其他
5th域安全微讯早报【20240705】161期
2024-07-05 星期五 Vol-2024-161
今日热点导读
3. 美国FedRAMP推出新框架推动新兴技术采用
4. 印尼云服务提供商SYSMON管理员访问权限被出售5. 国际汽联FIA遭受数据泄露,电子邮件账户被入侵6. Shopify电商数据在暗网被出售,引发安全担忧7. Twilio确认数据泄露,3300万Authy应用关联电话号码被泄露8. 亲俄黑客组织发动DDoS攻击,丹麦关键机构受影响9. 印尼政府遭黑客攻击后,Brain Cipher组织道歉并提供解密密钥10. GeoServer和GeoTools修复XPath表达式注入漏洞
11. 黑客出售HackerOne漏洞赏金网站的0day:绕过双因素认证12. OpenStack漏洞暴露云端数据安全风险:需紧急修补13. 黑客攻击HFS服务器以传播恶意软件和Monero矿机14. Google Play发现携带Anatsa银行木马的恶意QR码阅读器应用
15. 超微型晶体管制造新突破:1纳米级一维金属材料外延生长技术16. 朝鲜电视台转向俄罗斯卫星引发国际关注
资讯详情
政策法规
1. Space ISAC与澳大利亚网络协作中心签署谅解备忘录,加强空间网络安全合作Space信息共享与分析中心(Space ISAC)近日宣布与澳大利亚网络协作中心(Aus3C)签署谅解备忘录(MOU),这标志着Space ISAC在全球范围内扩展其影响力并促进国际空间网络安全合作的重要里程碑。Aus3C致力于提升澳大利亚的网络能力,确保数字领域的安全性,其使命与Space ISAC通过协作和信息共享增强空间系统网络安全的目标高度契合。Space ISAC执行董事Erin Miller表示,此次合作将进一步巩固Space ISAC与澳大利亚空间网络生态系统之间的联系。Aus3C CEO Matt Salier补充道,这一合作将推动两组织在空间网络领域的协同创新,提升威胁检测和响应能力,为全球空间环境的安全做出贡献。此次合作利用双方的先进工具、能力和专业知识,旨在解决关键挑战,促进空间网络安全领域的增长。来源:https://industrialcyber.co/news/space-isac-signs-mou-with-australian-cyber-collaboration-centre-to-boost-space-cybersecurity-initiatives/
2. 美国国土安全部推出1800万美元部落网络安全补助计划美国国土安全部宣布了一项新的部落网络安全补助计划,并授予了1800万美元的初始资金,作为乔·拜登总统投资美国议程的一部分,旨在提升联邦认可部落国家(tribal nations)的网络安全能力。该计划由FEMA和CISA共同管理,将帮助超过30个部落国家应对网络风险和威胁。随着网络威胁的增加和复杂化,这些社区面临独特的挑战,通常资金和资源不足。补助计划将资助建立治理框架、识别关键漏洞、评估必要能力、实施缓解措施,并培养本地网络劳动力。所有受助方都将接受CISA提供的免费服务,包括网络卫生漏洞扫描和全国网络安全审查。这些补助将显著提高国家对网络威胁的弹性,并帮助部落国家加强社区安全。此外,联邦认可的部落还有资格申请今年晚些时候宣布的更多网络安全资金。来源:https://industrialcyber.co/cisa/dhs-provides-18-2-million-tribal-cybersecurity-grant-program-to-boost-resilience/
3. 美国FedRAMP推出新框架推动新兴技术采用美国联邦风险授权管理计划(FedRAMP)推出了一项新框架,以帮助优先批准联邦机构使用的新兴技术,旨在提升其操作的安全性和效率。根据FedRAMP网站6月27日发布的博客文章,新框架重点优先考虑与云相关的最关键的新兴技术,包括三种生成式AI功能:聊天界面、代码生成和调试工具、以及基于提示的图像生成器。FedRAMP计划每年更新和发展优先新兴技术清单,并最终优先考虑通用API服务,以促进这三种生成式AI功能的整合。此优先系统将使云服务提供商更快地通过授权审核流程,加快新技术的采用。新框架要求云服务提供商与授权官员合作,通过“重大变更请求”流程将新兴技术纳入其授权。此举预计将优先批准多达12个基于AI的云服务。来源:https://www.govinfosecurity.com/fedramp-launches-new-framework-for-emerging-technologies-a-25703
安全事件
4. 印尼云服务提供商SYSMON管理员访问权限被出售2024年7月4日,一名威胁行为者在暗网论坛上发布了一则广告,声称出售对印尼一家云服务提供商的SYSMON管理员访问权限。该云服务提供商提供包括多数据中心服务、云服务、网络安全、办公协作、灾难恢复、云软件等解决方案。根据帖子内容,这次出售的访问权限允许完全控制11,903台设备,包括550台服务器、10个超级监视器、7个工作站、3个网络设备、6个防火墙和11,325个虚拟机,涉及超过600TB的数据。通过该访问权限,购买者可以通过TELNET/SSH/SFTP/HTTP连接到任何设备并进行编辑。威胁行为者为这次出售的访问权限设定了起始价格,并启动了拍卖式的增量销售过程,每次加价1000美元。帖子中还包含了Telegram账号和TOX ID。来源:https://dailydarkweb.net/alleged-sysmon-admin-access-for-an-indonesian-cloud-service-provider-is-for-sale/5. 国际汽联FIA遭受数据泄露,电子邮件账户被入侵国际汽车联合会(FIA)证实,在一次网络钓鱼攻击中,攻击者未经授权访问了FIA的个人数据,导致多个电子邮件账户被泄露。FIA迅速采取行动,切断了非法访问,并通知了包括法国国家信息与自由委员会和瑞士数据保护监管机构在内的相关监管机构。FIA对受影响个人表示遗憾,并强调其对数据保护的承诺,已采取额外的安全措施以防范未来攻击,同时致力于持续改进网络安全措施。FIA成立于1904年,是一个非营利的国际组织,负责协调包括一级方程式赛车(F1)和世界拉力锦标赛(WRC)在内的多项汽车赛事。尽管FIA迅速响应,但尚未披露关于此次网络攻击的关键细节,包括检测时间、受影响个人数量和具体泄露的数据类型。这使得许多利益相关者迫切希望获得更多更新,以了解事件的全貌和潜在影响。《网络快报》已联系FIA发言人以获取更多信息,并将继续关注情况,随着更多信息的获得提供更新。同时,呼吁各行业组织审查并加强网络安全协议,以防范类似威胁。来源:https://thecyberexpress.com/fia-data-breach-emails-hacked-confirmed/
6. Shopify电商数据在暗网被出售,引发安全担忧据DarkWebInformer在社交媒体上首次报道,威胁行为者正在暗网上出售来自Shopify电商平台的敏感数据,这引发了对电子商务平台安全性和消费者数据安全的严重担忧。被窃取的数据包括客户姓名、电子邮件地址、物理地址、订单详情和支付信息。此次数据泄露影响了众多Shopify商家及其客户,但具体规模仍在调查中。Shopify已迅速响应,承认事件并正在努力减轻影响,同时建议商家和客户监控可疑活动并更改密码。Shopify正与网络安全专家和执法机构合作追踪肇事者并防止进一步的未授权访问。随着在线购物的持续增长,Shopify等平台必须优先考虑数据保护,以维护消费者信任和保护敏感信息。建议电商企业实施全面安全协议,包括定期安全审计、敏感数据加密和多因素认证。同时,消费者也应保持警惕,定期更新密码,并监控其财务报表是否有异常活动。来源:https://gbhackers.com/shopify-breach/
7. Twilio确认数据泄露,3300万Authy应用关联电话号码被泄露云通信平台Twilio本周确认遭受数据泄露,黑客泄露了与Authy应用相关的3300万个电话号码。臭名昭著的ShinyHunters黑客在6月底在重新启动的BreachForums网站上宣布,他们正在泄露与Twilio双因素认证应用程序Authy相关的3300万个随机电话号码。泄露的信息还包括与Authy用户相关的账户ID和其他一些非个人数据。Twilio在其网站上发布的安全警报中确认了数据泄露事件。公司表示,威胁行为者能够通过未认证的终端识别与Authy账户相关的数据,包括电话号码。Twilio已采取行动保护此终端,并不再允许未经认证的请求。Twilio没有发现任何证据表明黑客访问了其系统或获取了其他敏感数据,但作为预防措施,强烈建议Authy用户安装最新的Android和iOS安全更新。Twilio表示,尽管Authy账户没有被泄露,但威胁行为者可能会尝试使用与Authy账户相关的电话号码进行网络钓鱼和垃圾短信攻击;公司鼓励所有Authy用户保持警惕,对收到的短信保持高度警觉。来源:https://www.securityweek.com/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/
8. 亲俄黑客组织发动DDoS攻击,丹麦关键机构受影响亲俄黑客组织“人民网络军”、“APT44”和“NoName057”联合对丹麦发起了一系列DDoS攻击,目标包括丹麦税务局、丹麦国家银行、MitID认证门户、24tech.dk新闻网站及政府采购网站(udbud.dk)。此次攻击被认为是对丹麦计划培训50名乌克兰F-16飞行员的报复行为。攻击事件在这些组织的Telegram频道上公开宣布,尽管目前未有官方确认声明。这些攻击不仅影响了丹麦的重要机构,还可能波及欧洲和英国,尤其是政府和媒体部门。“人民网络军”主要针对丹麦政府采购网站和新闻门户,而“NoName057”则瞄准了MitID认证系统、丹麦税务局和国家银行。这些黑客组织通过DDoS攻击中断系统运行,显示出黑客行动在地缘政治冲突中的战略整合。来源:https://thecyberexpress.com/alleged-ddos-attack-on-denmark/
9. 印尼政府遭黑客攻击后,Brain Cipher组织道歉并提供解密密钥印尼政府临时国家数据中心(PDNS)遭受Brain Cipher黑客组织的攻击,导致国家服务中断。该组织在攻击后似乎向印尼公民道歉,并发布了一个54 kb的ESXi文件形式的解密密钥,其有效性尚未得到确认。Brain Cipher在声明中表示,它是自愿发布解密器的,没有受到任何执法机构或其他机构的催促,并要求公众对其慷慨行为表示感谢,甚至提供了一个接受捐款的账户。该组织声称,其行动是作为一种渗透测试,与政府的谈判陷入僵局。尽管印尼政府拒绝支付8百万美元的赎金,但Brain Cipher表示,希望攻击能让政府明白资助该行业和招募合格专家的重要性。黑客还夸耀说,这次攻击非常容易,他们很快就能卸载数据并加密数千兆字节的信息。印尼政府没有对被勒索软件加密的数据进行备份,因为灾难恢复只是一个选项。印尼总统Joko Widodo随后下令对政府数据中心进行审计。政治家和公众都在寻找替罪羊,要求通信和信息部长Budi Arie Setiadi辞职的请愿书已经获得了超过18,000个签名。来源:https://www.theregister.com/2024/07/04/hackers_of_indonesian_government_apologize/
漏洞预警
10. GeoServer和GeoTools修复XPath表达式注入漏洞开源Java工具GeoServer和GeoTools,广泛用于地理空间数据处理,已修复与XPath表达式注入相关的安全漏洞。这些漏洞(CVE-2024-36401和CVE-2024-36404)可能允许远程代码执行,对受影响系统构成严重风险。漏洞源于GeoServer处理XPath表达式的方式,特别是与GeoTools库API交互时,不安全地传递元素类型属性名给commons-jxpath库。这使得攻击者可以注入恶意XPath表达式,执行任意代码。受影响的GeoServer版本包括2.23.6之前、2.24.0至2.24.3、2.25.0至2.25.1;GeoTools版本包括29.6之前、30.0至30.3、31.0至31.1。为解决这些安全风险,建议用户立即升级到相应安全版本,并下载官方补丁。对于无法立即升级的用户,可以通过替换WEB-INF/lib目录中的易受攻击jar文件或删除特定jar文件作为临时解决方案。这些措施对于保护地理空间数据处理系统的完整性和安全性至关重要。来源:https://thecyberexpress.com/xpath-expression-injection-vulnerabilities/11. 黑客出售HackerOne漏洞赏金网站的0day:绕过双因素认证一名黑客7月3日在泄露论坛声称发现了HackerOne漏洞平台的一个安全漏洞,该漏洞允许绕过双因素认证(2FA)。利用这个漏洞,攻击者仅需用户名和密码即可访问任何启用2FA的账户,查看所有报告的漏洞并加以利用。此外,攻击者还能够修改账户的支付详情,从而接收原本属于其他用户的奖励。黑客强调,为了保护漏洞的完整性,不会提前提供概念验证(POC)。所有交易通过BF Escrow处理,以确保可靠性,并推荐了@IntelBroker作为可信的交易中介。对于感兴趣的买家,黑客邀请通过私信提出报价,以便进一步讨论。这一发现对HackerOne平台的安全性构成了严重威胁,需要立即采取措施进行修复和加强防护。来源:https://breachforums.st/Thread-SELLING-HackerOne-Bug-Bounty-Platform-2FA-Bypass-Vulnerability
12. OpenStack漏洞暴露云端数据安全风险:需紧急修补在广泛使用的开源云计算平台OpenStack中发现了一个严重的安全漏洞(CVE-2024-32498),允许经过身份验证的攻击者在主机系统上未经授权访问任意文件。此漏洞源于OpenStack的QCOW2和VMDK图像文件处理中的输入验证不当,影响了OpenStack的Nova和Glance组件。攻击者可以通过上传恶意图像文件来利用该漏洞,从而读取主机系统上的任意文件,暴露敏感数据,如用户数据、系统配置和安全凭证。此漏洞被Red Hat评为“严重”,并已获得高CVSS评分,反映了其对云环境的重大风险。Red Hat和OpenStack社区已发布补丁,用户应立即应用这些更新以减轻风险。此外,建议定期审核和更新安全配置,监控系统中的异常活动,以防止利用此漏洞的攻击。来源:https://cybersecuritynews.com/openstack-arbitrary-file-access-flaw/
TTPs动向
14. Google Play发现携带Anatsa银行木马的恶意QR码阅读器应用网络安全专家在Google Play上识别出一款伪装成合法QR码阅读器的恶意应用,该应用传播了臭名昭著的Anatsa银行木马。这款木马设计用于窃取敏感的银行信息,其高级功能包括键盘记录、覆盖攻击和远程访问,对用户的银行安全构成严重威胁。据Zscaler ThreatLabz的推文,该应用已被下载数千次,可能已经危害了大量用户的财务数据。Google已将这款恶意应用从Play Store中移除,并正在加强其应用审核流程以防止未来类似事件的发生。然而,这一事件凸显了保护应用商店安全的持续挑战和提高用户意识的重要性。用户在下载应用时,即使是来自官方来源,也应保持警惕,检查应用评价,仔细审查权限,并使用信誉良好的安全软件来检测和阻止恶意活动。来源:https://cybersecuritynews.com/malicious-qr-reader/
其他动态
16. 朝鲜电视台转向俄罗斯卫星引发国际关注朝鲜意外将其国家电视台的转播从中国卫星切换至俄罗斯卫星,导致观众数量大幅减少并引起国际社会的关注。南韩KBS首先注意到朝鲜中央电视台(KCTV)的这一变化,并发现朝鲜已从自2020年起使用的中国卫星Chinasat-12切换至俄罗斯的Express 103卫星。该转换显著改变了KCTV的信号覆盖范围,从覆盖整个亚洲变为主要覆盖俄罗斯及其邻国。这一变化使得南韩接收KCTV信号变得困难,原因是俄罗斯卫星信号与南韩国内频段相冲突。专家们对这一举动的原因持不同观点,有人认为是朝中关系可能降温,也有人指向技术问题,称中国卫星的寿命将于2027年结束。值得注意的是,此举发生在俄罗斯总统普京访问朝鲜并签署战略伙伴关系协议后不到两周。美国研究所ISW推测,俄罗斯可能在帮助朝鲜隐瞒信息。朝鲜此举是否为暂时措施尚不明朗,但已引起国际社会对地区力量平衡变化及俄朝关系加强的关注。来源:https://www.securitylab.ru/news/549823.php
往期推荐
2024-06-29
2024-07-01
2024-07-02
2024-07-03
2024-07-04