其他
5th域安全微讯早报【20240614】143期
2024-06-14 星期五 Vol-2024-143
今日热点导读
3. 美国政府问责署敦促白宫解决网络安全积压问题
4. 2024圣彼得堡国际经济论坛遭乌克兰IT军网络攻击5. 暗网涌现新型点击欺诈软件 瞄准在线广告预算6. Ascension医疗网络攻击的背景与应对7. Kulicke & Soffa遭遇大规模数据泄露事件8. 开源AI/ML工具中发现多个高危漏洞9. Ivanti EPM SQL注入漏洞允许远程代码执行10. SummerNote 0-day漏洞被XSS攻击利用
11. 利用Windows搜索协议的新钓鱼攻击:通过HTML附件传播恶意脚本12. Kimsuky组织利用Office漏洞部署键盘记录器13. MLLMGuard:多模态大型语言模型的多维安全评估套件14. 使用SituAnnotate定位数据标签,增强人工智能的偏见感知能力15. 法国漏洞赏金平台YesWeHack融资2800万美元拟推动国际扩展和AI投资16. NSO 联合创始人设立人工智能研究所以推动以色列技术创新
资讯详情
政策法规
1. 美国实施新制裁行动以削弱俄罗斯半导体供应
美国发起了新一轮针对俄罗斯的制裁,特别针对金融、科技产业及第三方国家卖家,目的是削弱俄罗斯军工综合体的能力,阻止其从美国及他国获取关键的软件、信息技术服务以及半导体等技术,这些技术被俄罗斯用于乌克兰战争中的军事装备开发。俄罗斯对外国芯片和其它技术的依赖程度很高,尤其是在无人机和导弹的生产上。美国财政部指出,制裁特别针对那些向俄罗斯出售半导体技术的公司和协助采购微电子产品的个人。美国商务部也对那些可能帮助俄罗斯规避制裁的香港空壳公司采取了措施。此外,美国还扩大了对美国品牌技术的制裁范围,禁止提供多种云服务,包括IT咨询、设计服务、技术支持等。克里姆林宫已誓言要进行报复。俄罗斯外交部和安理会副主席德米特里·梅德韦杰夫分别表达了对制裁的强烈不满,并呼吁俄罗斯民众对制裁进行反击。
来源:https://therecord.media/russia-third-party-semiconductor-supply-us-sanctions
2. 美国FCC与NTIA合作扩展商用无线频谱访问
美国联邦通信委员会(FCC)宣布修改现有的频谱共享框架,以扩大商用无线服务的覆盖范围,预计将惠及约7200万人。此举旨在提高商用用户对5G和高速互联网的访问。国家电信和信息管理局(NTIA)与海军合作,建议减少现有公民宽带无线电服务(CBRS)使用的地理区域,特别是在美国海岸线和联邦设施附近。CBRS自2015年起允许联邦和商用用户共享3.5 GHz频段。修改后,商用企业将能够在不干扰国防部操作的情况下提供连续的无线服务。此举是为了平衡国家经济和国防优先事项,同时确保联邦用户的频谱使用不受影响。NTIA与国防部还在研究是否可以共享3.1-3.45 GHz频段的剩余部分,预计2025年完成分析。
来源:https://defensescoop.com/2024/06/13/fcc-ntia-navy-move-expand-spectrum-access-commercial-wireless/
3. 美国政府问责署敦促白宫解决网络安全积压问题
美国政府问责署(GAO)发布了一份超过80页的报告,提醒白宫在2024年大选前解决网络安全法规积压问题。报告指出,自2010年以来,GAO提出了1610项与网络安全相关的建议,但白宫尚未实施其中567项。关键领域包括建立有效监督的网络安全战略、保护联邦系统和信息、保护关键基础设施以及保护隐私和敏感数据。GAO特别强调国家网络安全战略缺乏绩效衡量和成本估算,阻碍了评估战略有效性的能力。此外,保护关键基础设施仍是重大挑战,涉及该主题的126项建议中有一半以上未得到解决。GAO呼吁联邦机构采取更积极的措施,确保关键基础设施部门遵循防范勒索软件的最佳做法。
来源:https://cyberscoop.com/gao-cyber-white-house-report/
安全事件
4. 2024圣彼得堡国际经济论坛遭乌克兰IT军网络攻击2024年圣彼得堡国际经济论坛(SPIEF)遭受了由乌克兰IT军策划的持续四天的网络攻击,攻击类型为分布式拒绝服务(DDoS),每秒产生高达20万次恶意请求。乌克兰IT军通过Telegram宣称负责,尽管攻击未能造成预期的破坏,但仍引起广泛关注。攻击不仅针对论坛本身,还影响了负责网络安全的国有企业Solar SC,其影响波及整个俄罗斯、欧洲和英国。Solar SC总经理Igor Lyapunov确认,尽管遭受攻击,但通过网络安全专家的努力,论坛基础设施保持了弹性。此次事件凸显了加强网络安全和国际合作的重要性,以应对日益复杂的全球网络安全挑战。目前,SPIEF组织者尚未发布官方声明,乌克兰IT军的说法真实性尚未得到证实。来源:https://thecyberexpress.com/alleged-spief-2024-cyberattack/5. 暗网涌现新型点击欺诈软件 瞄准在线广告预算暗网论坛上,一名自称为“enlared”的威胁行为者发布了一款针对Google Ads的新型点击欺诈软件,声称能够帮助用户耗尽竞争对手的广告预算。该软件售价700美元,具备模拟不同地理位置点击、使用代理网络隐藏用户身份、定位特定广告域和关键字等功能,以规避广告平台的检测算法。软件界面用户友好,易于设置,允许用户定制广告活动参数,迅速耗尽对手预算。此外,该软件还提供远程桌面演示,接受各种托管付款方式,确保交易安全。这款软件的出现,揭示了在线广告领域中一种新的不正当竞争手段,对企业公平竞争构成威胁。来源:https://thecyberexpress.com/hacker-advertises-new-click-fraud-software/
6. Ascension医疗网络攻击的背景与应对Ascension 近期遭受网络攻击,导致其网络中少数服务器上的文件被窃取,可能包含部分个人的受保护健康信息(PHI)和个人身份信息(PII)。此次攻击源于一名员工误下载了恶意文件。受攻击影响的服务器主要用于日常任务,占总服务器数量的极少部分。尽管电子健康记录系统未受影响,但Ascension仍在全面审查受影响的文件,并为所有患者和员工提供免费的信用监控和身份盗窃保护服务。Ascension 承诺透明调查,并将遵守数据泄露通知的相关法律法规,同时向受影响者表示歉意。Ascension 在美国19个州和哥伦比亚特区运营,管理着140家医院和40家老年护理机构。该机构拥有庞大的员工队伍,包括8,500名供应商、35,000名附属供应商和134,000名员工。来源:https://thecyberexpress.com/ascension-cyberattack/
7. Kulicke & Soffa遭遇大规模数据泄露事件全球半导体封装和电子组装解决方案供应商 Kulicke & Soffa Industries, Inc. (K&S) 近期遭受严重数据泄露,约1200万份文件受到影响,包括源代码、工程数据和个人身份信息等敏感内容。该事件于2024年5月12日被发现后,K&S网络安全团队迅速响应,与外部专家合作控制并隔离了受影响服务器,并向执法部门报告了事件。尽管事件调查仍在进行中,K&S表示此次泄露未对其运营或业务预期产生重大影响,并强调将继续采取措施保护数据和系统。公司同时提醒存在的风险和不确定性,承诺在获取更多信息后向利益相关者提供更新,同时致力于加强网络安全,防止类似事件再次发生。来源:https://cybersecuritynews.com/kulicke-soffa-data-breach/
漏洞预警
8. 开源AI/ML工具中发现多个高危漏洞Protect AI的最新报告显示,在开源AI/ML工具中发现了十几个严重漏洞,这些漏洞可能被利用导致信息泄露、资源非法访问、权限提升甚至服务器完全接管。Huntr AI漏洞赏金计划共报告了32个安全缺陷,其中最严重的是英特尔神经压缩器软件中的一个漏洞(CVE-2024-22476),它由于输入验证不当可能导致权限提升,该漏洞已于5月得到修复。ChuanhuChatGPT因使用过时的Gradio包而存在敏感文件泄露风险(CVE-2024-3234)。LoLLMs存在路径遍历漏洞(CVE-2024-3429),可能导致任意文件读取和DoS攻击。Qdrant的两个漏洞(CVE-2024-3584和CVE-2024-3829)可能使攻击者在服务器上覆盖任意文件,实现完全接管。Lunary被发现允许用户访问他们无权访问的项目(CVE-2024-4146)。此外,还发现了其他多个高危漏洞,涉及AnythingLLM、Lunary、LoLLM等工具。Protect AI强调所有漏洞在报告发布前至少45天已通知维护团队,并将继续合作确保漏洞及时修复。来源:https://www.securityweek.com/easily-exploitable-critical-vulnerabilities-found-in-open-source-ai-ml-tools/9. Ivanti EPM SQL注入漏洞允许远程代码执行2024年5月24日,Zero-Day Initiative发布了关于Ivanti EPM中存在的一个严重SQL注入漏洞(CVE-2024-29824)的安全公告,该漏洞严重性评分为9.6。此漏洞存在于Ivanti EPM的RecordGoodApp功能中,通过PatchBiz.dll文件中的SQL语句使用string.Format将输入插入SQL查询中,从而引发SQL注入。Horizon3的研究人员发布了概念验证,展示了如何通过该漏洞实现远程代码执行。该漏洞可通过/WSStatusEvents端点访问,并利用xp_cmdshell在系统上执行命令。Horizon3在GitHub上发布了利用代码,建议Ivanti EPM用户尽快升级产品以防止潜在威胁。来源:https://gbhackers.com/ivanti-epm-sql-injection-rce-vulnerability/
10. SummerNote 0-day漏洞被XSS攻击利用2024年6月13日,安全研究人员发现流行的所见即所得(WYSIWYG)编辑器SummerNote 0.8.18版本中存在一个严重的0-day漏洞(CVE-2024-37629),该漏洞允许攻击者通过代码视图功能执行跨站点脚本(XSS)攻击。SummerNote是一个广泛使用的JavaScript库,用于在线创建所见即所得编辑器。安全研究员Sergio Medeiros指出,由于SummerNote的代码视图功能未能正确清理用户输入,导致约10,000个Web应用程序面临被简单XSS负载利用的风险。通过在编辑器中设置特定的HTML组件,攻击者可以注入恶意JavaScript代码,从而在受害者浏览器中执行。研究人员通过创建一个测试负载并观察编辑器的反应,成功验证了XSS攻击的有效性。这一发现强调了对WYSIWYG编辑器进行定期安全审查的重要性,以及开发者在集成第三方库时需要考虑的潜在安全风险。来源:https://gbhackers.com/0day-vulnerability-xss-payloads/
TTPs动向
12. Kimsuky组织利用Office漏洞部署键盘记录器近日,Kimsuky威胁组织被发现利用Microsoft Office公式编辑器中的一个已知漏洞(CVE-2017-11882),通过精心构造的网络攻击在全球范围内分发键盘记录器。该漏洞允许攻击者执行任意代码,尽管已被发现多年,但由于其执行恶意脚本的高成功率,依然是网络犯罪分子的有力工具。攻击开始于用户打开一个嵌入恶意脚本的Office文档,该文档利用公式编辑器执行mshta.exe。恶意脚本通过mshta进程连接到一个名为error.php的页面,该页面显示“未找到”消息以掩盖其真实行为。脚本的主要行为包括下载其他恶意软件、创建特定文件,并尝试在注册表中注册以实现自动运行。攻击者使用PowerShell脚本收集系统和IP信息,并下载执行键盘记录器。键盘记录器记录用户的击键和剪贴板数据,定期将收集的数据发送到C2服务器,确保了持续的数据泄露。来源:https://gbhackers.com/hackers-exploiting-ms-office/
AI安全相关
13. MLLMGuard:多模态大型语言模型的多维安全评估套件多模态大型语言模型(MLLM)的实际应用场景错综复杂,容易受到恶意指令的攻击,从而带来安全风险。本文介绍了MLLMGuard,一个为MLLM设计的多维安全评估套件。MLLMGuard针对MLLM在实际应用中的安全风险,提供了双语(英语和中文)评估数据集、推理实用程序和轻量级评估器。它覆盖了隐私、偏见、毒性、真实性和合法性五个关键安全维度,并通过结合社交媒体数据、红队技术和人类专家注释,确保评估的准确性和挑战性。此外,本文提出了GuardRank,一种全自动轻量级评估器,其评估准确率优于GPT-4。通过对13个高级模型的评估,结果表明MLLM在达到安全可靠标准前还有待进一步改进。来源:https://arxiv.org/html/2406.07594v114. 使用SituAnnotate定位数据标签,增强人工智能的偏见感知能力本文提出了SituAnnotate,一种新型的情境基础本体,用于改进人工智能系统的训练数据注释。SituAnnotate通过将数据锚定在其出现的情境和文化背景中,解决了传统孤立注释可能引入的偏差问题。该本体不仅包括注释的详细信息,如时间、地点和注释者角色,还提供了语义丰富性,确保了数据的全面性和准确性。与Dolce Ultralight本体一致,SituAnnotate为知识表示提供了一致的框架。通过使用SituAnnotate,AI系统可以在训练时明确考虑背景和文化偏见,从而增强模型的可解释性、适应性,并使其与不同的文化背景和观点保持一致。来源:https://arxiv.org/abs/2406.07583
其他
15. 法国漏洞赏金平台YesWeHack融资2800万美元拟推动国际扩展和AI投资法国漏洞赏金平台YesWeHack在最新的C轮融资中筹集了2600万欧元(约合2800万美元),累计融资总额已超过5200万美元。此次融资由Wendel领投,其他参与者包括Adelie、Bpifrance、Eiffel Investment Group、Open CNP和Seventure Partners。YesWeHack成立于2015年,总部位于巴黎,专注于建立一个众包平台,促进漏洞研究人员与受影响供应商之间的沟通。其平台已将数以万计的独立研究人员与全球500多个组织联系起来,涵盖私营、公共和政府部门。筹集的资金将用于人工智能投资、推出新解决方案以及扩大国际增长。YesWeHack联合创始人兼首席执行官Guillaume Vassault-Houlière表示,得益于此次投资,公司将提供更高水平的客户满意度,并继续在网络安全领域开发创新解决方案。来源:https://www.securityweek.com/french-bug-bounty-platform-yeswehack-raises-28-million/16. NSO 联合创始人设立人工智能研究所以推动以色列技术创新NSO 集团的联合创始人兼前首席执行官Shalev Hulio将在以色列顶尖大学内盖夫本·古里安大学创办一个新的人工智能研究所。该研究所旨在提升以色列在网络、医疗、金融和教育领域的人工智能应用能力。微软和 Nvidia 的领导人也将参与支持这一项目。以色列总统艾萨克·赫尔佐格出席了启动仪式,并强调了这一计划对以色列技术未来的重要性。该研究所计划在未来几个月内建立先进的人工智能研究实验室,包括超级计算基础设施。此外,该研究所将培训顶尖公司的首席执行官,使他们能够更好地理解和利用人工智能技术。Group 11风险投资基金董事长Dovi Frances将与Hulio一同担任该项目的联合创始人和领导者。来源:https://therecord.media/shalev-hulio-fomer-nso-group-the-institute-ben-gurion-university-ai
往期推荐
2024-06-08
2024-06-10
2024-06-11
2024-06-12
2024-06-13