每周安全动态精选（12.4-12.8）

1、国家互联网信息办公室关于《网络安全事件报告管理办法（征求意见稿）》公开征求意见的通知

2、欧盟委员会支持《网络弹性法案》政治协议

3、HuggingFace 和 GitHub 存在 API 令牌泄露漏洞，数千个令牌被曝光

4、ICBC 遭遇勒索软件攻击，全球金融秩序受到重创

5、PHP 字节码级别的自动化 Web 应用程序漏洞检测算法

1、HuggingFace 和 GitHub 存在 API 令牌泄露漏洞，数千个令牌被曝光

  Tag：人工智能、安全漏洞、API 令牌、HuggingFace、GitHub

Lasso Security 公司近日发布报告指出，HuggingFace 和 GitHub 两大开发者平台存在 API 令牌泄露漏洞，导致数千个 API 令牌暴露给恶意攻击者，给数百万终端用户造成了安全隐患。

https://www.lasso.security/blog/1500-huggingface-api-tokens-were-exposed-leaving-millions-of-meta-llama-bloom-and-pythia-users-for-supply-chain-attacks

2、NAS326 设备存在身份验证绕过和命令注入漏洞

  Tag：Zyxel，NAS326, 身份验证绕过，命令注入

Zyxel NAS326 设备是一款个人云存储设备，旨在为用户提供数据存储和共享功能。然而，BugProve 的研究人员发现，该设备的 Web 管理界面中存在一个身份验证绕过漏洞。攻击者可以利用这个漏洞绕过访问控制机制，远程执行未授权的操作。同时，NAS326 设备还存在多个命令注入漏洞，攻击者可以利用这些漏洞远程执行任意命令。

https://bugprove.com/knowledge-hub/cve-2023-4473-and-cve-2023-4474-authentication-bypass-and-multiple-blind-os-command-injection-vulnerabilities-in-zyxel-s-nas-326-devices/

3、Owncloud 两个漏洞曝光，严重威胁文件安全和权限控制

  Tag：Owncloud, 漏洞，CVE-2023-49103, CVE-2023-49105, 文件安全，权限提升，远程代码执行

Owncloud 是一个常用的云存储和文件同步平台，然而最近两个漏洞的曝光让用户们不得不关注其文件安全和权限控制的问题。这两个漏洞分别被标记为 CVE-2023-49103 和 CVE-2023-49105。

https://www.ambionics.io/blog/owncloud-cve-2023-49103-cve-2023-49105

4、Laravel 中的 Gadgets 链漏洞可导致远程命令执行

  Tag：Laravel、Gadgets 链、远程命令执行

Fenrisk 安全公司的研究人员在 Laravel 项目中发现了一个有趣的 Gadgets 链漏洞，该漏洞可以导致远程命令执行。通过分析 Laravel 源代码，研究人员发现了一个可控的魔术方法，通过利用该方法，可以构建一个 Gadgets 链来执行任意命令。这项漏洞已被纳入到 phpggc 工具中，并已在 Laravel 版本 10.34 上进行了测试。 

https://fenrisk.com/publications/blogpost/2023/11/30/gadgets-chain-in-laravel/

1、ICBC 遭遇勒索软件攻击，全球金融秩序受到重创

  Tag：勒索软件攻击，ICBC，全球金融系统，美国国债市场，回购协议，系统性风险

11 月 8 日，中国工商银行（ICBC）的美国子公司遭受了一次严重的勒索软件攻击，导致美国国债交易操作瘫痪。勒索软件组织 LockBit 声称对 ICBC 的这次攻击负责，ICBC 是世界上最大的银行之一，管理着 5.7 万亿美元的资产。这次攻击震动了 26 万亿美元的美国国债市场，揭示了全球金融系统面临的网络攻击的脆弱性。

https://www.resecurity.com/blog/article/icbc-ransomware-attack-strikes-at-the-heart-of-the-global-financial-order-lockbit-on-a-roll

2、黑莓安全团队发现针对美国航空航天行业的 AeroBlade 威胁行动

  Tag：商业间谍，航空航天行业，黑莓安全团队，AeroBlade

黑莓安全团队最近发现了一个名为 AeroBlade 的威胁行动，该行动针对美国的一家航空航天公司，旨在进行商业间谍活动。攻击者通过钓鱼邮件使用了一份带有恶意附件的 Word 文档，其中包含了远程模板注入技术和恶意 VBA 宏代码，用于传递最终的恶意载荷。

https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry

3、发现针对重要金融机构的加密 npm 软件包，内含恶意代码

  Tag：金融机构，恶意软件，npm 软件包

最近，网络安全公司 Phylum 发现了一批针对重要金融机构的加密 npm 软件包，这些软件包包含了一个加密的代码块，只有通过本地机器信息和解密密钥才能解密。解密后的代码块会将用户凭据发送到一个内部的 Microsoft Teams webhook。Phylum 成功解密了这些软件包，并与受攻击的金融机构取得了联系。该攻击被认为是一次内部模拟攻击，或者是具有强大网络入侵能力的外部威胁行为。Phylum 已经向受攻击的机构报告了这一情况，以便尽早采取应对措施。

https://blog.phylum.io/encrypted-npm-packages-found-targeting-major-financial-institution/

4、新型 SugarGh0st 远程访问木马针对乌兹别克斯坦政府和韩国的攻击活动

  Tag：SugarGh0st RAT、远程访问木马、网络攻击、乌兹别克斯坦、韩国

Cisco Talos 最近发现了一起可能从 2023 年 8 月开始的恶意活动，传播了一种被称为 "SugarGh0st" 的新型远程访问木马。根据发现的证据，威胁行动者正在针对乌兹别克斯坦外交部和韩国用户进行攻击。SugarGh0st RAT 是 Gh0st RAT 的一种定制变种，Gh0st RAT 是一种臭名昭著的木马程序，活跃了十多年。SugarGh0st RAT 具有定制化的命令，以便根据 C2 的指令进行远程管理任务，并根据命令结构和代码中使用的字符串的相似性来修改通信协议。

https://blog.talosintelligence.com/new-sugargh0st-rat/

1、黑客访问了基因检测公司 690 万名会员信息

  Tag：黑客、信息泄露

个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。

https://hackernews.cc/archives/47586

2、国外知名占卜网站1300万条用户信息遭泄露

  Tag：信息泄露

WeMystic是一个关于占星术、命理学、塔罗牌和精神取向的网站。近日，Cybernews 研究小组发现其开放式数据库近日暴露了该平台用户的34GB敏感数据。

https://hackernews.cc/archives/47509

3、开发人员疏忽导致数百万 KidSecurity 用户数据泄露

  Tag：数据泄露

研究人员发现该应用程序未配置 Elasticsearch 和 Logstash 存储的身份验证，这些存储通常用于分析日志和事件数据。由于此错误，用户活动日志在互联网上公开保留了一个多月。此次泄露影响了超过 3 亿条记录，其中包括 21,000 个电话号码和 31,000 个电子邮件地址。

https://hackernews.cc/archives/47456

4、Dollar Tree 受到 ZeroedIn 数据泄露的影响，影响了 200 万人

  Tag：数据泄露

劳动力分析服务提供商 ZeroedIn 通知大约 200 万人，他们的个人信息在 2023 年 8 月的一次数据泄露中遭到泄露。该公司表示，攻击者访问或窃取了包含姓名、出生日期和社会安全号码的文件。

https://hackernews.cc/archives/47452

1、与伊朗有关的黑客入侵了美国多个州

  Tag：黑客入侵、美国

美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。

https://hackernews.cc/archives/47487

2、办公用品零售商史泰博遭遇勒索攻击

  Tag：勒索攻击

美国办公用品零售商史泰博遭受网络攻击，迫使该公司关闭多个系统。采取此步骤是为了最大限度地减少违规行为的影响并保护客户数据。

https://hackernews.cc/archives/47538

3、金融云被勒索，超 60 家信用社服务中断

  Tag：勒索软件

美国国家信用合作社管理局发言人称，由于技术提供商Ongoing Operations遭勒索软件攻击，大约有60家信用合作社面临各种程度的服务中断。

https://hackernews.cc/archives/47550

4、XDSpy 黑客攻击俄罗斯军工公司

  Tag：黑客、网络攻击

一个名为 XDSpy 的网络间谍组织最近以俄罗斯军工企业为目标。XDSpy 被认为是一个国家控制的威胁组织，自 2011 年以来一直活跃，主要攻击东欧和巴尔干地区的国家。俄罗斯网络安全公司 FACCT 表示，在 11 月份的最新活动中，黑客试图访问一家俄罗斯冶金企业和一家参与导弹开发生产研究机构。

https://hackernews.cc/archives/47477

1、PHP 字节码级别的自动化 Web 应用程序漏洞检测算法

  Tag：PHP 漏洞检测，字节码级别，自动化算法

本文介绍了一种基于字节码级别的自动化算法，用于检测 PHP 代码中的漏洞。通过跟踪数据在变量之间的传递，该算法能够准确地识别用户输入数据在潜在的漏洞函数或指令中的使用情况。通过实验测试了几个安全专业人员使用的漏洞 Web 应用程序，并在实际项目中进行了进一步的测试。

https://finixbit.github.io/posts/autonomous-Hacking-of-PHP-Web-Applications-at-the-Bytecode-Level/

2、DNS 绑定技巧在 Chrome 和 Safari 中的应用

  Tag：DNS 绑定，网络安全，Chrome，Safari，攻击技术

本文介绍了在 Chrome、Edge 和 Safari 浏览器中，当 IPv6 可用时，实现可靠的秒级 DNS 绑定的新技术，并提供了一种绕过 Chromium 浏览器中对 fetch API 的本地网络限制的技术。

https://www.intruder.io/research/split-second-dns-rebinding-in-chrome-and-safari

3、高级字符串混淆技术：保护软件免受分析

  Tag：字符串混淆，OPSEC

近日，安全研究人员发现了一种高级的字符串混淆技术，可用于保护软件免受分析和检测。该技术利用编译时的巧妙处理和现代处理器的特性，使得软件的字符串在静态分析中变得更加隐蔽，提高了攻击者的操作安全性。

https://steve-s.gitbook.io/0xtriboulet/just-malicious/advanced-string-obfuscation

4、通过 CSS 滥用技术获取未知网页数据

  Tag：CSS 滥用，数据外泄，漏洞利用

近日，网络安全研究人员发现了一种全新的数据外泄技术，利用 CSS 滥用手法能够从未知的网页中获取敏感数据。这种滥用技术绕过了常见的安全机制，如 CSP 和 DOMPurify，使得攻击者能够在无法使用 JavaScript 的情况下，仅通过 CSS 样式来窃取数据。

https://portswigger.net/research/blind-css-exfiltration