此篇文章发布距今已超过155天,您需要注意文章的内容或图片是否可用!
2024-06-21 星期五Vol-2024-149
1. MITRE推出ACID增强OT安全
2. 美国能源部发布供应链网络安全原则以强化全球能源安全
3. 美国宣布将全面禁止使用卡巴斯基实验室软件
4. CISA发布新版SAFECOM指南以指导紧急通信安全
5. Snowflake数据泄露事件受害者面临高额赎金要求
6. Fortinet报告揭示运营技术系统网络安全威胁加剧
7. 俄罗斯黑客组织Nobelium威胁法国外交网络安全
8. 联合国安理会将讨论网络安全威胁,俄罗斯曾否决相关调查
9. Phoenix固件中的严重UEFI缺陷影响主流PC品牌
10. CosmicSting漏洞影响75%的Adobe Commerce和Magento网站
11. SolarWinds Serv-U路径遍历漏洞正被积极利用
12. 黑客利用渐进式Web应用程序进行网络钓鱼攻击
13. Diamorphine Rootkit针对Linux系统的新威胁
14. 对多模式代理的对抗性攻击
15. UIFV:垂直联邦学习中的数据重构攻击
16. 日本与新西兰达成情报共享协议以应对地区安全威胁
1. MITRE推出ACID增强OT安全
MITRE发布了ACID(基于ATT&CK的Zeek控制系统指标检测),这是一套针对OT(操作技术)协议指标的汇编,利用CISA的ICSNPP解析器来识别ICS ATT&CK框架中特定行为的指标。ACID增强了对配置管理和其他OT网络流量活动的可见性,通过Zeek通知框架报告。ACID目前支持S7COMM、ENIP/CIP和BACnet协议,并依赖CISA的ICSNPP解析器进行协议解析。MITRE表示ACID仍在积极开发中,寻求合作与反馈以改进框架功能。ACID的代码结构包括常量、检测、报告和选项四个部分,目前已定义启用和禁用基于ATT&CK技术和IP地址的特定检测的选项。MITRE防御性OT签名(mDOTS)在ACID中被利用,关联OT协议事件和ATT&CK技术指标。未来,MITRE计划构建专注于远程访问ICS、进程警报可见性、文件传输和其他检测领域的签名,以提高监控效率和全面性。来源:https://industrialcyber.co/industrial-cyber-attacks/mitre-launches-acid-to-boost-ot-security-with-attck-based-indicators-using-cisas-icsnpp-parsers/2. 美国能源部发布供应链网络安全原则以强化全球能源安全美国能源部(DOE)与爱达荷国家实验室合作,推出了一套供应链网络安全原则,旨在加强全球能源基础设施的安全性。这些原则基于最佳实践,为能源基础设施的整个供应链提供网络安全指导,确保设备和技术的安全性,防止被网络攻击者利用。DOE的网络安全、能源安全和应急响应办公室(CESER)在ICS制造商和资产所有者的反馈基础上制定了这些原则,包括供应商和最终用户的各10项原则。这些原则获得了GE Vernova、施耐德电气等知名企业的支持。美国能源部还与国际政府和行业伙伴合作,推动这些原则的国际一致性和采用。美国国家安全顾问杰克·沙利文强调了全球能源系统面临的网络攻击威胁,以及在G7峰会上各国领导人对此问题的承诺。来源:https://industrialcyber.co/supply-chain-security/us-doe-introduces-supply-chain-cybersecurity-principles-to-bolster-global-energy-infrastructure-security/拜登政府宣布,基于国家安全和数据隐私的长期考虑,以及保护关键基础设施的需要,将从2024年9月29日起在全国范围内禁止使用俄罗斯网络安全公司卡巴斯基实验室的软件。商务部长吉娜·雷蒙多指出,使用令人担忧的国家拥有或控制的软件,会使所有美国人面临危险。7月20日后,卡巴斯基将无法签约新客户,现有客户也无法更新软件。美国商务部还将卡巴斯基及其相关实体列入实体名单,指控其支持克里姆林宫的网络情报工作。卡巴斯基实验室一直否认与任何政府有联系,不会协助进行网络间谍活动。尽管如此,美国政府依然采取了这一史无前例的禁令,并由商务部、执法部门和情报部门监督执行。同时,网络安全和基础设施安全局(CISA)将对使用该软件的关键基础设施运营商进行风险宣传,并提供替代方案。来源:https://therecord.media/us-ban-kaspersky-lab-software4. CISA发布新版SAFECOM指南以指导紧急通信安全美国网络安全和基础设施安全局(CISA)与国家州级互操作性协调员委员会(NCSWIC)合作发布了新版SAFECOM指南,旨在帮助州、地方、部落和领地政府获取联邦资金以支持关键的紧急通信项目。该指南提供了关于财务、资格和技术要求的详细信息,确保受助者能够按照最新技术和风险管理标准,构建可靠、安全和兼容的通信网络。CISA紧急通信执行助理主任Billy Bob Brown, Jr.强调,SAFECOM指南不仅提升融资前景,还能增强社区的应急响应能力。指南鼓励采用最佳实践,促进各级政府和公共安全团体之间的统一战略。联邦机构如管理和预算办公室及国土安全部一直将SAFECOM指南视为重要资源,并鼓励资助申请人利用该指南确保项目符合紧急通信战略。CISA还通过SAFECOM网站提供资源和信息,帮助申请人理解联邦拨款标准,制定符合资金要求和提升基础设施弹性的计划。来源:https://thecyberexpress.com/cisa-safecom-guidelines/5. Snowflake数据泄露事件受害者面临高额赎金要求云数据仓库平台Snowflake的客户遭遇了大规模数据泄露,攻击者窃取了数TB的数据,并对受害者发出了赎金要求,索要金额高达500万美元以防止数据被泄露。谷歌Mandiant事件响应小组揭露,犯罪集团不仅勒索受害者,还试图在网络犯罪论坛上出售这些数据。大约165个客户账户受到影响,包括Live Nation Entertainment的Ticketmaster、桑坦德银行和Advance Auto Parts等。Mandiant已协助Snowflake调查此次数据泄露事件,并发布了威胁搜寻指南,帮助客户检测异常和恶意活动。攻击者通过攻击SnowSight或SnowSQL命令行界面工具获得初始访问权限,部分入侵与使用个人电脑的第三方承包商员工有关。Snowflake目前正努力使多因素认证(MFA)成为所有用户的默认选项,以提高安全性。来源:https://www.govinfosecurity.com/victims-snowflake-data-breach-receive-ransom-demands-a-255766. Fortinet报告揭示运营技术系统网络安全威胁加剧Fortinet的最新研究报告指出,针对运营技术(OT)系统的网络攻击数量正在上升,近三分之一的受访组织报告了超过六次的入侵事件,这一数字较去年有显著增加。网络钓鱼和商业电子邮件入侵成为最常见的攻击手段。调查发现,49%的受访者曾经历过仅影响OT系统或同时影响IT和OT系统的入侵,而今年这一比例上升至73%。此外,OT系统在整体风险评估中的整合出现了倒退趋势,影响了组织对安全态势的全面了解。报告建议,组织应加强网络分段、深入理解OT网络中的所有元素、实施补偿控制,并整合OT特定的威胁情报来提升安全效率和效果。Fortinet的报告为组织提供了增强安全态势的可操作指导,强调了采取基于平台的安全方法来应对不断演变的威胁和攻击面的重要性。来源:https://industrialcyber.co/reports/fortinet-reports-surge-in-ot-system-cyberattacks-with-phishing-and-email-compromises-leading-to-intrusions/7. 俄罗斯黑客组织Nobelium威胁法国外交网络安全法国国家信息系统安全局(ANSSI)发出警告,指出与俄罗斯对外情报局(SVR)有关的黑客组织Nobelium对法国的外交利益构成威胁。Nobelium组织已多次针对法国公共组织发动网络攻击,包括入侵文化部和国家领土凝聚力局的电子邮件账户,并试图利用这些账户攻击其他组织,如法国外交部。尽管Nobelium试图安装Cobalt Strike工具未成功,但其行动已引起严重关切。此外,Nobelium还盗用法国外交官的电子邮件账户发送虚假信息,并试图入侵法国驻罗马尼亚大使馆。ANSSI强调,Nobelium专注于从政府和外交目标获取战略情报,其活动在地缘政治紧张背景下尤为活跃,对法国和欧洲的外交利益构成风险。来源:https://therecord.media/france-anssi-warning-russia-hacking-campaign-svr8. 联合国安理会将讨论网络安全威胁,俄罗斯曾否决相关调查尽管俄罗斯此前动用否决权,联合国安理会仍于周四(6月20日)在韩国的主持下讨论网络安全问题。韩国常驻联合国代表黄俊国指出,恶意网络活动对国际和平与安全构成严重威胁。此次辩论由韩国外交部长赵太烈主持,旨在应对网络威胁的挑战。虽然讨论中没有具体提及国家,但提到勒索软件和加密货币盗窃的风险,暗示这些问题与俄罗斯有关。此前,俄罗斯曾阻挠联合国对朝鲜利用黑客活动为武器计划提供资金的调查。此外,联合国专家组在3月份被要求结束工作,因为俄罗斯否决了延长其任期的决议。该专家组曾报告朝鲜通过加密货币抢劫案获利约30亿美元,用于支持其武器计划。在安理会辩论前夕,俄罗斯总统普京访问朝鲜,与金正恩签署了包含共同防御条款的全面伙伴关系协议。来源:https://therecord.media/un-security-council-cybersecurity-threats-debate9. Phoenix固件中的严重UEFI缺陷影响主流PC品牌安全研究人员发现,Phoenix Technologies开发的UEFI SecureCore实现中存在一个严重的缓冲区溢出漏洞(CVE-2024-0762),该漏洞影响搭载英特尔芯片的电脑启动固件,可能使攻击者获得设备的持久控制权。数字供应链安全公司Eclypsium指出,该漏洞影响联想、宏碁、戴尔和惠普等主要制造商生产的设备,可能波及数百种个人电脑型号。该漏洞的CVSS评分为7.5,Phoenix已于4月发布补丁。漏洞与可信平台模块(TPM)配置中的不安全变量有关,攻击者可利用UEFI层的缺陷来逃避防病毒软件的检测,并在操作系统重新安装后继续存活。个人计算机用户应咨询相关供应商获取固件更新,以修复该漏洞。来源:https://www.govinfosecurity.com/critical-uefi-flaw-in-phoenix-firmware-hits-major-pc-brands-a-2557010. CosmicSting漏洞影响75%的Adobe Commerce和Magento网站被称为"CosmicSting"的漏洞正威胁着Adobe Commerce和Magento网站,尽管安全更新已发布九天,但大多数网站仍未打补丁,使数百万网站面临灾难性攻击的风险。Sansec的统计数据显示,大约四分之三使用受影响电子商务平台的网站未对CosmicSting进行补丁修复,这使它们容易受到XML外部实体注入(XXE)和远程代码执行(RCE)的攻击。该漏洞被评为严重(CVSS得分:9.8),影响了包括Adobe Commerce 2.4.7及更早版本、Magento开源2.4.7及更早版本等产品版本。Sansec估计,鉴于其严重性和推断有效攻击路径的低复杂性,CosmicSting可能成为电子商务历史上最严重的攻击之一。Adobe已发布CVE-2024-34102的修复程序,并建议电子商务平台管理员尽快应用。对于目前无法升级的网站,建议采取两项措施:检查Linux系统是否使用易受CVE-2024-2961攻击的glibc库,并进行必要的升级;在'app/bootstrap.php'添加"紧急修复"代码以阻止大多数CosmicSting攻击。来源:https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/11. SolarWinds Serv-U路径遍历漏洞正被积极利用攻击者正在积极利用SolarWinds Serv-U的路径遍历漏洞CVE-2024-28995,该漏洞允许未经身份验证的攻击者通过精心构造的HTTP GET请求读取文件系统中的任意文件。受影响的产品包括Serv-U FTP Server 15.4、Gateway 15.4、MFT Server 15.4和File Server 15.4.2.126及更早版本。SolarWinds已于2024年6月5日发布了15.4.2 Hotfix 2版本,引入了改进的验证机制来解决此问题。然而,由于公开可用的漏洞利用代码,攻击者能够轻易利用此漏洞。Rapid7的分析师提供了详细的技术文档,而独立研究员也在GitHub上发布了PoC漏洞利用和批量扫描器。GreyNoise通过设置蜜罐监控分析了CVE-2024-28995的利用尝试,观察到包括手动和自动化的攻击策略。攻击者通常针对Linux的/etc/passwd文件、Serv-U FTP服务器的启动日志文件以及Windows的win.ini文件,以提升权限或寻找网络中的次级机会。来源:https://www.bleepingcomputer.com/news/security/solarwinds-serv-u-path-traversal-flaw-actively-exploited-in-attacks/12. 黑客利用渐进式Web应用程序进行网络钓鱼攻击渐进式Web应用程序(PWAs)由于其类似原生应用的特性,正被黑客用于执行复杂的网络钓鱼攻击以窃取用户凭证。PWAs使用标准Web技术构建,提供无缝的用户体验,并且可以安装在用户设备上。黑客通过引导用户访问恶意网站并提示安装伪装成合法应用的PWA,利用其隐藏地址栏的能力,创建极具说服力的虚假登录页面。用户在不知情的情况下输入登录凭证,从而被攻击者获取。卡巴斯基研究人员指出,PWAs的安装过程简单且用户交互少,增加了攻击的成功率。为防范此类攻击,用户应谨慎安装不熟悉来源的应用程序,定期检查已安装的PWAs,并使用可靠的安全解决方案来检测网络钓鱼企图。意识到合法PWAs不会显示URL栏,任何显示URL栏的应用程序都应引起怀疑,以提高警觉,保护个人信息安全。来源:https://gbhackers.com/hackers-exploit-progressive-web-apps/13. Diamorphine Rootkit针对Linux系统的新威胁网络安全分析师发现,Diamorphine Rootkit正在被利用来攻击Linux系统,这一开源操作系统因其在托管服务器和重要资源中普遍存在而成为攻击者的目标。攻击者利用Linux系统中的漏洞来访问敏感数据、破坏服务或部署恶意软件。Diamorphine Rootkit能够隐藏进程、模块,提升root权限,并执行其他有效载荷。最新变种伪装成内核5.19.17的x_tables模块,通过xx_tables消息支持运行任意操作系统命令。为了测试这一变体,Ubuntu 22.04(Jammy)是一个合适的发行版。安全专家建议保持警惕,及时了解新rootkit版本,采取坚实的预防策略,加强系统防御,建立严格的网络监控和过滤,以防止rootkit利用“魔术包”进行通信和远程代码执行。来源:https://gbhackers.com/diamorphine-rootkit-exploiting-linux-systems/本文探讨了基于视觉的语言模型(VLM)构建的多模态代理所面临的新型安全风险。研究指出,尽管代理对环境的访问和知识有限,但攻击者仍可通过对抗性文本字符串对代理进行攻击,这些文本会引导基于梯度的扰动,影响代理对触发图像的处理。研究中提出了两种攻击方式:一是针对白盒字幕生成器的字幕生成器攻击;二是针对CLIP模型的CLIP攻击,这些模型可转移到专有VLM。为了评估攻击效果,研究者策划了VisualWebArena-Adv,这是一个基于Web的多模态代理任务环境中的对抗性任务集合。实验结果显示,字幕攻击在单张图片上对GPT-4V代理的成功率可达75%,而CLIP攻击在不同情况下的成功率分别为21%和43%。此外,对其他VLM基础的代理(如Gemini-1.5、Claude-3和GPT-4o)的实验揭示了它们在稳健性方面的差异。研究进一步分析了攻击成功的关键因素,并讨论了对防御措施的影响。来源:https://arxiv.org/html/2406.12814v1垂直联邦学习(VFL)允许多个参与者在不共享原始私人数据的情况下进行协作机器学习。然而,近期研究显示,攻击者可能在VFL过程中通过数据泄露重建敏感特征,引发隐私风险。现有基于梯度或模型信息的数据重建方法在VFL应用中存在局限性,因为它们依赖于特定模型结构或严格场景限制。本研究引入了统一InverNet框架至VFL,提出了一种新颖方法UIFV(Unified InverNet for Vertical Federated Learning),该方法利用VFL推理阶段交换的中间特征数据来重建原始数据,不依赖于梯度或模型细节。实验结果表明,UIFV在攻击精度上显著优于现有技术,揭示了VFL系统中存在的严重隐私漏洞,这些漏洞对VFL的实际应用构成威胁,强调了在VFL架构中加强隐私保护的重要性。来源:https://arxiv.org/html/2406.12588v116. 日本与新西兰达成情报共享协议以应对地区安全威胁2024年6月19日,日本和新西兰原则上同意了一项情报共享协议,以应对地区安全环境的严峻挑战,特别是俄罗斯与朝鲜日益密切的关系。日本首相岸田文雄与新西兰外长克里斯托弗·卢克森在联合声明中表达了对南中国海紧张局势的关切,并谴责了朝鲜与俄罗斯之间加强的军事合作,包括朝鲜向俄罗斯提供攻击乌克兰的弹道导弹。两国领导人还同意加快谈判,以签署允许双方部队共享后勤支持和物资的协议。日本根据2022年国家安全保障战略,加速军事建设和扩大防务伙伴关系,以应对朝鲜和俄罗斯的威胁。此外,日本已与美国、澳大利亚、英国、印度、韩国等国及北约签署了类似情报协议,并正在与加拿大和乌克兰进行磋商。来源:https://www.voachinese.com/a/japan-new-zealand-agree-on-intel-sharing-pact-amid-growing-regional-security-concerns-20240619/7662979.html推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下
还没有评论,来说两句吧...