1020-NIST将发布网络更新以引入新的安全控制-阿联酋与美国合作加强金融服务网络安全-开源 CasaOS 云软件发现关键漏洞

NIST将发布网络更新以引入新的安全控制；

标签：NIST

美国国家标准与技术研究所正在修改其安全控制措施的各个部分，这是旨在进一步加强美国网络安全态势的更大补丁发布的一部分。补丁是修复现有漏洞的推荐软件系统更新。在NIST定于11月初发布的最新补丁版本5.1.1中，该机构将增强特别出版物800-53中概述的两项现有控制措施，并引入新的安全控制措施。寻求用户社区反馈的公众评议期将于2023年10月31日开放。“NIST认识到我们指导中稳定性和敏捷性的重要性，”该机构在一份声明中表示。控制增强将有相应的评估程序，重点关注身份管理和服务器授权以及加密密钥的保护。NIST表示，它还将进行细微的语法调整和编辑，这不会影响任何安全控制程序或结果，但主要会改变控制的术语。作为一份出版物，SP 800-53充当帮助公共和私营部门用户管理威胁网络安全的网络风险的资源。NIST发言人告诉NextGov/FCW，更新后的新控制措施旨在弥补控制目录中的空白。与 NIST的其他产品一样，风险管理框架中的新控制措施不是强制性的。 

信源：https://www.nextgov.com/cybersecurity/2023/10/nist-issue-cyber-updates-introduce-new-security-controls/391242/

阿联酋与美国合作加强金融服务网络安全；

标签：阿联酋,美国,金融服务网络安全

美国财政部和阿拉伯联合酋长国网络安全委员会已同意分享有关影响金融服务业的网络安全威胁和事件的更多信息。这种伙伴关系是财政部改善国际金融体系网络安全合作方法的一部分，包括公私伙伴关系以及与国际合作伙伴的密切关系。在迪拜举行的Gitex全球会议上，阿联酋政府网络安全负责人Mohamad Al Kuwaiti博士会见了美国财政部副助理部长Todd Conklin，并同意在多个领域开展合作：金融部门信息共享，包括有关事件和威胁的网络安全信息；人员培训和考察访问，促进网络安全合作；开展跨境网络安全演习等能力建设活动。此前，美国财政部于2021年11月访问了阿联酋，当时美国建立了双边伙伴关系，以保护金融领域的关键基础设施，并认识到加强网络安全合作以保护国际金融体系的重要性。

信源：https://www.darkreading.com/dr-global/uae-and-us-partner-to-bolster-financial-services-security

开源 CasaOS 云软件发现关键漏洞；

标签：CasaOS 

近日，开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用，就可实现任意代码执行并接管易受攻击的系统。

这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266，CVSS评分均为9.8分。

发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示：这两个漏洞均允许攻击者绕过身份验证要求，获得对CasaOS仪表板的完全访问权限。

更令人担忧的是，CasaOS 对第三方应用程序的支持可被用于在系统上运行任意命令，以获得对设备的持久访问权或进入内部网络。

继 2023 年 7 月 3 日负责任的披露之后，其维护者 IceWhale 于 2023 年 7 月 14 日发布的 0.4.4 版本中解决了这些漏洞。

这两个漏洞的简要说明如下：

• CVE-2023-37265 – 源 IP 地址识别不正确，允许未经身份验证的攻击者在 CasaOS 实例上以 root 身份执行任意命令

• CVE-2023-37265 – 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執行任意指令

这两个漏洞被成功利用的后果是，攻击者可以绕过身份验证限制，并在易受攻击的 CasaOS 实例上直接获得管理权限。

Chauchefoin表示，在应用层识别IP地址是有风险的，不应该依赖于安全决策。许多不同的报头都可能传输诸如X-Forwarded-For, Forwarded等信息，并且语言api有时需要以相同的方式解释HTTP协议的细微差别。同样，所有的框架都有自己的“怪癖”，如果没有这些常见安全漏洞的专业知识，便很难驾驭。

信源：https://www.freebuf.com/news/381025.html

D-Link 确认发生数据泄露；

标签：D-Link

台湾网络设备制造商 D-Link 证实了一起数据泄露事件，该事件与从其网络中窃取的信息有关，并于本月早些时候在 BreachForums 上出售。

攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。

据称，被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本，时间戳在 2012 年至 2013 年之间，这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。

自 10 月 1 日起，这些数据就可以在黑客论坛上购买，威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。

信源：https://www.anquanke.com/post/id/290794

数百万份 23andMe 基因数据资料被盗；

标签：23andMe,基因数据

Bleeping Computer 网站披露，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据主要来自英国和德国。

值得一提的是，这并非  23andMe 首次出现数据泄漏事件，本月早些时候，一名网络攻击者泄露了 100 万阿什肯纳兹犹太人的被盗数据资料，据称这些人使用了 23andMe 服务查找其祖先信息和遗传倾向。从 23andMe 向 Bleeping Computer 透露的信息来看，网络攻击者通过使用弱密码或其它数据泄露中暴露的凭据，对受害帐户进行凭据填充攻击，最终盗取数据信息。

对于客户资料被盗一事，23andMe 指出只有少数选择了 “DNA Relatives “功能的账户被入侵了。

信源：https://hackernews.cc/archives/46289