每周安全动态精选（9.4-9.8）

本周精选

1、韩国批准 PIPA 执法修正案

2、DC 的观点：NIST 提议更新隐私学习计划指南

3、Cacti 前台SQL注入漏洞

4、警报：网络钓鱼活动提供新的 SideTwist 后门和 Agent Tesla 变体

5、必胜客遭黑客组织入侵，数百万客户数据被盗

政策法规动态

1、韩国批准PIPA执法修正案

Tag：个人信息

大韩民国国务院于9月5日批准了《个人信息保护法实施令》修正案。个人信息保护委员会主席高学洙宣布新的实施条例将于9月15日生效。修订后的PIPA包括“统一各个领域的个人信息处理标准”。

https://iapp.org/news/a/south-korea-cabinet-approves-enforcement-amendments-to-pipa/

2、美国各州将在2024年优先考虑儿童在线安全法案

Tag：儿童隐私

彭博社法律报道称，美国各州立法机构计划在2024年立法会议开始时引入或重新引入儿童在线安全法案。马里兰州和明尼苏达州是准备收回针对儿童隐私的法案的州之一，而其他州可能会效仿加州的《适龄设计规范法案》。与此同时，《华盛顿邮报》报道了学生权益团体对美国国会儿童在线安全辩论的影响。

https://iapp.org/news/a/states-to-prioritize-childrens-online-safety-bills-in-2024/

3、约旦众议院批准个人数据保护法草案

Tag：约旦、数据保护

约旦议会宣布众议院批准了个人数据保护法修订草案。众议院批准的修正案“允许受中央银行控制和监督的实体处理个人数据，包括在王国境内或境外传输和交换数据，而无需通知正在处理数据的自然人。”

https://iapp.org/news/a/jordans-senate-approves-draft-personal-data-protection-law/

技术标准规范

1、DC 的观点：NIST 提议更新隐私学习计划指南

Tag：网络安全、隐私

IAPP 华盛顿特区常务董事Cobun Zweifel-Keegan（CIPP/US、CIPM）介绍了华盛顿特区及其周边地区的隐私发展情况。在这份新闻稿中，他回顾了美国国家标准与技术研究所的最新出版物草案“建立一个网络安全和隐私学习计划”，旨在为组织将隐私和网络安全整合到其学习计划的开发中提供指导。

https://iapp.org/news/a/a-view-from-dc-nist-proposes-update-to-guidance-on-privacy-learning-programs-2/

2、NIST计划更新健康安全指南

Tag：网络安全

美国国家标准与技术研究所表示，与健康保险流通和责任法案安全规则相关的网络安全指南草案的最终版本将于今年晚些时候发布。该版本将包括针对小型实体的更具体的资源，并对“风险分析”和“风险评估”等某些术语进行澄清。

https://iapp.org/news/a/nist-plans-health-security-guidance-updates/

3、ICO 发布保护工人健康数据的指南

Tag：数据保护

英国信息专员办公室发布了指南，帮助雇主在处理员工健康信息时了解英国《通用数据保护条例》和《数据保护法》规定的数据保护义务。ICO 表示，该指南将“提供更大的监管确定性”、“保护工人的数据保护权利”并“帮助雇主与工人建立信任”。

https://iapp.org/news/a/uk-ico-issues-guidance-on-protecting-workers-health-data/

4、瑞士 DPA 发布数据保护影响评估指南

Tag：数据保护

瑞士联邦数据保护和信息专员发布了一份用于进行数据保护影响评估的信息表。修订后的《数据保护法》通过后，该文件指示联邦机构和公民“如果计划的数据处理会给（个人数据）或相关人员的基本权利带来高风险，则应准备数据保护影响评估。”

https://iapp.org/news/a/switzerland-releases-data-protection-impact-assessment-guide/

重点漏洞情报

1、Cacti 前台SQL注入漏洞

Tag：CVE-2023-39361、Cacti

该漏洞存在于Cacti 前台中，是一个SQL注入漏洞。未经身份验证的攻击者可以利用该漏洞获取远程数据库信息.由于应用程序接受堆叠查询，攻击者可以通过更改数据库中的“path_php_binary”值来实现远程代码执行。

https://github.com/Cacti/cacti/security/advisories/GHSA-6r43-q2fw-5wrg

2、MinIO权限提升漏洞

Tag：MinIO、CVE-2023-28434

MinIO版本RELEASE.2023-03-20T20-16-18Z之前，威胁者可以使用恶意设计的请求来绕过元数据存储桶名称检查，并在处理“PostPolicyBucket”时将对象放入任何存储桶中。但要利用该漏洞，威胁者需要具有“arn:aws:s3:::*”权限的凭证，以及已启用的控制台API 访问权限。作为一种缓解方法，可启用浏览器API访问并关闭 `MINIO_BROWSER=off`。

https://github.com/minio/minio/security/advisories/GHSA-2pxw-r47w-4p8c

3、华硕路由器远程代码执行漏洞

Tag：华硕路由器、CVE-2023-39238

华硕 RT-AX55、RT-AX56U_V2 和 RT-AC86U 路由器缺少对iperf-related API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证，未经身份验证的远程威胁者可利用该漏洞造成服务中断、在受影响设备上远程执行代码或执行任意操作。

https://nvd.nist.gov/vuln/detail/CVE-2023-39238

4、Jenkins Job Configuration History插件路径遍历漏洞

Tag：CVE-2023-41930

该漏洞源于Job Configuration History插件1227.v7a_79fc4dc01f及之前版本在渲染历史记录条目时不限制“name”查询参数，这使得威胁者可以让Jenkins 渲染不是由插件创建的受操纵的配置历史记录。

https://www.jenkins.io/security/advisory/2023-09-06/#SECURITY-3165

恶意代码情报

1、警报：网络钓鱼活动提供新的 SideTwist 后门和 Agent Tesla 变体

Tag：伊朗APT34、SideTwist、Agent Tesla、网络钓鱼攻击、后门、恶意软件

伊朗 APT34 黑客组织利用新的网络钓鱼攻击部署了名为 SideTwist 的后门变体。另一次攻击中出现了 Agent Tesla 的新变种。SideTwist 后门是一种能够下载/上传文件和执行的命令入口程序。Agent Tesla 是一款恶意软件，可以收集受害者设备上的敏感信息。

https://thehackernews.com/2023/09/alert-phishing-campaigns-deliver-new.html?_m=3n%2e009a%2e3142%2ehf0ao455mi%2e24oi

2、分析用 Node.js 编写的 Facebook 个人资料窃取程序

Tag：Facebook、资料窃取

Node.js 编写的信息窃取程序。该程序被打包成一个可执行文件，通过 Telegram bot API 和 C&C 服务器窃取的数据进行外传，并使用 GraphQL 作为 C&C 通信渠道。文章详细分析了这个新的信息窃取程序的功能和行为。

https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html

3、研究人员发现了更多属于先前确定的 VMConnect 活动一部分的软件包, 以及将该活动与朝鲜 Lazarus 集团联系起来的证据

Tag：VMConnect、朝鲜 Lazarus

ReversingLabs 的研究人员发现了更多属于先前被识别为 VMConnect 攻击活动的恶意 Python 软件包，并且有证据表明这次攻击与朝鲜的威胁行为有关。

https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

4、W3LL 商店：秘密网络钓鱼集团如何瞄准8,000多个 Microsoft 365帐户

Tag： W3LL Store、网络钓鱼、微软 365、钓鱼工具

一个名为W3LL Store的秘密网络钓鱼联盟在过去的六年中被发现与针对微软 365 商业邮件账户的攻击有关。该网络钓鱼组织提供了一个闭门社区，500名威胁行为者可以在其中购买一种名为W3LL Panel的定制网络钓鱼工具，该工具可以绕过多因素认证 (MFA)，以及其他16种用于商业电子邮件妥协攻击的定制工具。

https://thehackernews.com/2023/09/w3ll-store-how-secret-phishing.html?_m=3n%2e009a%2e3141%2ehf0ao455mi%2e24mm

数据安全情报

1、必胜客遭黑客组织入侵，数百万客户数据被盗

Tag：黑客攻击、数据泄露

黑客组ShinyHunters最近表示，它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示，他们在1-2个月前利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。

https://hackernews.cc/archives/45571

2、PIPC因30万条包含个人信息数据泄露对电信公司罚款80亿韩元

Tag：韩国、信息泄露

韩国个人信息保护委员会因近30万条包含个人信息的记录泄露而对电信公司 LG Uplus 处以80亿韩元的罚款。此外，自2018年6月开始，LG Uplus 的客户身份验证系统被黑客入侵，直到1月23日才被发现，因此 LG Uplus 收到了2700万韩元的行政罚款。

https://iapp.org/news/a/pipc-fines-mobile-company-skw-8-billion-following-data-breach/

3、Freecycle 出现大规模数据泄露事件，影响700万用户

Tag：数据泄露

Freecycle是一个致力于交换二手物品的在线论坛，拥有来自全球5300多个地方城镇的近1100万名用户。该论坛近日发生了大规模数据泄露事件，700多万用户受到影响。

https://hackernews.cc/archives/45512

4、GhostSec 黑客组织曝光伊朗政府监控软件，20GB敏感数据遭泄露

Tag：数据泄露

GhostSec报告了FANAP Behnama软件的成功入侵，他们将其描述为“伊朗政权自己的隐私入侵软件”。此漏洞导致大约20GB的受感染软件暴露。该组织声称，伊朗政府使用该软件进行公民监视，这代表了该国监视能力的重大进步。

https://hackernews.cc/archives/45456

热点安全事件

1、黑客入侵APP向伊朗数百万人推送反政府信息

Tag：黑客入侵

以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击，发动反政府言论。

https://www.secrss.com/articles/58585

2、德国金融监管局网站因DDoS攻击中断多天

Tag：网络攻击、德国

德国联邦金融监管局（BaFin）宣布，自上周五以来，其网站持续受到分布式拒绝服务（DDoS）攻击影响。由于持续受到DDoS攻击，德国联邦金融监管局网站已中断访问超4天。

https://hackernews.cc/archives/45580

3、开学不到一周，美国某学校因勒索攻击连续停课三天

Tag：勒索软件

因发生勒索软件事件，美国宾州钱伯斯堡学校宣布连续三天取消所有课程，直到周五才正常开放。Kern说：“勒索软件特别恶劣。如果你无法访问系统，就无法教学。（勒索软件导致）你不能访问系统进行教学。所以，（学校关闭）并不令人意外。”

https://hackernews.cc/archives/45528

4、加拿大第二大城市电力系统遭勒索攻击：被迫重建 IT 基础设施

Tag：恶意软件、勒索

拥有百年历史的蒙特利尔市电力服务委员会遭到LockBit勒索软件攻击，官方拒绝支付赎金，选择重建IT基础设施。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。

https://hackernews.cc/archives/45460

热点安全技术

1、详细介绍降级到 NetNTLMv1 身份验证的攻击路径, 以及在受影响的环境中提升权限所需的进一步利用步骤

Tag：NetNTLMv1、降级、中继、破解、Pass-the-Hash、RBCD、影子凭证

介绍了 NetNTLMv1 降级和中继攻击的方法。作者首先介绍了实验室环境和所使用的工具，然后详细描述了如何破解 NetNTLMv1 的步骤，包括使用 Responder 降级认证、强制进行系统认证、破解哈希和进行 Pass-the-Hash 攻击。

https://www.r-tec.net/r-tec-blog-netntlmv1-downgrade-to-compromise.html

2、关于红队演习和 Forcepoint Endpoint One DLP 客户端的故事

Tag：红队演习、Forcepoint Endpoint One DLP客户端、Python解释器

本文介绍了作者在准备红队演习过程中，了解了 Forcepoint Endpoint One DLP 客户端的经历。作者发现该产品包含一个功能有限的 Python 解释器，可以由非管理员用户运行。作者成功解除了限制，并利用这个解释器进行了钓鱼攻击。

https://www.vicarius.io/vsociety/posts/3372

3、使用 Google 的开源软件成分分析工具. 展示 osv-scanner 工具在实际 Python 和 Java 项目中的用法

Tag：Google osv-scanner、开源软件、安全漏洞、SCA

介绍了如何使用 Google 的 osv-scanner 工具来识别开源软件中的安全漏洞。作者通过使用 Python 的 Keras 和 Java 的 Apache Spark 作为案例研究，演示了如何配置和使用 osv-scanner。总结了该工具的优点和缺点，并提出了使用软件构成分析报告（SBOM）来解决一些问题的建议。

https://medium.com/@theowni/using-open-source-software-composition-analysis-tool-from-google-70fef62ec104

4、审视 2 级电动汽车充电站 ChargePoint Home Flex 的威胁格局

Tag：Zero Day Initiative、ChargePoint Home Flex、移动应用程序、硬件

介绍了 Zero Day Initiative 对 ChargePoint Home Flex 的威胁面进行的审查。ChargePoint Home Flex 是一款用于家庭充电的 240 伏特 2 级充电器，攻击面主要包括移动应用程序、硬件和网络。

https://www.zerodayinitiative.com/blog/2023/9/7/looking-at-the-chargepoint-home-flex-threat-landscape

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。