其他
20230531-5th域安全微讯早报-NO.129
网络空间安全对抗资讯速递
2023年05月31日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-129 星期三
今日热点导读
2、人工智能和生成式工具正在改变美国政治
3、危险趋势:生成式人工智能及其在创建煽动暴力和极端主义内容方面的作用
4、俄罗斯参议员提议在互联网上建立国家审查制度
5、犯罪论坛Exposed的管理员发布了暗网论坛-RaidForums前成员的数据库
6、华硕推出由NVIDIA处理器提供支持的全新人工智能即服务
7、PrinterLogic Enterprise软件中发现多个严重漏洞
8、伦敦、悉尼、香港的Rackspace数据中心基础设施宕机
9、黑客因报告Sonos One扬声器中的严重安全漏洞而赢得105,000美元
10、黑客组织Anonymous Sudan向斯堪的纳维亚航空公司索要300万美元
11、美国缉毒局(DEA)是以色列Paragon监控武器的最大买家
12、微软发现macOS漏洞可让黑客绕过SIP root限制
资讯详情
根据政府问责办公室最近的一份报告,能源部需要采取额外措施来防止对国家核武库的内部威胁——包括努力确定整个部门的机密网络总数,以全面监控用户的活动。GAO于5月24日发布的报告审查了能源部内部威胁计划的有效性,该计划是该部门的风险缓解举措之一,旨在“进一步防止来自员工、承包商和受信任的访客的内部威胁” 。尽管该计划于2014年制定,但GAO表示,在此期间进行的多项独立评估发现,能源“尚未为其内部威胁计划实施七项必要措施,即使在独立审查员提出近50项调查结果和建议以帮助能源部全面实施之后也是如此。” 其中四个“未达到的最低标准”先前已在国家情报总监办公室发送给能源部长的2022年3月备忘录中确定,而其余三个“通过能源部企业评估办公室的审查发现未达到”美国能源部2021年的内部威胁计划的要求。”GAO发现了持续的担忧——首先由ODNI表达——关于Energy与“监控所有机密网络上的用户活动”相关的努力。该报告指出,“最低标准要求内部威胁程序包括监控所有机密网络上用户活动的技术能力”,但该部门的内部威胁分析和转介中心“尚未满足所有机密网络上的完整用户活动监控覆盖要求”。虽然GAO表示,如果通过其他方式检测到事件,该部门“有解决对不受监控的机密网络的担忧的流程”,但它指出,能源官员“尚未确定能源部独立机密网络的总数,这让他们不知道内部威胁计划在多大程度上未达到用户活动监控的最低标准。”
https://www.nextgov.com/cybersecurity/2023/05/unmonitored-networks-put-us-nuclear-arsenal-risk-gao-finds/386910/
2、人工智能和生成式工具正在改变美国政治
在2024年美国总统大选前夕,越来越多的视频出现在社交媒体上,其中包含假照片和据称录制的著名政客的AI生成的音频文件。此类视频称为deepfakes,可用于操纵舆论和抹黑竞争对手。于是,在国外网络上流传的一张deepfakes中,希拉里·克林顿出人意料地支持了共和党人朗·德·桑蒂斯。而在另一个类似的视频中,总统乔·拜登侮辱了一名变性人。得益于Midjourney等新的“生成式AI”工具,创建深度造假变得更加容易和便宜,它允许您从大量在线材料中合成逼真的图像和声音。据一家开发检测合成媒体工具的公司DeepMedia称,与去年相比,2023年互联网上的deepfakes数量增加了两倍。据专家粗略预测,到今年年底,全球网络上将发布的视频和音频deepfakes总数约为50万个。Facebook*、Twitter** 和YouTube等主要社交平台都在努力快速移除deepfakes,但迄今为止,它们在打击此类内容方面的成效仍然很低。与此同时,一些政治参与者正在寻求有目的地利用生成人工智能的力量来加强他们的竞选活动。到目前为止,唯一已知的完全由人工智能驱动的政治广告是4月下旬发布的共和党全国委员会广告。在一段30秒的视频中,该委员会展示了一系列动态生成的图像,展示了如果拜登连任美国将面临的灾难性情景。生成式人工智能创造操纵公众意识的虚假内容的潜力是巨大的。如果实施得当,这些技术可以很容易地将选举结果转向谁为制造和传播此类假货支付更多费用的方向。
https://www.securitylab.ru/news/538553.php
3、危险趋势:生成式人工智能及其在创建煽动暴力和极端主义内容方面的作用
据研究人员称,恶意行为者越来越多地滥用生成式人工智能来传播有关儿童性虐待、虚假信息、欺诈和极端主义的材料,这是一个非常严重的问题,需要对互联网上发现的任何信息采取极其谨慎和怀疑的态度。ActiveFence首席执行官兼创始人Noam Schwartz表示:“生成式AI的爆炸式增长对网络的每个角落都产生了深远的影响。“我们已经确定了三个主要的关注趋势。首先,我们看到网络犯罪分子现在能够通过生成AI来加速和扩大他们的行动,从而导致前所未有的恶意内容大规模生产。其次,这些参与者正在探索通过操纵这些模型并发现其固有漏洞来使用AI的方法。最后,这些不断演变的威胁给数字平台带来越来越大的压力,要求其提高数据训练协议的准确性和效率,”施瓦茨继续说道。ActiveFence研究人员已经确定了三种主要的生成人工智能被滥用于网络犯罪目的的方式:制作有关儿童性虐待的材料,从视觉图像到色情故事;人工智能生成的欺诈性图像误导了数百万人;制作宣扬极端主义的虚假音频文件。生成式人工智能的快速发展对在线环境产生了严重影响。攻击者越来越多地滥用这项技术来创建和分发对公众良知构成严重威胁的恶意和不当内容。在这种技术的鼎盛时期,人们应该对在互联网上找到的任何信息都持极端批评态度,无论这些信息看起来多么真实可信。为了保持在线环境安全和清洁不当内容,需要通过技术公司、执法机构和整个社会的共同努力,积极打击这些类型的威胁。
https://www.securitylab.ru/news/538543.php
4、俄罗斯参议员提议在互联网上建立国家审查制度
俄罗斯联邦委员会宪法委员会成员阿尔乔姆·谢金表示,俄罗斯需要仿照中国,在互联网上建立国家审查制度。他认为这是必要的,因为西方国家的敌对政策和一些互联网资源对俄罗斯立法的无视。他举了维基百科的例子,在他看来,维基百科中许多与俄罗斯有关的事实都被歪曲了。谢金还强调,有必要研究俄罗斯的技术能力,以限制或减缓不符合国家立法要求的互联网平台的工作。中国有一个庞大的互联网审查系统,称为长城防火墙。早些时候人们知道GFW开发了一种新的审查方法,实时阻止完全加密的流量。基于对新审查制度的理解,研究人员制定了各种规避策略。他们与Shadowsocks、V2Ray、Outline、Lantern、Psiphon和Conjure等流行的反审查工具的开发者分享了研究成果和绕过建议。这些绕过策略自2022年1月开始实施,帮助数百万用户绕过一种新形式的审查。出于多种原因,Internet隔离不是一个好主意。首先,它侵犯了人们的信息和言论自由权。其次,它威胁到科学、教育、文化和创新的发展,而这些发展依赖于知识和思想的开放和全球交流。第三,它增加了社会隔离和孤独感,这在现代社会已经是一个严重的问题。研究显示人们越多地使用互联网进行肤浅的交流和娱乐,他们与真实人的互动就越少,他们的信任和团结水平就越低。
https://www.securitylab.ru/news/538535.php
5、犯罪论坛Exposed的管理员发布了暗网论坛-RaidForums前成员的数据库
臭名昭著的RaidForums黑客论坛的数据库被泄露到互联网上,使得攻击者和安全研究人员能够获取有关论坛高峰期访问者的信息。RaidForums曾经是一个非常受欢迎的黑客和数据泄露论坛。它经常托管被网络犯罪分子窃取的数据,这些数据也在那里被很好地买卖。在许多情况下,如果数据未被出售或自泄漏后已经过去了一段时间,黑客会免费发布被盗数据以在RaidForums社区中获得声誉。2022年4月,RaidForums网站和基础设施在一次国际执法行动中被取缔,全能网站管理员和他的两名同伙被捕。本月早些时候,一个名为Exposed的论坛成立,以填补Breached消亡后留下的空白。由于现在这个小众市场几乎没有竞争,Exposed很快就流行起来。30日,该网站的一位绰号“无能”的管理员泄露了RaidForums参与者的数据库,向其他网络犯罪分子、研究人员和可能的执法部门提供了大量信息。泄漏包括RaidForums论坛软件用于存储注册信息的“mybb_users”表的单个SQL文件。出于什么目的合并基地尚不完全清楚,因为通过这一行动,“无能”可能会陷害网络空间中的其他黑暗黑客。这种行为不太可能值得网络犯罪团体的赞扬。合并后的表格包含478,870名RaidForums成员的注册信息,包括他们的用户名、电子邮件地址、散列口令、注册日期以及与论坛软件相关的其他信息。泄露的数据库包含有关在2015年3月20日至2020年9月24日期间注册的用户的信息,这可能是数据库被删除的时间。
https://www.securitylab.ru/news/538539.php
6、华硕推出由NVIDIA处理器提供支持的全新人工智能即服务
台湾公司华硕计划推出一项服务,使公司能够利用生成人工智能(AI)的潜力,同时保持对数据的控制。称为AFS Appliance的新华硕解决方案的一个特点是所有硬件都将安装在客户的场所-以确保安全和控制。基于Nvidia芯片技术构建的人工智能计算平台将由华硕管理和更新新数据。OpenAI等服务的主要问题之一是它们通过云数据中心运行,这可能会暴露敏感信息。例如,三星在发现员工将公司产品的密码上传到聊天机器人后,禁止其员工使用ChatGPT。华硕将把自己的Formosa Large Language Model (LLM)上传到AFS Appliance,该公司称其相当于ChatGPT 3.5,并以“繁体”中文进行训练。该公司打算将这项服务的价格定在每月6,000美元左右。最昂贵的产品添加了Nvidia DGX超级计算机平台,每月费用约为10,000美元。华硕计划在今年年底前在台湾获得30至50家企业客户,并进军国际市场。华硕云部门负责人看到了银行和医院的浓厚兴趣。在临床环境中,生成式AI将帮助医生更快地记录治疗和患者就诊,并帮助以更易于理解的语言向患者解释诊断。其中一个潜在客户是一家大型律师事务所——该公司的首要任务是定期更新数据,这是该公司服务的一部分。
https://www.securitylab.ru/news/538545.php
7、PrinterLogic Enterprise软件中发现多个严重漏洞
PrinterLogic的企业管理打印机解决方案中发现的漏洞可能会使组织面临身份验证绕过、SQL注入、跨站点脚本(XSS)和其他类型的攻击。PrinterLogic的平台允许组织从单一控制台管理其环境中的所有打印机。对PrinterLogic网站(内部版本1.0.757)上提供的PrinterLogic SaaS 平台和虚拟设备源代码的分析揭示了18个漏洞,这些漏洞可能允许攻击者绕过身份验证、注入代码和暴露凭据等。该分析由澳大利亚就业市场Seek的安全研究人员进行。研究人员发现的一个主要问题是该平台容易受到身份验证绕过攻击,允许未经身份验证的第三方访问管理脚本并修改服务的配置。该错误的存在是因为该应用程序缺少用于身份验证和授权处理的中央框架。各个PHP文件需要执行必要的检查,但是,由于某些文件缺少这些检查,因此可以通过它们的直接URL进行未经身份验证的访问。研究人员发现的另一个主要问题是该平台使用有缺陷的机制来防止SQL注入,并且在某些情况下不存在输入验证,这可能导致SQL注入。研究人员还在该应用程序中发现了多个XSS漏洞,这些漏洞可被用来通过泄露用户会话cookie来劫持管理员帐户。此外,由于应用程序在登录后不会发布新的会话标识符,因此拥有会话ID的攻击者可以使用它来绕过身份验证。其他确定的问题包括通过忘记密码功能枚举用户电子邮件、在iframe中包含任意URL(导致不受信任的文件下载)、重命名主机以模拟另一台机器的可能性、OAuth身份验证绕过、包含cookie值在页面主体中,并使用已知易受攻击的JavaScript库等等。
https://www.securityweek.com/many-vulnerabilities-found-in-printerlogic-enterprise-software/
8、伦敦、悉尼、香港的Rackspace数据中心基础设施宕机
Rackspace又乱了。cloudy concern的状态页面报告其SYD2、LON5、LON3和HKG5数据中心基础设施在5月29日至30日期间出现中断。Rackspace的第一份事件报告的时间戳为5月29日22:24 CDT。随后的更新确定该问题与伦敦的密集波分复用(DWDM) 有关,因为该设施与允许Rackspace在数据中心和互联网服务提供商之间传输流量的光纤传输网络有关。但一小时后,Rackspace排除了DWDM是事件的原因。自那以后,该公司没有更新其状态页面。The Register获得了一封位于Rackspace的SaaS公司发送给其客户的电子邮件。“我们的托管服务提供商Rackspace已确认他们遇到了连接问题,”电子邮件打开。“所有可用的工程师都已参与并正在努力以最高优先级解决问题。”情况变得更糟:Rackspace已警告其伦敦数据中心的客户,无论是什么原因导致的问题都可能会破坏他们的备份,并提供了有关如何检测任何故障的说明。在撰写本文时——5月30日02:45CDT——Rackspace已经一个多小时没有更新其状态页面了。The Register已征求意见,暂未收到有用的信息。对于Rackspace来说,这次中断发生在一个糟糕的时刻,因为它的美国和英国客户刚结束假期周末。
https://www.theregister.com/2023/05/30/rackspace_outage/
9、黑客因报告Sonos One扬声器中的严重安全漏洞而赢得105,000美元
零日计划(ZDI)在上周发布的一份报告中表示,Sonos One无线扬声器中发现的多个安全漏洞可能会被利用来实现信息泄露和远程代码执行。去年底在多伦多举行的Pwn2Own黑客大赛上,来自Qrious Secure、STAR Labs和DEVCORE 的三个不同团队展示了这些漏洞,并获得了105,000美元的奖金。影响Sonos One Speaker 70.3-35220的四个缺陷列表如下:CVE-2023-27352和CVE-2023-27355(CVSS分数:8.8) -允许网络相邻攻击者在受影响的安装上执行任意代码的未经身份验证的缺陷。CVE-2023-27353和CVE-2023-27354(CVSS评分:6.5) -允许网络相邻攻击者泄露受影响安装的敏感信息的未经身份验证的缺陷。虽然CVE-2023-27352源于处理SMB目录查询命令,但CVE-2023-27355存在于MPEG-TS解析器中。利用这两个缺点可能允许攻击者在root用户的上下文中执行任意代码。这两个信息泄露缺陷都可以单独与系统中的其他缺陷结合,以实现代码执行的提升权限。在2022年12月29日负责任地披露之后,Sonos分别在Sonos S2和S1软件版本15.1和11.7.1中解决了这些缺陷。建议用户应用最新补丁以降低潜在风险。
https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html
10、黑客组织Anonymous Sudan向斯堪的纳维亚航空公司索要300万美元
黑客组织“Anonymous Sudan”意外向斯堪的纳维亚航空公司(SAS)提出300万美元的要求,以平息自2月以来一直针对该航空公司网站的分布式拒绝服务攻击(DDoS)。尽管最初将自己表现为出于政治动机的黑客活动家,但该组织似乎正在诉诸于使用勒索策略来获取经济利益。30日,Anonymous Sudan在其Telegram频道上分享了一张赎金票据,声称SAS及其服务已瘫痪超过五天。他们警告说,除非该公司采取行动,否则它有可能进一步激怒本已沮丧的客户。SAS公司的网站在发布时已启动并运行。该公司已对Facebook上的用户投诉做出回应,承认其网站存在问题,并向客户保证SAS正在“努力迅速解决问题”。SAS没有回应The Record的询问。与此同时,Anonymous Sudan继续提高他们的要求,将他们的初始价格从3,500美元提高到惊人的300万美元。黑客在Telegram上写道:“我们将像过去120小时一样,不停地惩罚你和你的公司。” “这对你来说会很糟糕,我们不会受到伤害。”Anonymous Sudan于2月首次开始针对SAS,将其网站关闭并暴露了一些用户数据。一些试图登录SAS移动应用程序的客户被转到其他人的帐户,并可以访问他们的联系信息和行程。根据瑞典网络安全公司Truesec发布的一份报告,Anonymous Sudan并不是真正的Anonymous黑客活动的一部分,但“很可能是作为俄罗斯信息行动的一部分创建的,目的是损害瑞典的北约应用并使其复杂化” 。Trustwave公司还发现了一些证据表明Anonymous Sudan出于经济动机,因为它试图出售从法国旗舰航空公司法航窃取的数据。研究人员表示,尽管该组织主要进行简单的DDoS攻击,但由于它们针对医院、机场、银行和政府机构等关键设施,因此可能会造成严重后果。
https://therecord.media/hacker-group-anonymous-sudan-demands-three-million-from-sas
11、美国缉毒局(DEA)是以色列Paragon监控武器的最大买家
Paragon Solutions是一家以色列初创公司,打造了世界上最强大的网络武器之一,它采取了一个明智的举措 :它在寻找客户之前就获得了美国的支持。该公司不想重蹈其本地竞争对手NSO Group的覆辙,NSO Group是备受争议的间谍软件Pegasus的制造商,该软件已在美国被列入黑名单。因此,Paragon向美国顶级顾问寻求建议,从美国风险投资基金筹集资金,并最终赢得了竞争对手没有的著名客户:美国政府。据六个行业消息来源称,美国缉毒局(DEA)是Paragon品牌产品的最大买家之一。这种恶意软件潜入安全的智能手机并绕过Signal或WhatsApp等即时通讯工具的加密,有时会像 Pegasus一样从云备份中提取数据。Paragon由Ehud Schneorson创立,Ehud Schneorson是以色列精锐陆军无线电情报部队8200部队的前指挥官。该公司的董事会成员包括以色列前总理Ehud Barak。该公司获得了两家美国风险基金的投资:Battery Ventures和Red Dot。2019年,Paragon根据一位退休的摩萨德高级官员的建议,聘请了总部位于华盛顿的咨询公司WestExec Advisors,该公司聘请了前奥巴马白宫工作人员,包括Michelle Flournoy、Avril Haynes和Anthony Blinken。据了解咨询工作的人士透露,还咨询了前美国驻以色列大使丹·夏皮罗。获得美国的批准,即使是间接的,也是Paragon战略的核心。该公司要求提供一份美国不反对出售Paragon品牌产品的盟国名单。专家建议这份名单包括35个国家。其中大部分在欧盟,一些在亚洲。
https://www.securitylab.ru/news/538564.php
12、微软发现macOS漏洞可让黑客绕过SIP root限制
Apple最近解决了一个漏洞,该漏洞允许拥有root权限的攻击者绕过系统完整性保护(SIP)以安装“不可删除”的恶意软件并通过规避透明、同意和控制(TCC)安全检查来访问受害者的私人数据。该漏洞(称为Migraine)由一组Microsoft安全研究人员发现并报告给Apple,现在被追踪为CVE-2023-32369。Apple已在两周前的5月18日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修补了该漏洞。系统完整性保护 (SIP),也称为“无根”,是一种macOS安全机制,可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件。SIP的运作原则是,只有由Apple签名或拥有特殊权利的进程(例如Apple软件更新和安装程序)才有权更改受 macOS保护的组件。同样重要的是要注意,如果不重新启动系统并启动macOS Recovery(内置恢复系统),就无法禁用SIP——这需要对已经受损的设备进行物理访问。然而,微软的研究人员发现,拥有root权限的攻击者可以通过滥用macOS迁移助手实用程序来绕过SIP安全实施,macOS迁移助手是一个内置的macOS 应用程序。研究人员证明,拥有root权限的攻击者可以使用AppleScript自动执行迁移过程,并在将其添加到SIP的排除列表后启动恶意负载,而无需重新启动系统和从macOS Recovery启动。
https://www.bleepingcomputer.com/news/security/microsoft-finds-macos-bug-that-lets-hackers-bypass-sip-root-restrictions/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-124
3. 5th域微讯晨报-Vol-2023-126
4. 5th域微讯晨报-Vol-2023-127
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement