其他
5th域安全微讯早报【20240628】155期
2024-06-28 星期五 Vol-2024-155
今日热点导读
3. “Black Suit”勒索软件攻击角川公司并索要赎金4. BSNL数据泄露使数百万用户面临欺诈和安全风险5. TeamViewer遭APT黑客入侵,内部网络安全受威胁6. 克里米亚电信运营商遭受DDoS攻击导致互联网中断7. Clearview AI 面部识别搜索量翻倍引发隐私担忧8. 美国对俄公民提起指控并悬赏,涉及乌克兰网络攻击事件9. Fortra FileCatalyst SQL 注入漏洞(CVE-2024-5276)修复及 PoC 公布10. TP-Link Omada系统多漏洞允许远程代码执行11. Vanna.AI库即时注入缺陷导致远程代码执行漏洞12. KakaoTalk Android应用曝出允许任意代码执行的漏洞13. 黑客利用云服务攻击Linux云服务器以完全控制14. Xeno RAT利用GitHub和.gg域名威胁游戏社区15. 基于区块链的物联网位置零知识证明16. SoK:端到端加密时代的 Web 身份验证
资讯详情
政策法规
1. 美国隐私权法案因反对声取消听证会
原定于周四举行的《美国隐私权法案》(APRA)听证会因民权和隐私倡导者的强烈反对以及共和党领导层的抵制而被取消。APRA因删除了防止数据歧视和算法偏见的章节而受到批评。委员会主席凯西·麦克莫里斯·罗杰斯在听证会前发表声明,承诺继续争取通过该法案,强调商业数据监控问题和数据滥用对个人自由的影响。消费者、隐私权倡导者和行业团体一直在寻求联邦数据隐私立法,但APRA的当前版本因未能提供足够的保护而受到质疑。目前已有20个州颁布了全面的数据隐私立法,其他州也在迅速跟进。法律下的民权律师委员会和其他55个组织呼吁恢复法案中的民权保护和算法偏见保障措辞,否则将反对该法案。法案的未来不明朗,共和党领导层和州检察长也对该法案表示反对,担心其优先于州隐私法的条款。来源:https://therecord.media/apra-data-privacy-bill-markup-cancelled-congress2. 俄罗斯为关键设施制定网络和IT基础设施统一标准俄罗斯数字发展部正在制定针对具有社会重要意义的设施(SSO)的网络和IT基础设施的统一标准。这一举措旨在规范教育机构、急救站、政府机构等关键场所的电信系统建设。6月18日,成立了一个工作组,包括电信运营商在内,负责为新建、改建和维修的NWO电信系统设计提出建议。自2019年至2022年,作为联邦信息基础设施项目的一部分,电信运营商已将SZO连接到宽带互联网,项目预算达1020亿卢布。Rostelecom通常是赢家,但也存在ER-Telecom和MTS等公司在某些地区实施项目的情况。目前,对于SZO的电信建设尚无统一规则,而新草案将规定至少安装两台自供电摄像头和每两个房间至少一个Wi-Fi接入点。所有安装的设备必须是国产的,除非没有国外产品的替代品。来源:https://www.securitylab.ru/news/549586.php
安全事件
3. “Black Suit”勒索软件攻击角川公司并索要赎金6月27日,名为Black Suit Ransomware的勒索软件组织声称对日本角川公司发起了网络攻击,并成功加密了公司文件。据该组织在其网站上发布的消息,此次攻击导致角川公司大约1.5 TB的敏感数据被非法下载。这些数据包括合同、法律文件、用户数据、商业计划、项目代码、财务记录等。Black Suit Ransomware组织还声称,尽管角川公司能够察觉到他们的入侵行为,但未能有效阻止。目前,双方正在就数据解密和防止数据泄露进行谈判,但勒索软件组织认为角川公司提出的赎金金额过低。此次事件再次凸显了企业网络安全防护的重要性,以及面对勒索软件攻击时的挑战。来源:https://dailydarkweb.net/black-suit-ransomware-allegedly-targeted-kadokawa-corporation/4. BSNL数据泄露使数百万用户面临欺诈和安全风险印度国有电信提供商Bharat Sanchar Nigam Limited(BSNL)遭受了名为“kiberphant0m”的威胁行为者策划的重大数据泄露。这次网络攻击泄露了超过278GB的敏感数据,使数百万用户面临SIM卡克隆、身份盗窃和金融诈骗的风险。据数字风险管理公司Athentian Tech的报告,泄露的数据包括国际移动用户身份(IMSI)号码、SIM卡详情、家庭位置寄存器(HLR)数据和关键安全密钥。这些广泛的运营数据可能使针对BSNL及相互连接的系统和网络的复杂攻击成为可能,带来重大的国家安全风险。Athentian Tech的首席执行官Kanishk Gaur告诉《经济时报》,被泄露的数据正在暗网上以5000美元的价格出售。Gaur强调了被泄露数据的复杂性和关键性,这些数据超出了典型用户信息,直接针对BSNL运营系统的核心。此次事件是BSNL在过去六个月内遭受的第二次数据泄露。来源:https://gbhackers.com/bsnl-data-breach-exposes-millions/
5. TeamViewer遭APT黑客入侵,内部网络安全受威胁2024年6月26日,TeamViewer公司检测到其内部IT环境存在异常,随后确认遭遇APT黑客组织的攻击。公司立即启动应急响应并与全球知名的网络安全专家展开调查和采取补救措施。TeamViewer强调,其内部IT环境与产品环境完全独立,目前没有证据表明产品环境或客户数据受到影响。然而,考虑到TeamViewer广泛应用于消费者和企业环境,此次入侵仍引发广泛关注。APT29(俄罗斯高级持续威胁组织)被怀疑是此次攻击的幕后黑手,健康信息共享和分析中心(Health-ISAC)也发布了相关警报。TeamViewer表示将保持透明,并持续更新调查进展情况。来源:https://www.bleepingcomputer.com/news/security/teamviewers-corporate-network-was-breached-in-alleged-apt-hack/
6. 克里米亚电信运营商遭受DDoS攻击导致互联网中断克里米亚地方当局近日警告,当地电信运营商遭到大规模分布式拒绝服务(DDoS)攻击,攻击者通过向目标网络注入大量垃圾流量导致网络服务中断。受影响最严重的是米兰达媒体,该公司与俄罗斯国家电信提供商Rostelecom有关联,此前因服务克里米亚非法当局而受到欧盟制裁。尽管米兰达媒体尚未就服务中断发表官方声明,但已有用户在Telegram上抱怨互联网连接质量下降。此次攻击还暂时扰乱了塞瓦斯托波尔市紧急呼叫中心的运营,但当地政府已迅速恢复其功能。乌克兰军事情报局(HUR)声称对此次网络攻击负责,该机构表示“系统地”攻击俄罗斯的数字基础设施,包括互联网提供商。来源:https://therecord.media/crimea-internet-disruptions-ddos-telecom
7. Clearview AI 面部识别搜索量翻倍引发隐私担忧过去一年,执法部门通过 Clearview AI 技术进行的面部识别搜索次数翻了一番,达到200万次。据首席执行官 Hoan Ton-That 称,该公司数据库中存储的图像数量也从去年11月的400亿张增至500亿张。虽然一些警察局已禁止使用该技术,但部分警局仍通过其他部门进行搜索,导致滥用现象频发。近期,印第安纳州一名警官因个人原因滥用该技术而辞职。此外,Clearview 解决了一项侵犯隐私的集体诉讼,同意向提起诉讼且脸部出现在数据库中的群体提供23%的股份。Clearview的技术广泛应用于联邦和地方执法机构,其数据库涵盖了绝大多数美国人的面部信息,引发了广泛的隐私担忧。来源:https://therecord.media/clearview-ai-police-searches-doubled-2023
8. 美国对俄公民提起指控并悬赏,涉及乌克兰网络攻击事件美国司法部宣布对俄罗斯公民阿明·蒂莫维奇·斯蒂加尔提出指控,指控其在2022年2月俄罗斯全面入侵乌克兰前参与了一系列破坏性网络攻击。斯蒂加尔被认为是Cadet Blizzard组织成员,该组织为俄罗斯军事情报部门(GRU)服务。法庭文件显示,22岁的斯蒂加尔通过一家美国公司将WhisperGate恶意软件分发到数十个乌克兰政府实体的系统中。该恶意软件伪装成勒索软件,旨在破坏受害者系统。斯蒂加尔还涉嫌在2022年8月攻击支持乌克兰的中欧国家的交通基础设施。美国司法部表示,斯蒂加尔目前仍在逃,美国愿意为提供其下落线索的人支付高达1000万美元的奖励。如果罪名成立,斯蒂加尔将面临最高五年的监禁。来源:https://www.securityweek.com/us-announces-charges-reward-for-russian-national-behind-wiper-attacks-on-ukraine/
漏洞预警
9. Fortra FileCatalyst SQL 注入漏洞(CVE-2024-5276)修复及 PoC 公布近日,Fortra FileCatalyst Workflow 中的严重 SQL 注入漏洞(CVE-2024-5276)已被修补,并发布了 PoC 漏洞利用代码。该漏洞影响了 FileCatalyst Workflow 5.1.6 Build 135 及之前版本,现已在Build 139 中修复。CVE-2024-5276漏洞源于应用程序未正确验证输入,攻击者可通过构造特定输入字符串,触发 SQL 注入,从而创建新的管理员用户,修改或删除数据库中的数据。成功的攻击需匿名访问启用或通过已验证用户进行。此前,Fortra 的其他产品也曾因类似漏洞遭受攻击,强调了安全防护的重要性。来源:https://www.helpnetsecurity.com/2024/06/27/cve-2024-5276-poc/10. TP-Link Omada系统多漏洞允许远程代码执行近日,TP-Link Omada系统中发现了多个严重漏洞,这些漏洞可能被攻击者利用来执行远程代码,造成严重的安全威胁。受影响的设备包括无线接入点、路由器、交换机、VPN设备和Omada软件的硬件控制器。具体来说,共有12个独特的漏洞被识别并报告给供应商。受影响的设备包括EAP 115和EAP 225无线接入点、ER7206千兆VPN路由器以及Omada软件控制器。漏洞类型包括堆栈缓冲区溢出、内存损坏、命令执行和拒绝服务等。这些漏洞可能允许攻击者远程重置设备、获得root访问权限并执行任意命令。TP-Link已经发布了补丁来修复这些漏洞,用户被强烈建议尽快更新设备固件,以减轻潜在的安全风险。来源:https://gbhackers.com/tp-link-omada-vulnerabilities/
11. Vanna.AI库即时注入缺陷导致远程代码执行漏洞网络安全研究人员揭露了Python机器学习库Vanna.AI中的一个高严重性安全漏洞CVE-2024-5565,该漏洞评分为8.1,存在提示注入问题,可能被利用实现远程代码执行。Vanna.AI允许用户通过自然语言查询与SQL数据库交互,但现被发现存在安全缺陷。攻击者可以利用该漏洞通过提示注入技术,绕过内置安全机制,执行任意命令。这种即时注入攻击属于人工智能越狱的一种形式,允许攻击者无视大型语言模型(LLM)提供商建立的护栏,执行违反应用程序预期目的的指令。JFrog安全研究人员指出,该漏洞与Vanna的“ask”函数有关,通过Plotly图形库动态生成的代码,允许攻击者提交特制提示,嵌入要在底层系统上执行的命令。Vanna已发布强化指南,警告用户相关集成可能被用于生成任意Python代码,并建议在沙盒环境中执行。来源:https://thehackernews.com/2024/06/prompt-injection-flaw-in-vanna-ai.html
12. KakaoTalk Android应用曝出允许任意代码执行的漏洞KakaoTalk 是一款广泛使用的安卓应用,在全球拥有超过1亿用户,尤其在韩国非常流行。近日,研究人员发现该应用存在一个关键漏洞(CVE-2023-51219),允许未经授权的远程攻击者通过 HTTP 请求头泄露受害者的访问令牌,并接管受害者的用户账户。此漏洞主要影响CommerceBuyActivity WebView,通过深度链接和 JavaScript 启用等多个攻击点实现。研究人员发现,KakaoTalk 的同源策略使其无法加载任意 URL,但在m.shoppinghow.kakao.com 子域中发现的 XSS 漏洞允许攻击者创建恶意深度链接,导致用户访问令牌被泄露并发送到攻击者控制的服务器。来源:https://gbhackers.com/kakaotalk-1-click-exploit/
TTPs动向
14. Xeno RAT利用GitHub和.gg域名威胁游戏社区朝鲜黑客组织及其他行为者被发现利用名为XenoRAT的远程访问木马(RAT),通过GitHub存储库和.gg域名针对游戏社区进行攻击。该恶意软件通过伪装成Roblox脚本工具的GitHub仓库以及流行的电子竞技.gg域名进行传播,利用游戏玩家对美观工具的信任,可能导致个人数据、游戏物品和财务信息被盗。XenoRAT提供高级功能如HVNC、音频监视和SOCKS5代理,其客户端和控制器之间的通信采用可识别的TCP套接字模式。此外,相关YouTube账户指导用户安装恶意软件,甚至建议关闭安全软件以避免检测。来源:https://gbhackers.com/xeno-rat-attacks-via-github-gg-domains/
新兴技术
16. SoK:端到端加密时代的 Web 身份验证端到端加密(E2EE)通信服务的兴起给身份验证和数据恢复带来了挑战。由于E2EE的加密特性,服务提供商无法恢复用户忘记的密码或丢失的设备,这就需要创新的身份验证恢复机制。解决方案包括随机恢复码和社交验证等。同时,无密码身份验证作为一种新兴技术,尽管有潜力替代传统密码,却受限于设备绑定,影响了用户跨设备的登录和数据恢复能力。用户期望能够跨设备使用服务并在设备丢失时恢复访问,导致服务提供商尝试通过E2EE同步凭据到云存储,但这引发了与E2EE服务相同的安全挑战。文章系统化地分析了E2EE身份验证的安全性、隐私性、可用性和可恢复性,审视了广泛使用的E2EE服务和无密码身份验证部署,并基于行业实践与学术研究的差距,提出了研究方向,旨在推动E2EE身份验证技术的改进和用户便利性的提升。来源:https://arxiv.org/html/2406.18226v1
往期推荐
2024-06-22
2024-06-24
2024-06-25
2024-06-26
2024-06-27