HackerNews

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。这种网络钓鱼方法利用渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现。 iOS和Android上的PWA网络钓鱼 这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。在iOS上，网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。 PWA工作原理的简化图 在Android设备上，当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK）。WebAPK是一种特殊类型的APK，即标准的Android应用程序文件，可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。 针对银行的金融欺诈活动 在2023年11月，ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动，在这些活动中，攻击者使用了一种特定的技术，并且这种技术是与标准的网络钓鱼传递技术一起使用的。这些网络钓鱼活动使用了三种不同的URL传递机制：语音呼叫传送：自动呼叫警告用户过时的银行应用程序，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，将通过短信发送网络钓鱼URL。短信发送：带有网络钓鱼链接的短信被莫名其妙地发送到捷克的电话号码。 恶意广告投放：在Instagram和Facebook等Meta平台上发布号召性用语的广告，例如为下载更新用户提供优惠。 PWA 网络钓鱼流 2024年3月，研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明，3月之前可能并未运行。根据C2服务器和后端基础设施的分析，研究人员得出结论，至少有两个不同的威胁行动者在操作这些网络钓鱼活动。ESET目前已经通知了被这些网络钓鱼活动针对的银行。   转自E安全，原文链接：https://mp.weixin.qq.com/s/2v-zewR5qAfpiv_kAcldGg 封面来源于网络，如有侵权请联系删除

SafeBreach 安全研究员 Alon Leviev 发布了其Windows Downdate工具，该工具可用于Windows降级攻击，重新引入最新的 Windows 10、Windows 11 和 Windows Server 系统中的旧漏洞。 在这种攻击中，攻击者强迫最新的目标设备恢复到旧软件版本，从而重新引入可被利用来破坏系统的安全漏洞。 Windows Downdate 是一个基于 Python 的开源程序和预编译的 Windows 可执行文件，可以帮助降级 Windows 10、Windows 11 和 Windows Server 系统组件。 Leviev 分享了多个使用示例，允许将 Hyper-V 虚拟机管理程序降级至两年前的版本、Windows 内核、NTFS 驱动程序和过滤器管理器驱动程序（降级至其基本版本）以及其他 Windows 组件和以前应用的安全补丁。 SafeBreach 安全研究员 Alon Leviev解释说：“您可以使用它来接管 Windows 更新，以降级并暴露 DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任程序等中的过去漏洞。除了自定义降级之外，Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 补丁的使用示例，以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。” 正如 Leviev 在 Black Hat 2024 上披露 Windows Downdate 降级攻击（利用CVE-2024-21302和CVE-2024-38202漏洞）时所说的那样，使用此工具是无法检测到的，因为它无法被端点检测和响应 (EDR) 解决方案阻止，并且 Windows 更新会不断报告目标系统是最新的（尽管已被降级）。 “我发现了多种禁用 Windows 基于虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，即使在使用 UEFI 锁强制执行的情况下也是如此。据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。” Leviev 说。“结果，我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台 Windows 机器上的‘完全修补’一词变得毫无意义。” 尽管微软于 8 月 7 日发布了安全更新 ( KB5041773 ) 来修复 CVE-2024-21302 Windows 安全内核模式权限提升漏洞，但该公司尚未针对 Windows 更新堆栈权限提升漏洞 CVE-2024-38202 提供补丁。 在安全更新发布之前，微软建议客户实施本月早些时候发布的安全公告中分享的建议，以帮助防止 Windows Downdate 降级攻击。 该问题的缓解措施包括配置“审计对象访问”设置来监控文件访问尝试、限制更新和恢复操作、使用访问控制列表来限制文件访问以及审计权限来识别利用此漏洞的尝试。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/va31Jea1GBsHGhhqIW3vcg 封面来源于网络，如有侵权请联系删除

过去两天，俄罗斯导弹和无人机袭击了乌克兰全国的关键基础设施，导致数百万乌克兰人的互联网中断。 根据互联网监控服务 NetBlocks 的数据，截至周二，乌克兰全国互联网连接率仍为正常水平的 71％。 乌克兰还因俄罗斯大规模空袭而实施紧急断电，包括基辅在内的一些城市停电、停水近12个小时。 周一，俄罗斯向乌克兰发射了 127 枚导弹和 109 架无人机——这是自三年前战争爆发以来规模最大、代价最高的袭击之一。据《福布斯》估计，此次袭击花费了俄罗斯高达 13 亿美元。 周二，俄罗斯向乌克兰目标发射了 10 枚导弹和 81 架无人机，这些目标大多是关键基础设施，包括水电站、能源设施和地下天然气储存设施。 由于乌克兰停电，移动运营商的基础设施已依赖于基站安装的电池和发电机。当基站不堪重负时，可能会影响部分用户的移动连接。 俄罗斯不断试图摧毁乌克兰的能源和互联网基础设施。今年 1 月早些时候，数十枚俄罗斯导弹击中基辅后，基辅的互联网连接“严重”中断。2022 年 10 月，俄罗斯导弹摧毁了乌克兰部分电信基础设施和能源设施，导致该国全国范围内的通信服务中断。 俄罗斯用户在访问互联网和其他数字服务时也经常遇到问题，这通常是由于乌克兰的物理和网络攻击造成的。 本周早些时候，NetBlocks报道称，在俄罗斯占领的克里米亚地区大规模停电的报道中，塞瓦斯托波尔市的互联网连接也中断了。俄罗斯地区领导层声称，此次事件是由于克里米亚能源配送网络紧急关闭所致，但也可能与乌克兰对克里米亚的袭击有关。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_z_eu2eWF1cXStqmdQ-vew 封面来源于网络，如有侵权请联系删除

卡巴斯基安全研究人员发现，钉钉和微信等中国即时通讯应用的用户是苹果 macOS 版后门HZ RAT的目标。 卡巴斯基研究员 Sergey Puzan表示，这些文件“几乎完全复制了 Windows 版后门的功能，仅在于有效载荷有所不同，该载荷以来自攻击者服务器的 shell 脚本的形式接收” 。 HZ RAT于 2022 年 11 月首次由德国网络安全公司 DCSO 记录，该恶意软件通过自解压 zip 档案或恶意 RTF 文档进行分发，据推测是使用Royal Road RTF 武器化器构建的。 涉及 RTF 文档的攻击链旨在通过利用公式编辑器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 来部署在受感染主机上执行的 Windows 版本的恶意软件。 另一方面，第二种分发方法伪装成合法软件（如 OpenVPN、PuTTYgen 或 EasyConnect）的安装程序，除了实际安装诱饵程序外，还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。 HZ RAT 的功能相当简单，它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送心跳信息。 鉴于该工具的功能有限，人们怀疑该恶意软件主要用于凭证收集和系统侦察活动。 证据表明，早在 2020 年 6 月，该恶意软件的首次迭代就已在野外被发现。根据 DCSO 的说法，该活动本身被认为至少从 2020 年 10 月开始活跃。 卡巴斯基发现的最新样本于 2023 年 7 月上传到 VirusTotal，它冒充了 OpenVPN Connect（“OpenVPNConnect.pkg”），一旦启动，就会与后门中指定的 C2 服务器建立联系，运行与 Windows 版本类似的四个基本命令: 执行 shell     命令（例如系统信息、本地 IP 地址、已安装应用程序列表、来自钉钉、Google 密码管理器和微信的数据） 将文件写入磁盘 发送文件到 C2 服务器 检查受害者的可用性 它于 2023 年 7 月被上传到 VirusTotal，在研究时，与其他后门样本一样，没有被任何供应商检测到。安装程序采用合法“OpenVPN Connect”应用程序的包装器形式，而 MacOS 软件包目录 除了原始客户端外还包含两个文件：exe和 init。 Puzan 表示：“该恶意软件试图从微信获取受害者的微信 ID、电子邮件和电话号码。至于钉钉，攻击者对更详细的受害者数据感兴趣：用户所在组织和部门的名称、用户名、公司电子邮件地址和电话号码。” 获取微信数据 获取钉钉数据 对攻击基础设施的进一步分析显示，除位于美国和荷兰的两台 C2 服务器外，几乎所有 C2 服务器都位于中国。 除此之外，据说包含 macOS 安装包（“OpenVPNConnect.zip”）的 ZIP 存档是先前从一家名为 miHoYo 的中国视频游戏开发商的域中下载的，该开发商以《原神》和《崩坏》而闻名。 目前尚不清楚该文件是如何上传到相关域名（“vpn.mihoyo[.]com”）的，以及服务器是否在过去某个时间点受到攻击。该活动的范围也尚不确定，但经过这么多年，后门仍在使用，这一事实表明该活动取得了一定程度的成功。 Puzan 表示：“我们发现的 macOS 版本的 HZ Rat 表明，此前攻击背后的黑客仍然活跃。该恶意软件仅收集用户数据，但之后可能会被用来在受害者的网络中横向移动，一些样本中存在的私有 IP 地址就表明了这一点。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PawbCmwf3DgTzKdrLV8phw 封面来源于网络，如有侵权请联系删除

Telegram创始人帕维尔·杜罗夫（Pavel Durov）在法国被捕。根据法国的法语新闻网站TF1的报道，杜罗夫在从阿塞拜疆飞往法国布尔歇机场并降落时，被法国航空运输局逮捕。关于被捕原因，法国国家反欺诈办公室（ONAF）对法国媒体的评论表明，主要是因为Telegram内容审核方面的不足、与执法机构合作有限，以及平台上存在恶意工具的问题。 Telegram在8月25日晚上8:17发布推文，对创始人帕维尔·杜罗夫被捕的事件做出了回应。公司强调了致力于遵守欧盟的法律，包括《数字服务法》，表示内容审核做法符合行业标准，并且正在不断进行改进。 Telegram 提到，杜罗夫经常在欧洲旅行，没有什么可隐瞒的。全球近10亿人依赖Telegram进行通信和获取重要信息。 公司不认同一种观点，即一个平台或其所有者应对用户所犯的滥用行为负责。Telegram希望当前的情况能够迅速得到解决，并重申与用户群体的团结一致。 据悉，杜罗夫被标记为 Fichier des Personnes Recherchées （FPR），这是一个法国罪犯和通缉犯数据库，由法国内政部管理，并被该国国家警察和其他执法机构使用。Telegram以其加密消息平台而闻名。但该应用程序也因成为儿童性虐待材料（CSAM）、计算机和智能手机恶意软件等恶意工具、被盗数据库和其他有害内容的避风港而受到批评。当局一直批评 Telegram 被恐怖分子使用且缺乏内容审核。 公开资料显示，帕维尔·杜罗夫（俄语：Павел Дуров，英语：Pavel Durov，1984年10月10日），出生于俄罗斯列宁格勒州今圣彼得堡市，社交网站VKontakte、Telegram的创始人，原Vkontakte首席执行官，个人财富已经超过2.5亿美元。 2013年杜罗夫辞去Vkontakte首席执行官一职后，与尼古莱·杜罗夫（Nikolai Durov）共同致力于Telegram的开发，任Telegram首席执行官一职。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Zr80efnA6WsHcM8-c-yvRA 封面来源于网络，如有侵权请联系删除

一种名为 NGate 的新型 Android 恶意软件可以通过将近场通信 (NFC) 芯片读取的数据传递到攻击者的设备来窃取信用卡中的资金。 具体来说，NGate 使攻击者能够模拟受害者的卡并进行未经授权的付款或从 ATM 提取现金。 该活动自 2023 年 11 月起开始活跃，根据知名安全公司 ESET 最近的一份报告，捷克用户越来越多地因手机端安装恶意软件被窃取银行凭证，在某些情况下也被用于直接盗窃现金。 通过 NFC 芯片窃取卡数据 攻击始于恶意文本、带有预先录制的自动呼叫消息或恶意广告，以诱骗受害者在其设备上安装恶意应用。 这些网络应用程序被宣传为紧急安全更新，并使用目标银行的官方图标和登录界面来欺骗用户窃取客户访问凭据。 安装 WebAPK 的虚假 Play Store 页面 这些应用在安装时不需要任何权限。它们会利用运行中的网络浏览器的 API 来获取对设备硬件组件的必要访问权限。 一旦通过 WebAPK 完成网络钓鱼步骤，受害者就会被诱骗在第二个攻击阶段的后续步骤中安装 NGate。 安装后，该恶意软件会激活一个名为“ NFCGate ”的开源组件，该组件由大学研究人员为 NFC 测试和实验而开发。 该工具支持设备上的捕获、中继、重放和克隆功能，并且并不总是要求设备“root”才能工作。 NGate 使用该工具捕获靠近受感染设备的支付卡 NFC 数据，然后直接或通过服务器将其转发到攻击者的设备。 攻击者可能会将这些数据作为虚拟卡保存在其设备上，并在使用 NFC 提取现金的 ATM 上重播信号，或在销售点 (PoS) 系统上付款。 NFC数据中继过程 在一段视频演示中，ESET 的恶意软件研究员 Lukas Stefanko 还展示了如何使用 NGate 中的 NFCGate 组件来扫描和捕获钱包和背包中的卡数据。在这种情况下，商店中的攻击者可以通过服务器接收数据，并使用受害者的卡进行非接触式支付。 Stefanko 指出，该恶意软件还可用于克隆某些 NFC 门禁卡和令牌的唯一标识符，以进入限制区域。 获取卡密码 在大多数 ATM 机上提取现金都需要输入卡的 PIN 码，研究人员称 PIN 码是通过对受害者进行社会工程学而获得的。 完成 PWA/WebAPK 网络钓鱼步骤后，诈骗者会打电话给受害者，假装他们是银行职员，告知他们有影响他们的安全事件。然后，他们发送一条短信，其中包含一个下载 NGate 的链接，据称这是一个用于验证现有支付卡和 PIN 的应用程序。 一旦受害者使用自己的设备扫描卡并输入 PIN 码在恶意软件的网络钓鱼界面上进行“验证”，敏感信息就会被传递给攻击者，从而实现提款。 完整攻击概述 捷克警方已经在布拉格抓获了一名实施此类取款行为的网络犯罪分子，但随着这种手段越来越流行，它对 Android 用户构成了重大风险。 ESET 还强调了克隆区域访问标签、交通卡、身份证、会员卡和其他 NFC 技术的可能性，因此直接的金钱损失并不是唯一的糟糕情况。 如果您不经常使用 NFC，可以通过禁用设备的 NFC 芯片来降低风险。在 Android 上，前往“设置”>“已连接设备”>“连接偏好设置”>“NFC”，然后将开关切换至关闭位置。 如果您需要始终激活 NFC，请仔细检查所有应用程序权限并仅限制需要它的用户的访问；仅从机构的官方网页或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。 谷歌发言人表示，Android 的默认恶意软件扫描程序 Google Play Protect 检测到了 NGate：“根据我们目前的检测，Google Play 上未发现任何包含此恶意软件的应用程序。Google Play Protect 会自动保护 Android 用户免受该恶意软件已知版本的侵害，该功能在安装有 Google Play 服务的 Android 设备上默认开启。Google Play Protect 可以警告用户或屏蔽已知有恶意行为的应用，即使这些应用来自 Play 以外的来源。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/fy6zidETEJ6DbYEWALpuzA 封面来源于网络，如有侵权请联系删除

研究人员警告称，Ecovacs 生产的吸尘和割草机器人可能会被黑客入侵并监视其主人，该公司将修复这一问题。 在最近的 Def Con 黑客大会上，安全研究人员 Dennis Giese 和 Braelynn解释说，攻击者可以利用Ecovacs 生产的扫地机器人和割草机器人的缺陷来监视其主人。 研究人员分析了以下设备：Ecovacs Deebot 900 系列、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA 和 Ecovacs Airbot ANDY。 专家们发现了一系列漏洞，这些漏洞可能允许攻击者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光来指示它们的摄像头和麦克风是否打开。 “他们的安全措施真的非常非常非常糟糕。”吉斯告诉TechCrunch。 研究人员在 Ecovacs 机器人中发现的一个问题就是，450 英尺范围内的任何人都可以通过蓝牙控制该设备。一旦攻击者控制了该设备，他们就可以通过 Wi-Fi 连接远程访问机器人。然后，他们可以检索敏感数据，如 Wi-Fi 凭证、保存的房间地图，甚至可以访问摄像头和麦克风。 Giese 解释说，Ecovacs 割草机器人的蓝牙功能始终处于活动状态，而扫地机器人仅在开机后 20 分钟内启用蓝牙，并且每天在自动重启时启用一次，这使得它们更难被黑客入侵。虽然有些型号理论上在摄像头开启时每五分钟会播放一次音频警报，但黑客可以轻松删除此文件，从而使它们在不被发现的情况下运行。 两位研究人员还发现了 Ecovacs 设备的其他几个问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍会保留在 Ecovacs 的云服务器上，这可能导致未经授权的人访问机器人吸尘器，并监视购买二手设备的个人。此外，割草机器人具有以明文形式存储在设备内的防盗 PIN，攻击者可以轻松获取和滥用它。此外，一旦 Ecovacs 机器人受到攻击，它就有可能被用来攻击附近的其他 Ecovacs 机器人。 最初，Ecovacs 发言人告诉 TechCrunch，公司不会解决研究人员发现的漏洞。 数周后，供应商宣布将解决该问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/QgzjNmP4D82ldFxiRyM3Vg 封面来源于网络，如有侵权请联系删除

Meta Platforms 周五成为继微软、谷歌和 OpenAI之后最新一家曝光伊朗APT组织活动的公司，据称该组织利用一组 WhatsApp 账户试图针对以色列、巴勒斯坦、伊朗、英国和美国的个人。 Meta 在公开的新闻稿件中说，该攻击群源自伊朗，“似乎主要针对政治和外交官员以及其他公众人物，其中包括一些与拜登总统和前总统特朗普政府有关的人士” 。 该社交媒体巨头将其归咎于一个被追踪为 APT42 的黑客组织，该组织也被称为 Charming Kitten、Damselfly、Mint Sandstorm（以前称为 Phosphorus）、TA453 和 Yellow Garuda。据评估，该组织与伊朗伊斯兰革命卫队 (IRGC) 有关联。 该组织以使用复杂的社会工程诱饵而闻名，他们利用恶意软件对目标进行鱼叉式网络钓鱼并窃取其凭据。本周早些时候，Proofpoint透露，该组织瞄准了一位著名的犹太人物，并用名为 AnvilEcho 的恶意软件感染他们的机器。 Meta 称，这一“小群” WhatsApp 账户伪装成 AOL、谷歌、雅虎和微软的技术支持，但据信这些努力并未成功，这些账户现已被封禁。 “我们没有看到他们的账户被盗的证据。”Facebook、Instagram 和 WhatsApp 的母公司表示。“我们鼓励向我们举报的人采取措施，确保他们的在线账户在互联网上是安全的。” 目前，美国政府正式指责伊朗试图通过扩大宣传和收集政治情报来破坏美国大选、煽动美国公众的分裂观点并削弱人们对选举过程的信心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/acoqh4IZs3InRqM9BLvhyg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一种新的隐秘 Linux 恶意软件，它利用一种非常规技术在受感染的系统中实现持久性并隐藏信用卡盗刷代码。 该恶意软件被认为是一名以经济利益为目的的攻击者所为，Stroz Friedberg 事件响应服务团队将其代号命名为sedexp 。 研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto表示：“这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供了反向 shell 功能和先进的隐蔽战术。” sedexp 的突出特点是它使用 udev 规则来保持持久性。udev 是设备文件系统的替代品，它提供了一种根据设备属性识别设备的机制，并配置规则以在设备状态发生变化（即插入或移除设备）时做出响应。 udev 规则文件中的每一行至少有一个键值对，从而可以按名称匹配设备，并在检测到各种设备事件时触发某些操作（例如，在连接外部驱动器时触发自动备份）。 SUSE Linux 在其文档中指出：“匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或运行指定程序作为事件处理的一部分。如果未找到匹配规则，则使用默认设备节点名称来创建设备节点。” sedexp 的 udev 规则——ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” ——设置为每当 /dev/random （对应设备次要编号8）加载时就会运行恶意软件，这通常在每次重启时发生。 换句话说，每次系统重启后都会执行 RUN 参数中指定的程序。 该恶意软件具有启动反向 shell 的功能，以便于远程访问受感染的主机，以及修改内存以隐藏任何包含字符串“sedexp”的文件，使其无法被 ls 或 find 等命令发现。 Stroz Friedberg 表示，在其调查的案例中，该功能已被用来隐藏 Web Shell、更改的 Apache 配置文件以及 udev 规则本身。 研究人员表示：“该恶意软件被用来在网络服务器上隐藏信用卡抓取代码，表明其重点是经济利益。sedexp 的发现表明，除了勒索软件之外，以经济为目的的攻击者也变得越来越复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Zifwuv5D57_gQ7eAPFxI1w 封面来源于网络，如有侵权请联系删除

荷兰数据保护局 (DPA) 对 Uber 处以创纪录的 2.9 亿欧元（3.24 亿美元）罚款，因其将欧洲出租车司机的个人数据传输至美国，并未对这些数据进行适当保护。 数据保护监管机构表示，此举严重违反了《通用数据保护条例》（GDPR）。 有关部门发现，Uber 收集了司机的敏感信息，并在美国服务器上保存超过两年，敏感信息包括账户详情、出租车执照、位置数据、照片、付款信息、身份证件，甚至犯罪和医疗数据。 “Uber 让司机申请查看或接收个人数据副本的过程非常复杂。”数据保护机构在 2024 年 1 月指出，“此外， Uber 没有在隐私条款和条件中具体说明其保留其司机个人数据的时间长度，也未说明将数据传送至欧洲经济区以外的国家时采取的具体安全措施。” Uber 在与彭博社分享的一份声明中表示，罚款“完全没有道理”，并计划对这一决定提出异议，称其跨境数据传输流程符合 GDPR 规定。 这并非美国公司首次因在欧盟数据传输中未能提供合理的隐私保护而受到欧盟数据保护机构的打击，这引发了人们对欧洲用户数据可能受到美国监控计划影响的担忧。 第一次是在2018 年，Uber 因未能保护客户和司机的个人数据，使其遭受未经授权的访问而被罚款 60 万欧元。这次网络安全事件影响了全球 5700 万名 Uber 用户。 第二次是在2023年12月11日，Uber在处理欧盟主体的数据时，数据管理做法模糊，DPA 机构对 Uber 处以 1000 万欧元的罚款。 “在欧洲，《通用数据保护条例》（GDPR）要求企业和政府谨慎处理个人数据，以保护人们的基本权利，”DPA主席 Aleid Wolfsen 表示。“然而，这种保护在欧洲以外的地区并不常见。”   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

APT组织执行了“AppDomainManager 注入”，这类似于 DLL 侧加载，但可以说更容易、更隐蔽。 正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。 第一个“GrimResource”是一种新技术，允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二种技巧是“AppDomainManager 注入”，它使用恶意动态链接库 (DLL)，但比传统的侧载更简单。这种技巧已经存在七年了，被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。 NTT 研究人员在一篇新博客文章中表示，自 7 月以来，一个高级威胁组织一直在结合使用这些技术，将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。 GrimResource 的工作原理 攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。 ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上，它是一个管理保存控制台 (MSC) 文件，这是一种用于保存 MMC 内配置和设置的文件类型。 MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改，这些更改可用于从电子邮件中执行有效负载。 这是一种非常有趣且功能强大的文件格式，与许多经常被滥用的常见文件格式相比，它受到的关注较少。 利用此类漏洞的一种技术是GrimResource，它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题，在 MMC 中实现任意代码执行。 在此活动中，攻击者使用它来消除感染过程中的一个步骤：无需让受害者单击 MSC 文件中的恶意链接，只需打开 MSC 文件即可触发嵌入的 Javascript。 然后，恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”，并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的，那么它如何被用来下载恶意软件呢？ 激活 AppDomainManager注入 所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域，这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中，攻击者会使用恶意代码创建一个 AppDomainManager 类，然后诱骗目标应用程序加载该类而不是合法应用程序。 这可以通过配置三个特定环境变量（APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION）来实现，或者像本次攻击活动中的情况一样，上传一个自定义配置文件，该文件只会指示应用程序运行其恶意的 AppDomainManager。 Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说：“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分，它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。 NTT 研究人员写道：“目前，DLL 侧载是执行恶意软件的最常见方法，但 AppDomainManager 注入比 DLL 侧载容易得多，并且人们担心未来利用可能会增加。” 由于发现此类恶意注入非常困难，King 建议采取一种防御方法，在此类攻击发生之前进行阻止。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tRdadOHmncKH4-HLZ5jUWg 封面来源于网络，如有侵权请联系删除

西雅图-塔科马国际机场已确认，周末发生的 IT 系统故障导致预订登机系统中断和航班延误，该故障很可能是网络攻击造成的。 西雅图-塔科马国际机场是西雅图的主要国际机场，也是美国西北地区最繁忙的机场。2023 年，该机场服务了近 5100 万名乘客。该机场是阿拉斯加航空和达美航空的主要枢纽，服务于 91 个国内目的地和 28 个国际目的地。 8 月 24 日星期六，西雅图港警告称，该港和西雅图机场正遭受“可能的网络攻击”导致的持续中断，迫使他们隔离某些关键系统以控制损失。 “西雅图港（包括西雅图机场）正在经历互联网和网络系统中断，这影响了机场的一些系统。建议乘客向航空公司查询航班的最新信息。”西雅图港发布的 X 帖子写道。“今天早上，西雅图港出现某些系统中断，表明可能遭受网络攻击。港口隔离了关键系统，正在努力恢复全面服务，但尚未确定恢复时间。” “我们正在与相关部门和合作伙伴密切合作，以帮助可能受到影响的旅客。如果您今天出行，请与我们的航空公司合作伙伴联系以获取旅行信息，并留出更多时间到达西雅图机场和登机口。” 周日，服务中断仍在继续，机场建议人们通过航空公司网站获取旅行信息，例如其航班对应的登机口号码。 截至撰写本文时，该机场的网站仍处于离线状态，而官方 X 账号警告乘客应执行某些操作，例如通过航空公司应用程序办理即将起飞的航班的登机手续，因为机场内的航站楼仍然处于瘫痪状态。 “西雅图港（包括西雅图机场）的系统中断仍在继续。”机场运营商的最新消息称，“港口团队继续在恢复系统正常运行方面取得进展，但尚未确定恢复时间。” 阿拉斯加航空还通过 X 告知乘客，西雅图机场的行李分拣系统“极其有限”，建议乘客只携带最少的必需品，并尽可能避免托运行李。 建议需要托运行李的旅客在行李标签上写上自己的全名和联系方式。阿拉斯加航空在其网站上告知，这些信息将用于追踪由于当前情况而未在抵达时出现在行李传送带上的行李。 联邦调查局发言人向《西雅图时报》证实，他们“已知悉这一事件，正在与合作伙伴查明事情真相”，但未透露任何其他信息。 目前还没有任何勒索软件团体或其他黑客组织对此次攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-JgsVqyUeVBbSa4sE0ityg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，美国半导体制造公司微芯科技（Microchip Technology）披露，“未经授权的第三方破坏了公司对某些服务器的使用以及部分业务操作。” 微芯科技于周二向美国证券交易委员会（SEC）提交文件披露称，8月17日，该公司“检测到可能涉及其信息技术系统的可疑活动。”公司随后展开调查。8月19日，调查结果确认存在未经授权的访问。该公司采取了隔离相关系统、关闭其他系统等多项措施，并聘请了外部网络安全顾问来确定问题范围。 “由于该事件，公司某些制造设施的运营低于正常水平，公司目前履行订单的能力受到影响。”文件中还承诺，微芯科技正在尽快努力修复问题。 文件没有提及事件原因、对芯片制造商造成的破坏程度，或是否涉及勒索软件。但是，文件提到对受影响的系统进行隔离。这表明未经授权的第三方活动有蔓延到公司IT系统其他部分的潜在风险。 任何芯片制造商的生产能力下降的消息都不容乐观。微芯科技的此次事件尤为令人担忧，因为在2024年1月，拜登政府向该公司拨款1.62亿美元，用于扩大其制造旗舰微控制器的工厂。美国政府称这笔资金将推动美国汽车、国防和航空航天工业的发展。这种表述反映出微芯科技是极其重要的军方供应商。 微芯科技的产品被设计用于关键任务，常用于汽车、飞机、导弹等高速移动的设备，或在恶劣的偏远地区运行的设备。例如，美国航空航天局（NASA）将在其下一代高性能航天计算机（HPSC）中使用微芯科技芯片。 该公司还提供铸造服务。如果此次事件影响了铸造过程，将会对硅材料供应造成严重打击。 针对芯片制造商的网络攻击并不罕见。仅在今年，台积电（TSMC）、安世半导体（Nexperia）和超威半导体公司（AMD）就发生了类似事件。过去此类攻击也屡见不鲜，比如英伟达（Nvidia）在2022年就遭遇了勒索软件事件。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/06ql1QkrlZNR7frnTWgVsw 封面来源于网络，如有侵权请联系删除

Cato Security 发现一种名为 Cthulhu Stealer 的新信息窃取程序，它以 Apple macOS 为目标，窃取大量信息。 Cthulhu Stealer通过伪装成合法软件的 Apple 磁盘映像 (DMG) 攻击 macOS 用户。研究人员发现 Cthulhu Stealer 会冒充 Adobe GenP、CleanMyMac 和 Grand Theft Auto IV 等合法软件的磁盘映像。 恶意代码用 GoLang 编写，在安装 dmg 时，它会提示用户使用 macOSosascript工具输入他们的系统和 MetaMask 密码。 一旦用户输入了凭证，恶意软件就会将其存储在一个目录中，并使用 Chainbreak 转储 Keychain 密码。然后，恶意软件会创建一个包含系统和网络信息的 zip 存档，并向命令和控制 (C2) 服务器发送通知。该恶意软件还会收集系统信息，包括 IP 地址和硬件/软件信息。 “Cthulhu Stealer 的主要功能是从各种商店窃取凭证和加密货币钱包，包括游戏账户。有多个检查器函数可以检查目标文件存储的安装文件夹，通常在“Library/Application Support/[file store]”中。” Cado Security 发布的报告写道:“在 /Users/Shared/NW 中创建一个目录，并将安装文件夹的内容转储到每个商店的文本文件中。” 该恶意软件可以从各种来源窃取各种类型的信息。其中包括浏览器 cookie，它可以让攻击者访问用户会话和存储的密码，以及众多加密货币钱包。例如 Coinbase、MetaMask、Wasabi、Binance、Daedalus、Electrum、Atomic、Harmony、Enjin、Hoo、Dapper、Coinomi、Trust、Blockchain 和 XDeFI 钱包，突显了该恶意软件专注于利用金融数据。 此外，该恶意软件还针对特定的应用程序和服务，窃取 Telegram 的 Tdata 帐户信息、Minecraft 用户帐户，甚至 Battlenet 的游戏相关文件，表明它有可能破坏个人和游戏活动。该恶意软件还可以转储 Keychain 和 SafeStorage 密码。 Cthulhu Stealer 与Atomic Stealer信息窃取程序具有相似的功能和特性，因此专家推测它们可能是由同一开发人员创建的。这两个窃取程序都使用 macOS 命令行工具osascript提示用户输入密码，甚至在提示中包含相同的拼写错误。 Cthulhu Stealer 的开发者和附属机构以 Cthulhu 团队的名义运营，通过 Telegram 进行交流并以每月 500 美元的价格出租他们的恶意软件。联盟会员负责部署恶意软件，并从主要开发者那里获得一定比例的收益。Cthulhu Stealer 已在两个知名恶意软件市场上出售，并在 Telegram 上做广告。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/KSzkYjbmLyXcCju5DFSLGw 封面来源于网络，如有侵权请联系删除

SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

Atlassian 发布了 2024 年 8 月安全公告，详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。 Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁，其中包括一个经过身份验证的远程代码执行漏洞，其漏洞编号为 CVE-2024-21689。 第二个漏洞是一个拒绝服务 (DoS) 安全缺陷，影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857，无需身份验证即可利用。 针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷，包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题，该问题可能被未经身份验证的攻击者利用。 第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题，编号为 CVE-2024-21690，它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 该公司解释说，攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。 Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262，均会影响该产品使用的 Spring Framework。 该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750，可导致 DoS 攻击。 Atlassian 在其安全公告中表示，针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用，但建议用户尽快更新其安装。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yLPxy0MQx1vzpF4acGJS-g 封面来源于网络，如有侵权请联系删除

黑客使用有效的管理员凭据获得了对交换机的访问权限，然后从应用程序级别“越狱”到操作系统级别。 进一步的证据表明，经验丰富的攻击者越来越多地攻击边缘设备和网络设备，以提高隐身性和持久性：在这个案例中，一个名为“Velvet Ant”的黑客组织实力雄厚，但却鲜为人知。 2024 年 7 月 1 日，思科发布了一份公告，详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。 同一天，Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。 Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。 Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子，用户访问权限有限，通常没有日志记录，安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。 在一篇新博客文章中，Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡，并最终危及思科交换机的安全。 Nexus 交换机运行 NX-OS。它具有分层架构，包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务，但不能（或不应该）直接访问受保护的操作系统级别。交换机的管理与操作系统分离，并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。 在可见性方面，操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统，因此几乎不可能扫描到入侵指标。”研究人员指出。 在这起事件中，Velvet Ant 首先使用有效的管理员凭据访问了交换机，然后从应用程序级别“越狱”（使用命令注入漏洞）进入操作系统级别。攻击者通过应用程序级别访问网络，并在操作系统级别实现隐藏持久性。 该漏洞编号为CVE-2024-20399，仍在等待 NVD 分析。思科公告将其评为中等严重性等级，漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。” 通过控制交换机，Velvet Ant 能够直接转向网络上的其他设备，而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。 研究人员表示：“这种访问使攻击者能够提升对交换机的控制权，使他们能够执行恶意脚本并操纵系统，超出预期的管理能力。” 该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间，Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件，并被追溯到交换机。 Velvet Ant 在利用后删除驻留证据。尽管如此，Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell（Unix 后门）和 3proxy 的混合构造。 虽然这些工具长期以来一直被单独用于恶意目的，但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下，它可以执行任意命令、下载和上传文件，以及创建用于代理网络流量的隧道。简而言之，它对受感染系统提供了广泛的控制，既可以实现数据泄露，也可以实现持续访问。 最初的0day漏洞（现已被思科修补）并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。 如果能做到这一点，攻击者可以利用该漏洞访问和控制交换机操作系统，并从那里访问和利用其他设备，同时保持对网络安全堆栈的隐藏。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JC3ml71XHISjRWIepP4Ocg 封面来源于网络，如有侵权请联系删除

集体诉讼索赔管理公司 Arden Claims Service 通知约 139000 人，称他们的个人信息在 2023 年 10 月的数据泄露事件中被盗。 事件发生在 10 月 17 日，该公司发现一个电子邮件账户存在异常活动。确保账户安全后，Arden Claims Service 展开了调查，并发现第三方于 10 月 3 日左右未经授权获取了部分数据。 该公司于 2024 年 8 月 6 日完成了对被盗数据的审查，并于 8 月 14 日向可能受影响的个人发送了书面通知。 通知信已提交给缅因州和佛蒙特州总检察长办公室，信中表示被窃取的数据包括姓名及其他个人身份信息。 虽然该公司在其新的监管文件中没有提供泄露信息的具体细节，但在一月份提交给缅因州审计院的文件中提到社会安全号码也在此次数据泄露中被盗。 Arden Claims Service 向缅因州税务总局表示，此次事件可能影响了约 138890 人。 集体诉讼和解管理员正向可能受影响的个人提供免费的身份保护服务，包括信用和暗网监控、身份欺诈损失补偿政策及身份盗窃恢复服务。 目前尚不清楚此次数据泄露是否由针对 Arden Claims Service 的勒索软件组织造成。SecurityWeek 尚未发现任何勒索软件组织对此事件负责。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

AppOmni 的网络安全研究人员警告称，Oracle NetSuite SuiteCommerce 平台存在数据泄露风险，可能使攻击者能够访问客户的敏感信息。 NetSuite 是一个广泛使用的 SaaS 企业资源规划 (ERP) 平台，它允许通过 SuiteCommerce 或 SiteBuilder 部署面向外部的在线商店。这些商店托管在 NetSuite 租户的子域上，未经身份验证的客户可以直接从企业浏览、注册并购买产品。 问题的根源不在于 NetSuite 解决方案本身，而在于自定义记录类型（CRT）的访问控制配置错误，这可能会泄露客户的敏感信息。 暴露的数据包括注册客户的个人身份信息（PII），如完整地址和手机号码。 攻击者可能会利用 NetSuite 中配置为“无需权限”访问的自定义记录类型 (CRT)，通过 NetSuite 的记录和搜索 API 获取数据。然而，要成功发动攻击，攻击者需要事先知道正在使用的 CRT 的名称。 “我们还需要假设未经身份验证的参与者知道 CRT 的名称。在本文发表之前，曾有一种方法可以检索所有 CRT 的名称，但这个问题已经得到解决。”研究人员发布的报告写道。“如今，还有两种方法可以检索 CRT 名称： 使用由 Github 等公共资源整理的流行 CRT 名称组成的单词列表，对下面第一步中显示的 API 端点进行暴力破解。 通过观察与网站交互时的 HTTP 流量，在响应中查找以“customrecord_”为前缀的字符串。” 为了降低风险，管理员应加强对自定义记录类型 (CRT) 的访问控制，限制公众对敏感字段的访问，并考虑暂时使受影响的站点脱机以防止数据泄露。 “解决这些数据泄露问题的最可靠方法是加强 CRT 的访问控制。从安全角度来看，最简单的解决方案可能是将记录类型定义的访问类型更改为设置更改为‘需要自定义记录条目权限’或‘使用权限列表’ ”。报告总结道。 实际上，许多组织确实有业务需求，需要公开记录类型中的某些字段。因此，管理员应该开始评估字段级别的访问控制，并确定哪些字段（如果有）需要公开。对于必须锁定以防止公共访问的字段，管理员应进行以下两项更改： 默认访问级别：无 搜索/报告的默认级别：无   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文