20230720-5th域安全微讯早报-NO.172

网络空间安全对抗资讯速递

2023年7月20日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-172                        星期四

今日热点导读

资讯详情

1、英军情六处首长: 最关注中国数据安全监管及人工智能应用

英国情报部门负责人罕见在捷克发表演讲时表示，他们最关心中国在海外的影响力，对中国处理自身及源自海外的数据的方法感到担忧，并认为中国对人工智能的应用会是未来的重大问题。英国负责对外情报的秘密情报局，又称军情六处(MI6)的负责人摩尔(Richard Moore)说，他的部门投入在应对中国方面的资源比起其他任何国家都多。摩尔指出，即使俄罗斯入侵乌克兰构成即时挑战，但俄罗斯并非军情六处的重点关注，对中国的更大关注反映了中国的全球影响力。摩尔同时引述英国外相克莱弗利(James Cleverly)4月时的演讲说，英国坚守国家安全及价值，但同时又需要与中国接触，因为没有一个重要的国际问题可以在忽视中国的情况之下处理得到。摩尔是在捷克首都布拉格出席政治新闻网站《政客》(Politico)在英国驻捷克大使馆举行的活动时讲这番话的。这是他上任三年来少数的公开讲话。他说，中国稳定地在有争议的范畴及地域扩大她的影响力，向一些国家提出“十分进取、看起来好得令人难以置信”的合作条款，而最终的结果经常地正正就是如此。摩尔在演讲中多次提到中国如何处理数据。他说，控制及保护国民在健保或基建方面等的数据对国家十分重要，如果将数据交到别的国家，可能会危害国家主权，构成“数据陷阱”。摩尔还表示，中国正在撰写的人工智能条款强调要真实、准确、客观及多元，他认同这些原则，希望这会变成事实，而不是只是口号。他还说：“我领导的机构和我们的盟友，打算赢得掌握人工智能的道德和安全使用的竞赛。”

https://therecord.media/china-data-traps-espionage-mi6-richard-moore

2、专家警告称可再生技术增加了美国电网的风险

专家在周二（18日）的国会听证会上指出，支撑太阳能和风能存储系统的技术是将可再生能源传输到电网的核心，这些技术存在潜在的黑客风险。美国电网正在经历重大的数字化和发电转型，对基于逆变器的资源的依赖是一个主要弱点，因为这些设备既是数字化原生的，又因为中国是许多此类设备的主要制造商，前美国电网公司前任总裁保罗·斯托克顿 (Paul Stockton) 表示。“中国制造商是在美国全国范围内部署的逆变器的重要生产商，我认为要考虑供应链风险——不仅仅是关键产品的可用性——还要考虑中国利用这些产品对电网进行攻击的风险， “斯托克顿告诉众议院能源和商业委员会的成员。虽然来自逆变器发电的威胁向量可能只占总发电量的一小部分（大约14%），但预计这些数字在未来几年将会上升。逆变器将太阳能电池板产生的直流电(DC)转换为电网使用的交流电(AC)。根据能源部2022年关于分布式能源网络安全的一项研究，逆变器还根据识别电网状态的软件来分配电力，这对提高效率有好处，但也带来了安全问题。该报告还指出，“分布式屋顶太阳能和大瓦数、客户自有设备带来了新的攻击潜力，可以像传统资源一样聚集到一定程度，并将通过许多不同方的管理来挑战传统的网络防御态势。”美国能源部网络安全、能源安全和应急响应办公室主任普什·库马尔在一份声明中表示：“今天的公告标志着我们迈向更安全的能源行业、造福所有美国人的道路上的一个重要里程碑。” “我们期待与联邦通信委员会、网络安全和基础设施安全局、能源部国家实验室以及我们的行业合作伙伴合作，共同推进能源系统的网络安全。”

https://cyberscoop.com/electric-grid-inverter-cyber/

3、增强网络安全能力是美国联邦机构采用新兴技术的首要原因

通用动力信息技术公司（GDIT）周二（18日）发布的一项政府雇员调查结果显示，近三分之二的联邦机构正在寻求利用新兴技术实现运营现代化，而增强的网络安全能力是当前和未来采用这些下一代工具的主要原因之一。这首项研究调查了425名联邦政府雇员，其中150名来自国防机构，200名民事机构，75名来自情报和国土安全机构——他们“参与选择或管理提供企业IT或数字现代化服务的公司”。GDI 的研究发现，65% 的受访者表示，他们的机构“已做好充分准备以拥抱新兴技术”，而更强大的网络安全协议被认为是官员们表示他们希望未来实施更多高科技工具的主要原因之一。“政府机构正在收集越来越多的数据，这意味着他们必须提供适当级别的安全性来保护他们实际收集和使用的数据，”联邦民事部门GDIT首席技术官迈克尔·科尔(Michael Cole)在18日的媒体圆桌会议上表示。大约三分之一的调查受访者表示，增强安全性和提高生产力是“采用新兴技术的最大动机”。当谈到各机构已经采用或正在采用的技术时，49%的受访者表示他们的组织已经购买了专注于网络安全的服务和产品。尤其是国防机构，更有可能将新兴技术视为实现其安全目标的关键组成部分，接受调查的国防部相关部门的官员中有43%表示“增强网络安全是采用下一代工具的首要动机”。GDIT指出，各机构实施以网络为重点的新兴技术的努力在一定程度上与围绕联邦政府网络实践的更严格政策相关。报告称：“所有类型的机构都高度采用云和网络安全，这表明对安全、可扩展和可访问的数字基础设施的普遍要求，但也是受到政府政策的推动，要求各机构评估云的未来投资，并实施零信任架构以增强安全性。”总体而言，各机构已准备好在未来12至24个月内“加速所有类型机构采用人工智能、数据分析和生成式人工智能”。 

https://www.nextgov.com/emerging-tech/2023/07/enhanced-cybersecurity-top-reason-agencies-embracing-emerging-tech-study-says/388653/

4、CISA与微软合作扩大云日志记录

微软正在扩大对关键工具的访问范围，这些工具将帮助组织调查网络安全事件，此前该组织因黑客攻击事件而面临强烈抵制。周三（19日），网络安全和基础设施安全局(CISA)表示，在一些组织无法检测到针对基于云的电子邮件帐户的黑客活动后，它与微软合作，扩大所有政府和商业客户对免费云日志功能的访问。微软在一篇博客文章中表示，从9月份开始，它将开始提供对电子邮件访问详细日志和30多种其他类型日志数据的访问，这些数据以前仅向付费顶级云服务的客户提供。CISA局长Jen Easterly表示，此举是“朝着让更多公司采用安全设计原则的正确方向迈出的一步”。“经过过去一年的合作，我对微软决定向更广泛的网络安全社区免费提供必要的日志类型感到非常高兴，”伊斯特利说。“我们将继续与包括微软在内的所有技术制造商合作，寻找进一步提高所有客户对其产品的可见性的方法。”微软在过去两周面临严厉的批评，此前，在涉嫌黑客活动的25个组织中，有几个组织表示，他们无法检测到自己遭到黑客攻击，因为他们不是高级客户，无法访问识别身份所需的日志类型。在上周与记者的电话会议和周三的声明中，CISA重申，近年来，其运营团队发现，对于检测和防止威胁活动至关重要的多个安全日志对于使用Microsoft基本企业许可证的组织来说需要额外费用。微软表示，鉴于“民族国家网络威胁的频率不断增加和演变”，并在向CISA咨询了他们向云客户提供用于洞察和分析的安全日志数据类型后，决定做出这一改变。微软解释说，日志很重要，因为它们可以更细致地了解网络攻击，并提供有关“不同身份、应用程序和设备如何访问客户云服务”的见解。日志本身并不能防止攻击，但在检查入侵可能如何发生时，例如当攻击者冒充授权用户时，它们在数字取证和事件响应中非常有用。

https://therecord.media/cisa-microsoft-expands-access-to-logging-tools-after-data-breach

5、俄罗斯Turla黑客利用间谍软件攻击乌克兰国防系统

根据乌克兰计算机应急响应小组(CERT-UA)的最新研究，俄罗斯黑客组织Turla正在利用间谍恶意软件攻击乌克兰国防军。Turla是一个网络间谍组织，也被称为Waterbug和Venomous Bear，与FSB俄罗斯情报机构关系密切。该组织与多起备受瞩目的网络攻击有关，其中包括2014年针对德国联邦议院和乌克兰议会的网络攻击。在周三（19日是）发布的一份报告中，CERT-UA表示，它观察到该组织使用Capibar和Kazuar间谍软件针对乌克兰国防军的活动。Capibar的特殊之处在于，它使用PowerShell工具破坏Microsoft Exchange服务器，将合法服务器转变为恶意软件控制中心。为了将恶意软件注入受害者的系统，黑客会发送带有恶意附件的电子邮件。打开这些附件时，它们会触发PowerShell命令。名为 Kazuar的“高度先进的多功能后门”会被下载到受感染的计算机上。该后门能够从KeePass、Azure、Google Cloud和Amazon Web Services 等服务中提取敏感的身份验证信息，包括口令、书签、cookie和数据库。在CERT-UA收到的用于分析的电子邮件中，有似乎是从乌克兰能源公司发送的虚假水电费账单。据微软威胁情报称，威胁行为者的目标是从流行的Signal桌面消息应用程序中窃取包含消息的文件，该应用程序将允许攻击者读取私人Signal对话以及目标系统上的文档、图像和存档文件。CERT-UA没有透露Turla间谍软件的使用效果如何以及它感染了多少受害者。该机构自2022年以来一直在追踪该组织。

https://therecord.media/turla-hackers-targeting-ukraine-defense

6、俄罗斯庞大的电信监控系统因西方技术的撤出而陷入瘫痪

一份新报告称，俄罗斯电信部门维护该国电子监控系统（即操作调查活动系统（SORM））所需的硬件和软件越来越不可用，这严重影响了俄罗斯政府的奥威尔式国内间谍系统。俄罗斯入侵乌克兰后实施的西方制裁和出口管制成功阻止了俄罗斯政府购买其所需的技术，以支持其对互联网流量和电话的全面监控——自俄罗斯和中国生产的技术以来，卡内基国际和平基金会(CEIP)的一位研究人员在论文中指出，它不够复杂，无法维持SORM。SORM可以追溯到1995年，是一个拦截系统，俄罗斯联邦安全局(FSB)可以通过该系统获取电信数据，包括通话记录、电话内容、网络流量和电子邮件。据《纽约时报》报道，芬兰公司诺基亚于2022年3月停止向俄罗斯出售设备，但未透露其此前曾配备过庞大的SORM 统。据《泰晤士报》报道，SORM被用来监视阿列克谢·纳瓦尔尼等俄罗斯反对派领导人的支持者，并拦截后来被杀的国家敌人的电话，并指出该系统也可能被用来镇压反对乌克兰战争的俄罗斯活动人士。CEIP高级研究员加文·王尔德（Gavin Wilde)撰写的论文称，在入侵事件发生后，俄罗斯加强了对国内互联网服务提供商(ISP)的控制，到2022年夏天，俄罗斯数字部将不再罚款，而是开始吊销ISP的运营许可证（如果发现不合规）。SORM系统还对俄罗斯获得有关乌克兰战争的公正信息的能力产生了深远的影响。该报称，俄罗斯当局“开始利用SORM基础设施来阻止来自数千个西方网站和服务的流量和访问”。“实际上，俄罗斯的数字通信标准（SORM是其核心）现在是‘无法监视或审查的内容将不会被传输。’”然而，王尔德认为，制裁持续的时间越长，SORM的效果就越差。开战后从俄罗斯撤军的西方实体中，科技公司可能约占20%。该报称，撤军等因素导致俄罗斯数字部因缺乏5G网络而无法推出5G计划。

https://therecord.media/russia-telecommunications-sorm-surveillance-western-technology

7、攻击者正在利用Jira插件中的两个路径遍历漏洞

SANS互联网风暴中心警告称，攻击者显然试图利用“Stagil navigation for Jira–菜单和主题”插件中的两个路径遍历漏洞。该插件通过Atlassian市场分发，允许用户使用自定义导航器、子菜单和其他元素自定义其Jira实例。这两个高严重性缺陷被追踪为CVE-2023-26255和CVE-2023-26256，于2023年2月被披露，并通过插件版本2.0.52的发布得到了解决。这些错误允许攻击者修改snjCustomDesignConfig和snjFooterNavigationConfig端点的fileName参数以遍历和读取文件系统。目录遍历问题通常允许攻击者读取正在运行应用程序的服务器上的任意文件，从而可能获得对凭据、应用程序数据和其他敏感信息的访问权限。SANS研究部主任Johannes Ullrich表示，首次针对CVE-2023-26255的利用尝试是在3月底观察到的。经过三个月的沉寂后，攻击者本周再次利用这些漏洞，并针对这两个漏洞。“攻击者尝试下载‘etc/passwd’文件。通常，“etc/passwd/”并不是那么有趣。但它经常被用来验证漏洞。攻击者稍后可能会检索其他更有趣的文件，”Ullrich 解释道。安全研究人员还观察到尝试下载“dbconfig.xmlpasswd”文件的攻击，Jira使用该文件存储数据库密码。他指出，这些攻击来自两个不同的IP地址，并且包含类似的获取包含密码的文件的请求。“目前尚不清楚这两个漏洞的两次扫描是否相关。在短时间内对此类漏洞进行两次较大的扫描是可疑的。扫描使用不同的用户代理，但这并不意味着扫描是由不同的组/个人发起的。这两个IP地址都与已知的威胁组织无关。”Ullrich指出。针对这两个漏洞的技术信息和概念验证(PoC)漏洞自2月份以来已公开。

https://www.securityweek.com/two-jira-plugin-vulnerabilities-in-attacker-crosshairs/

8、化妆品制造商雅诗兰黛遭到BlackCat、Clop勒索软件攻击

美国化妆品制造商雅诗兰黛公司周二（7月18日）证实，该公司遭受了网络攻击。根据公司声明，黑客未经授权访问了其系统并窃取了一些数据。倩碧 (Clinique)、MAC和Dr. Jart+等品牌的所有者雅诗兰黛(Estée Lauder)关闭了部分系统以缓解这一事件，并与执法和网络安全专家合作展开调查。其声明称：“该事件已经并预计将继续对公司部分业务运营造成干扰。” 攻击的性质和范围尚未确定。两个勒索软件组织Clop和 ALPHV（也称为BlackCat）将雅诗兰黛列为受害者。BlackCat黑客声称已成功窃取了该公司超过130GB的数据，但并未对网络进行加密。他们还声称自己独立于Clop运作，后者可能利用MOVEit文件传输软件中的漏洞来攻击该公司。此次事件发生之际，雅诗兰黛正处于困难时期，该公司预计今年销售额和利润将下降，原因是免税店和旅游目的地从新冠(COVID-19)疫情中复苏缓慢。雅诗兰黛的产品销往大约150个国家。它是全球最大的护肤、彩妆、香水和护发化妆品制造商之一。该公司没有回应置评请求。

https://therecord.media/blackcat-clop-claim-cyberattack-on-estee-lauder

9、金融服务中发现的关键API安全漏洞

一份以行业为中心的应用程序编程接口(API)安全报告揭示了金融服务行业的严峻形势。特别是，Salt Security于2023年7月19日发布的《 2023年金融服务和保险API安全状况》报告揭露了这些行业中的重大漏洞和令人震惊的API攻击者活动。新数据显示，近70%的金融服务和保险公司因API安全问题而遇到了上线延迟的问题。此外，其中92%的企业在过去一年中在生产API中遇到了安全问题，其中大约五分之一的企业遭遇了 API安全漏洞。此外，调查结果突显了API攻击者的活动不断增加，202 年上半年和下半年之间，独特攻击者数量激增244%。值得注意的是，84%针对金融服务和保险的攻击源自“经过身份验证”的用户，这些用户看似合法，但实际上是恶意攻击者。这表明安全工具没有足够的能力来防止API攻击，这是71%的金融和保险受访者所共有的担忧。StackHawk联合创始人兼CSO Scott Gerlach评论道：“Salt Security的调查结果凸显了为什么公司不仅应该监控API是否受到攻击，还应该在整个开发生命周期中测试API是否存在易受攻击的代码。”“许多API漏洞本质上是合乎逻辑的，必须进行练习才能发现手头的问题，这只能通过测试应用程序的运行版本来实现——最好是在生产之前。”报告称，API安全现已成为56%的公司的C级问题，而79%的CISO认为它比两年前更重要。调查结果还暴露了API保护方面的准备不足，28%的受访者承认他们目前没有API策略。此外，42%的人对识别暴露个人身份信息 (PII)的API缺乏信心。Zimperium安全架构师Georgia Weidman表示：“[OWASP]于2019年首次创建了API安全Top 10，并于今年早些时候发布了新版本，但总体而言，仍然非常需要教育、进攻和防御方面的工具，以及如何保护 API的标准和最佳实践。”

https://www.infosecurity-magazine.com/news/api-security-gaps-financial/

10、行业专家敦促CISA更新安全设计指南

一组行业专家向美国网络安全和基础设施安全局(CISA)发表了一封信，以回应其最近的安全设计指南文件。这封信敦促CISA在文件中进一步整合和倡导威胁建模，旨在帮助制造商在设计技术产品时优先考虑网络安全实践。该指南《转变网络安全风险的平衡：设计和默认安全的原则和方法》由CISA、FBI、国家安全局(NSA)以及澳大利亚、加拿大、美国、英国、德国、荷兰和新西兰等国家的网络安全机构联合发布。它提供了具体的技术建议，并概述了围绕设计安全的核心原则，与2023年3月发布的拜登政府国家网络安全战略中设定的目标保持一致。然而，由行业专家、作者、演讲者和学者组成的小组认为，该指南需要包含有关如何通过威胁建模实现设计安全的具体细节。威胁建模是识别、量化和修复安全威胁和漏洞的结构化过程。虽然专家们欢迎指导文件提及“量身定制的威胁模型”作为产品部署过程的一部分，但他们指出，“组织需要通过培训、支持和帮助、工具和其他能力要素来开发威胁模型的能力。”因此，他们敦促更加具体地说明如何通过威胁建模从设计中实现安全性，包括在这种情况下定义“彻底的透明度”。作者补充说，他们希望看到“安全指导和彻底透明度之间关系的澄清”。这包括定义供应链的透明度适合多远。这封长达七页的信还列出了指南中条款的一系列更具体的改进机会。这封信的签名者包括作家兼学者Adam Shostack、Epiq Global首席信息安全官 Alyssa Miller、IriusRisk首席执行官Stephen de Vries以及LINDDUN隐私威胁建模方法的研究员和创建者Kim Wuyts。Shostack评论道：这一新指南是安全设计向前迈出的一大步。这是基础广泛的网络安全机构首次齐心协力制定联合原则，并敦促制造商采取更多措施，确保他们制造的软件和技术从一开始就是安全的。

https://www.infosecurity-magazine.com/news/experts-cisa-update-secure-design/

11、新威胁：黑客注册“.ZIP”域名进行网络钓鱼攻击

FortiGuard实验室的安全研究人员发现，攻击者发现了一种欺骗互联网用户的新方法，即通过注册具有“.ZIP”扩展名的域（通常用于存储压缩文件）。TLD或“顶级域名”是域名的末尾部分，例如“.COM”、“.ORG”或“.NET”等。随着时间的推移，出现了数百个所谓的“通用 TLD”或“gTLD”，它们为组织和用户提供与其品牌相匹配的个人地址，例如“Z.cash”、“X.team”或“Vacation.rentals”。根据FortiGuard的报告 ，通用TLD为攻击者的利用开辟了新的途径，而可供购买的.ZIP域也大大增加了利用的可能性。gTLD的出现已经使得检测网络钓鱼攻击变得更加困难。现在添加“.ZIP”域会在没有经验的用户中造成混乱。例如，5月15日出现的“businesscentral[.]zip”域立即将名为“file.exe”的恶意文件下载到访问者的计算机上。5月20日注册的另一个域名“chatgpt[.]zip”提供下载包含最新版本ChatGPT聊天机器人的存档，但该存档当然包含恶意文件。另一个域“assignment[.]zip”将用户重定向到空档案，而“voorbeeld[.]zip”域根本不包含任何内容。研究人员指出，这些域名背后尚未记录到任何恶意活动，但它们将来可以用于此目的。威胁的真实示例之一是“42[.]zip”域，该域也于 5 月 15 日出现在网络上。它立即下载一个名为“ZIP 炸弹”的恶意文件，导致大量数据解压，占用受害者计算机上的所有可用空间。为了防止此类攻击，FortiGuard Labs建议用户在防火墙上阻止“.ZIP”域，使用Web过滤器和浏览器扩展来检查站点，并在访问URL之前始终查看它们。特别是如果它们是由外部用户发送的。

https://www.securitylab.ru/news/540155.php

12、人权活动人士敲响警钟：美国公民遭受人工智能全面监控

一种基于人工智能的新型强大工具将汽车的行为识别为可疑。通过查看过去两年在纽约州收集的超过15亿条车牌记录的数据库，人工智能确定扎亚斯的汽车正在进行典型的毒品交易之旅。根据司法部检察官办公室的一份声明，2020年10月至2021年8月期间，该男子沿着已知毒贩使用的路线，从马萨诸塞州前往纽约不同地区九次。去年3月10日，威彻斯特警方拦下扎亚斯并搜查了他的车，在车内发现了112克裂纹、一把半自动手枪和34,000美元现金。一年后，扎亚斯承认贩毒指控。警方长期以来一直使用自动车牌识别（ALPR），但之前它仅用于查找与特定犯罪相关的特定车辆。在上述案例中，系统分析了该地区480个摄像头中任何一个摄像头经过的所有汽车的移动情况，并将这些数据“馈送到”人工智能。据报道，威彻斯特警察车牌追踪系统是由专注于人工智能的私营公司Rekor建造的。政府数据显示，Rekor已将其ALPR技术出售给美国至少23个警察部门和地方政府。这还不包括纽约州40多个可以使用威彻斯特县警察系统的警察局。现在如此多的机构正在收集车牌记录并将其与人工智能技术结合使用，人权活动人士敲响了警钟：在他们眼中，此类技术侵犯了普通美国人的基本权利，严重侵犯了他们的隐私。“在没有司法监督的情况下，这种系统的运作取决于每一位有权使用该系统的警官的心血来潮，”上述大卫·扎亚斯的律师本·戈尔德说。“这种监视的规模大得令人难以置信，”美国公民自由联盟高级律师布雷特·马克斯·考夫曼表达了他的担忧。为了追求这种难以捉摸的收益，“人工智能间谍”市场正在将目光从执法领域转向零售和快餐业。例如，麦当劳和White Castle已经开始使用ALPR等技术来优化配送、识别回头客，并利用特定客户过去订单的经验来提供灵活、个性化的推荐。随着此类智能系统变得越来越普遍，逃脱政府和企业的严格审查变得越来越困难。但愿随着时间的推移，美国的做法不会被推广到各处，否则很快我们就能在现实生活中看到无数反乌托邦电影的情节。

https://www.securitylab.ru/news/540159.php

13、OpenAI已暂停公众访问GPT-4多模式版本中的面部识别功能

今年早些时候宣布的GPT-4不仅可以处理和生成文本，还可以分析图像。OpenAI还与初创公司Be My Eyes合作开发了一款应用程序，通过向盲人描述图片和照片来帮助他们与周围的世界互动。最近，一些用户开始注意到该应用程序停止传输有关面部的信息。OpenAI的研究员Sandhini Agarwal证实，该模型能够识别拥有维基百科页面的公众人物。然而，有人怀疑这一功能是否会违反一些地区的隐私法，因为这些地区使用生物识别技术需要公民的同意。其他潜在的担忧包括OpenAI担心Be My Eyes可能会误解或歪曲面部特征。例如，存在GPT-4错误识别性别和情感的情况。在某些情况下，此类错误可能很严重。在GPT-4图像分析功能广泛使用之前，开发人员将考虑安全问题。“我们真的希望与公众进行双向对话。如果人们说某些事情没有必要，那么我们将完全接受这样的立场，”阿加瓦尔说。虽然隐私问题仍未解决，但其他公司正在测试类似的技术。例如，微软在其Bing聊天机器人中开发了基于GPT-4的视觉分析工具。有趣的是，Bing最近通过了验证码（公共图灵测试），这可能会减慢更新的推出速度。谷歌在巴德神经网络中实现了图像分析功能。它还能够解决基于文本的验证码，尽管取得了不同程度的成功。显然，AI计算机视觉技术的大规模传播是不可避免的。然而，在这些技术可供广泛用户使用之前，公司仍然需要解决许多问题。

https://www.securitylab.ru/news/540156.php

14、GE在其Cimplicity HMI/SCADA产品中修补的十多个漏洞

GE最近在其Cimplicity产品中修复了十多个漏洞，让人想起臭名昭著的俄罗斯黑客组织进行的工业控制系统（ICS）攻击。美国网络安全和基础设施安全局(CISA)周二（18日）发布了一份公告，通知用户有关GE的Cimplicity人机界面(HMI)以及监督控制和数据采集(SCADA)产品中发现的漏洞，该产品被全球主要组织使用，包括关键基础设施部门。CISA通报描述了CVE-2023-3463，该漏洞已被指定为一系列可被利用来执行任意代码的缺陷。GE发布了一个补丁，并指出：“只有当具有系统本地访问权限的经过身份验证的用户从恶意源获取并打开文档时，才有可能利用该漏洞，因此安全部署和强大的用户访问管理至关重要。”虽然只分配了一个CVE标识符（供应商显然坚持这样做），但实际上总共存在14个内存损坏漏洞，包括未初始化指针、越界读取、越界写入、释放后使用和基于堆的缓冲区溢出错误。漏洞发现者Heinzl于2022年12月通过CISA向供应商报告了他的发现，并指出GE花了很长时间来修补这些漏洞和其他漏洞。研究人员在其网站上针对14个缺陷中的每一个缺陷发布了单独的建议。据专家称，该应用程序的安装文件夹包含一个名为“No_DEP”的子文件夹，其中包含禁用了数据执行保护（DEP）的受影响应用程序二进制文件的副本。对于依赖此特定二进制文件的组织来说，利用该漏洞更容易。据称，当年俄罗斯Sandworm组织以使用Ciplicity产品的组织为目标，该行动涉及使用 .cim 件作为攻击媒介。 

https://www.securityweek.com/recently-patched-ge-cimplicity-vulnerabilities-reminiscent-of-russian-ics-attacks/

15、新型介电电容器可以使电动汽车更加高效

日本研究人员利用纳米片技术创造了一种先进的介电电容器，可以无与伦比的密度和稳定性存储能量。这一发现可以显著提高可再生能源和电动汽车生产的效率。介电电容器是一种以固体电介质分隔的两个金属电极之间的电场形式存储能量的装置。电介质是具有极化特性的材料，即能够在外部电场的影响下改变电荷分布的能力。电介质的极化越大，电容器中可以存储的能量就越多。与锂离子电池等其他储能技术相比，介电电容器具有许多优势。它们具有充电时间短（仅几秒）、使用寿命长、功率高的特点。然而，现有的介电电容器能量密度低，即单位体积或质量的能量很少。为了提高能量密度，需要使用具有高极化和高击穿强度的电介质，即能够承受高电压而不被破坏的能力。现有材料无法同时具备这些品质。名古屋大学可持续材料与系统研究所(IMaSS)的Minoru Osada教授领导的研究小组与国立材料科学研究所(NIMS)合作，利用纳米片技术解决了这个问题。纳米片是几纳米厚（一纳米等于十亿分之一米）的薄层材料。研究人员利用具有钙钛矿晶体结构的钙、钠、铌和氧纳米片，创造了一种具有创纪录能量密度的介电电容器。“众所周知，钙钛矿结构是铁电体的最佳结构，因为它具有优异的介电性能，例如高极化，”Osada 解释道。“我们发现，通过利用这一特性，可以将高电场施加到高度极化的介电材料上，并将其转换为无损的静电能，从而实现有史以来最高的能量密度。纳米片介电电容器的能量密度比其前身高出1-2个数量级，同时保持相同的高功率。此外，纳米片电容器在重复使用和高达300°C的高温下高度稳定。Osada总结道：“这一成果为介电电容器的开发提供了新的指导方针，预计将适用于固态储能设备。”研究结果发表在《纳米快报》杂志上。

https://www.securitylab.ru/news/540168.php

16、P2P自我复制云蠕虫攻击Redis

研究人员发现了一种跨平台、基于Rust的点对点(P2)蠕虫病毒，其目标是Redis开源数据库应用程序；具体来说，是云中的容器。Palo Alto Network's Unit42团队7月19日的一份报告给 云蠕虫起了 一个恰当的绰号：“P2PInfect”。由于其庞大的命令和控制（C2）网络，并且提到了“矿工”一词，该团队怀疑这可能是更广泛的加密货币挖矿操作的第一阶段。虽然Unit 42团队在网上发现了超过300,000个Redis系统，但并非所有系统都容易受到P2Pinfect蠕虫的攻击—事实上，他们只发现了其中934个。该团队表示，易受攻击的Redis系统未针对CVE-2022-0543下跟踪的Lua沙箱逃逸漏洞进行修补，该漏洞在CVSS漏洞严重程度评分中得分为10分（满分10分）。Unit 42 P2P云蠕虫报告解释道：“虽然该漏洞是在2022年披露的，但目前其范围尚不完全清楚。” “此外，P2PInfect利用在Linux和Windows操作系统上运行的Redis服务器，这一事实使其比其他蠕虫病毒更具可扩展性和威力。”其他Redis用户群面临的问题是，Unit 42分析师预测，每个Redis系统都可能受到威胁行为者的攻击。而且，它可以随时通过额外的妥协策略进行修改，这意味着现在不易受到攻击的Redis实例将来可能会变得可破解。

https://www.darkreading.com/application-security/new-cloud-worm-targets-redis-open-source-database-app-

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-168

2. 5th域安全微讯早报-Vol-2023-167

3. 5th域安全微讯早报-Vol-2023-171

4. 5th域安全微讯早报-Vol-2023-170

5. 5th域安全微讯早报-Vol-2023-169

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement