其他
20231004-5th域安全微讯早报-No.237
网络空间安全对抗资讯速递
2023年10月4日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-237 星期三
今日热点导读
3、荷兰政府网络安全组织加强网络威胁警告合作4、欧盟议会希望更好地保护记者免受间谍软件的侵害5、欧盟将评估四项关键技术带来的风险并考虑出口管制6、北约“积极调查”影响某些网站的涉嫌网络攻击7、亚马逊警告“ShellTorch”问题影响与人工智能模型相关的代码8、零日计划-ZDI讨论首个汽车Pwn2Own9、高通称黑客利用其GPU、DSP驱动程序中的3个零日漏洞10、Microsoft Edge、Teams修复了开源库中的零日漏洞11、新的“Looney Tunables”Linux漏洞可在主要发行版上获得root权限12、研究人员揭示了绕过Cloudflare防火墙和DDoS防护的新技术
资讯详情
1、美国推动非机密联邦信息系统的网络安全标准化根据《联邦公报》周二(10月3日)发布的通知,美国国防部(DoD)、总务管理局(GSA) 和美国国家航空航天局(NASA) 正在提议修订《联邦采购条例》(FAR)。此举有助于部分实施一项行政命令,以标准化联邦机构对非机密联邦信息系统(FIS)的网络安全合同要求,以及一项关于改善国家网络安全的法规。该通知承认政府有责任保护其计算机系统,无论它们是基于云的、本地的还是两者的混合。“保护和安全的范围必须涵盖处理数据的系统(例如信息技术(IT))以及运行确保其安全的重要机器的系统(例如操作技术(OT))。” 它还指出,政府与IT和OT服务提供商签订合同,在FIS上执行一系列日常功能,FIS是由机构、机构承包商或机构使用或运营的信息系统。该通知呼吁相关各方于2023年12月4日或之前向监管秘书处提交书面意见,以在制定最终规则时予以考虑。https://industrialcyber.co/regulation-standards-and-compliance/us-agencies-act-on-far-move-for-standardizing-cybersecurity-for-unclassified-federal-information-systems/
2、欧盟、ENISA和成员国联手开展Blue OLEx '23桌面演习以加强网络安全欧盟委员会与成员国合作,进行了广泛的网络攻击模拟,以加强网络安全准备。来自欧盟成员国、欧盟委员会和欧盟网络安全局(ENISA)的高级网络安全代表正在参加为期两天的“蓝图操作级别演习”(Blue OLEx 2023),以测试欧盟在网络安全事件发生时的准备情况相关危机。ENISA与欧盟理事会西班牙轮值主席国的欧盟委员会在荷兰海牙共同组织并主办了Blue OLEx桌面网络演习。Blue OLEx '23测试了欧盟在发生影响欧盟成员国的网络相关危机时的准备情况,并加强了国家网络安全当局、欧盟委员会和ENISA之间的合作。此次演习的目的是在参与演习的网络安全社区之间建立更牢固的关系,提高态势感知能力并分享最佳实践。它还为高层政治讨论(特别是网络政策问题)奠定了基础,为欧盟层面的危机管理制定了连贯的框架。最新版本的演习聚集了27个成员国负责网络危机管理和/或网络政策的主管机构、欧盟委员会和ENISA的高级管理人员。https://industrialcyber.co/critical-infrastructure/eu-enisa-member-states-join-forces-on-blue-olex-23-tabletop-exercises-to-boost-cybersecurity-preparedness/
3、荷兰政府网络安全组织加强网络威胁警告合作三个荷兰政府网络安全组织正在联手建立一个统一的威胁和漏洞报告平台。此次合作是他们为在2025年底最终整合为单一国家网络组织做准备的关键一步。该倡议使这些机构能够加强合作,确保荷兰的每个实体,无论是公共还是私营、重要还是非重要、小型还是大型,在成为网络威胁的受害者或目标时都能及时收到警报。这符合荷兰网络安全战略的核心目标,为网络安全威胁提供了更清晰的视角。这三个机构的重点是加强网络威胁预警方面的合作,分别是隶属于司法和安全部的国家网络安全中心(NCSC)、隶属于经济事务和气候部的数字服务计算机安全事件响应小组(CSIRT-DSP)和数字信任中心(DTC)。他们的共同目标是增强荷兰的数字安全。NCSC、CSIRT-DSP和DTC从安全研究人员、道德黑客以及国内外合作伙伴处接收这些信息,并将这些信息快速传递给受害者或潜在的目标公司,然后公司可以采取行动来防止或减少损害。https://industrialcyber.co/threats-attacks/dutch-government-cybersecurity-organizations-intensify-cooperation-on-warnings-of-cyber-threats/
4、欧盟议会希望更好地保护记者免受间谍软件的侵害欧洲议会周二(10月3日)同意加强对记者的保护,使其免受政府监视,作为拟议的《欧洲媒体自由法案》的一部分。正如去年9月最初提出的那样,该法律将禁止监视记者及其家人,并禁止使用间谍软件来瞄准他们的设备,除非是“公共利益的压倒性要求”或“出于国家安全”。在欧洲议会议员通过的立法修订版中,该立法现在包括实际上全面禁止在欧盟内部使用间谍软件的内容:“允许完全无限制地访问设备上的个人数据(包括敏感数据)的间谍软件可能会影响隐私权的本质,因此,根据联邦法律,在任何情况下都不应被视为必要和相称的。”理事会、委员会和议会之间关于该法律最终文本的谈判将于本月晚些时候开始。《欧洲媒体自由法》是在欧盟成员国发生多起记者在政治敏感情况下遭到黑客攻击的事件后出台的,这些事件包括匈牙利、西班牙加泰罗尼亚和希腊的案件。对于欧盟委员会来说,这是一个新颖的举措,在媒体监管和影响安全的法律方面,欧盟委员会通常都让位于成员国——通常被认为是每个成员国的主权问题。https://therecord.media/eu-parliament-journalist-spyware-protections
5、欧盟将评估四项关键技术带来的风险并考虑出口管制欧盟委员会已经列出了可能对欧盟经济安全构成风险的四项关键技术的清单,并将评估是否会对这些技术实施出口管制。该委员会周二(10月3日)宣布,人工智能、先进半导体、量子计算和生物技术等技术“被认为极有可能带来最敏感和直接的风险”。委员会的目标是在今年年底前完成对这四项关键技术的风险评估。作为 6 月份宣布的欧洲经济安全战略的一部分,另外六项技术将在晚些时候进行评估。该战略旨在制定“采取一系列行动来应对供应链弹性的风险、关键基础设施的物理和网络安全的风险、与技术安全和技术泄漏相关的风险以及经济武器化的风险”。依赖或经济胁迫。”欧盟委员会表示,它建议在不预先判断评估结果(例如出口管制)的情况下进行风险评估。尽管欧盟高管表示,评估不会针对任何第三国,而且建议中也没有点名中国,但此举是在欧盟奉行“去风险”而非与中国“脱钩”政策之际做出的。https://therecord.media/eu-assesses-risk-posed-by-four-key-technologies
6、北约“积极调查”影响某些网站的涉嫌网络攻击北大西洋公约组织(北约)表示,正在调查有关该军事联盟控制下的非机密网站数据被盗的指控。一个名为SiegedSec的黑客组织声称窃取了9GB数据,该组织是去年发生的几起涉及美国市政当局的黑客攻击的中心。北约发言人告诉记录未来新闻,目前正在调查这些说法,但表示该联盟尚未面临任何运作问题。“北约面临持续的网络威胁,并严肃对待网络安全。北约网络专家正在积极处理影响一些非机密北约网站的事件,”发言人说。在Telegram上的帖子中,SiegedSec吹嘘可以访问北约运营的多个培训门户和信息平台。据称这些数据是从以下地方窃取的:联合高级分布式学习;北约经验教训门户网站;物流网络门户;兴趣社区合作门户;北约投资司门户网站;北约标准化办公室。该组织分享了所获取数据的链接,3000多份文件中的大部分来自北约标准化办公室。北约没有回应有关入侵可能何时发生或其他信息是否被访问的进一步问题。这是继7月份的攻击之后,北约发生的第二起涉及SiegedSec黑客的事件。该组织表示,它从该组织的利益社区合作门户网站窃取了信息。据当时的新闻报道,这批数据包括至少31个国家人员的个人信息。https://therecord.media/nato-siegedsec-unclassified-websites-alleged-cyberattack
7、亚马逊警告“ShellTorch”问题影响与人工智能模型相关的代码亚马逊警告用户存在一个影响TorchServe的漏洞,TorchServe是一些世界上最大的公司在其业务中构建人工智能模型时使用的工具。这家科技巨头周一(10月2日)发布了有关该漏洞CVE-2023-43654的公告,并敦促客户更新到TorchServe的最新版本,以解决该问题,该问题本质上将重要的管理工具暴露在开放互联网上。CVE-2023-43654是以色列安全公司Oligo的研究人员发现的一系列名为“ShellTorch”的漏洞的一部分,该公司发现了这些问题。TorchServe是PyTorch生态系统中流行的开源代码包,由Amazon和Meta监管。该项目被全球数百家组织使用,包括沃尔玛、OpenAI、特斯拉、Azure、谷歌云和英特尔等公司。研究人员表示,利用Oligo发现的漏洞,黑客可以查看、修改、窃取或删除在公司和TorchServe服务器之间移动的人工智能模型和敏感数据。Oligo还发布了有关另一个错误(CVE-2022-1471)的详细信息,以及与API错误配置相关的问题。https://therecord.media/pytorch-torchserve-vulnerabilities-amazon-meta-ai
8、零日计划-ZDI讨论首个汽车Pwn2Own零日计划(ZDI)将于2024年1月24日至26日在东京举行的汽车世界大会上举办新的汽车Pwn2Own活动。新的事物是不可避免的。如果不去碰触,任何东西最终都会变得陈旧;预防总是比治疗容易。汽车业也可能是不可避免的。趋势科技拥有ZDI并运营Pwn2Own竞赛。它还于2018年收购了汽车网络安全专家VicOne,使 Trend能够扩展自己的汽车网络安全产品。还有其他原因使汽车Pwn2Own成为有吸引力的选择。《SecurityWeek》采访了ZDI威胁意识主管达斯汀·蔡尔兹(Dustin Childs)。Childs的灵感可以追溯到2019年温哥华Pwn2Own活动。特斯拉将一辆Model 3带到了酒店,并允许参赛者尝试破解它。“汽车不再只是一辆汽车,”蔡尔兹说;“这是一个系统的系统。” 其中一个重要部分是信息娱乐系统,它将外部世界(尤其是互联网)带入车辆的核心。消费者和企业广泛使用的多种软件系统是Pwn2Own完美主题。汽车Pwn2Own价格昂贵。费用主要由趋势科技资助。“我们确实联系了几家供应商作为共同赞助商,并提供了一些资金,”他说。“特斯拉是本次活动的共同赞助商。这是他们第一次将重点放在联网汽车上。https://www.securityweek.com/zdi-discusses-first-automotive-pwn2own/
9、高通称黑客利用其GPU、DSP驱动程序中的3个零日漏洞高通公司警告其GPU和计算DSP驱动程序中存在三个零日漏洞,黑客正在积极利用这些漏洞进行攻击。Google威胁分析小组(TAG)和零号项目团队告知这家美国半导体公司,CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063可能受到有限的、有针对性的利用。高通表示,它已经发布了安全更新,解决了Adreno GPU和计算DSP驱动程序中的问题,并通知了受影响的OEM。CVE-2022-22071 缺陷于2022年5月披露,,在影响SD855、SD865 5G和SD888 5G等流行芯片的免费错误之后,属于高严重性(CVSS v3.1: 8.4),可在本地利用。高通尚未发布有关被积极利用的CVE-2023-33106、CVE-2022-22071和CVE-2023-33063缺陷的任何详细信息,预计在2023年12月的公告中提供更多信息。除此之外,高通还披露了其工程师发现的13个高严重性缺陷和另外3个严重性漏洞。由于CVE-2023-24855、CVE-2023-28540和CVE-2023-33028缺陷均可远程利用,因此从安全角度来看它们至关重要,但没有迹象表明它们已被利用。https://www.bleepingcomputer.com/news/security/qualcomm-says-hackers-exploit-3-zero-days-in-its-gpu-dsp-drivers/
10、Microsoft Edge、Teams修复了开源库中的零日漏洞微软发布了Edge、Teams和Skype的紧急安全更新,以修复这三款产品使用的开源库中的两个零日漏洞。第一个错误是一个被追踪为CVE-2023-4863的缺陷,由WebP代码库(libwebp)中的堆缓冲区溢出漏洞引起,其影响范围从崩溃到任意代码执行。第二个(CVE-2023-5217) 也是由libvpx视频编解码器库的VP8编码中的堆缓冲区溢出漏洞引起的,这可能导致应用程序崩溃或在成功利用后允许任意代码执行。libwebp 库被大量项目用于编码和解码WebP格式的图像,包括Safari、Mozilla Firefox、Microsoft Edge、Opera等现代Web浏览器和原生Android Web浏览器,以及1Password等流行应用程序和信号。libvpx用于桌面视频播放器软件和在线流媒体服务(例如Netflix、YouTube和Amazon Prime Video)的VP8和VP9 视频编码和解码。微软安全响应中心周一(10月2日)发布的公告中透露,“微软已经意识到并发布了与两个开源软件安全漏洞CVE-2023-4863和CVE-2023-5217相关的补丁。”Microsoft Store将自动更新所有受影响的 Webp图像扩展用户。但是,如果禁用Microsoft Store自动更新,则不会安装安全更新。https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/
11、新的“Looney Tunables”Linux漏洞可在主要发行版上获得root权限一个名为“ Looney Tunables ”的新Linux漏洞使本地攻击者能够通过利用GNU C库的ld.so动态加载程序中的缓冲区溢出漏洞来获得root权限。GNU C库(glibc)是GNU系统的C库,存在于大多数基于Linux内核的系统中。它提供了典型程序执行所需的基本功能,包括open、malloc、printf、exit等系统调用。glibc中的动态加载器至关重要,因为它负责在使用glibc的Linux系统上准备和执行程序。该缺陷(CVE-2023-4911)由Qualys威胁研究单位发现,于2021年4月随着glibc 2.34的发布而引入,通过描述为修复 setuid程序中的SXID_ERASE行为的提交。Qualys威胁研究部门的产品经理Saeed Abbasi表示:“我们成功利用该漏洞,获得了Fedora、Ubuntu和Debian等主要发行版的完全root权限,这凸显了该漏洞的严重性和广泛性。” 近年来,Qualys研究人员发现了其他高严重性的Linux安全漏洞,这些漏洞使攻击者能够在许多Linux发行版的默认配置中获得root权限。https://www.bleepingcomputer.com/news/security/new-looney-tunables-linux-bug-gives-root-on-major-distros/
12、研究人员揭示了绕过Cloudflare防火墙和DDoS防护的新技术Cloudflare中的防火墙和分布式拒绝服务(DDoS)攻击预防机制可以通过利用跨租户安全控制中的漏洞来规避,从而违背了这些防护措施的初衷。Certitude研究员Stefan Proksch在上周发布的一份报告中表示:“攻击者可以利用自己的Cloudflare帐户来滥用Cloudflare与客户网站之间按设计设计的信任关系,从而使保护机制失效。”根据这家奥地利咨询公司的说法,这个问题是由于Cloudflare内的所有租户都可以使用共享基础设施而导致的,无论它们是否合法,从而使恶意行为者很容易滥用与服务相关的隐式信任并破坏护栏。第一个问题源于选择共享Cloudflare证书来验证服务的反向代理和客户的源服务器之间的 HTTP(S)请求,这是称为Authenticated Origin Pulls功能的一部分。第二个问题涉及滥用列入许可名单的Cloudflare IP地址(这会阻止源服务器接收来自单个访问者IP地址的流量并将其限制为Cloudflare IP地址)来传输恶意输入并针对平台上的其他用户。在2023年3月16日负责任地披露后,Cloudflare承认调查结果提供了信息,并在其文档中添加了新的警告。Certitude此前还发现,攻击者有可能利用“悬挂”DNS记录来劫持属于政府、媒体机构、政党和大学等1,000多个组织的子域,并可能将其用于恶意软件分发、虚假信息活动和网络钓鱼攻击。https://thehackernews.com/2023/10/researcher-reveal-new-technique-to.html
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement