20230814-5th域安全微讯早报-No.193

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月14日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-193 星期一

今日热点导读

1、美国创新卫士：生成式人工智能如何改变未来战争的游戏规则

2、美军海军陆战队寻求新的人工智能工具来实现地理空间情报

3、美陆军网络集中化将提高全球可见性和网络安全

4、英国政府因加密错误而受到猛烈抨击

5、Avada WordPress主题和插件中发现多个缺陷

6、Knight勒索软件通过虚假的Tripadvisor投诉电子邮件传播

7、福特称存在WiFi漏洞的汽车仍可安全驾驶

8、Zoom ZTP和奥科手机缺陷曝光导致用户遭受窃听

9、加拿大艾伯塔省牙科公司为解密密钥和删除被盗数据支付了“大量”赎金

10、黑客泄露巴西整形手术患者的PII数据和照片

11、俄罗斯某国防企业系统管理员因使用自由软件被判缓刑

12、MaginotDNS攻击利用DNS缓存中毒的弱检查

资讯详情

1、美国创新卫士：生成式人工智能如何改变未来战争的游戏规则

美国国防部(DoD)宣布成立生成人工智能(AI)工作组，这一举措体现了国防部积极、负责任地利用人工智能力量的承诺。国防部副部长凯瑟琳·希克斯博士委托组织利马工作组。她将在大型语言模型(LLM)等生成式人工智能工具的分析和集成到国防部中发挥关键作用。希克斯说：“林特别工作组的成立突显了国防部对人工智能创新的坚定承诺。” “我们致力于国家安全、降低风险和负责任地整合这些技术。国防的未来不仅在于先进技术的应用，而且在于有远见地使用它们，并深刻理解对国家的广泛影响。”该工作组将由数字和人工智能技术总办公室（CDAO）领导，将评估、同步和实施国防部的生成式人工智能能力，在新兴技术和保护国家安全方面发挥领导作用。美国海军上校M. Javier Lugo强调，“将人工智能引入国防不仅涉及开创性技术，而且还涉及加强国家安全。国防部认识到生成式人工智能在显着改善情报、作战规划和行政流程方面的潜力，但负责任的实施是有效管理相关风险的关键。”CDAO于2022年6月推出，致力于集成和优化国防部的人工智能能力，并促进数据、分析和人工智能的采用，以应对当前和新兴的国家安全威胁。

https://www.securitylab.ru/news/540851.php

2、美军海军陆战队寻求新的人工智能工具来实现地理空间情报

据本周发布的消息人士透露，海军陆战队系统司令部正在寻找聊天机器人来支持一项关键情报计划。此次搜索是在海军陆战队地理空间情报项目准备更新分布式通用地面/地面系统技术之际进行的。根据8月8日Sam.gov发布的信息请求，DCGS-MC GEOINT平台是一个安全、多层次、集成的战术数据系统，为海洋分析人员提供任务、收集、处理、分析、利用、生产、存储、传播和公开地理空间情报数据和产品的能力。该技术“提供地理参考数据和产品，为战场可视化建立GEOINT基础，并提供支持指挥官决策过程的通用参考框架。它能够提供近乎实时的地理空间参考数据和产品，支持全方位的海军陆战队空地特遣部队 (MAGTF)、联合和多国合作伙伴的行动，从而能够快速响应或预测世界各地的威胁。”在寻求升级系统功能时，海军陆战队正在联系供应商，以了解有哪些解决方案可用于“人工智能聊天机器人能够通过自然语言接收、解析和输出与海军陆战队地理空间流程、要求和工作流程相关的信息”。海军陆战队并不是唯一对生成人工智能感兴趣的国防部部门，生成人工智能可以根据提示和数据输入创建文本、音频、代码、图像、视频和其他类型媒体等内容。中央情报局等情报机构也在研究这些类型的技术如何帮助他们完成任务。

https://defensescoop.com/2023/08/11/the-few-the-proud-the-chatbots-marines-seek-new-ai-tools-for-geospatial-intelligence/

3、美陆军网络集中化将提高全球可见性和网络安全

陆军网络司令部正在努力实现对整个军种网络（从办公室到战场）的集中可见性，这是以前从未做过的。“陆军网络现在将提供满足用户需求的能力，现在我们将为其提供充足的资源，这样我们就不会采取那种烟囱式的方法，”G-6副参谋长约翰·莫里森中将说道，在下周AFCEA TechNet奥古斯塔会议之前接受采访时告诉DefenseScoop。“我们能够集中所有这些精力，并通过陆军网络真正平衡资源需求与能力。这与我们过去的做法根本不同。”这项工作是陆军统一网络计划的一部分，于2021年秋季公布，旨在将其战术战场网络与其更静态的企业网络连接起来，以实现单一的网络方法。此前，该网络由联合孤岛组成，这些孤岛主要以战区为中心，因此很难在战区之间通信或共享数据。随着陆军从统一网络的最初概念发展到实际建设，它已将其最初的支柱转变为四个战略重点，其中之一是改革其信息的安全和防御。集中化的重点是“通过整合零信任原则和其他关键改革来实现陆军网络安全态势的现代化，以确数据在传输和静态时的安全性、完整性、可访问性和可靠性。

https://defensescoop.com/2023/08/11/army-network-centralization-will-improve-global-visibility-and-cybersecurity-morrison-says/

4、英国政府因加密错误而受到猛烈抨击

有关英国《在线安全法案》的虚假声明和半真半假的说法，引起了加密专家的愤怒。拟议的立法将有效地迫使使用端到端加密的私人通讯公司扫描其用户的内容以查找虐待儿童的材料。这将要求用户下载客户端扫描软件，以便在加密之前读取其设备上的消息。安全消息应用程序Element的首席执行官Matthew Hodgson称该声明“事实上不正确”。“不存在允许加密和访问‘此特定信息’的技术。” 检测非法内容意味着必须首先扫描所有内容。通过增加使用扫描技术的能力，你就为那些利用和滥用它的人打开了大门，”他说。“你建立了‘好人’和坏人对英国公民进行大规模监视的机制。试图迫使科技公司在其产品中实施大规模监控是完全不可接受的。”“从私营公司到学术界和民间社会组织的无数专家都告诉你，这项技术是不可能建立的，”Hodgson回应道。“政府是否期望每家科技公司都将资金投入到永无休止的研发项目中，而这些项目永远不会产生可行的产品？”智库经济事务研究所公共政策和传播部主任马修·莱什也加入了批评之列。“政府关于加密的说法是妄想。在线安全法案授权Ofcom要求扫描私人消息，这会破坏加密并可能导致WhatsApp和Signal等软件离开英国。”“目前并没有任何神奇的技术解决方案可以在扫描消息时保护用户隐私。这是一个自相矛盾的说法。”隐私专家过去也批评过客户端扫描，称虐待儿童材料匹配的误报率太高，无法发挥作用。

https://www.infosecurity-magazine.com/news/uk-government-slammed-encryption/

5、Avada WordPress主题和插件中发现多个缺陷

广泛使用的Avada主题及其随附的Avada Builder插件中已发现多个漏洞。Patchstack的安全研究员Rafie Muhammad发现的这些安全漏洞使大量WordPress网站面临潜在的危险。在这些漏洞中，Avada Builder插件表现出两个弱点。第一个是经过身份验证的SQL注入(CVE-2023-39309)。第二个是反射跨站脚本(XSS)漏洞 (CVE-2023-39306)，使未经身份验证的攻击者能够窃取敏感信息，并可能提高他们在受影响的WordPress网站上的权限。Patchstack还发现了Avada主题中的另外几个漏洞。其中第一个是Contributor+任意文件上传漏洞 (CVE-2023-39307)。同样重要的是对应的Author+缺陷(CVE-2023-39312)的曝光。在这里，作者获得了上传恶意zip文件的能力，从而在站点内引入了远程代码执行和漏洞的可能性。这一系列漏洞的最后一个是Contributor+服务器端请求伪造（SSRF）漏洞（CVE-2023-39313）。通过此漏洞，贡献者可以向WordPress服务器上的内部服务发起请求，从而可能在组织框架内发起未经授权的操作或数据访问。这些漏洞于 2023年7月6日向Avada供应商报告，并于2023年7月11日发布了修补版本。Patchstack将这些漏洞纳入其漏洞数据库，并于2023年8月10日公开了安全公告。

https://www.infosecurity-magazine.com/news/flaws-wordpress-avada-theme-plugin/

6、Knight勒索软件通过虚假的Tripadvisor投诉电子邮件传播

Knight勒索软件是在一场持续进行的垃圾邮件活动中传播的，该活动伪装成TripAdvisor投诉。Knight勒索软件是Cyclop 勒索软件即服务的最新品牌重塑，该服务于2023年7月底更名。Cyclops勒索软件运营于2023年5月启动，当时运营商开始在RAMP黑客论坛上招募新的勒索软件即服务(RaaS)的附属机构。Uptycs的一份报告解释说，该操作是通过Windows、macOS和Linux/ESXi的加密器启动的。该行动还向附属机构提供适用于Windows和Linux的信息窃取恶意软件，这在RaaS行动中通常不常见。除了普通的加密器之外，该行动还提供了一个“精简版”版本，用于针对大量目标用户的垃圾邮件和祈祷和喷雾大规模分发活动。该版本似乎使用固定的赎金金额，而不是与受害者谈判。7月底，Cyclops更名为Knight，还表示他们更新了精简版加密器以支持“批量分发”，并推出了新的数据泄露网站。目前Knight数据泄露网站上没有泄露受害者或被盗文件。本周，Sophos研究员Felix发现了一个新的垃圾邮件活动，假装是TripAdvisor投诉，但却分发Knight勒索软件。

https://www.bleepingcomputer.com/news/security/knight-ransomware-distributed-in-fake-tripadvisor-complaint-emails/

7、福特称存在WiFi漏洞的汽车仍可安全驾驶

福特警告称，许多福特和林肯汽车所使用的SYNC3信息娱乐系统存在缓冲区溢出漏洞，该漏洞可能允许远程执行代码，但表示车辆驾驶安全不会受到影响。SYNC3是一款现代信息娱乐系统，支持车载WiFi热点、电话连接、语音命令、第三方应用程序等。该特定系统用于福特探险者、远征者、全顺、野马、翼虎等12个系列车型。该漏洞被追踪为CVE-2023-29468，位于汽车信息娱乐系统中WiFi子系统的WL18xx MCP驱动程序中，该漏洞允许WiFi范围内的攻击者使用特制帧触发缓冲区溢出。系统供应商的安全公告中写道：“潜在易受攻击设备的无线范围内的攻击者可以获得覆盖执行MCP驱动程序的主机处理器内存的能力。”在福特媒体门户网站上发布的一份声明中，该汽车制造商承诺将很快推出软件补丁，客户将能够将其加载到 USB记忆棒上并安装在他们的车辆上。福特公司强调，该缺陷不容易被利用，即使在这种不太可能发生的情况下，也不会让目标车辆的安全面临风险。迄今为止，还没有看到任何证据表明此漏洞已被利用，这可能需要大量的专业知识，并且还包括在物理上靠近已打开点火装置和WiFi设置的单个车辆。无论漏洞被利用的可能性有多大，都不会影响车内乘员的安全，因为信息娱乐系统受到了防火墙的控制，无法进行转向、油门和制动等控制。

https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/

8、Zoom ZTP和奥科手机缺陷曝光导致用户遭受窃听

奥科桌面电话和Zoom的零接触配置(ZTP)中已披露多个安全漏洞，恶意攻击者可能利用这些漏洞进行远程攻击。SySS安全研究员莫里茨·阿布雷尔 (Moritz Abrell)在周五发布的分析报告中表示：“外部攻击者利用AudioCodes Ltd.桌面电话和Zoom零接触配置功能中发现的漏洞，可以获得对设备的完全远程控制。”然后，不受限制的访问可以被武器化，以窃听房间或电话、通过设备进行攻击并攻击公司网络，甚至构建受感染设备的僵尸网络。该研究已于本周早些时候在美国黑帽安全会议上发布。问题根源在于Zoom的ZTP，它允许IT管理员以集中方式配置VoIP设备，以便组织可以轻松地在需要时监控、排除故障和更新设备。这是通过部署在本地网络内的Web服务器来实现的，该服务器为设备提供配置和固件更新。该研究进一步发现了奥科VoIP桌面电话（支持Zoom ZTP）加密例程中的不正确身份验证问题，这些问题允许解密敏感信息，例如通过电话用于获取配置的重定向服务器传输的密码和配置文件。这两个漏洞，即未经验证的所有权错误和经过认证的硬件中的缺陷，可以被塑造成一个漏洞利用链，通过滥用Zoom的ZTP并触发任意设备安装它来传递恶意固件。结合起来，这些漏洞可用于远程接管任意设备。由于这种攻击具有高度可扩展性，因此会带来重大的安全风险。

https://thehackernews.com/2023/08/zoom-ztp-audiocodes-phones-flaws.html

9、加拿大艾伯塔省牙科公司为解密密钥和删除被盗数据支付了“大量”赎金

加拿大一家管理政府牙科项目的非营利公司（ADSC）通知近150万人，他们的数据（包括一些人的银行信息）在上个月的勒索软件事件中遭到泄露。公司官员支付了解密密钥的赎金，并承诺黑客将销毁被盗数据，将他们的希望寄托在“网络犯罪分子的荣誉”上。艾伯塔省牙科服务公司总裁莱尔·贝斯特 (Lyle Best)周五（8月11日）对信息安全媒体集团表示，该公司最近为解密密钥支付了“大笔”赎金，并承诺对此次攻击负责的网络犯罪组织8Base会删除该密钥。Best将8Base描述为“以俄罗斯为基地”，并拒绝透露ADSC支付了多少赎金。支付赎金后，黑客很快向ADSC提供了解密密钥和删除该公司被盗数据的视频。当ADSC收到解密密钥时，该公司已经开始使用备份恢复受影响的数据。据Best称，勒索软件加密仅中断了ADSC的IT 运营约12小时。VMware报告称，8Base使用加密技术与“点名羞辱”技术相结合，迫使受害者支付赎金。VMware写道，该团伙的沟通方式使用“另一个已知组织RansomHouse非常熟悉的措辞”。在权衡是否向攻击者支付解密密钥和销毁被盗数据的承诺时，网络保险公司和个别专家建议ADSC：网络犯罪分子甚至有荣誉感，他们不想因为不这样做而毁掉自己的商业声誉。

https://www.govinfosecurity.com/honor-among-cybercriminals-canadian-firm-paid-ransom-a-22798

10、黑客泄露巴西整形手术患者的PII数据和照片

一群化名Thesnake02的黑客泄露了巴西贝洛奥里藏特Roberto Polizzi整形外科诊所的大量敏感数据。此次泄露事件发生于 2023年7月26日，导致约1.25GB的高度敏感和私人数据泄露，包括手术相关图像、财务文件和患者个人信息。该诊所由 Roberto Polizzi博士管理，已成为针对医疗保健和医疗机构的网络攻击日益增长的趋势的最新受害者。泄露的数据最初在最新版本的Breach Forums上公开，并已被Hackread.com仔细检查。对受损数据的详细分析揭示了大量机密患者信息，包括与外科手术相关的裸照、WhatsApp消息、音频笔记、收据、简历、发票、内部诊所文件和联系方式。此次泄露还暴露了大量个人身份信息 (PII)，例如驾照、CPF ID（巴西相当于社会安全号码）、Covid证书等。重要的是，泄露的数据中没有信用卡或借记卡信息。泄露的记录主要是葡萄牙语，但专家警告称，与手术相关的裸照的曝光会带来巨大的潜在风险。网络犯罪分子可能以各种有害方式利用这些敏感内容，包括敲诈和勒索。

https://www.hackread.com/hackers-leak-data-plastic-surgery-patients-photos/

11、俄罗斯某国防企业系统管理员因使用自由软件被判缓刑

俄罗斯萨马拉基洛夫斯基地区法院对俄罗斯航天公司一家企业的信息安全管理员做出了判决，罪名是违反信息资源使用规则，危害国防企业数据处理中心的安全。法院根据俄罗斯联邦刑法第272条第1部分（非法获取计算机信息）判定他有罪，并判处他一年半缓刑，缓刑两年。经查，2022年，被告人-该企业信息安全管理员将工作电脑接入互联网，从开源网站下载FreeRADIUS软件，安装在Cisco Secure ACS访问控制系统服务器上。该系统用于组织对企业信息资源的安全访问，包括关键信息基础设施（CII）设施。调查认为，被告的这种方式违反了信息资源使用规则，危及国防企业数据处理中心的安全。据FSB称，它可能使攻击者能够访问机密信息或攻击服务器。被告不认罪，并声称他的行为是为了雇主的利益，因为思科安全ACS系统已经过时且维护成本高昂。他声称他为公司节省了近250万卢布的软件许可和支持费用。他还保证在连接互联网和使用免费软件时已采取一切必要的安全措施。法院没有考虑这些论点，而是依赖证人的证词，其中包括被告老板的证词，被告指示他寻找Cisco Secure ACS系统的替代品。法院还考虑了专家意见，确认企业信息资源安全存在威胁。

https://www.securitylab.ru/news/540852.php

12、MaginotDNS攻击利用DNS缓存中毒的弱检查

来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击，该攻击针对条件 DNS (CDNS) 解析器，可以危害整个TLD顶级域。由于不同DNS软件和服务器模式（递归解析器和转发器）实施安全检查的不一致，导致攻击成为可能，导致大约三分之一的CDNS服务器容易受到攻击。研究人员于本周早些时候在Black Hat 2023上展示了该攻击和论文，报告称已发现的问题现已在软件级别得到修复。DNS 解析过程使用UDP、TCP和DNSSEC来执行查询和接收响应。它可以是迭代和递归的，涉及多个步骤以及与根服务器、TLD服务器、权威服务器的交换、沿途缓存记录等。DNS缓存中毒的概念是将伪造的答案注入DNS解析器缓存，导致服务器将输入域的用户定向到不正确的IP地址，从而可能导致他们在不知情的情况下访问恶意网站。过去已经证明了许多此类攻击，例如1997年的卡什普雷夫攻击（Kashpureff Attack）利用了缺乏数据验证（辖区规则）的漏洞，以及2008年的卡明斯基攻击（Kaminsky Attack）利用了缺乏来源的漏洞端口随机化系统。CDNS解析器支持递归和转发查询模式，供 ISP和企业使用，以降低成本并更好地进行访问控制。然而，转发器很容易受到攻击。研究人员发现了重要 DNS 软件的监管检查中存在不一致之处，包括BIND9 (CVE-2021-25220)、Knot Resolver (CVE-2022-32983)、Microsoft DNS和Technitium (CVE-2021-43105)。研究人员在BlackHat演讲中展示的示例包括路径内攻击和路径外攻击，后者更为复杂，但对于威胁行为者来说也更有价值。

https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-189