每周安全动态精选（10.16-10.20）

本周精选

1、Zero Day Initiative 披露苹果 Safari 整数下溢漏洞（CVE-2023-38600）

2、Android 间谍软件伪装为 "RedAlert" 火箭警报应用程序, 针对以色列

3、日本最大通信运营商九百万条数据被盗，泄露时间长达十年

4、黑客组织摧毁堪萨斯州美国司法系统，法院宣布全面退回纸质时代

5、WTF 工具快照模糊测试 Direct Composition

政策法规动态

1、美国隐私立法两党达成共识

Tag：隐私、美国

尽管美国尚未通过全面的联邦隐私立法，但 IAPP 隐私法和政策首席研究员 Müge Fazlioglu（CIPP/E、CIPP/US）写道，有多种迹象表明，两党都支持最终推动法案通过。法兹利奥格鲁表示，第 118 届国会提出的四项法案获得了两党的支持。然而，优先购买权和私人诉讼权的“党派规定”使许多隐私法案陷入停滞。

https://iapp.org/news/a/bipartisan-consensus-in-u-s-federal-privacy-lawmaking/

2、缅因州和新罕布什尔州立法者继续起草隐私法案

Tag：隐私法案

《班戈每日新闻》报道称，缅因州立法者正在休会期间召开会议，准备一项全面的州隐私法案，以便在 2024 年立法会议期间重新提出。该法案最初于 2023 年提出，后来又提出一项将其延续到下一年的动议。

https://iapp.org/news/a/maine-new-hampshire-state-lawmakers-continue-privacy-bill-drafting

3、欧盟普通法院否认欧盟-美国数据隐私框架临时停止

Tag：欧盟、隐私框架

欧盟普通法院裁定不采取暂停实施欧盟-美国数据隐私框架的临时措施。这一决定是对法国欧洲议会议员菲利普·拉托姆贝 (Philippe Latombe) 提出反对转让协议和随后的充分性决定的回应。法院表示，拉托姆贝无法证明该协议造成的个人或集体损害。

https://iapp.org/news/a/eu-general-court-denies-interim-eu-us-data-privacy-framework-halt/

4、澳大利亚发布消费者数据权更新政策

Tag：数据安全

澳大利亚竞争与消费者委员会和澳大利亚信息专员办公室发布了一项关于各机构如何执行消费者数据权框架的联合政策。该法律赋予客户决定与服务提供商共享哪些数据并控制信息共享方式的能力。

https://iapp.org/news/a/australia-releases-updated-policies-on-the-consumer-data-right/

技术标准规范

1、谷歌公布保护儿童上网的立法框架

Tag：谷歌、儿童隐私

谷歌发布了一个立法框架，为政策制定者提供了制定更好的法律来保护上网儿童的原则。许多原则都是基于嵌入适合年龄的设计功能，这些功能“设计时考虑到安全”，以便为未成年人提供更好的在线体验。与此同时，YouTube 制定了确保儿童在平台上安全的五项核心原则，其中包括为未成年人观看内容制定特殊保护措施，以及帮助家长确保儿童安全使用.

https://iapp.org/news/a/google-unveils-new-legislative-framework-for-protecting-kids-online/

2、英国更新应用商店隐私、安全实践守则

Tag：安全隐私

英国科学、创新和技术部宣布更新应用商店和开发者行为准则。更新后的代码最初于 2022 年 12 月发布，强调了之前制定的“最低安全和隐私要求”原则，包括透明度、数据安全措施和违规通知实践。该部门还宣布将该准则的实施期限延长至 2024 年 3 月。

https://iapp.org/news/a/uk-updates-app-store-privacy-security-code-of-practice

3、OPC 发布有关儿童隐私的补充指南

Tag：儿童隐私保护

加拿大隐私专员办公室发布了两份指导说明，以支持其最近与省级隐私当局共同制定的旨在提高儿童隐私标准的联合决议。其中一份指南侧重于在数据处理活动中考虑“年轻人的最大利益”，而第二份指南则向组织提供有关保护儿童最佳做法的建议。

https://iapp.org/news/a/opc-releases-complementary-guidance-on-childrens-privacy/

4、阿根廷 AAIP 推出数据保护合规模块

Tag：数据保护

阿根廷公共信息获取机构创建了一套资源，致力于帮助私营和公共部门遵守数据保护规定。这些工具将与公司和实体诚信和透明度登记处一起使用，面向那些寻求与数据保护、隐私声明起草和风险相关的主题“增加价值……并适应国际标准”的组织评估。

https://iapp.org/news/a/argentinas-aaip-rolls-out-data-protection-compliance-module

重点漏洞情报

1、Zero Day Initiative 披露苹果 Safari 整数下溢漏洞（CVE-2023-38600）

Tag：苹果、Safari、整数下溢、漏洞披露

全球最大的漏洞披露平台之一 Zero Day Initiative 日前发布了一份关于苹果 Safari 的漏洞报告。这个漏洞被命名为 CVE-2023-38600，属于经典的整数下溢漏洞。经过苹果的修复，已在相关安全补丁中得到解决。

https://www.zerodayinitiative.com/blog/2023/10/17/cve-2023-38600-story-of-an-innocent-apple-safari-copywithin-gone-way-outside

2、Synology DSM NAS 系统存在安全漏洞，管理员账户易被接管

Tag：Synology、DSM、网络存储、安全漏洞、PRNG

研究人员发现 Synology DSM 系统在生成管理员密码时使用了不安全的 Math.random() 方法，导致密码生成过程容易被恢复。通过泄漏部分 GUID（例如 72e14742-b0e5-4826-b7c9-eb16284fe9cd），攻击者可以还原伪随机数生成器（PRNG）的种子，重建管理员密码，并远程接管管理员账户。Synology 已经发布了修复方案，并呼吁用户升级到 7.2-64561 或更高版本。该漏洞的修复强调了在生成密码时使用加密随机数的重要性，建议用户使用 Web Crypto API 中的 window.crypto.getRandomValues () 方法来生成密码。

https://claroty.com/team82/research/synology-nas-dsm-account-takeover-when-random-is-not-secure

3、CVE-2023-43261 漏洞在工业网络中被利用，但规模有限

Tag：漏洞利用、工业网络、CVE-2023-43261、Milesight 工业路由器

近日，VulnCheck 公司发布了一份关于 CVE-2023-43261 漏洞的调查报告。该漏洞影响了知名的 Milesight 工业路由器，可能允许攻击者从互联网访问工业控制系统（ICS）网络。然而，这个漏洞并没有像 CVE 描述所述的那样广泛存在。

https://vulncheck.com/blog/real-world-cve-2023-43261

4、Royal Elementor Addons and Templates 插件存在关键漏洞

Tag：Wordfence、WordPress、远程代码执行、文件上传漏洞

Royal Elementor Addons and Templates 插件的所有版本，包括 1.3.78 版本及以前的版本，都存在任意文件上传漏洞。这是由于通过 AJAX 调用的 handle_file_upload() 函数中的文件类型验证不足，攻击者可以通过 “allowed_file_types” 参数提供偏好的文件类型扩展名和特殊字符，从而绕过过滤列表。这使得未经身份验证的攻击者可以在受影响的网站服务器上上传任意文件，可能导致远程代码执行。

https://www.wordfence.com/blog/2023/10/psa-critical-unauthenticated-arbitrary-file-upload-vulnerability-in-royal-elementor-addons-and-templates-being-actively-exploited/

恶意代码情报

1、Android 间谍软件伪装为 "RedAlert" 火箭警报应用程序, 针对以色列

Tag：恶意应用程序、RedAlert、以色列

文章指出，此前亲巴勒斯坦骇客组织 AnonGhost 利用 “Red Alert: Israel” 应用程序的漏洞，成功攻击了一些用户，并发送了虚假警报信息，包括 “即将来袭的核弹”。而此次恶意应用程序则通过冒充 RedAlert 应用程序的方式，同时收集用户的敏感数据，包括联系人、通话记录、短信、账户信息以及所有已安装应用的概览。

https://blog.cloudflare.com/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information/

2、 两个朝鲜背景的黑客组织利用 TeamCity CVE-2023-42793 漏洞发起攻击

Tag：朝鲜黑客、TeamCity 漏洞、供应链攻击、恶意软件

根据微软的威胁情报，自 2023 年 10 月初以来，微软观察到两个朝鲜国家级威胁行动组织 ——Diamond Sleet 和 Onyx Sleet 利用 CVE-2023-42793 漏洞，对多个版本的 JetBrains TeamCity 服务器进行远程代码执行攻击。TeamCity 是一个用于 DevOps 和其他软件开发活动的持续集成 / 持续部署（CI/CD）应用程序。

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

3、警惕 Lumma Stealer 通过 Discord CDN 传播

Tag：Lumma Stealer、信息窃取、Discord CDN、恶意软件

最近的调查发现，黑客现在通过 Discord 这一受欢迎的聊天平台，利用其内容传递网络（CDN）传播一种名为 Lumma Stealer 的信息窃取恶意软件。黑客滥用 Discord 的 CDN 来托管和传播 Lumma Stealer，同时使用该平台的应程序编程接口创建可以与恶意软件通信和远程控制的机器人。其中一些机器人还会将窃取的数据发送到私人的 Discord 服务器或频道。Lumma Stealer 是一种用 C 编程语言编的信息窃取恶意软件，是最早一批通过 Discord CDN 传播的恶意软件之一。

https://www.trendmicro.com/en_us/research/23/j/beware-lumma-stealer-distributed-via-discord-cdn-.html

4、Good Day 勒索软件分析 — ShadowStackRE

Tag：Good Day 勒索软件、ShadowStackRE、技术分析

ShadowStackRE 的技术分析揭示了 Good Day 勒索软件的一些重要特征。首先，该软件在开始加密文件之前会删除卷影副本，从而使企业难以通过还原文件来恢复数据。其次，Good Day 勒索软件会检查正在运行的进程列表中是否存在常见的调试器，以防止被反向工程。此外，该软件还使用了硬编码的驱动器字母和 libCryptoPP 加密库，以保护其恶意功能的实施。

https://www.shadowstackre.com/analysis/goodday

数据安全情报

1、日本最大通信运营商九百万条数据被盗，泄露时间长达十年

Tag：数据盗窃

10月17日，日本最大通信网络运营商NTT WEST两家子公司宣布，一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示，目前尚无法确认信息泄露造成的损害，警方正对此展开调查。

https://www.secrss.com/articles/59790

2、数百万份 23andMe 基因数据资料被盗

Tag：黑客、数据泄露

Bleeping Computer 网站披露，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据主要来自英国和德国。泄露的数据包括居住在英国 23andMe 用户的 4011607 行数据和生活在德国的 139172 人的数据信息。

https://hackernews.cc/archives/46289

3、D-Link 确认发生泄露百万数据

Tag：数据泄露

攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。

https://hackernews.cc/archives/46262

4、墨西哥参议院官方网站遭攻击致 1000 份政府机密文件在网上泄露

Tag：信息泄露

一名论坛用户声称已成功破坏了墨西哥参议院共和国参议院官方网站的安全。该人声称从 9 月到 10 月期间获得了 1,000 多份私人政府文件，数量惊人。涉嫌的共和国参议院网络攻击引发了人们对敏感政府信息的安全及其可能产生的潜在影响的担忧。这些文件的总大小达到 19.4 GB。

https://hackernews.cc/archives/46181

热点安全事件

1、黑客组织摧毁堪萨斯州美国司法系统，法院宣布全面退回纸质时代

Tag：网络攻击、美国司法

在过去的一周里，堪萨斯州的司法系统勒索软件攻击而陷入困境。对州法院日常运作至关重要的多个系统受到了影响，包括堪萨斯州法院用于律师提交案件文件的电子归档系统、电子支付系统（包括信用卡交易和电子支票），以及地区和上诉法院用于案件处理的案件管理系统。堪萨斯州最高法院已经转向使用纸质记录来支持工作。

https://hackernews.cc/archives/46280

2、俄乌网络战密集开火！11家乌克兰电信公司遭沙虫组织入侵

Tag：网络战、俄乌冲突

10月18日消息，今年5月至9月期间，有官方背景的俄罗斯黑客组织“沙虫”（Sandworm）已经成功侵入11家乌克兰电信公司。乌克兰计算机应急响应组（CERT-UA）表示，这些俄罗斯黑客“干扰了”乌克兰国内11家电信公司的通信系统，导致服务中断，或引发数据泄露。

https://www.secrss.com/articles/59773

3、俄罗斯和白俄罗斯的政府网络系统遭遇攻击

Tag：网络攻击

一群名为 Sticky Werewolf 的网络犯罪分子积极使用网络钓鱼电子邮件来访问俄罗斯和白俄罗斯政府组织的系统。据BI.ZONE称，该组织的活动自2023年4月以来一直受到监控，在此期间至少进行了30次成功的攻击。

https://hackernews.cc/archives/46186

4、黑客组织Cyber Av3ngers宣称关闭200个以色列加油站

Tag：黑客、网络攻击

据据伊朗塔斯尼姆通讯社(Tasnim)新闻社10月15日报道，黑客组织CyberAv3ngers声称对以色列著名加油站控制解决方案提供商ORPAK Systems的大规模网络攻击负责。攻击者在他们的Telegram 频道上发布了被盗的数据库。据媒体报道，一次网络攻击导致以色列200个汽油泵关闭，进而导致特拉维夫和海法等地多个加油站关闭。CyberAv3ngers还在其Telegram 频道上发布了一些加油站闭路电视摄像机的文件和录音。

https://www.secrss.com/articles/59701

热点安全技术

1、WTF 工具快照模糊测试 Direct Composition

Tag：WTF、快照模糊测试、Direct Composition

Direct Composition 是在 Windows 8 中首次引入的功能，它能够将位图组合、变换、效果和动画抽象为内核对象，实现高性能的位图合成。这些内核对象稍后会被序列化并发送到 DWM（桌面窗口管理器）以在屏幕上渲染。由于可以使用系统调用直接创建和操作内核对象，这使得它成为一个有吸引力的攻击面。研究人员已经展示了如何利用 Direct Composition 中的漏洞，例如在 Pwn2Own 比赛中。尽管有关 Direct Composition 的公开研究已经存在，但只有少数几篇讨论了对该功能的模糊测试，还没有涉及到快照模糊测试的相关研究。因此，本研究讨论如何将快照模糊测试应用于 Direct Composition，并使用公开可用的 WTF 快照模糊测试器实现一个模糊器。

https://blog.talosintelligence.com/snapshot-fuzzing-direct-composition-with-wtf/

2、DLL 劫持攻击的新技术解决方案：解锁库加载器实现完美绕过

Tag：DLL 劫持、安全研究、Windows

DLL 劫持攻击是一种通过欺骗 Windows 库加载器，使其加载错误的库文件，从而将第三方代码注入到合法进程中的技术手段。然而，原有的 DLL 劫持技术在注入代码后，由于 Loader Lock 的限制，使得代码执行受到严格的限制，无法执行一些关键操作。本研究通过解锁库加载器，突破了这一限制，实现了在 DLLMain 函数中执行各种操作，包括创建进程、进行网络 I/O、调用注册表函数等。

https://elliotonsecurity.com/perfect-dll-hijacking/

3、Symfony 框架中的 Doctrine/RCE1 POP 链的漏洞分析

Tag：Symfony、Doctrine、POP 链、RCE

POP 链漏洞的利用过程需要构造一个经过精心设计的序列化字符串，其中包含一系列的对象和方法调用。当这个序列化字符串被反序列化时，PHP 会尝试重新创建这些对象并调用它的方法攻击可以利用这个机来执行恶意代码。

https://www.synacktiv.com/publications/finding-a-pop-chain-on-a-common-symfony-bundle-part-2

4、深入了解套接字：理解截断请求的行为

Tag：套接字、网络请求、PHP

这篇文章探讨了作者在 Report URI 上遇到的问题，并详细解释了其中发生的情况。通过对 Nginx 和 PHP 之间的通信过程进行监控和分析，作者最终找到了问题所在。文章介绍了 backlog 参数在套接字连接中的作用，并解释了为什么会出现部分请求截断的现象。通过对 Nginx 和 PHP 配置进行调整和测试，作者成功验证了自己的理论。

https://scotthelme.co.uk/sockets-under-the-hood/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。