1012-印度一支付网关服务被黑，损失创纪录-curl曝出迄今最严重漏洞-利用 HTTP2，新型 DDoS 攻击峰值破纪录

印度一支付网关服务被黑，损失创纪录；

标签：印度，支付网关服务

10月11日消息，近日一起重大网络犯罪事件浮出水面。黑客成功入侵印度支付网关服务提供商Safexpay公司（STPL）账户，窃取了超过1618亿卢比（约合人民币141.84亿元，19.44亿美元）资金。

据报道，攻击者对Safexpay发动攻击后进行非法操作，系统性地从各种银行账户中挪去资金，其中一些已经非法转移到国外，转移过程持续了很长一段时间。印度马哈拉施特拉邦塔那警察当局披露了STPL公司遭遇的网络攻击事件。

当地高级官员宣布，该邦的斯利那加警察局已将Safexpay网络攻击事件记录在案，塔那警察网络犯罪小组正在合作调查此事。

信源：https://www.secrss.com/articles/59553

curl曝出迄今最严重漏洞；

标签：curl

本周二，命令行工具curl曝出两个漏洞（CVE-2023-38545、CVE-2023-38546），其中一个是高严重性漏洞。漏洞详细信息将于10月11日星期三发布curl v8.4.0修复版本后公布。（目前最新版本是8.3.0）

受上述漏洞影响的包括curl（命令行工具）和libcurl（客户端URL传输库），两个工具用于通过各种网络协议传输数据。其中curl是一种广泛极其广泛的基础开源软件，用于通过URL传输数据。

根据curl的项目介绍，“curl广泛应用于汽车、电视机、路由器、打印机、音频设备、手机、平板电脑、医疗设备、机顶盒、电脑游戏、媒体播放器，并且是数千种软件应用程序的互联网传输引擎，安装量超过200亿，几乎每位互联网用户日常都会用到curl。”

周三即将发布的curl v8.4.0版本将修复的两个漏洞的大致信息如下：

• CVE-2023-38545，一个影响libcurl库和curl工具的高严重性漏洞；

• CVE-2023-38546，一个低严重性漏洞，仅影响libcurl。

curl的作者兼首席开发人员Daniel Stenberg表示，这两个漏洞中较严重的一个“可能是curl有史以来最严重的安全漏洞”。

由于Linux系统默认内置curl，因此curl项目方已将漏洞信息通知并共享给各种Linux发行版的开发者，以便他们提前准备补丁/更新，并在curl 8.4.0发布后快速发布。

Stenberg拒绝透露任何漏洞细节，但表示8.4.0版本中没有更改API或ABI。

Qualys威胁研究部门的产品经理Saeed Abbasi认为，由于没有API/ABI更改，大大减少了企业安装补丁前的测试和验证工作量，有助于加快补丁修复速度，减少潜在的攻击风险。此外，对于合规性至关重要的行业和项目，无需验证和认证新的（补丁）集成有助于保持对相关法规和标准的合规性，而无需进行新的审计或检查。

但是，由于许多Docker镜像有自己的curl库副本，因此许多都必须重新构建。Docker产品经理Jonathan Roberts建议用户使用Docker Scout在整个容器存储库中查找curl依赖项。

Endor Labs的安全研究员Henrik Plate指出，攻击者需要向存在漏洞的curl/libcurl实例提交URL来利用漏洞。因此在周三的安全更新之前，开发人员应该抢先检索所有curl/libcurl用例并收集重要的上下文信息，特别是正在使用的curl/libcurl版本和特定的用例。上下文信息必须明确输入到curl中的URL是否来自（不受信任的）用户提供的输入，因为攻击者可能有机会提交URL（例如，包含特殊字符或指向攻击者控制的域名）。

因此，缓解漏洞利用风险的措施除了安装补丁，还应限制从不受信任的网络访问存在漏洞的系统。

值得注意的是，安全人员和开发人员面临一个挑战：curl命令行工具可以通过多种不同的方式安装，例如，通过各种Linux发行版使用的yum和apt包管理器，或者更糟糕的是，只需从curl网站下载二进制文件。此类下载和后续执行通常是脚本化的，即Windows批处理文件或Unix shell脚本的一部分，这使得用户很难找到全部用例。

Synopsys高级软件解决方案经理Mike McGuire则警告用户注意“更新陷阱”，因为攻击者很有可能在团队手忙脚乱之际发布隐藏恶意软件的“修复版本”。

Sonatype安全研究员Ax Sharma表示，curl曝出的高严重性漏洞远没有Log4j棘手。因为大多数情况下curl作为命令行程序使用，与操作系统软件包一同分发并作为系统级服务工具提供，这意味着正常的操作系统更新应该能自动处理这个问题。“它与Log4j非常不同，Log4j作为依赖项嵌入，更加底层且没有直接更新功能。”Sharma说道。

信源：GoUpSec

利用 HTTP2，新型 DDoS 攻击峰值破纪录；

标签：新型 DDoS 攻击

亚马逊、Cloudflare 和谷歌周二联合发布消息称，一种依赖于 HTTP/2 快速重置技术的攻击行为对它们造成了破纪录的分布式拒绝服务 (DDoS) 攻击。

根据披露的信息，该攻击自8月下旬以来便一直存在，所利用的漏洞被跟踪为CVE-2023-44487，CVSS 分数为 7.5。在针对谷歌云的攻击中，攻击峰值达到了每秒 3.98 亿次请求(RPS)，而针对 AWS 和 Cloudflare 的攻击量分别超过了每秒 1.55 亿次和 2.01 亿次请求 (RPS)。

HTTP/2 快速重置是指 HTTP/2 协议中的0-Day缺陷，可被利用来执行 DDoS 攻击。简而言之，该攻击滥用 HTTP/2 的流取消功能，不断发送和取消请求，以压垮目标服务器。另一个关键方面在于此类攻击可以使用中等规模的僵尸网络来实施，据 Cloudflare 观察，该僵尸网络可容纳 2万台机器。

据W3Techs称，目前有35.6% 的网站使用 HTTP/2 。根据Web Almanac共享的数据，使用 HTTP/2 的请求百分比为 77% 。谷歌云表示，已经观察到快速重置攻击的多种变体，且比标准 HTTP/2 DDoS 攻击更有效。

信源：https://www.freebuf.com/news/380270.html

谷歌进入“免密”时代，将Passkey作为个人账户默认登录方式；

标签：谷歌,Passkey

谷歌本周二宣布，将 Passkey 密钥作为其平台上所有个人谷歌帐户的默认登录选项。

设置好关联到个人设备的 Passkey 密钥后，用户无需再输入密码或在登录时使用两步验证即可登录其 Google 帐户。

谷歌产品经理克里斯蒂安・布兰德表示：“我们从用户那里收到了非常积极的反馈，因此今天我们将 Passkey 作为个人 Google 帐户的默认选项，使密码变得更加易于使用。”

这意味着谷歌用户下次登录个人帐户时，将看到创建和使用 Passkey 密钥的提示，以便简化以后的登录。”

Passkey 密钥在本地工作，是比传统密码更安全、更方便的替代方案：支持使用指纹扫描仪和面部识别等生物识别传感器以及 PIN、硬件安全密钥或屏幕锁定模式来访问网站、在线服务和应用。

谷歌宣称，使用 Passkey 密钥可以显著降低数据泄露影响其他帐户的风险，并防止网络钓鱼攻击，因为 Passkey 不能被用来劫持帐户。此外，Passkey 还免去了用户记忆和管理密码的负担，大大提高了安全性和易用性。

谷歌的 Passkey 密钥在云端安全存储和同步，以防止设备丢失时账户被锁定，并可无缝过渡到新设备。此功能与所有主要网络浏览器和平台兼容，包括 Windows、macOS、iOS 和 ChromeOS。

其实，谷歌的多年前就已经开始推动 “免密登录”。

今年 5 月份，谷歌推出了对所有 Google 帐户的无密码登录支持。此前，谷歌还于 2022 年 10 月在 Android 操作系统及其 Chrome 网络浏览器中引入了密钥支持。

微软、苹果和谷歌于 2022 年 5 月承诺将推动 Passkey 密钥成为无密码登录的通用标准。

此次合作的结果是，Web 身份验证 (WebAuthn) 凭证（也称为 FIDO 凭证）成为在三大科技巨头的平台上无密码登录帐户的既定方案。

对 WebAuthn 标准的支持可以追溯到 2018 年 4 月，当时谷歌、微软和 Mozilla 宣布计划将新 API 集成到各自的 Chrome、Edge 和 Firefox 网络浏览器中。

信源：https://www.wangan.com/p/11v7ad58211a8b06

Google通过Chrome和Cloud CTF活动扩大Bug赏金计划；

标签：Google，Cloud CTF

谷歌宣布扩大其漏洞奖励计划，举办了两项活动，重点关注Chrome的V8 JavaScript渲染引擎和基于内核的虚拟机(KVM)。v8CTF已经启动，安全研究人员可以通过成功利用在Google基础设施上运行的V8版本来获得金钱奖励 。该挑战赛旨在补充Google的VRP，允许识别JavaScript引擎中的漏洞的研究人员通过向v8CTF提交漏洞来获得额外奖励。然而，参与的研究人员也可以提交针对已知V8漏洞的利用。Google鼓励发现新漏洞的研究人员首先向 Chrome VRP报告。接下来，他们可以利用v8CTF中的漏洞从Google的基础设施中窃取该标志。根据该计划的规则，提交有效漏洞的安全研究人员有资格获得10,000美元的奖励。“这是对漏洞本身的任何现有奖励之外的奖励。例如，如果您在V8中发现一个漏洞，然后为其编写一个漏洞利用程序，那么它就可以符合Chrome VRP和v8CTF的资格，”Google解释道。kvmCTF将于今年晚些时候推出，将奖励针对KVM中零日和一日漏洞的研究人员，KVM是 Linux内核中的开源虚拟化模块，允许其充当虚拟机管理程序。

信源：https://www.securityweek.com/google-expands-bug-bounty-program-with-chrome-cloud-ctf-events/