Aggregator

办事处的网络流量和安全事件的监控怎么发现、及时的处置与响应？

ArmorCode宣布其ASPM平台的增长，能够统一AppSec和基础架构漏洞管理。 ArmorCode中基于风险的漏洞管理（RBVM）的持续创新使安全团队能够通过增强的优先级、自动化、资产和修复工作流来处理基础设施、云和应用程序中的漏洞，为企业提供全面的风险管理方法。 ArmorCode 提供了一个独立的治理层，可将多种扫描工具（包括基础架构和应用程序安全扫描仪）的发现整合到一个视图中。凭借先进的人工智能功能和无代码自动化，该平台简化了复杂的漏洞分流和修复过程，大大减少了企业管理多样化和广阔的安全环境所需的时间、精力和成本。 安全团队面临着一些严峻的挑战，包括基础设施和云资产的分散可见性、需要处理的漏洞数量过多、资产责任的所有权混乱、耗时的人工流程导致修复速度减慢等等。 ArmorCode 平台通过提供统一、全面的可见性，简化工作流程，以及利用人工智能驱动的自动化提供更快、更高效的漏洞管理，帮助团队克服这些挑战。 ArmorCode首席运营官马克-兰伯特（Mark Lambert）说：“当今的安全团队被越来越多的基础设施、云和应用资产中的大量漏洞所淹没。ArmorCode 的 RBVM 持续增长，提供了一个统一的、以风险为中心的视图，横跨所有漏洞来源，从而迎头解决了这一挑战。通过结合先进的人工智能和自动化，我们使基础设施和应用安全团队能够专注于最重要的事情，高效、大规模地修复关键漏洞，从而实施更有效的持续威胁暴露管理（CTEM）计划。” 传统的漏洞管理方法仅根据严重程度来确定漏洞的优先级，而ArmorCode则不同，它采用的风险评分模型结合了业务背景和威胁情报。这样，安全团队就能将精力集中在对企业构成最大威胁的漏洞上，从而降低风险敞口，提高运营效率。ArmorCode 与供应商无关的方法可确保来自任何扫描仪的发现都能在平台内进行关联和分流，从而为团队提供完整、准确的漏洞管理计划。 为进一步简化漏洞管理，ArmorCode 平台将基础设施和云资产提升为 RBVM 流程中的一等公民。通过关联多个来源的资产数据，ArmorCode 提供了准确、完整的资产可视性。 这使企业能够在基础设施、云、容器和应用程序的整个生态系统中跟踪漏洞，并通过将漏洞与资产所有者和责任直接关联，实现修复工作流程的自动化。这种以资产为中心的方法加强了优先级排序、修复和自动化，使团队能够进行更精确的漏洞管理，并更有效地关闭积压工作。 Key RBVM + ASPM 的主要优势包括： 统一的漏洞管理： 唯一真正跨基础架构、云、容器和应用程序集成漏洞管理的平台。没有其他 RBVM 提供商能以同样的方式将 AppSec 和基础架构安全结合到一个平台中，实现全面的企业级风险管理。 人工智能驱动的 RBVM： ArmorCode 已处理超过 100 亿个发现，也是唯一一家在数据量、多样性和验证方面支持 AI 功能（如 AI Correlation 和 AI Remediation）的供应商。这种可扩展性可帮助安全团队降低 MTTR、减少浪费并加快工作速度。 以资产为中心的自动化工作流： 在整个漏洞管理生命周期中，通过无代码自动化为团队赋能。其灵活性、以云和基础架构资产为中心的工作流程以及定制功能使 ArmorCode 能够适应任何企业的特定 RBVM 需求。 与供应商无关的洞察力： 提供准确、可靠的漏洞优先级排序，不受专有扫描仪的影响，实现厂商兼容。 ArmorCode ASPM 平台在统一应用安全与基础架构漏洞管理方面的进一步发展，顺应了客户对更高效的漏洞管理工具的需求，这些工具可减轻安全团队的负担，并在整个漏洞生命周期中提供可操作的洞察力。 ArmorCode平台拥有250多个集成和100亿个处理结果，为统一和管理跨内部部署和混合环境的漏洞提供了最全面的解决方案，使企业能够建立统一的CTE。     转自安全客，原文链接：https://www.anquanke.com/post/id/302071 封面来源于网络，如有侵权请联系删除

卫星和空间技术领导者 Maxar Space Systems 公司遭遇数据泄露。 “我们的信息安全团队发现，一名使用香港 IP 地址的黑客锁定并访问了 Maxar 系统，该系统中包含某些含有员工个人数据的文件。” “当我们在 2024 年 10 月 11 日发现这一情况时，我们立即采取了行动，以防止对系统的进一步未经授权的访问。尽管如此，根据我们的调查，黑客很可能在采取这一行动之前已经访问了系统中的文件大约一个星期。” 以下员工数据已被访问： 姓名 家庭住址 社会保险号 业务联系信息（电话、地址、电子邮件等） 性别 就业状况 员工编号 职位名称 聘用日期、角色开始日期，以及（如适用）终止日期 主管 部门 攻击者访问的文件不包含任何银行账户信息或出生日期。 Maxar 在发现这一问题后展开了调查，与网络安全专家和执法部门合作评估漏洞的范围，并确保受影响系统的安全。 这次攻击发生时，太空和国防领域正面临着不断升级的网络威胁，对手的目标是战略基础设施和敏感的人员数据。     转自安全客，原文链接：https://www.anquanke.com/post/id/302094 封面来源于网络，如有侵权请联系删除

The Zone returns: its gates have re-opened 17 years later, promising a journey like no other.Novemb

Threat actors already hacked thousands of Palo Alto Networks firewalls exploiting recently patched zero-day vulnerabilities. Thousands of Palo Alto Networks firewalls have reportedly been compromised in attacks exploiting recently patched zero-day vulnerabilities (CVE-2024-0012 and CVE-2024-9474) in PAN-OS. CVE-2024-0012 is a vulnerability in Palo Alto Networks PAN-OS that allows unauthenticated attackers with network access to the management […]

由于微软修改了 Windows 11 的硬件需求，现有的 Windows 10 用户基本上无法直接升级到 Windows 11，而 Windows 10 即将于 2025 年 10 月终止支持，用户除非更换电脑，那么只剩下继续使用不再支持的操作系统（另一选择是安装 Linux 发行版），这将会增加他们的安全风险。微软对此的做法是用全屏广告不断轰炸用户，督促他们购买新 PC。

MITRE收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取数据或系统无法运行。” MITRE对3.1万个漏洞进行了详细地分析，并根据每个漏洞的严重性和利用频率进行评分，其中会重点关注添加到CISA已知利用漏洞（KEV）目录中的安全漏洞。MITRE强调，强烈建议审查列表上的漏洞类型，并指导其软件安全策略，防止软件生命周期中可能出现的严重漏洞。 以下是2022年CWE前25个最危险的软件漏洞列表：       转自Freebuf，原文链接：https://www.freebuf.com/news/415862.html 封面来源于网络，如有侵权请联系删除

A vulnerability was found in AIPHONE IX-MV, IX-MV7-HB, IX-MV7-HBT, IX-MV7-HW, IX-MV7-HWT, IX-MV7-HW-JP, IX-MV7-B, IX-MV7-BT, IX-MV7-W, IX-MV7-WT, IX-DA, IX-DAU, IX-DB, IX-DBT, IX-EA, IX-EAT, IX-EAU, IX-DV, IX-DVT, IX-DVF, IX-DVF-P, IX-DVF-L, IX-DVM, IX-DU, IX-DVF-RA, IX-DVF-2RA, IX-BA, IX-BAU, IX-BB, IX-BBT, IX-FA, IX-SSA, IX-SS-2G, IX-SS-2GT, IX-SS-2G-N, IX-BU, IX-SSA-RA, IX-SSA-2RA, IX-RS-B, IX-RS-BT, IX-RS-W, IX-RS-WT, IXW-MA, IX-SPMIC, IXG-2C7, IXG-2C7-L, IXG-DM7, IXG-DM7-HID, IXG-DM7-HIDA, IXG-DM7-10K, IXG-MK, IXGW-GW, IXGW-TGW and IXGW-LC. It has been classified as problematic. This affects an unknown part of the component Address Book Handler. The manipulation leads to insufficiently protected credentials. This vulnerability is uniquely identified as CVE-2024-39290. The attack needs to be approached within the local network. There is no exploit available.

A vulnerability was found in techfyd Sky Addons for Elementor Plugin up to 2.6.1 on WordPress and classified as problematic. Affected by this issue is the function save_options. The manipulation leads to missing authorization. This vulnerability is handled as CVE-2024-11601. The attack may be launched remotely. There is no exploit available.

A vulnerability has been found in AIPHONE IXG-2C7 and IXG-2C7-L up to 2.03 and classified as critical. Affected by this vulnerability is an unknown functionality. The manipulation leads to insufficiently protected credentials. This vulnerability is known as CVE-2024-47142. Access to the local network is required for this attack. There is no exploit available.

A vulnerability, which was classified as critical, was found in AIPHONE IX-MV, IX-MV7-HB, IX-MV7-HBT, IX-MV7-HW, IX-MV7-HWT, IX-MV7-HW-JP, IX-MV7-B, IX-MV7-BT, IX-MV7-W, IX-MV7-WT, IX-DA, IX-DAU, IX-DB, IX-DBT, IX-EA, IX-EAT, IX-EAU, IX-DV, IX-DVT, IX-DVF, IX-DVF-P, IX-DVF-L, IX-DVM, IX-DU, IX-DVF-RA, IX-DVF-2RA, IX-BA, IX-BAU, IX-BB, IX-BBT, IX-FA, IX-SSA, IX-SS-2G, IX-SS-2GT, IX-SS-2G-N, IX-BU, IX-SSA-RA, IX-SSA-2RA, IX-RS-B, IX-RS-BT, IX-RS-W, IX-RS-WT, IXW-MA, IX-SPMIC, IXG-2C7, IXG-2C7-L, IXG-DM7, IXG-DM7-HID, IXG-DM7-HIDA, IXG-DM7-10K, IXG-MK, IXGW-GW, IXGW-TGW and IXGW-LC. Affected is an unknown function of the component Request Handler. The manipulation leads to os command injection. This vulnerability is traded as CVE-2024-31408. The attack needs to be initiated within the local network. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in codelizarplugs Ultimate YouTube Video & Shorts Player With Vimeo Plugin up to 3.3 on WordPress. This issue affects the function get_setting of the component Setting Handler. The manipulation leads to missing authorization. The identification of this vulnerability is CVE-2024-11355. The attack may be initiated remotely. There is no exploit available.

A vulnerability classified as problematic was found in bplugins Easy Twitter Feed Plugin up to 1.2.6 on WordPress. This vulnerability affects the function etf of the component Shortcode Handler. The manipulation leads to authorization bypass. This vulnerability was named CVE-2024-10666. The attack can be initiated remotely. There is no exploit available.

A vulnerability classified as problematic has been found in techfyd Sky Addons for Elementor Plugin up to 2.6.2 on WordPress. This affects the function save_options. The manipulation leads to missing authorization. This vulnerability is uniquely identified as CVE-2024-11104. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in Palantir sls-oracle-sidecar up to 0.543.0. It has been rated as critical. Affected by this issue is some unknown functionality of the component Endpoint. The manipulation leads to sql injection. This vulnerability is handled as CVE-2024-49588. The attack needs to be approached within the local network. There is no exploit available. It is recommended to upgrade the affected component.

据The Hacker News消息，攻击面管理公司 Censys 的分析发现，有多达14.5万个工业控制系统 （ICS） 暴露于公开的互联网络中，涉及175 个国家和地区，仅美国就占总暴露量的三分之一以上。 这些暴露指标来自几种常用工控系统协议，包括Modbus、IEC 60870-5-104、CODESYS、OPC UA 等。 Censys发现，38% 的ICS暴露位于北美，35.4% 位于欧洲，22.9% 位于亚洲，1.7% 位于大洋洲，1.2% 位于南美洲，0.5% 位于非洲。其中，Modbus、S7 和 IEC 60870-5-104 在欧洲更广泛，而 Fox、BACnet、ATG 和 C-more 在北美更常见。这两个区域使用的一些工控系统服务包括 EIP、FINS 和 WDBRPC。 Censys 联合创始人兼首席科学家 Zakir Durumeric 在一份声明中表示，许多暴露的工控协议其历史可以追溯到上世纪70年代，但目前仍然是工业流程的基础，且没有像其他领域一样得到相应的安全改进。 Censys 也发现，用于监控和与工控系统交互的人机界面（HMI）也越来越多地通过互联网支持远程访问。 大部分暴露的人机界面位于美国，其次是德国、加拿大、法国、奥地利、意大利、英国、澳大利亚、西班牙和波兰。 有趣的是，大多数已识别的人机界面和 ICS 服务都位于移动或商业级互联网服务提供商 (ISP)，如 Verizon、Deutsche Telekom 、Magenta Telekom 和 Turkcell 等。人机界面通常包含公司徽标或工厂名称，这有助于识别所有者和行业，但工控协议很少提供相同的信息，因此几乎无法识别和通知暴露的所有者。 要解决这个问题，可能需要与托管这些服务的主要电信公司合作。 暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面，因此企业组织需要采取措施来识别并加以保护，包括更新默认凭证并监控网络是否存在恶意活动。 针对工控系统的网络攻击有所增加 专门针对工控系统的网络攻击相对较少，迄今为止仅发现了 9 种恶意软件。但自俄乌战争爆发以来，针对该系统的恶意软件攻击正有所增加。一些比较典型的僵尸网络恶意软件利用 OT 网络的默认凭证，不仅实施了分布式拒绝服务 （DDoS） 攻击，还擦除了其中的数据。 今年7月初，一家位于乌克兰的能源公司成为FrostyGoop恶意软件的目标，该恶意软件被发现利用 Modbus TCP 通信来破坏运营技术（OT）网络。FrostyGoop也称为 BUSTLEBERM，是一种用 Golang 编写的 Windows 命令行工具，可导致公开暴露的设备出现故障，并最终导致拒绝服务 （DoS）。 根据Censys 捕获的遥测数据，在 2024 年 9 月 2 日至 10 月 2 日的一个月内，就有 1088175 台 Modbus TCP 设备暴露在互联网中。 去年，美国宾夕法尼亚州阿利基帕市水务局也因为暴露的Unitronics可编程逻辑控制器（PLC）而被黑客组织攻击，导致相关系统下线并被迫改为手动操作。     转自Freebuf，原文链接：https://www.freebuf.com/news/415908.html 封面来源于网络，如有侵权请联系删除

Android 的恢复凭证（Restore Credentials）功能简化了切换 Android 设备时应用凭证的传输，让用户在新手机上保持应用的登陆状态。Google 使用“恢复密钥（restore key）”去实现跨设备的自动登录。恢复密钥是一种公钥，利用现有的密钥（passkey）基础设施移动登陆凭证。恢复密钥可以备份到云端，应用开发商可以选择不参加。Google 表示，如果删除应用重新安装，恢复密钥不会转移。

谷歌透露，其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞是CVE-2024-9143（CVSS评分：4.3），一个超出范围的内存写入缺陷，可能导致应用程序崩溃或远程代码执行。这个问题已经在OpenSSL的3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb和 1.0.2zl版本中得到了解决。 破题人类无法发现的漏洞 谷歌在2023年8月增加了利用大型语言模型（LLM）来提高OSS- Fuzz中模糊覆盖率的能力，并表示该漏洞可能在代码库中存在了20年，而且在现有的由人类编写的模糊目标中是无法发现的。此外，他们还指出，使用AI生成模糊测试目标已经提高了272个C/C++项目的代码覆盖率，新增了超过370,000行新代码。 谷歌解释说，这样的漏洞之所以能够长时间未被发现，一个原因是线覆盖率并不能保证函数没有漏洞。代码覆盖率作为一项指标，无法衡量所有可能的代码路径和状态，不同的标志和配置可能会触发不同的行为，从而暴露出不同的漏洞。这些人工智能辅助的漏洞发现也是可能的，因为LLMs被证明擅长模仿开发人员的模糊工作流程，从而允许更多的自动化。正如谷歌之前就提到过，其基于LLM的框架Big Sleep帮助发现SQLite开源数据库引擎中的一个零日漏洞。 C++代码安全性大幅提升 与此同时，谷歌一直在努力将自己的代码库转换为内存安全语言，如Rust，同时还对现有的C++项目（包括Chrome）中的空间内存安全漏洞（当代码可能访问超出其预定范围的内存时）进行改造。其中包括迁移到安全缓冲区和启用强化的libc ++，后者将边界检查添加到标准的 C ++数据结构中，以消除大量的空间安全缺陷。它进一步指出，纳入这一变化所产生的间接费用很小（即平均0.30%的绩效影响）。 谷歌表示，由开源贡献者最近添加的“hardened libc++”引入了一系列安全检查，旨在捕获生产中的越界访问等漏洞。虽然C++不会完全成为内存安全的语言，但这些改进降低了风险，从而使得软件更加可靠和安全。 具体来说，hardened libc++通过为标准C++数据结构添加边界检查来消除一大类空间安全漏洞。例如，hardened libc++确保对std::vector的每个元素的访问都保持在其分配的边界内，防止尝试读取或写入超出有效内存区域的尝试。同样，hardened libc++在允许访问之前检查std::optional是否为空，防止访问未初始化的内存。这种改进对于提高C++代码的安全性和可靠性具有重要意义。     转自Freebuf，原文链接：https://www.freebuf.com/news/415915.html 封面来源于网络，如有侵权请联系删除  

Cybersecurity researchers have discovered two malicious packages uploaded to the Python Package Index (PyPI) repository that impersonated popular artificial intelligence (AI) models like OpenAI ChatGPT and Anthropic Claude to deliver an information stealer called JarkaStealer. The packages, named gptplus and claudeai-eng, were uploaded by a user named "Xeroline" in November 2023, attracting