）的方法，而九成安全专家仍然认为MFA能够完全防止账户被接管，网络安全公司警告道。 多因素认证常被誉为防止账户接管的“银弹”，用于保护用户在密码泄露后避免被黑客侵入。然而，黑客早已预见到这一障碍并已做好了反击准备。网络犯罪分子正发动数百万次攻击，旨在绕过MFA。 Proofpoint 2024年《Phish报告》显示，仅使用一个名为EvilProxy的MFA绕过工具，每个月就发起了超过100万次攻击。EvilProxy是一个钓鱼即服务工具包。 “然而，89%的安全专家认为MFA能够完全防止账户接管。显然，这之间存在脱节，”该公司表示。 威胁行为者至少使用六种方法绕过MFA，其中许多战术都相当复杂： 钓鱼攻击：网络罪犯诱使用户将MFA代码或登录凭证输入由攻击者控制的网站。 MFA疲劳攻击：一旦威胁行为者获得了用户的密码，他们就会发起大量MFA推送通知，试图让用户困惑。受害者通常为了停止这些通知而批准访问请求。 会话劫持：攻击者使用信息窃取恶意软件和其他手段在身份验证后窃取会话Cookie，这使得前面的MFA身份验证变得无效。 SIM卡交换：如果用户依赖SMS验证码进行MFA，黑客可能尝试将目标的电话号码转移到自己的手中。为此，攻击者需要通过社会工程学手段操控移动运营商，或在组织内有内部人员协助。 社交工程：黑客获取敏感凭证的另一种方式是通过直接询问。许多公司提供一种方式，允许远程员工重置密码和MFA设置，而无需亲自到场。如果没有适当的在线身份验证，攻击者可以通过欺骗IT帮助台交出伪造的员工凭证。 中间人攻击：攻击者使用如Evilginx之类的专用钓鱼工具拦截会话令牌。然后，这些令牌会被转发给合法服务，攻击者因此获得访问权限。 此前，研究人员甚至成功地仅通过猜测6位数验证码绕过了微软的MFA实施。微软声称，MFA能够防止99%的账户被接管攻击。 Proofpoint指出，单靠MFA是不够的。 “毫无疑问，MFA为用户认证安全增添了重要的防护层。这使得威胁行为者更加难以突破。但上述绕过技术展示了为何仅依赖单一的安全防御机制是如此危险，”该公司表示。“攻击者能够适应并突破广泛部署的保护措施。” Proofpoint建议，MFA应作为更大范围防御深度策略的一部分，额外的安全层次能在一个防御层被突破时减少成功攻击的可能性。 MFA工具并不相同，因此建议采用抗钓鱼的MFA。更安全的MFA方法包括硬件安全密钥（FIDO2）或生物识别技术。 通过部署端点检测与响应（EDR）工具来增强端点保护，是识别和缓解主机级别未经授权访问的一个安全层。 “投资于防御凭证钓鱼。大多数威胁行为者偏好使用高度针对性的社交工程钓鱼攻击来获取用户凭证，”Proofpoint指出。 其他措施包括安装专门的账户接管安全系统，能够检测、调查并自动响应云账户接管，教育用户识别钓鱼企图，并制定事件响应和恢复计划。 “准备应对最坏的情况。确保有一个明确的事件响应计划，包含快速撤销访问令牌和调查可疑登录的办法。”   消息来源：Cybernews, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客攻击了罗德岛州的健康和福利项目系统，并将文件发布到了暗网，州长丹尼尔·麦基周一表示，这一事件是州政府已预料到的情况。 根据麦基办公室发布的新闻稿，州政府已制定外展策略，鼓励可能受影响的罗德岛居民保护他们的个人信息。州长表示，目前尚不清楚是否所有从RIBridges系统中窃取的文件都已经发布到暗网上。暗网是一个加密网络中的一部分，只有通过专门的匿名工具才能访问。 麦基办公室的声明称：“目前，IT团队正在努力分析已发布的文件。这是一个复杂的过程，我们尚不清楚这些文件中包含的数据范围。” 麦基在下午的新闻发布会上表示，负责建设和维护RIBridges的公司德勤已与黑客取得了联系。 州政府正在与德勤合作，生成受影响个人的名单。官员表示，信函将发送给这些个人，告知他们如何访问免费的信用监控服务。 依赖RIBridges的州政府项目包括医疗补助、补充营养援助计划（SNAP）、临时贫困家庭援助、儿童保育援助计划、罗德岛工作计划、长期服务与支持、At HOME成本分担计划以及通过HealthSource RI购买的健康保险。 声明补充道：“虽然这些数据已经被泄露，但这并不意味着它们已被用于身份盗窃。” 麦基呼吁罗德岛居民采取一系列步骤来保护他们的财务信息，包括：联系所有三大信用报告机构——Equifax、Experian和TransUnion——冻结他们的信用；联系其中一个信用报告机构，申请免费的信用报告；并要求在信用档案中添加欺诈警报。 居民还应使用多因素身份验证，而不仅仅依赖一个密码来访问个人信息，并警惕看似合法的假冒电子邮件、电话或短信。 麦基表示，执法部门也正在调查此次数据泄露事件，但他指出，由于犯罪的性质，抓捕嫌疑人面临着巨大的挑战。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞，这些漏洞若被成功利用，可能使攻击者能够执行多种隐秘操作，包括数据窃取和恶意软件部署。 “利用这些漏洞，攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限，成为影子管理员，”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性，但其具体问题包括： – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外，攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志，以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图（DAG）文件并将其上传至连接到Airflow集群的私人GitHub存储库，或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点，攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名（SAS）令牌获得对存储DAG文件的存储账户的写权限。或者，他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行，其权限有限，但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误，加上Pod可通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破底层节点，实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机（VM）的Root权限进一步深入云环境，未经授权访问Azure托管的内部资源，包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境，”研究人员Ofir Balassiano和David Orlovsky表示。“例如，攻击者可以创建新的Pod和服务账户，甚至修改集群节点，并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性，也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现，即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容，例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于，虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据，但该角色被发现具有添加自身至Key Vault访问策略的权限，从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力，”研究人员Katie Knowles解释道。“这导致了一个场景：Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据，但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档，强调访问策略风险：“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书，必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际，亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型（LLM）的恶意查询与合法查询变得困难，从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说，失败的Bedrock API调用与成功调用记录方式相同，未提供任何特定错误代码，”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节，安全工具可能会误将正常活动解读为可疑行为，从而导致不必要的警报并可能忽视真正的威胁。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）发布了一项最终规则，以落实第14117号行政命令（EO 14117），该命令旨在防止美国公民的个人数据大规模转移至包括中国（含香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的特定关注国家。 “这一最终规则是解决国家安全重大威胁的重要进展，这些威胁源于我们的对手可能利用美国人最敏感的个人数据，”司法部国家安全司助理检察长马修·G·奥尔森表示。 这一强有力的国家安全新计划旨在确保美国人的个人数据不再通过直接购买或其他商业渠道被敌对势力获取。 早在2024年2月，美国总统乔·拜登签署了一项行政命令，旨在应对未经授权访问美国人敏感个人数据及政府相关数据所带来的国家安全风险。这些恶意活动可能包括间谍、影响力行动、物理攻击或网络攻击。 此外，该行政命令指出，特定关注国家可能利用获得的大量数据开发或改进人工智能及其他先进技术，还可以从商业数据经纪人及其他公司购买此类信息。 司法部进一步表示，这些国家及其相关人员还可能利用这些数据搜集活动家、学者、记者、异议人士、政治对手或非政府组织成员及边缘化群体的信息，以威胁、压制政治反对意见，限制言论自由、和平集会或结社自由，或实施其他形式的公民自由打压。 司法部发布的规则预计将在90天后生效。规则明确了某些类别的禁止交易、受限交易和豁免交易；设定了触发规则限制的大量敏感个人数据交易阈值；并建立了包括民事和刑事处罚在内的执行机制。 该规则涵盖了六类数据：个人标识符（如社会安全号码、驾驶执照等）、精确地理位置数据、生物识别标识符、人类组学数据（包括基因组、表观基因组、蛋白质组和转录组数据）、个人健康数据和个人财务数据。 需要注意的是，该规则既未强制要求数据本地化，也未禁止美国公民在特定关注国家进行医疗、科学或其他研究。 司法部表示，最终规则同样未全面禁止美国个人与特定关注国家或相关人员进行商业交易，包括在出售商业商品和服务的过程中交换金融及其他数据，也未采取旨在广泛脱钩美国与其他国家在消费、经济、科学及贸易关系的措施。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一种名为“双击劫持”（DoubleClickjacking）的新型攻击技术，这是一种“基于时间的广泛漏洞类别”，通过利用双击操作实现点击劫持攻击，并可能导致账户接管，几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。 “不同于传统的单击攻击，这种技术利用双击序列，”Yibelo 表示，“虽然看似只是微小的变化，却使得攻击者能够实施全新的用户界面操纵攻击，绕过所有已知的点击劫持防护措施，包括 X-Frame-Options 标头和 SameSite：Lax/Strict cookie。” 点击劫持（Clickjacking），又称用户界面重定向攻击，是一种诱导用户点击看似无害的网页元素（如按钮），从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进，通过双击操作中的时间间隙绕过防护，以更低的用户交互成本实现攻击目标。 具体的攻击步骤如下： 1. 用户访问由攻击者控制的站点，该站点会通过单击按钮或无交互直接打开一个新窗口（或标签页）。 2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面，提示用户完成双击操作。 3. 在双击过程中，攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接，例如批准恶意 OAuth 应用的授权。 4. 同时，顶层窗口自动关闭，用户在不知情的情况下完成授权，授予攻击者访问权限。 “目前，大多数网络应用和框架仅针对单次强制点击进行了防护，”Yibelo 指出，“而双击劫持通过引入时间间隙，使现有防御机制（如 X-Frame-Options、SameSite cookie 或 CSP）失效。” 网站所有者可以采用客户端防护策略，例如默认禁用关键按钮，只有在检测到鼠标手势或按键操作后才启用。据悉，Dropbox 等服务已采用类似的预防措施。 从长远来看，建议浏览器开发商引入类似 X-Frame-Options 的新标准，以应对双击劫持攻击。 “通过利用点击事件之间的时间差，攻击者可以在用户毫无察觉的情况下，将无害的界面元素替换为敏感内容，”Yibelo 补充道，“这一攻击手法是对已知漏洞类别的全新变种。” 此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造（Gesture-jacking）有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键，触发恶意操作。 例如，在 Coinbase 和 Yahoo! 等网站中，如果受害者已登录账户，攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用，并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识，从而使攻击者能够轻松获取受害者账户的访问权限。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据美国财政部周一发给国会议员的一封信，财政部表示，第三方软件提供商 BeyondTrust 于 12 月 8 日通知它，称一名黑客获得了安全密钥，允许攻击者远程访问员工工作站和存储在其上的机密文件。 BeyondTrust 是一家网络安全公司，专门从事特权访问管理 （PAM） 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。 “根据现有指标，该事件被归咎于高级持续威胁 （APT） 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。 财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。 财政部补充说，受感染的服务已下线，目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策，归因于 APT 的入侵被视为重大网络安全事件。 本月早些时候，有报告称 BeyondTrust 已被黑客入侵了远程支持 实例（https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/）。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码，并获得了对系统的进一步特权访问。 在调查了这次攻击后，BeyondTrust 发现了两个0day漏洞，即 CVE-2024-12356 和 CVE-2024-12686，这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。 由于财政部是其中一个受感染实例的客户，因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后，他们关闭了所有受损的实例并撤销了被盗的 API 密钥。 财政部表示，它正在与 FBI 和美国网络安全和基础设施安全局 （CISA） 合作解决入侵问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw 封面来源于网络，如有侵权请联系删除

10 月 10 日，攻击者通过第三方托管的登录门户访问并更改了员工福利账户，随后发现了这一未经授权的活动。 据该公司称，攻击者发起了一场欺诈性广告活动，将通用动力公司的员工引导到一个钓鱼网站，诱骗他们输入用户名和密码。 通用动力公司向缅因州总检察长办公室表示：“恶意攻击者随后能够访问向虚假第三方登录网站提供此信息的员工的账户。”该公司表示，共有 37 人受到影响。 被入侵的员工福利账户使攻击者可以访问姓名、出生日期、身份证号码、社会保障号码、银行账户信息和残疾状况等个人信息。 通用动力公司称，攻击者在某些情况下更改了被盗账户的银行账户信息。这些账户的所有者从 10 月 10 日开始收到通知。本周，该公司开始向其他受影响人员邮寄书面通知信。 “现有证据表明，涉案的未经授权访问是通过第三方进行身份验证的，而不是直接通过 GD 业务部门进行身份验证。目前，GD 尚未发现此次事件会给受影响的员工带来任何持续伤害或风险。”该公司向缅因州审计院表示。 在向缅因州检察长办公室提交的通知信副本中，通用动力公司告知受影响的个人，攻击者使用通过钓鱼网站获取的泄露凭证，通过员工自助服务门户访问了他们的 Fidelity NetBenefits 账户。 攻击者于 10 月 1 日开始访问员工账户，通用动力公司在发现攻击后立即暂停了对该服务的访问。该公司为受影响的个人提供两年的免费信用监控。 通用动力公司通知受影响的人员重置富达账户登录凭证，并且不要在该账户或您使用的任何其他账户中重复使用之前的凭证。 今年早些时候，美国金融服务公司富达 (Fidelity) 通知数万个人，他们的个人信息在两次数据泄露事件中遭到泄露。一次影响了28,000 名富达投资人寿保险公司客户，另一次影响了超过77,000 名富达投资客户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ryUVDrdBnMOej-3kUssgFQ 封面来源于网络，如有侵权请联系删除

在即将过去的2024年，亚太地区的网络犯罪分子越来越多地利用人工智能（AI）发起复杂的攻击活动，例如 AI 生成的钓鱼邮件、自适应恶意软件和深度伪造。 Check Point 软件技术公司亚太区安全架构师和布道师 Clement Lee 表示，这些攻击削弱了对关键通信的信任，并加剧了社会紧张局势。 他例举了一些具体案列：在印度，深度伪造助长了广泛的不实信息传播；在印度尼西亚，一段经过篡改的深度伪造视频旨在煽动反华情绪；在中国香港，一名财务员工因深度伪造冒充公司高管而被骗转账 2500 万美元。 对于即将到来的2025年，Palo Alto Networks 亚太及日本区总裁 Simon Green 认为亚太地区将迎来“AI 驱动的网络威胁”。他指出，深度伪造音频和视频攻击可能是这一趋势中最明显的表现形式。 随着亚太地区越来越多的企业组织在实施 AI 项目，预计会更多地寻求更好保护其数据的方法。 AvePoint 澳大利亚和新西兰副总裁兼董事总经理 Max McNamara 表示，客户正在询问如何在保持强大安全性的同时，从数据中获得更多价值，尤其是在他们希望从 Microsoft Copilot 等生成式 AI 产品中获益时。这始于拥有安全且可访问的数据，确保能够在不影响安全态势的情况下扩展解决方案，并严格遵守日益复杂的监管标准。 另外，亚太地区量子计算项目的增加可能会推动“先收集，后解密”攻击的上升。此类攻击涉及对手收集并存储当前加密的数据，目的是在未来量子计算机足够强大时解密这些数据。这些攻击对需要长期保持安全的敏感信息构成了重大威胁。 根据《财富商业洞察》（Fortune Business Insights）的数据，亚太地区是全球增长最快的量子计算市场，包括 IBM 、微软、谷歌、阿里巴巴、百度、 JSR 和D-Wave 在内的多家公司目前正在参与该地区的大型量子软件和硬件项目。例如，阿里巴巴与中国科学院合作部署了新型量子计算云平台。亚太地区的一些量子项目正在国家层面进行，例如印度由美国资助的国家量子技术与应用任务和新加坡的量子工程项目。 Lee 表示，量子计算的出现可能会使当前的加密标准过时，导致敏感数据暴露并危及关键基础设施。随着组织为未来的解密威胁做准备，抗量子密码学将获得更多关注。 Green 指出，亚太地区的组织应预期到来自包括国家支持的黑客在内的‘先收集，后解密’攻击。这些攻击将对政府和企业、民用和军事通信、关键基础设施以及开发量子项目的组织构成威胁。 Qualys EMEA 和亚太区首席技术安全官兼解决方案架构副总裁 Richard Sorosina 认为，亚太地区威胁环境的快速演变和日益复杂化可能会加速该地区许多组织安全能力的整合。他预计，组织将越来越多地采用统一的安全平台方法，以提供对组织风险的集中视图，并在发现风险时提供修复机制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418742.html 封面来源于网络，如有侵权请联系删除

GitHub 安全实验室的安东尼奥-莫拉莱斯（Antonio Morales）最近发布了一份报告，公布了 GStreamer 中的 29 个漏洞，GStreamer 是一个开源多媒体框架，广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能，包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件，也成为网络攻击者的诱人目标。 莫拉莱斯在报告中解释说：“GStreamer 是一个大型库，包括 300 多个不同的子模块。在这项研究中，我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器，因此特别容易被利用。 在已发现的 29 个漏洞中，大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞： CVE-2024-47537：isomp4/qtdemux.c.中的越界（OOB）写入。 CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。 CVE-2024-47607： gst_opus_dec_parse_header 中的堆栈缓冲区溢出。 CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。 CVE-2024-47539：convert_to_s334_1a 中的 OOB 写入。 这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用，所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。 GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称：“该库中的关键漏洞可以打开许多攻击载体。例如，恶意制作的媒体文件可以利用这些漏洞入侵用户系统。” 为了发现这些漏洞，莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性，传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法： 他说：“我从头开始创建了一个输入语料生成器，”他介绍说，该技术生成了 400 多万个测试文件，专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。 我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303158 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一名使用@NSA_Employee39昵称的X平台用户声称，在开源文件归档软件7-Zip中发现了一个零日漏洞。该账号已通过X平台验证。 该用户宣布，本周将“连续曝光零日漏洞”，首个目标便是7-Zip软件中的任意代码执行漏洞。 攻击者可通过诱骗受害者打开精心制作的.7z归档文件，利用此漏洞在受害者系统上执行恶意代码。 用户已在Pastebin上发布了针对此零日漏洞的利用代码。Pastebin上的描述称：“此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。通过调整偏移量和有效载荷，利用代码操控内部缓冲区指针以执行shellcode，从而实现任意代码执行。当受害者使用7-Zip的易受攻击版本（当前版本）打开或解压归档文件时，利用代码将被触发，执行有效载荷以启动calc.exe（可自行更改）。” 然而，多位专家对此声明提出质疑，称该利用代码无效，所谓的零日漏洞并不存在。 7-Zip的作者伊戈尔·帕夫洛夫（Igor Pavlov）表示，该漏洞为伪造。他解释说，LZMA解码器中不存在RC_NORM函数。 帕夫洛夫写道：“普遍结论是，Twitter上这段伪造的利用代码是由LLM（AI）生成的。” “伪造代码中的注释包含以下声明： 此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。” 但LZMA解码器中不存在RC_NORM函数。相反，7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此，LZMA解码代码不会调用RC_NORM。利用代码注释中关于RC_NORM的陈述是不真实的。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从思科开发中心（DevHub）窃取数据并对外泄露，思科已确认这些数据属实，并指出它们源自近期披露的一起安全事件。 这名自称为IntelBroker的黑客于10月14日宣布，他与他人侵入了思科系统，获取了源代码、证书、凭证、机密文件、加密密钥等多种信息。 思科调查后发现，其系统并未被侵入，这些数据实际上是从一个面向公众的DevHub环境中获取的，该环境作为资源中心，为客户提供源代码、脚本等内容。 尽管DevHub中的大部分数据已公开，但思科承认，黑客获取的部分文件本不应公开。 随后，IntelBroker确认数据来自DevHub，并开始泄露文件。他最初声称获取了800GB的文件，但随后又称从DevHub环境中获取了4.5TB的数据。12月中旬，他公布了约3GB的数据，并在圣诞节当天又泄露了一批文件，总量超过4GB。 泄露的数据包括与思科产品相关的源代码、脚本、数字证书和配置文件。 思科在第二次数据泄露后表示，已对数据进行了分析，发现它们“与2024年10月14日已知的数据集一致”。 思科解释道：“如之前更新所述，我们确信系统没有受到攻击，并且在泄露的内容中任何可能被攻击者用来访问我们的生产或企业环境的信息。” 思科最初表示，没有证据表明敏感个人信息或财务数据遭到破坏，但已从事件报告中删除了这一声明。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周晚些时候，Palo Alto Networks通知客户，其已修复一个零日漏洞，该漏洞曾被用于对其防火墙发动拒绝服务（DoS）攻击。 该安全漏洞编号为CVE-2024-3393，影响了运行于Palo Alto Networks防火墙上的PAN-OS软件的DNS安全功能。漏洞允许未经身份验证的攻击者通过数据平面发送特制数据包，导致防火墙重启。 Palo Alto Networks警告称：“多次尝试触发此条件将导致防火墙进入维护模式。” 该公司还指出，其“已意识到当防火墙拦截触发此问题的恶意DNS数据包时，客户会遭遇拒绝服务（DoS）”。 尽管存在此情况且CVE-2024-3393被评为“高危”，但Palo Alto Networks仅将此漏洞的紧急程度定为“中等”，并指出仅当PAN-OS软件启用DNS安全日志记录，并应用DNS安全许可证或高级DNS安全许可证时，才会受到影响——两个条件需同时满足，漏洞利用才可能实现。 PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5和11.2.3版本已修复此漏洞。而PAN-OS 11.0版本已于11月17日停止支持，因此不会收到修复补丁。同时，该公司还提供了临时解决方案和缓解措施。 Palo Alto Networks对爱沙尼亚CERT-EE提供的取证和分析协助表示感谢。但关于该漏洞的发现方式以及利用该漏洞的攻击情况，目前尚未有更多信息。 威胁组织利用Palo Alto防火墙漏洞发动攻击的情况并不罕见。在安全公司追踪的“月球窥探”行动中，恶意行为者曾利用两个PAN-OS零日漏洞攻破了大量防火墙。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国卫生与公共服务部（HHS）民权办公室（OCR）提议对医疗机构实施新网络安全规定，以保护患者数据免受网络攻击。 该提案旨在修订1996年《健康保险流通与问责法案》（HIPAA），作为加强关键基础设施网络安全广泛行动的一环，OCR指出。 新规将通过升级HIPAA安全标准，强化电子保护健康信息（ePHI）的安全防护，以“更有效地应对医疗行业日益严峻的网络安全挑战。” 据此，提案要求医疗机构审查技术资产清单和网络图，识别电子信息系统潜在漏洞，并建立72小时内恢复特定电子信息系统及数据的流程。 其他关键条款包括：每年至少实施一次合规审计，确保静态及传输中的ePHI加密，强制采用多因素认证，部署反恶意软件保护，并清理电子信息系统中的冗余软件。 《拟议规则通知》（NPRM）还要求医疗实体实施网络分段，建立备份与恢复技术控制，至少每六个月进行一次漏洞扫描，及每年至少一次渗透测试。 此举措出台之际，医疗行业正频繁遭受勒索软件攻击，不仅造成经济损失，还因破坏诊断设备和患者医疗记录系统访问，危及患者生命。 微软2024年10月指出，医疗组织因存储高度敏感数据而成为勒索软件攻击目标，但更大风险在于可能承担的巨额财务赔偿。 勒索软件事件还导致周边医疗设施不堪重负，因急需治疗的患者涌入而无法及时响应。 据网络安全公司Sophos数据，2024年67%的医疗机构遭遇勒索软件攻击，较2021年的34%显著上升，主要归因于漏洞利用、凭证泄露及恶意邮件。 其中，53%的机构在数据被加密后支付了赎金以恢复访问，赎金中位数达150万美元。 同时，勒索软件攻击后的恢复时间也在延长，仅22%的受害者在一周内完全恢复，远低于2022年的54%。 Sophos首席技术官John Shier表示：“医疗信息的高度敏感性和对即时访问的需求，使医疗行业始终成为网络犯罪分子的攻击目标。遗憾的是，许多医疗组织准备不足，恢复时间不断延长。” 上月，世界卫生组织（WHO）将针对医院和医疗系统的勒索软件攻击视为“生死攸关”，呼吁国际社会共同应对这一网络安全威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全厂商Elastic Security最近观察到一个新的攻击入侵活动，目标直指讲中文的地区，跟踪命名为REF3864。这些有组织的活动通过伪装成合法软件，如网络浏览器或社交媒体信息服务，来瞄准受害者。背后的攻击组织在跨多个平台（包括Linux、Windows和Android）传播恶意软件方面表现出了一定的多样性。在调查分析过程中，研究人员发现了一个独特的Windows感染链，并命名了一个自定义加载器为SADBRIDGE。该加载器部署了一个基于Golang重新编码的QUASAR恶意软件，称之为GOSAR。这也是研究人员首次观察到QUASAR被用Golang编程语言重写。 假Telegram登陆页面 关键发现： 研究人员发现的这次正在进行的攻击活动，目标是讲中文语言的使用者，恶意安装程序伪装成Telegram和Opera网络浏览器等合法软件。 攻击感染链采用注入和DLL侧加载技术，使用自定义加载器（SADBRIDGE）。 攻击者通过SADBRIDGE部署了一种新发现的、用Golang编写的QUASAR后门变种（GOSAR）。 GOSAR是一个正在积极开发中的多功能后门程序，其功能还不完整，但是随着时间的推移观察到了功能改进的迭代版本。 REF3864攻击活动： 在2023年11月，研究人员在对上传到VirusTotal的几个不同样本进行深度分析时，观察到了一个独特的攻击感染链。这些不同的样本被托管在伪装成Telegram或Opera GX浏览器等合法软件的登录页面上。 在调查分析过程中，研究人员还发现了多个涉及类似技术的感染链： 木马化的MSI安装程序，检测率低。 使用合法软件伪装，捆绑恶意DLL。 部署自定义SADBRIDGE加载器。 最终阶段GOSAR加载。 导致 GOSAR 感染的 SADBRIDGE 执行链 研究人员认为，这些攻击活动之所以能够避开安全检测，是因为它们采用了多层次的抽象技术。攻击过程开始于受害者被诱导打开一个包含MSI安装程序的ZIP文件，该文件实际上是一个恶意存档。随后，攻击者利用合法的Windows调试应用程序在后台加载一个被恶意修改的DLL文件。这个DLL文件接着启动一个新的合法程序，并在其中侧加载另一个恶意DLL，最终通过一系列注入技术将GOSAR后门程序植入到受害者的内存中。攻击者还精心伪装其C2基础设施，使其看起来像是可信的服务或软件，以符合受害者对软件安装程序的预期，从而降低被发现的风险。另外，攻击者特别关注列举国内的反病毒检测产品，如360tray.exe，以及中文的防火墙规则名称和描述，这表明攻击目标是中文用户群体。 自2017年以来，QUASAR恶意软件已被用于多次网络攻击活动，GOSAR作为QUASAR的扩展，增加了额外的信息收集功能、多操作系统支持，并改进了对国内反病毒产品和恶意软件分类器的规避能力。然而，由于缺乏具体的诱饵网站和针对目标的行动信息，目前尚无法确定攻击者的确切动机。 攻击过程技术分析： SADBRIDGE恶意软件加载器被打包为MSI可执行文件进行分发，并使用DLL侧加载和各种注入技术来执行恶意负载。SADBRIDGE滥用像x64dbg.exe和MonitoringHost.exe这样的合法应用程序来加载恶意DLL，如x64bridge.dll和HealthServiceRuntime.dll，从而导致后续阶段和shellcodes的执行。 SADBRIDGE通过创建服务和修改注册表来实现持久性。它利用UAC绕过技术（滥用COM接口）静默地将权限提升到管理员级别。此外，SADBRIDGE还通过Windows任务计划程序实现权限提升绕过，以系统级权限执行其主要有效载荷，涉及的工具有ICMLuaUtil。 SADBRIDGE配置使用简单的减法对配置字符串的每个字节进行加密。加密的阶段都附加了0x1.log扩展名，并在运行时使用XOR和LZNT1解压缩算法进行解密。 SADBRIDGE采用PoolParty、APC队列和令牌操作技术来进行进程注入。为避免沙盒分析，它使用长API调用。另一种防御逃避技术涉及API修补，以禁用Windows安全机制，如反恶意软件扫描接口（AMSI）和Windows事件跟踪（ETW）。 GOSAR恶意软件介绍 GOSAR是一个针对Windows和Linux系统的多功能远程访问木马。这个后门包括获取系统信息、截取屏幕、执行命令、键盘记录等功能。GOSAR后门保留了QUASAR的核心功能和行为，同时结合了一些修改，使其与原始版本有所不同。通过使用Go这样的现代语言重写恶意软件，可以降低检测率，因为许多防病毒解决方案和恶意软件分类器难以在这些新的编程结构下识别恶意字符串/特征。值得注意的是，这个变种支持多个平台，包括Linux系统的ELF二进制文件和Windows的传统PE文件。这种跨平台能力与Go的适应性一致，使其比原始的基于.NET的QUASAR实现更加的多功能。   转自安全内参，原文链接：https://www.secrss.com/articles/74099 封面来源于网络，如有侵权请联系删除

安全内参12月27日消息，一场被认为由俄罗斯黑客发起的大规模网络攻击，导致乌克兰多个国家登记册下线，公民无法获取与其数字记录相关的基本服务。 根据乌克兰司法部的消息，此次网络攻击中断了出生、婚姻及死亡等登记服务。该部门负责管理乌克兰约60个国家数据库。 目前，这些记录正通过纸质方式临时处理。一旦恢复对国家登记册的访问，所有数据将重新转移至电子数据库。 尽管服务受限，司法部表示，上周仍有超过1400对乌克兰夫妇完成了婚姻登记。 众多民众基本服务全面中断 所有涉及房地产的交易，包括买卖协议、租赁合同、赠与协议和抵押合同，也因这次事件全面暂停。此类交易需依赖国家登记册中的公民个人数据，以及法人和财产权信息。 乌克兰负责欧洲和欧亚一体化事务的副总理Olga Stefanishyna透露，恢复这些登记册的访问预计需要约2周时间。 作为应对措施，乌克兰政府已将现有的军事征召延期自动延长1个月，无需数字续签。根据现行法律，特定类别的乌克兰公民可通过依赖国家登记册数据的“Reserve+”军事应用申请延期。 据当地媒体报道，此次攻击还影响了乌克兰股票交易所的交易、官员和法官的任命，以及一些依赖登记册信息的法院案件审理。 目前尚不清楚此次网络攻击对登记册及基本服务中断造成的经济损失规模。 乌克兰司法部于12月23日宣布，已启动恢复工作，并保证所有数据都会被恢复，因为政府掌握了完整的备份。 “精心策划”的攻击 亲俄黑客组织 XakNet 声称对此次攻击负责，并表示已删除存储在波兰服务器上的主数据库及备份副本。 此前2023年12月，乌克兰国防情报局声称入侵了俄罗斯联邦税务局，并抹去了该机构2300多个数据库。 乌克兰政府官员对攻击细节披露有限，且因“问题的敏感性”拒绝向媒体发表评论。 乌克兰议会网络安全分委员会主席Oleksandr Fedienko表示，黑客可能通过网络钓鱼邮件或贿赂一名拥有登记册访问权限的员工进入系统。目前参与调查的乌克兰网络安全机构尚未公开评论攻击者的具体入侵手段。 乌克兰国家安全局上周指出，他们怀疑此次攻击幕后黑手是与俄罗斯军事情报局（GRU）相关的黑客。与 GRU 疑似相关的威胁组织之一是“沙虫”（Sandworm）。该组织曾对乌克兰发动重大网络攻击，包括2023年针对乌克兰最大电信运营商基辅之星（Kyivstar）的袭击。 Fedienko指出，此次针对国家登记册的攻击是“精心策划”的，只有通过“严密而系统化的组织”才能实现。 乌克兰国家安全局网络安全部门代理负责人Volodymyr Karastelov表示，黑客可能花费数月时间筹备此次针对国家登记册的攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/74077 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 作为供应链管理领域的巨头，Blue Yonder在上个月遭遇勒索软件攻击，引发了零售行业的广泛关注。近日，圣诞节前夕，一家勒索软件团伙声称从Blue Yonder及数十家公司窃取了数据，并威胁采取进一步行动。这些数据被盗据称与文件共享软件供应商Cleo的零日漏洞有关。 据悉，该团伙通过Cleo软件的漏洞入侵了包括Blue Yonder在内的多家公司，并对Blue Yonder发出多次威胁。然而，Blue Yonder方面表示，没有理由相信这些指控与上月的网络攻击有关。11月的攻击曾导致Starbucks、BIC及多家大型超市品牌的业务受到干扰。 Blue Yonder的一位发言人向媒体确认，公司确实使用Cleo进行部分文件传输，并已对相关漏洞进行补丁修复。目前，Blue Yonder正在评估此事可能对公司造成的潜在影响，并将在掌握更多信息后通知客户。发言人强调：“我们没有理由认为Cleo漏洞与我们在11月经历的网络安全事件有关。” 关于两起事件之间的关联性以及是否收到赎金要求，Blue Yonder拒绝进一步置评。据悉，一家新兴的勒索软件组织Termite宣称对11月的攻击负责。这次攻击严重影响了Starbucks的后台排班管理流程，以及其他客户系统，包括英国主要超市品牌和美国的制造商BIC，其生产活动一度受到干扰。尽管客户系统几乎已经全部恢复，但Termite团伙声称窃取了680 GB的数据，包括电子邮件、保险文件和公司机密信息。 Blue Yonder于2021年被松下以约85亿美元收购，目前为全球76个国家的超过3000家大型企业提供履约、交付和退货管理系统。 在Blue Yonder遭遇11月攻击两周后，文件传输软件供应商Cleo警告客户，其三款热门产品存在漏洞，被黑客利用。Clop勒索软件团伙随后宣称对该漏洞的利用负责，并将Cleo列为其受害者名单上的又一家文件传输软件公司。 Clop公开声称通过Cleo软件窃取了66家机构的信息，其中Blue Yonder是唯一一家被完全点名的公司，其余受害组织仅显示部分名称。Clop利用Cleo漏洞的行动是继其针对MOVEit、GoAnywhere和Accellion的全球数据窃取活动之后的最新攻击。这些攻击的核心策略并非破坏组织的设备或系统，而是专注于窃取文件传输软件中的数据，并通过勒索赎金变现。 Clop的近期行动影响范围广泛，特别是针对MOVEit的攻击波及了美国多个联邦部门、地方政府以及多家财富500强企业。据网络安全公司Emsisoft估计，MOVEit漏洞的攻击影响了2773家机构，导致约9600万人的信息被曝光和盗取。通过MOVEit行动，Clop从赎金中获利预计在7500万到1亿美元之间。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，大众汽车集团旗下的软件子公司Cariad遭遇了一起数据泄露事件，起因于公司内部两款IT应用的配置错误，导致约80万辆电动车的敏感数据被意外暴露。这些数据中包含了车主的姓名以及车辆的精确位置信息，这些信息被储存在未受充分保护的亚马逊云存储服务中长达数月时间，任何掌握基本技术知识的人都有可能追踪车主行踪或窃取个人私密信息。 涉及的车辆品牌包括大众、Seat、奥迪和斯柯达，部分车辆的定位信息精确到了厘米级别。 对此，Cariad的一位发言人指出，这次数据泄露的根源在于公司内部两款IT应用程序的配置失误。幸运的是，欧洲知名的道德黑客组织Chaos Computer Club（CCC）通过一名举报人在11月26日发现了这一安全隐患。经过测试验证后，CCC迅速向Cariad及大众集团通报了情况，并提供了详尽的技术分析报告。 据Cariad透露，此次数据泄露事件仅波及那些已注册在线服务并与互联网相连的车辆。研究人员发现，约有46万辆车的地理位置信息被泄露，其中部分数据的精度高达10厘米。更令人震惊的是，泄露的数据中还包含了30多辆汉堡警方巡逻车及疑似情报部门人员所用车辆的信息。 尽管泄露规模庞大，但Cariad强调指出，CCC的黑客团队为了获取这些数据，不得不绕过多重安全机制，并投入大量时间和技术资源。此外，为保护用户隐私，车辆数据在存储前已经过伪匿名化处理，黑客需要跨越多个数据集进行复杂关联分析，才能锁定具体用户身份。 然而，《明镜周刊》的一支由IT专家和记者组成的团队，利用免费软件成功追踪到了两名德国政客——Nadja Weippert和德国联邦议员Markus Grübel——的车辆位置信息。他们发现了Cariad内部应用的一个内存转储副本，其中包含了访问亚马逊云存储的密钥，而这些存储实例中保存了从大众集团车辆收集的数据。 在CCC报告当日，Cariad的安全团队立即采取行动，关闭了数据访问权限，并获得了CCC的积极评价，认为其技术团队反应迅速、全面且富有责任感。Cariad的调查结果显示，除CCC外，没有发现其他第三方访问或滥用泄露数据的迹象。同时，CCC仅能访问车辆数据，而无法对车辆进行任何控制操作。 Cariad强调，大众集团品牌客户有权自主决定是否同意处理其个人数据，并可以随时停用该功能。尽管如此，Cariad表示，收集这些数据是为了向客户提供、优化和扩展数字化服务。例如，匿名化的充电行为数据有助于改进未来的电池技术和充电软件。同时，所有数据均以保护客户身份和行踪安全的方式存储在云端。 Cariad声明称，大众集团在合法框架及现有合同关系的基础上收集、存储、传输和使用个人数据，并严格遵循正当利益原则或客户的明确同意。此外，公司还采取了严密的数据保护措施，包括数据点的分离存储、访问权限的严格限制、伪匿名化及匿名化处理，以及根据声明的目的进行数据聚合和处理。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号，例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。 在初始攻击阶段，攻击者利用了几个已知的漏洞，包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷，攻击者会通过D-Link管理界面（HNAP）的GetDeviceSettings操作执行恶意命令。 这两个僵尸网络不仅具备数据窃取能力，还能执行shell脚本。它们的主要用途是进行分布式拒绝服务（DDoS）攻击。 关于Ficora僵尸网络 Ficora是Mirai的一个变种，专门设计用于利用D-Link设备的漏洞。 根据Fortinet的遥测数据，Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛，但特别关注日本和美国。一旦感染，Ficora会通过名为“multi”的shell脚本下载并执行有效载荷，利用wget、curl、ftpget和tftp等多种方法。 此外，Ficora内置了暴力破解功能，并包含硬编码的凭证，使其能够感染其他基于Linux的设备，且支持多种硬件架构。 在DDoS攻击方面，Ficora具备UDP泛洪、TCP泛洪和DNS放大功能，从而增强了其攻击效果。 关于Capsaicin僵尸网络 Capsaicin是Kaiten僵尸网络的一个变种，据推测由Keksec组织开发，该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。 Capsaicin的攻击活动主要集中在10月21日至22日，目标多为东亚国家。在感染过程中，Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件，这些文件支持arm、mips、sparc和x86等多种架构。 此外，该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。 除了与Ficora类似的DDoS功能外，Capsaicin还能收集主机信息并将其传输到指挥与控制（C2）服务器进行追踪。 为了防御这些僵尸网络恶意软件的攻击，建议采取以下措施： 确保路由器和物联网设备运行最新的固件版本，以修复已知的漏洞。 如果设备已停产且不再接收安全更新，建议更换为新型号的设备。 更改默认的管理员凭证为独特且强大的密码，以增加攻击者的破解难度。 关闭不必要的远程访问接口，以降低被攻击的风险。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文