每周安全动态精选（8.28-9.1）

本周精选

1、美国立法者推出联邦网络安全漏洞减少法案

2、VMware Aria Operations for Networks存在身份验证绕过漏洞

3、Rust 恶意软件在 Crates.io 上演: 详细介绍针对 Rust 开发人员的软件供应链攻击

4、法国政府机构泄露 1000 万民众的个人信息

5、乌克兰独立日遭俄罗斯黑客组织袭击，200 多家加油站深夜瘫痪

政策法规动态

1、美国立法者推出联邦网络安全漏洞减少法案

Tag：安全漏洞、美国

据The Record报道，众议院监督委员会网络安全，信息技术和政府创新委员会主席，美国众议员南希·梅斯（Nancy Mace）提出了联邦网络安全漏洞减少法案。拟议的立法将要求联邦承包商制定符合国家标准与技术研究所指导方针的政策。梅斯表示，该提案将“确保采取积极主动的网络安全方法，使承包商能够及时识别和解决软件漏洞。

https://iapp.org/news/a/us-lawmaker-introduces-federal-cybersecurity-vulnerability-reduction-act/

2、CPPA董事会发布CPRA最新法规初稿

Tag：隐私法、美国

加州隐私保护局董事会定于 8 月 8 日召开公开会议，其中包括小组委员会讨论加州隐私权法案网络安全审计和风险评估法规草案。在正式规则制定活动之前发布以供初步讨论的法规草案是CPPA在其第二个规则制定方案中寻求解决的主题之一。CPPA的第二次规则制定也在考虑自动决策的法规，但没有发布会议草案。

https://iapp.org/news/a/cppa-board-publishes-first-draft-of-latest-cpra-regulations/

3、欧盟数字服务法案开始实施

Tag：欧盟、数字服务法

据Euractiv报道，《欧盟数字服务法》关于“大型在线平台”和“大型在线搜索引擎”义务的规定自8月25日起生效。拥有4500多万活跃欧盟用户的平台和搜索引擎现在必须向欧盟委员会提交风险评估。小型网站的完整DSA将于2024年初生效。

https://iapp.org/news/a/dsa-enforcement-now-in-effect-for-vlops-vloses/

4、NIST公布后量子密码学标准草案

Tag：密码学、防御攻击

据《信息安全杂志》报道，美国国家标准与技术研究院发布了后量子密码学标准草案。该框架旨在帮助组织防御“量子网络攻击”。该文件草案以三种联邦信息处理标准为特色，其中包括一种通用加密算法和三种数字签名算法。

https://iapp.org/news/a/nist-unveils-draft-post-quantum-cryptography-standards/

技术标准规范

1、ICO发布电子邮件通信指南

Tag：敏感信息、邮件通信

英国信息专员办公室警告组织在发送包含敏感个人信息的电子邮件时不要使用密件抄送功能。ICO还为组织发布了在发送批量电子邮件时保护个人信息的指南。“使用和共享大量数据（包括敏感个人信息）的组织应考虑使用其他安全方式发送通信，例如批量电子邮件服务，这样信息就不会错误地与人们共享，”ICO表示。

https://iapp.org/news/a/uk-ico-publishes-guidance-on-email-communications/

2、NIST发布网络安全和隐私学习计划指南

Tag：网络安全、隐私

美国国家标准与技术研究院公布了政府网络安全和隐私学习计划的初稿。该文件为计划提供了建议，例如在组织范围的学习计划中将隐私与网络安全相结合，并创建一个数据生命周期模型，允许“持续的迭代改进和更改以适应网络安全（和）隐私”。咨询期开放至8月27。

https://iapp.org/news/a/nist-issues-draft-cybersecurity-and-privacy-learning-program-guidance/

3、挪威 DPA 发布员工监控指南

Tag：数据保护、挪威

挪威的数据保护机构Datatilsynet提供了通过公司发放的电子设备监控员工的指导方针。DPA解释了“数字工作工具如何记录有关员工的大量信息”。部门经理Ylva Marrable表示，该指南“将帮助雇主评估在工作场所引入哪些内容可能是合法的，并且至少为员工提供有关其权利的指导。

https://iapp.org/news/a/norway-dpa-says-monitoring-employees-electronic-equipment-use-basically-illegal/

4、英国生物识别专员就行为准则发表指导意见

Tag：生物识别

英国生物识别和监控摄像头专员办公室向议会法律顾问办公室提交了关于潜在生物识别行为守则的建议。专员办公室表示，生物识别监控“增长速度越来越快”，公众信任取决于“明确定义，可公开访问和可理解的政策”。该办公室补充说，“识别的确定性越大，潜在的好处就越大。

https://iapp.org/news/a/uk-biometrics-commissioner-offers-opinion-on-code-of-practice/

重点漏洞情报

1、VMware Aria Operations for Networks存在身份验证绕过漏洞

Tag：CVE-2023-34039

由于缺乏唯一的加密密钥生成，Aria Operations for Networks存在身份验证绕过漏洞。具有Aria Operations for Networks网络访问权限的恶意行为者可以绕过SSH身份验证，以访问Aria Operations of Networks CLI。

https://www.vmware.com/security/advisories/VMSA-2023-0018.htmlhttps://www.win-rar.com/start.html

2、Windows存在权限提升漏洞

Tag：CVE-2023-36874

Windows错误报告服务存在权限提升漏洞，攻击者必须具有对目标机器的本地访问权限，并且必须能够在机器上创建文件夹和跟踪性能，并具有普通用户默认拥有的受限权限。成功利用此漏洞的攻击者可以获得管理员特权。技术细节及PoC在互联网中已公开，并且已监测到在野利用。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874

https://github.com/Wh04m1001/CVE-2023-36874

3、WinRAR存在任意代码执行漏洞

Tag：CVE-2023-38831

6.23版本之前的 RARLabs WinRAR 允许攻击者在用户尝试查看 ZIP 存档中的良性文件时执行任意代码。目前技术细节及PoC在互联网中已公开，并且已监测到在野利用。

https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/、https://www.win-rar.com/start.html

4、D-Link DAR-8000-10 远程命令执行漏洞

Tag：CVE-2023-4542

D-LINK DAR-8000-10上网行为审计网关存在远程命令执行漏洞，可通过向importhtml.php文件发送恶意请求，将webshell写入/app/sys1.php文件，通过cmd参数执行系统命令，成功利用该漏洞可能导致在受影响设备上远程执行系统命令。

https://github.com/PumpkinBridge/cve/blob/main/rce.md、https://nvd.nist.gov/vuln/detail/CVE-2023-4542

恶意代码情报

1、Rust 恶意软件在 Crates.io 上演: 详细介绍针对 Rust 开发人员的软件供应链攻击

Tag：供应链攻击

这篇文章介绍了一种新的攻击方式，利用了 Openfire 漏洞（CVE-2023-32315），部署了 Kinsing 恶意软件和加密挖矿程序，以完全控制服务器。Openfire 是一个实时协作服务器，用作通过 XMPP 协议发送即时消息的聊天平台。

https://blog.aquasec.com/kinsing-malware-exploits-novel-openfire-vulnerability

2、HTML 走私导致全域勒索软件

Tag：勒索软件

介绍了一起使用 HTML 隐藏和 Cobalt Strike 的攻击事件。攻击者通过电子邮件发送了一个 HTML 文件，利用 HTML 隐藏技术将恶意文件传递给受害者。受害者打开 HTML 文件后，下载了一个 ZIP 文件，并解压缩其中的 ISO 文件。ISO 文件中包含了 IcedID 恶意软件，该恶意软件后来使用 Cobalt Strike 连接到 C&C 服务器，并最终部署了 Nokoyawa 勒索软件。

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware/

3、LockBit 3.0 勒索软件构建器泄露导致数百个新变种

Tag：勒索软件

该文章主要讨论了 Lockbit 3 勒索软件构建器的泄漏，并对最近发现的构建进行了分析。文章首先介绍了 Lockbit 勒索软件的特点，包括其作为勒索软件服务的 RaaS 程序，以及提供漏洞奖金计划和信息查询门户的功能。然后，文章详细分析了 Lockbit 3 构建器的泄漏情况，并描述了不同用户上传的构建文件。接着，文章探讨了使用这些构建器的不同组织以及他们使用的勒索说明和通信渠道。最后，文章介绍了 Kaspersky 的 GERT 团队对构建器和恶意软件载荷的分析方法，并提供了关于样本统计和配置参数的详细信息。

https://securelist.com/lockbit-ransomware-builder-analysis/110370/

4、揭开世界顶级网络犯罪团伙 Trickbot 的神秘面纱

Tag：勒索软件团伙

本文是由 Matt Burgess 和 Lily Hay Newman 撰写的《揭示全球顶级网络犯罪团伙 Trickbot 的真面目》一文的摘要。该文通过对一批由不知名人士发布的文件进行调查，揭示了 Trickbot 勒索软件团伙的秘密，包括其中一位核心成员的身份。

https://www.wired.com/story/trickbot-trickleaks-bentley/

数据安全情报

1、法国政府机构泄露 1000 万民众的个人信息

Tag：个人数据、信息泄露

法国政府失业登记和金融援助机构 Pôle emploi 通报一起数据泄露事件，该事件泄露了 1000 万名民众的个人数据信息。Pôle emploi 在新闻稿中声称其一家供应商的信息系统遭到网络破坏，可能会泄露求职者的个人数据信息，主要影响 2022 年 2 月登记的求职者和就业中心的前用户。

https://hackernews.cc/archives/45347

2、超 2000 家美国公司凭据遭到泄露！NASA、特斯拉、FBI、五角大楼无一幸免

Tag：数据泄露

国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码，包括政府机关和大企业在内的2000多家企业被曝光。

https://hackernews.cc/archives/45421

3、Moms Meals 披露数据泄露事件影响 120 万人

Tag：数据泄露、网络安全

根据 PurFoods 向缅因州总检察长办公室提交的数据泄露文件显示，此次网络安全事件共影响 1237681 人，涉及到曾收到 Mom’s Meals 套餐的个人、在职/离职员工以及独立承包商，PurFoods 承诺这些人将通过 Kroll 公司免费获得 12 个月的信用监控和身份保护服务。

https://hackernews.cc/archives/45375

热点安全事件

1、乌克兰独立日遭俄罗斯黑客组织袭击，200 多家加油站深夜瘫痪

Tag：俄罗斯黑客、网络攻击

KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突，令安全专家和当局保持高度警惕。这些加油站网络攻击背后的动机仍然笼罩在神秘之中，因为这一与俄罗斯有关的组织尚未透露其行动的明确意图。这一事件加剧了两国之间网络战格局的一系列在线冲突。

https://hackernews.cc/archives/45336

2、黑客用 30 美元的设备瘫痪了波兰铁路

Tag：黑客攻击、波兰铁路

近日，波兰国内安全局（ABW）和国家警察已就针对波兰铁路网络的黑客攻击展开调查。据波兰新闻社报道，此次攻击对当地交通造成了较大影响。

https://hackernews.cc/archives/45352

3、丹麦知名云服务被黑，所有数据丢失

Tag：勒索软件、数据加密

8月28日消息，丹麦大型云服务提供商CloudNordic发表在线声明，宣布服务器遭勒索软件加密，导致所有客户数据丢失，公司陷入“彻底瘫痪”。

https://www.secrss.com/articles/58246

4、网络攻击迫使天文望远镜停运数周，全球天文科研遭受沉重打击

Tag：网络攻击

8月24日消息，8月初以来，美国国家科学基金会（NSF）负责协调国际天文学任务的工作中心发生一起神秘的“网络事件”，导致位于夏威夷和智利的重要天文望远镜暂时停用。官方已经停止了10台天文望远镜的所有运行，而其他几台天文望远镜只能进行现场观测。

https://www.secrss.com/articles/58130

热点安全技术

1、一种基于两个构建模块的混合数字签名方案: 经典安全方案 ECDSA 和后量子安全方案 Dilithium。

Tag：混合数字签名、ECDSA、 Dilithium

介绍了一种基于硬件安全密钥的混合后量子签名方案。该方案采用了两种基本组件：一个基于经典安全的方案（ECDSA）和一个基于后量子安全的方案（Dilithium）。这种混合方案在经典和量子攻击下都能保持各自的安全性。此外，该方案还能防止对手生成该认证协议认为有效的 ECDSA 或 Dilithium 签名。

https://elie.net/publication/hybrid-post-quantum-signatures-in-hardware-security-keys

2、如何防止 ChatGPT 窃取您的内容和流量

Tag：横ChatGPT、防止窃取

这篇文章是关于如何防止 ChatGPT 窃取内容和流量的。ChatGPT 是一种大型语言模型，它使得网络犯罪分子能够对在线企业发起破坏性攻击。文章介绍了 ChatGPT 和类似的人工智能模型对在线企业的三个主要风险：内容盗窃、流量减少和数据泄露。文章还讨论了如何阻止 ChatGPT 的网页爬虫和插件请求，并提出了一些解决方案，如使用机器学习技术来检测和阻止未知的爬虫和插件。

https://thehackernews.com/2023/08/how-to-prevent-chatgpt-from-stealing.html

3、使用 NetHunter 应用程序攻击 Wi-Fi 网络的几种技术和工具

Tag：NetHunter、 Wi-Fi

博客主要讨论将介绍使用 NetHunter 应用程序攻击 Wi-Fi 网络的多种技术和工具。我们将讨论各种工具，如 wifite，并解释脱机 Pixie-Dust、在线 PIN 暴力破解、WEP 攻击、捕获 PMKID 哈希和 WPA 握手，并尝试脱机破解密码等攻击技术。

https://www.mobile-hacker.com/2023/08/29/nethunter-hacker-viii-wi-fi-hacking-using-wifite-deauthentication-and-wardriving/

4、AWS 云安全研究初学者指南

Tag：云安全

文章介绍是关于如何开始进行 AWS 云安全研究的指南。文章首先强调了构建和了解 AWS 的重要性，包括构建项目、解决问题和熟悉 AWS 文档。接下来，文章提供了一些实践环境和资源，供读者进行实际的研究和攻击。

https://dagrz.com/writing/aws-security/getting-into-aws-security-research/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。