HackerNews

10月12日，广东省教育厅发布声明： 近日，发现有不法分子入侵我厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。我厅已第一时间向公安机关报案，并配合开展调查。请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。 此前，社交媒体上有用户表示，收到一条来自“广东省教育厅”的短信，写着“成人电影”。 文章来源：综合正观新闻、南方都市报 转自安全内参，原文链接：https://www.secrss.com/articles/71121 封面来源于网络，如有侵权请联系删除

由于2014年至2020年期间发生的多起重大数据泄露事件，影响了全球超过3.44亿人，10月9日，万豪同意支付5200万美元（约合人民币3.67亿元）罚款，并制定一项全面的信息安全计划。 达成用户赔偿和安全改进的和解协议 这是当日宣布的两项和解协议之一。第一项是万豪与美国49个州总检察长及华盛顿特区组成的联盟之间达成的和解协议。这一联盟在网络入侵者窃取了包括部分财务信息在内的敏感客户信息后发起调查。该笔5200万美元赔偿将分配给所有50位联盟成员。 第二项是万豪与美国联邦贸易委员会（FTC）达成的和解协议，要求万豪国际及其子公司喜达屋酒店及度假酒店国际集团（下称“喜达屋”）在未来20年内实施更严格的网络安全措施，并向FTC证明其合规情况。此外，万豪还需为客户提供便捷的方式，允许他们请求删除酒店已收集的个人信息。 正如惯例，依据酒店官网和两项协议声明，万豪在同意和解的同时，并未承认任何与相关指控有关的责任。 声明还指出：“作为与FTC和州总检察长达成解决方案的一部分，万豪将继续强化其数据隐私和信息安全计划，许多措施已经在实施或正在推进中。” 声明补充道：“例如，万豪为美国客户提供了请求删除个人信息的流程，并为万豪旅享家（Marriott Bonvoy）会员开设了在线门户，允许他们报告可能存在的可疑账号活动。此外，万豪还为旅享家账号引入了多因素身份验证功能。” 万豪数年内发生多起重大数据泄露事件 这两项调查的源头是2014年至2020年间发生的一系列网络入侵事件，这些事件涉及管理着全球超过7000家酒店万豪以及其在2016年收购的喜达屋集团。 根据FTC起诉书，首次数据泄露事件涉及超过4万名喜达屋客户的支付卡信息。 在万豪宣布收购喜达屋的四天后，喜达屋通知客户，数据窃贼自2014年6月起在其网络中潜伏了14个月，期间窃取了客户姓名和卡号，直到系统将其驱逐。 第二次数据泄露始于2014年7月，并持续了四年多，直到2018年9月才被发现。此次入侵涉及超过3.39亿条喜达屋客户记录的泄露，其中包括525万份未加密的护照号码。 第三次数据泄露发生于2018年9月，影响了万豪网络，且耗时近两年，直到2020年2月才被察觉。入侵者在此期间窃取了180万美国人的姓名、实际地址和电子邮件地址、电话号码、出生月份和日期，以及忠诚会员账号信息。 万豪内部安全控制极为薄弱，将实施改进计划 起诉书指出，所有这些数据泄露事件的发生源于万豪和喜达屋极为薄弱的安全措施，包括不当的密码管理和访问控制、缺乏有效的网络分段和软件补丁程序，以及多因素身份验证未普及，日志和网络监控也十分不足。 为了了结这些指控，万豪同意向前述美国各州和首都华盛顿支付5200万美元赔偿。但是，该公司一如既往地否认有任何过失。为便于理解这一金额大小，万豪这一全球酒店巨头在2023年的收入约为237.1亿美元，因此5200万美元对它来说几乎无关痛痒。 此外，万豪还同意实施一系列措施，旨在提高其数据安全性，并尽可能减少客户信息的收集。这些措施包括仅保留为实现特定信息收集目的所必需的个人信息。 根据协议，万豪还需提供一个链接，供客户请求删除与其电子邮件或忠诚奖励计划账号相关的任何个人信息。 此外，万豪和喜达屋还必须根据协议建立一个信息安全计划，每两年由独立的第三方评估，该计划包括多因素身份验证、网络分段和数据加密等措施。 最后，两家公司还需为消费者提供一种方式，允许他们审查其万豪旅享家忠诚会员账号中的任何未经授权的活动。万豪还承诺恢复任何被网络犯罪分子盗取的忠诚会员积分。 参考资料：https://www.theregister.com/2024/10/09/marriott_settlements_data_breaches/     转自安全内参，原文链接：https://www.secrss.com/articles/71101 封面来源于网络，如有侵权请联系删除

图片来源：Cybernews 据悉，远程招聘平台Snaphunt已经泄露了20多万份工作简历。此次泄露全方位暴露了求职者的个人数据，使其面临身份被盗等高危风险。 8月5日，Cybernews研究团队发现了一个配置错误的亚马逊AWS S3存储桶。储存桶中包含超过28万个数据文件，其中就有2018年至2023年的求职者简历。 简历泄露归因于新加坡的招聘平台Snaphunt总部，该平台在全球范围内运营，为亚洲、欧洲和中东在内的各个地区的客户和求职者提供服务。 该平台主要通过人工智能和数据驱动工具实现雇主与求职者的联系，根据候选人的技能、经验和偏好将他们与各个工作机会进行匹配。 泄露的简历中包含了大量私人信息，任何人都可以自由地查看访问，使求职者们面临着严重的信息安全威胁。 泄露的文件数量。来源：Cybernews 哪些数据被泄露了？ 姓名 电话号码 电子邮件地址 出生日期 国籍和出生地 社交媒体链接 就业经历和教育背景 互联网犯罪分子很可能会使用此类高度敏感的信息进行身份盗窃，其中个人信息很可能被用于创建虚假身份或欺诈性帐户。 简历中所涉及的广泛背景信息，很容易使求职者遭受复杂的鱼叉式网络钓鱼的攻击。犯罪分子可以利用泄漏的信息冒充合法组织或个人，使犯罪分子在未经授权的情况下，即可访问金融账户、凭证或其他敏感数据。 泄露的简历。来源：Cybernews 一位Cybernews研究员解释说：“社会工程攻击的可能性很高，因为攻击者可以冒充虚假招聘机构或者是利用泄露的数据渗透到专业网络，传播恶意软件亦或是提取进一步的机密信息。” Cybernews联系了该公司，强调对此后私人数据的访问保障，但尚未收到官方回复。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。 这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。 这些漏洞可让攻击者： 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)； 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)； 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)； 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。 这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。 Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。 对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015： 将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。 有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300739 封面来源于网络，如有侵权请联系删除

G DATA 安全实验室（G DATA Security Lab）最近发现了一个利用流行代码托管平台 Bitbucket 部署著名远程访问木马AsyncRAT （RAT）的复杂恶意软件活动。报告称，攻击者采用了多阶段攻击策略，利用 Bitbucket 托管和分发恶意有效载荷，同时躲避检测。 图片来源：安全客 恶意软件操作员使用多层 Base64 编码来混淆代码，掩盖攻击的真实性质。报告解释说：“在剥开这些层级后，我们能够揭开整个事件的来龙去脉，以及我们在分析 AsyncRAT 有效载荷传输时发现的关键入侵指标（IOC）。” Bitbucket 作为软件开发平台的合法声誉使其成为网络犯罪分子青睐的目标。 Bitbucket 资源库托管各种恶意有效载荷，包括 AsyncRAT。 Bitbucket 这个流行的代码托管平台来托管恶意有效载荷，为传播恶意软件提供了 “合法性 ”和 “可访问性”。 攻击开始于一封包含恶意 VBScript 文件的钓鱼邮件，该文件名为 “01 DEMANDA LABORAL.vbs”，可执行 PowerShell 命令。这个初始阶段通过多层字符串操作和 Base64 编码混淆和传递有效载荷。 报告指出：“VBScript 构建并执行 PowerShell 命令，有效地将攻击过渡到下一阶段。” 在第二阶段，PowerShell 脚本从 Bitbucket 资源库下载一个文件。这个名为 “dllhope.txt ”的文件是一个 Base64 编码的有效载荷，它被解码为一个 .NET 编译文件，从而揭示了 AsyncRAT 恶意软件的真实本质。 一旦成功发送，AsyncRAT 就能让攻击者完全远程控制受感染的系统。 G DATA 的分析证实：“AsyncRAT 为攻击者提供了对受感染机器的广泛控制，使他们能够执行各种恶意活动。这些活动包括远程桌面控制、文件管理、键盘记录、网络摄像头和麦克风访问以及执行任意命令。” 报告还强调了攻击者利用反虚拟化检查来避免在沙盒环境中被发现。 G DATA 表示：“如果标志参数包含‘4’，代码就会检查是否存在 VMware 或 VirtualBox 等虚拟化工具，从而避免分析。持续性是通过多种机制建立的，包括修改 Windows 注册表和创建启动快捷方式，确保恶意软件即使在系统重启后也能保持活跃。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300743 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）已与一家交易公司达成和解，该公司涉嫌在声称使用人工智能（AI）进行加密货币和其他资产的自动交易方面向投资者撒谎。 美国证券交易委员会（SEC）周四表示，投资公司 Rimar LLC 和 Rimar USA 的所有者兼首席执行官伊泰-利普兹（Itai Liptz）和 Rimar USA 董事会成员克利福德-博罗（Cliffard Boro）声称可以使用人工智能交易加密货币、股票、债券和其他投资，从而从 45 名投资者手中筹集了近 400 万美元。 但实际上，该公司并没有使用人工智能，美国证券交易委员会称，使用新兴技术的说法只是用来愚弄投资者的 “流行语”，该机构称之为 “人工智能洗盘”。 总部位于加利福尼亚州伯林格姆的 Rimar USA 同意和解指控，并支付总额 31 万美元的民事罚款，但不承认或否认监管机构的调查结果。 美国证券交易委员会资产管理部门联席主管安德鲁-迪恩（Andrew Dean）在周四的一份新闻稿中说：“利普兹通过他控制的实体，以多种捏造的事实，包括有关最新人工智能技术的流行语，引诱投资者和客户。” 诉讼还称，尽管 Rimar 声称拥有 “一个人工智能驱动的平台，用于交易股票和加密资产等产品”，但实际上它 “在集资时根本没有交易应用，也从未有过股票或加密资产交易平台”。 美国证券交易委员会表示，Liptz 同意支付总额为 213611 美元的罚没款和预审利息，支付 25 万美元的民事罚款，并被禁止投资公司和结社。同时，Boro 同意支付 60,000 美元的民事罚款，Rimar LLC 同意接受谴责。 华尔街监督机构美国证券交易委员会今年 1 月警告公众，一些 “不良行为者可能会使用朗朗上口的人工智能相关流行语 ”来欺骗潜在投资者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300747 封面来源于网络，如有侵权请联系删除

经过多年的缺失，Coinbase 用户终于可以获得一项重大升级：向 Taproot 地址发送比特币的功能。 本周二，Coinbase 解决了这一空白，允许其数百万用户利用 Taproot 的隐私和节约成本功能，“创建访问更多链上目的地的途径”。 自 2021 年 11 月 Taproot 推出以来，Coinbase 用户一直无法充分利用该升级功能。 在此次更新之前，许多Coinbase用户报告称，在向Taproot地址发送比特币时遇到困难，导致延迟和交易失败。 通过新的整合，Coinbase 用户可以向 Taproot 地址发送比特币，加入 OKX、Binance 和 Kraken 等平台的行列。 作为自2017年SegWit以来最大的比特币升级，Taproot承诺加强隐私保护，但Coinbase用户多年来一直被抛在后面。 Taproot 由比特币核心开发者格雷戈里-麦克斯韦尔（Gregory Maxwell）提出，它使用施诺尔签名（Schnorr signatures），将复杂的交易压缩成更小、更高效的数据包。 这减少了存储在区块链上的信息量，提高了可扩展性，降低了交易费用。 通过 Taproot 升级，复杂的交易（如需要多个签名的交易）看起来就像标准的比特币转账。这就限制了公共区块链上暴露的数据量，使追踪交易变得更加困难。     转自安全客，原文链接：https://www.anquanke.com/post/id/300753 封面来源于网络，如有侵权请联系删除

据OpenAI本月最新发布的报告《Influence and cyber operations: an update》，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。 该组织与伊斯兰革命卫队（IRGC）有关，利用AI工具进行侦察、编码和漏洞研究，攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供奖励。 CyberAv3ngers利用AI寻找默认密码和漏洞，编写bash和Python脚本，增强攻击能力。这表明网络战正转向利用AI制定全面网络攻击战略，对传统安全措施构成挑战，需采取新的防御措施。 OPENAI的结论认为，AI为防御者提供了强大的能力，以识别和分析可疑行为，缩短了分析步骤的时间。威胁行为者通常在活动中期使用AI模型，如在获取基本工具后和部署最终产品前。尽管威胁行为者不断尝试，但没有证据表明他们能通过AI创造新的恶意软件或建立病毒式受众。 事件缘起 伊朗与政府有关联的黑客迅速成为精通技术的工程师。起初只是协助侦察，但很快就升级为更为险恶的行为。伊朗伊斯兰革命卫队(IRGC)关联组织“CyberAv3ngers”一直在使用ChatGPT等人工智能模型，对工业控制系统(ICS)和可编程逻辑控制器(PLC)发起新一轮网络攻击。OpenAI的最新发现表明，随着这些攻击者不断突破网络战的界限，他们的活动反映出人工智能和民族国家黑客攻击日益融合的现象。 据OpenAI称，CyberAv3ngers使用人工智能工具来协助侦察、编码和漏洞研究。人工智能模型不仅仅是被动的信息来源。相反，该组织积极寻求有关调试脚本和收集已知ICS漏洞情报的指导。OPenAI的最新报告中列出了该组织向Chatgpt提问的类型，大致有如下17种情形。 目标明确：针对关键基础设施 据悉，CyberAv3ngers最近的行动集中在以色列、美国和爱尔兰的高价值目标上，利用开源工具来攻击水系统、电网和制造设施中的弱点。 2023年末，他们破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市供水局。美国国务院还确定了与该威胁组织有关的六名伊朗黑客，他们参与了针对美国水务公司的一系列网络攻击。该部门为任何提供有关这些黑客的信息的人提供了丰厚的奖励。 这些事件表明，威胁组织能够利用默认口令和PLC中的已知漏洞来利用安全性较差的工业网络。 CyberAv3ngers专门破坏关键基础设施，瞄准工业控制系统中的薄弱环节，工业控制系统通常管理水利、能源和制造业的关键业务。他们的行动对国家安全构成直接威胁，利用人工智能洞察力和传统攻击方法相结合。 使用LLM：用AI助力侦察和编写脚本 黑客对大型语言模型(LLM)的依赖反映了网络攻击者越来越倾向于自动化部分攻击生命周期。通过ChatGPT等 AI工具，CyberAv3ngers寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。每个请求都代表着精心策划的努力，以增强他们执行ICS特定攻击的工具包。 OpenAI表示：“虽然之前关于该威胁行为者的公开报道主要集中在他们对ICS和PLC的目标上，但从这些提示中，我们能够识别出他们可能试图利用的其他技术和软件。” 例如，该组织利用人工智能协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。 AI驱动攻击：有限但危险 虽然CyberAv3ngers利用LLM来协助他们的侦察活动，但他们获取的信息并不具有开创性。他们获取的大部分知识都可以通过搜索引擎或公开的网络安全资源等传统方法找到。在这种情况下，人工智能的作用是渐进式的，帮助他们自动执行繁琐的任务，而不是提供全新的漏洞利用。 尽管如此，他们对人工智能的依赖也凸显了利用机器学习支持国家黑客攻击的潜在危险。即使是有限的增量收益，在针对关键基础设施部署时也会产生重大影响。 AI将为谁所用？ 使用人工智能工具入侵工业控制系统揭示了网络战的下一步，现在网络战似乎正在从信息战转向制定全面网络攻击的战略。像CyberAv3ngers这样的民族国家行为者正在利用人工智能来加快攻击准备，以以前无法想象的效率和规模探测工业系统。这一新兴趋势对传统安全措施提出了挑战，并要求安全专业人员（尤其是能源和水利等行业的安全专业人员）采取新的防御措施来抵御人工智能辅助攻击。 与攻击者主动积极利用AI/LLM相反的是，在工业领域AI的应用尚处于初级阶段。10月8日SANS发布的《2024 ICS/OT网络安全调查报告》显示，关键基础设施安全方面较2019年已取得很大起步，但仍存在重大差距。报告的关键发现中有一条，即有限的人工智能应用：人工智能在很大程度上仍处于实验阶段，由于缺乏用例和安全性/可靠性问题，很少有组织将其应用于ICS/OT。 随着人工智能模型变得越来越复杂，风险也随之增加。现在至关重要的是组织如何预测和缓解这些人工智能驱动的威胁。采取主动措施，例如加强密码、修复众所周知的漏洞以及持续监控 ICS 网络，可以帮助组织领先于攻击者。 在网络攻击可能破坏整个城市的供水或对电网造成严重破坏的时代，风险从未如此之高。安全专业人员需要将人工智能视为防御者的工具和攻击者的武器。 CyberAv3ngers最近的活动证明，人工智能虽然是一种强大的创新工具，但也为试图破坏关键基础设施的恶意行为者打开了新的大门。网络安全社区现在应该尽快关闭这些大门，以免为时已晚。 随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。 参考资源： https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/ https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf3 https://www.sans.org/press/announcements/2024-ics-ot-cybersecurity-survey-reveals-significant-progress-while-highlighting-that-major-gaps-remain-in-securing-critical-infrastructure/     转自FreeBuf，原文链接：https://www.freebuf.com/news/412521.html 封面来源于网络，如有侵权请联系删除

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除

图片来源：安全内参 一名安全研究人员透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险。 这则消息表明，尽管公司和研究人员在人工智能研究上突飞猛进，但保护这些工具，仍需要依赖适用于其他类型账号的通用账号安全和身份验证最佳实践。 Reddit的安全研究人员兼首席安全工程师Charan Akiri在其研究报告中指出：“除了机器学习（ML）模型本身，暴露的数据还可能包括训练数据集、超参数，甚至有时是用于构建模型的原始数据。” 暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。 Akiri在研究报告中写道：“这种配置错误使得未经授权的人员能够访问、下载，甚至运行敏感的机器学习模型和数据集。这类暴露事件本不应发生，因为这些平台应该仅限于内部使用。” Akiri指出，他们已经能够识别出部分暴露实例的所有者，但他强调，“这只是整体暴露的一小部分，实际上可能还有许多公司尚未被我们识别出来。” 其中一家公司是日本的半导体制造商瑞萨电子（Renesas Electronics）。Akiri表示，通过控制面板证书中的线索，他们确认了一个机器学习工具属于瑞萨电子。外媒404 Media联系瑞萨电子请求对此事发表评论后，瑞萨电子立即撤下了暴露的控制面板，Akiri也通知了该公司这一问题。然而，瑞萨电子最终未对评论请求作出回应。 404 Media在访问几个可以通过开放互联网找到的MLFlow实例时，发现控制面板提供了创建“新运行”的选项。用户还能查看之前的实验记录，通常还能够执行与原用户相同或类似的任务。Akiri表示，他们发现了大约5000个暴露的MLFlow实例。 参考资料：https://www.404media.co/thousands-of-internal-ai-training-datasets-tools-exposed-to-anyone-on-the-internet/     转自安全内参，原文链接：https://www.secrss.com/articles/71040 封面来源于网络，如有侵权请联系删除

图片来源：therecord 互联网档案馆表示，黑客在窃取了其平台3100万用户的数据后，仍在继续攻击。 这家非营利性数字图书馆运营着存档网页的WayBack Machine，在分布式拒绝服务（DDoS）攻击后于周三脱机。 互联网档案馆的创始人Brewster Kahle表示，在抵御了DDoS攻击中所使用的垃圾网络流量后，网站本身遭到了破坏。黑客还窃取了所有注册用户的用户名、电子邮件和加密密码。 Kahle表示，虽然互联网档案馆禁用了漏洞来源，清理了系统并升级了安全性。但当DDoS攻击于周四卷土重来，使得Internet Archive网站和OpenLibrary平台再次下线。 Kahle说：“互联网档案馆正在谨慎行事，优先考虑以牺牲服务可用性为代价来保护数据安全。我们将分享更多我们所知道的信息。” 后来，一群名为SN_BLACKMETA的黑客表示是其发动了攻击。研究人员指出，虽然该组织的大部分帖子都是用俄语写的，工作时间与莫斯科时间一致，但该组织的确针对中东各地的机构进行了强大的DDoS攻击。 该组织的X和Telegram帖子表明他们位于俄罗斯的斯塔拉亚，一再宣称他们正在对巴勒斯坦的反对者发动袭击。 美国东部时间周四下午早些时候，互联网档案馆离线消息的屏幕截图 黑客声称他们针对互联网档案馆，“因为档案馆属于美国，众所周知，这个可怕而虚伪的政府支持恐怖主义国家‘以色列’正在进行的种族灭绝。” 事件发生在周三晚上，隐私专家Troy Hunt表示，黑客联系了他，他们声称从互联网档案馆窃取了用户信息。 HaveIBeenPwnd服务的运营者Hunt，提供了有关被盗信息可能来自何处的更多细节，并表示黑客于9月30日联系了他，但他只能在10月5日查看文件。第二天，他联系了互联网档案馆，告诉他们，他计划在72小时内将被盗信息添加到自己的平台上。 HaveIBeenPowned（HIBP）得让用户知道他们的服务或网站登录信息是否被泄露。Hunt说，他在10月8日再次联系了互联网档案馆，让他们知道他计划在10月9日将信息放入他的平台。 Hunt说：“就在数据加载到HIBP时，它们会被污损和DDoS攻击。最后一点的时机似乎完全是巧合。它也可能涉及多方，当我们谈论违规+污损+DDoS时，这显然不仅仅是一次攻击。” Hunt又补充道，一旦互联网档案馆恢复运行，每个人都应该在网站上更改密码。 他说：“很显然，档案馆是一个非营利组织，做着出色的工作，提供了许多我们所依赖的服务。我希望能尽早看到这一事件被披露，了解他们受到攻击的始末。我认为每个人都应该放松一下。” BleepingComputer证实，泄露数据中的一些电子邮件是合法的。 SN_BLACKMETA今年对中东的一家金融机构发起了强大的DDoS攻击，其Telegram订阅源中充满了，批评阿拉伯联合酋长国政府支持以色列和涉嫌参与当前苏丹内战的信息。 除了阿联酋，该组织还袭击了阿兹雷尔国际机场和沙特国防部。 因为该组织在3月份继续开展活动，加拿大和法国的基础设施组织，以及以色列和特拉维夫证券交易所的电信公司也受到了攻击。2024年5月和6月，他们将目标扩大到微软、雅虎和Orange等科技巨头。     消息来源：therecord，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本周三，OpenAI方表示，自今年年初以来，它已经成功干扰了全球20多个，试图将其平台用于恶意运营和欺诈的网络活动。 它们主要采取了：调试恶意软件，为网站撰写文章，为社交媒体帐户生成传记，以及为X上的假帐户创建人工智能生成的个人资料图片的举措。 这家人工智能（AI）公司表示：“威胁者不断进化并持续使用我们的模型，但我们并未发觉其创建实质性新恶意软件或建立病毒受众的能力有真正意义上的突破。” 除此之外，OpenAI方还表示，它扰乱了在美国、卢旺达的选举以及较小程度上与印度和欧盟相关的社媒活动。这些网络都没有吸引到病毒式的参与或持续的受众。 这包括一家名为STOIC（也称为Zero Zeno）的以色列商业公司所做的努力，正如Meta和OpenAI今年5月初披露的那样，该公司在社交媒体上发表了关于印度选举的评论。 OpenAI强调的一些网络操作如下： SweetSpecter，疑似是以中国为基地的对手，利用OpenAI的服务进行LLM知情的侦察、漏洞研究、脚本支持、异常检测规避和开发。还观察到，它对OpenAI员工进行了失败的鱼叉式网络钓鱼的企图，以提供SugarGh0st RAT。 Cyber Av3ngers是隶属于伊朗伊斯兰革命卫队（IRGC）的团体，使用其模型对可编程逻辑控制器进行研究。 Storm-0817，来自伊朗的威胁者，使用其模型进行调试，能够收集包含敏感信息的Android恶意软件，通过Selenium抓取Instagram个人资料，并将LinkedIn个人资料翻译成波斯语。 该公司表示，在其他领域，它也采取了各种措施来阻止多个集群，包括代号为A2Z和Stop News的操作。这些帐户生成了英语和法语内容，以便日后在各类网站和社交媒体帐户上发布。 研究人员Ben Nimmo和Michael Flossman说：“[Stop News]在图像使用方面异常丰富。其许多网络文章和推文都附有DALL·E生成的图像。这些图像通常是卡通风格，以明亮的调色板或戏剧性的色调来吸引注意力。” 经OpenAI Bet Bot和Corrupt Comment识别发现，其网络使用API在X上与用户生成对话，并向他们发送赌博网站的链接，以及在X上制造评论。 近两个月前，OpenAI禁止了一组与伊朗Storm-2035秘密行动有关的账户，该行动利用ChatGPT生成内容，这些内容主要关注即将到来的美国总统大选。 Nimmo和Flossman写道：“威胁者对我们模型的使用主要在活动中期——即在他们获得了互联网接入、电子邮件地址和社交媒体帐户等基本工具之后，以及在他们通过一系列分销渠道在互联网上部署社交媒体帖子或恶意软件等‘成品’之前。” 在网络安全公司Sophos上周发布的一份报告中显示： 生成性人工智能可能会被滥用，通过微目标电子邮件传播量身定制的错误信息。 这意味着滥用人工智能模型来编造政治竞选网站、生成政治人物角色，以及根据竞选要点针对性发布电子邮件，从而实现了新的自动化水平，使大规模传播错误信息成为可能。 研究人员Ben Gelman和Adarsh Kyadige表示：“这意味着用户可以通过简易的配置生成任何内容，从良性的竞选材料到错误信息和恶意威胁不等。” 错误信息的影响会使受众与本不支持的候选人结盟，或与他们自认喜欢的候选人意见相左。     消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

能源行业是国家经济发展的命脉和基础设施的重要组成部分。在实网攻防演习中，能源行业因其关键性和广泛影响力，成为安全防御的重要考验对象。2024攻防演练期间，某头部能源企业选择携手360数字安全集团，构建网络安全防御体系，保障演练期间业务系统持续稳定运行，为能源安全发展提供有力支撑。 360数字安全集团深入调研了该企业业务情况、梳理信息资产、评估安全风险、制定防护策略，成立演习指挥部，设置多个作战单元和服务小组，基于360本地安全大脑平台为该企业构建安全运营服务体系。在360本地安全大脑与安全大模型强强联合下，数字员工与防守队员相配合，实现日均处理日志50亿条，自动封禁6.56万个恶意IP，监测到近100封恶意邮件，日均节省23.17人天运营成本，防御体系防护率达100%，实现攻防演练全流程覆盖。 安全大模型攻防实战AI军团交上满分答卷 360 AI军团由360安全大模型加持，以7*24小时在岗的工作效率和能力，助力广大政企单位省时省力、高质高效地实现常态化安全运营。针对该能源企业大体量、多分支等特点，防守队在暴露面梳理、邮件检测、分析研判、威胁溯源等场景应用使用数字员工，打响智能化攻防演练第一枪。 演练前 在安全大模型加持下，360攻防演练数字员工从域名、IP、网站、端口、服务、组件、公众号等维度对该企业暴露在互联网上的资产进行梳理和漏洞扫描，发现该企业资产2000余个，处理分支机构影子资产，发现并修复潜在安全风险和漏洞。 演练期间 360告警研判数字员工基于监测流量、终端、邮件、服务器等告警信息，根据攻击载荷、威胁情报，进行告警自动关联分析研判，累计为该企业研判近20000条复杂场景威胁告警，研判准确率达70%，日均节省23.17人天运营成本。360攻击溯源数字员工则针对攻击者信息、威胁情报进行智能溯源，输出完整的攻击链路图，直观呈现攻击全过程，简化了以往需经验丰富的安全运营人员在多个平台间进行数据提取的操作，进而提速威胁研判和处置。 值得一提的是，360邮件溯源数字员工基于智能语义、威胁特征等维度不断提升检测能力。利用邮件网关拦截过滤后的原始邮件分析并检测出近100封恶意邮件，包含黑灰产、营销推广、窃取数据等类型，其中发现15封钓鱼邮件，有效补充邮件网关的防护能力。 演练后 360攻击溯源数字员工全面总结威胁情报工作成果，输出《专项威胁情报总结报告》，为该能源企业出具了总结报告和整改建议，根据报告，该能源企业制定并实施了一系列安全加固措施，优化安全策略和响应预案，加强了对关键业务系统的监控和防护，确保在遭受攻击时能够迅速响应和恢复。 本脑+大模型强强联合 助力安全运营“自动驾驶” 通过持续的规则优化和告警降噪，将降噪率提高至83.24%，其中，严重、紧急级别的告警降噪率为98.74%，极大的提升了防守队安全运营效率。同时，基于流量数据利用威胁情报，增强了网络安全综合监测能力。通过引入自动化响应处置能力，实现“一点监测，全局阻断”，攻防演练期间自动封禁6.56万个恶意IP，自动化封禁率达96%。通过多租户和多用户模式构建集团总部与二级企业联防联控，构建了一体化安全运营平台，在演练期间平台运行稳定，为演练工作提供了重要技术支撑。 360 BAS（360抗攻击能力评估系统）基于本脑平台，以攻击者视角对防御效果进行量化评估，及时向防守队反馈当前防御体系有效性指标数据，推动防御体系安全加固。在现有防御体系无法及时做出应对措施时，防守队可通过本脑平台快速“补位”，构建威胁监测分析规则，及时补全防御体系的“临时短板”。同时，360 BAS可针对重点安全事件进行复盘分析，基于本脑平台灵活配置对应的威胁场景验证方案，并结合安全事件制定近500个专项场景用例周期性持续进行验证，辅助防守队及时掌握防御体系防护有效性。攻防演练期间，基于BAS评估结果，共新增258条威胁监测分析规则，持续利用本脑平台“查漏补缺”，提升整体防护效果。 此外，为了给安全团队提供独立安全工作入口，以便其聚焦精力，快速投入到部署、备战、迎战、实战、总结等阶段相关工作，360为该能源企业建立了专项作战室，360 AI军团在作战室以SaaS形态为防守各方角色提供服务，与防守队员协同作战。作战室以演练大屏展现宏观态势，实时监测攻击手法、攻击来源、攻击趋势，及时查看AI军团和运营团队的人员安全及工作成果，并监测演练多阶段的任务状态及演练态势。 “攻防演练不仅是对企业网络安全防护能力的全面检验，更是对团队协作和响应处置能力的实战演练。通过这次演练，我们发现了许多潜在安全隐患，并及时进行了修复和优化，避免造成更大的损失。未来，我们将继续和360数字安全集团共同推进安全体系建设，不断提升自身安全防护能力，为数字中国建设和新质生产力发展保驾护航。”该能源企业负责人表示。     转自安全客，原文链接：https://www.anquanke.com/post/id/300726 封面来源于网络，如有侵权请联系删除

Mozilla 透露，一个影响 Firefox 和 Firefox Extended Support Release (ESR) 的关键安全漏洞已被恶意利用。 该漏洞被追踪为 CVE-2024-9680，被描述为动画时间轴组件中的 “use-after-free ”漏洞。 Mozilla 在周三的一份公告中说：“攻击者利用了动画时间轴中的use-after-free，在内容进程中执行了代码。我们收到了关于该漏洞在野外被利用的报告。” 斯洛伐克 ESET 公司的安全研究员 Damien Schaeffer 发现并报告了这一漏洞。 该问题已在以下版本的网络浏览器中得到解决： 火狐 131.0.2 火狐浏览器 ESR 128.3.1 火狐浏览器 ESR 115.16.1 目前还没有关于该漏洞在实际攻击中如何被利用以及幕后威胁者身份的详细信息。 尽管如此，此类远程代码执行漏洞可以通过多种方式加以利用，既可以作为针对特定网站的灌水漏洞攻击的一部分，也可以通过欺骗用户访问虚假网站的 “偷渡式下载 ”活动加以利用。 建议用户更新到最新版本，以抵御主动威胁。     转自安全客，原文链接：https://www.anquanke.com/post/id/300716 封面来源于网络，如有侵权请联系删除

9 月，美国州际和国际点对点支付与汇款公司速汇金证实，由于受到网络攻击，其服务目前无法使用。 9 月 22 日，该公司通知其客户，它正在经历一次网络中断，影响到其几个系统的连接。 该公司关闭了部分系统以控制攻击，这表明它是勒索软件攻击的受害者。 这次攻击影响了个人和在线汇款服务。该公司对安全漏洞展开了调查，并通知了执法部门。 速汇金现在证实，网络攻击暴露了客户数据，包括联系信息（如电话号码、电子邮件和邮政地址）、政府 ID、社会安全号和交易详情。 速汇金公布的数据泄露通知中写道：“受影响的信息包括某些受影响的消费者姓名、联系方式（如电话号码、电子邮件和邮寄地址）、出生日期、数量有限的社会安全号、政府颁发的身份证明文件副本（如驾照）、其他身份证明文件（如水电费账单）、银行账号、速汇金加值奖励号码、交易信息（如交易日期和金额），以及数量有限的消费者的刑事调查信息（如欺诈）。受影响信息的类型因受影响的个人而异。” 在外部网络安全专家的帮助下，该公司正在努力控制和修复此次攻击。该公司已经向执法部门通报了此次安全漏洞事件。 TechCrunch 报道称，速汇金表示其调查还处于 “早期阶段”，正在努力确定安全漏洞的程度。目前还不清楚有多少消费者受到了此次事件的影响。 目前，系统已经重新上线，公司也已恢复正常业务运营。 速汇金国际于 2023 年 6 月 1 日被私募股权公司 Madison Dearborn Partners 以每股 11.00 美元的价格收购，成为一家私有公司。到 2023 年初，该公司 50%的交易已实现数字化。该公司在 200 多个国家开展业务，为全球 1.5 亿客户提供服务，是汇款行业的重要参与者。 速汇金拥有大量敏感的客户数据，因此是网络犯罪分子的首要目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/300713 封面来源于网络，如有侵权请联系删除

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除

电信巨头康卡斯特（Comcast）正在通知受金融商业和消费者解决方案公司（FBCS）数据泄露事件影响的约 23.8万名客户。 FBCS 是一家第三方债务催收机构，它收集客户的个人信息，以便代表这些客户开展债务催收活动。 今年 4 月，Financial Business and Consumer Solutions (FBCS) 披露了一起数据泄露事件，1,955,385 人可能受到影响。后来，该公司确定受该事件影响的人数超过 425 万。 该机构于 2024 年 2 月 26 日发现未经授权的访问，并立即采取措施保护受影响的基础设施，同时在第三方取证专家的帮助下展开调查。 据该机构称，被泄露的信息可能包括姓名、出生日期、社会安全号和账户信息。 该机构发现，未经授权的访问发生在 2024 年 2 月 14 日至 2 月 26 日之间。 “2024 年 2 月 26 日，FBCS 发现其网络中的某些系统遭到未经授权的访问。这次事件没有影响到 FBCS 网络以外的计算机系统，包括其客户的计算机系统。”数据泄露通知中写道。“调查确定，在 2024 年 2 月 14 日至 2 月 26 日期间，该环境受到了未经授权的访问，未经授权的行为者有能力在访问期间查看或获取 FBCS 网络上的某些信息。” 据 FBCS 所知，在此次事件之后，没有任何暴露的信息被滥用。自 2024 年 4 月 4 日起，该机构开始通知受影响的客户。 该公司为可能受到影响的个人提供 12 个月的免费信用监控服务。 电信供应商 Comcast 是受此次事件影响的 FBCS 客户之一。 康卡斯特正在通知近 23.8 万人，他们的个人信息在 FBCS 的安全漏洞事件中遭到泄露。 根据康卡斯特公司与缅因州总检察长办公室共享的数据泄露通知函，此次数据泄露事件影响到 237703 名现有客户和前客户。 2024年3月13日，FBCS通知Comcast，它经历了一次数据泄露事件，但Comcast的消费者数据并未受到影响。然而，2024 年 7 月 17 日，FBCS 通知 Comcast 其新的调查结果，即 Comcast 的数据受到了影响。 FBCS 提供了以下信息： 2024 年 2 月 14 日至 2 月 26 日期间，一名未经授权的人员进入了 FBCS 的计算机网络和部分计算机。在此期间，该未经授权方下载了 FBCS 系统中的数据，并作为勒索软件攻击的一部分对一些系统进行了加密。 2024 年 2 月 26 日发现攻击后，FBCS 在第三方网络安全专家的协助下展开了调查。在调查过程中，FBCS 发现未经授权方下载的文件包含个人信息，其中包括您的个人信息。FBCS 还向联邦调查局（FBI）通报了这一攻击事件 这起安全事件完全发生在 FBCS，而不是 Xfinity 或 Comcast 系统。 FBCS 通知 Comcast：“由于其目前的财务状况，无法再向受此次事件影响的个人提供通知或信用监控保护。因此，我们将直接与您联系并提供支持服务。FBCS 收到您的信息是因为他们之前曾为 Comcast 提供拖欠付款的相关催收服务，直到 2020 年 Comcast 停止与 FBCS 合作。由于 FBCS 受康卡斯特与 FBCS 工作关系之外的数据保留要求的限制，因此有关您的被泄露信息的时间约为 2021 年。” 被泄露的数据包括： 姓名、地址、社会保险号、出生日期以及客户的 Comcast 账号和 FBCS 内部使用的 ID 号。 FBCS 指出，没有迹象表明在此次事件中泄露的任何个人信息被进一步滥用。 Comcast 向受影响的客户提供为期一年的信用监控和身份保护服务。     转自安全客，原文链接：https://www.anquanke.com/post/id/300706 封面来源于网络，如有侵权请联系删除

在 Livewire 中发现了一个新发现的漏洞 CVE-2024-47823，Livewire 是 Laravel 的一个流行全栈框架，用于在不离开 PHP 的情况下构建动态 UI 组件。该安全漏洞的 CVSS 得分为 7.7，允许攻击者利用文件上传，在受影响的系统上实现远程代码执行 (RCE)。 Livewire 与 Laravel 无缝集成，简化了动态用户界面的开发。然而，在 v3.5.2 之前的版本中，Livewire 处理文件上传的方式存在重大缺陷。 在这些存在漏洞的版本中，上传文件的文件扩展名是根据其 MIME 类型猜测的，而不是根据其实际文件扩展名进行验证。这意味着攻击者可以上传具有有效 MIME 类型（如 image/png）的文件，但使用 .php 等危险的文件扩展名。如果系统的网络服务器被配置为执行 PHP 文件，这个漏洞就为远程代码执行打开了大门。 报告该漏洞的安全研究员杰里米-安热尔（Jeremy Angele）描述了攻击者如何在特定条件下利用 Livewire 漏洞： 在概念验证（PoC）场景中，Angele演示了攻击者如何上传名为shell.php、MIME类型为image/png的文件。上传文件后，攻击者可以通过浏览器访问该文件来触发文件的执行，从而获得对服务器的远程访问权限。 Livewire 3.5.2 版修补了 CVE-2024-47823 漏洞。该补丁包括在上传过程中对文件扩展名进行更严格的验证，确保阻止 MIME 类型和扩展名不匹配的文件。 为保护您的系统，立即更新到最新版本的 Livewire 至关重要。此外，还建议开发人员配置网络服务器，防止在公共目录中执行 PHP，并在上传文件时彻底验证 MIME 类型和文件扩展名。     转自安全客，原文链接：https://www.anquanke.com/post/id/300711 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 近日， 有黑客入侵了Internet Archive 网站并窃取了一个包含3100万条记录的用户认证数据库。 昨天（10月9日）下午 ，在 archive.org 的访问者开始看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。 archive.org 网站上显示的 JavaScript 警报中写道：“你有没有觉得互联网档案馆就像是在用棍子运行，随时可能遭受灾难性的安全漏洞？现在已经发生了。看到HIBP上的3100万用户了吗！”这里的“HIBP”指的是由Troy Hunt创建的Have I Been Pwned数据泄露通知服务，威胁分子通常会与之分享窃取的数据以添加到该服务中。 Archive.org上显示的 JavaScript， 警报来源：BleepingComputer Hunt告诉BleepingComputer，威胁分子在九天前分享了 Internet Archive 的认证数据库，这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册会员的认证信息，包括他们的电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt散列密码以及其他内部数据。被盗记录的最新时间戳是2024年9月28日，这可能是数据库被盗的时间。 Hunt表示，数据库中有3100万唯一的电子邮件地址，其中许多订阅了HIBP数据泄露通知服务。这些数据将很快被添加到HIBP中，允许用户输入他们的电子邮件并确认他们的数据是否在此次泄露中被暴露。 在Hunt联系了数据库中列出的用户（包括网络安全研究员Scott Helme）后，确认了数据的真实性。 Helme允许BleepingComputer分享他的暴露记录。Helme确认，数据记录中的bcrypt散列密码与他密码管理器中存储的bcrypt散列密码相匹配。他还确认，数据库记录中的时间戳与他最后一次在密码管理器中更改密码的日期相匹配。 archive.org的密码管理器条目，参考来源：Scott Helme Hunt表示，他在三天前联系了 Internet Archive  并开始了披露过程，称数据将在72小时内加载到服务中，但此后他再也没有收到回复。 目前尚不清楚威胁分子是如何侵入 Internet Archive  的，以及是否有其他数据被盗。 昨天早些时候， Internet Archive  遭受了一次DDoS攻击，BlackMeta黑客组织声称将对此次攻击负责，他们表示还将进行的其他持续攻击。BleepingComputer就此次攻击联系了 Internet Archive ，但暂时没有得到回应。 参考来源：https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/     转自Freebuf，原文链接：https://www.freebuf.com/news/412412.html 封面来源于网络，如有侵权请联系删除