5th域安全微讯早报【20241009】243期

2024-10-09 星期三Vol-2024-243

今日热点导读

1. 乌克兰国防部成立军事CERT以抵御网络攻击

2. CISA和FBI发布指南以抵御伊朗选举干预

3. 俄罗斯推进“触觉互联网”超高速网络建设

4. 卡西欧遭网络攻击导致系统故障

5. ADT遭黑客攻击，第三方漏洞导致内部员工数据泄露

6. 数字皮条客及其受害者：揭露网络人口贩卖

7. Cyble报告揭示针对多款IT产品的网络攻击

8. Ivanti警告：关键CSA零日漏洞正被广泛利用

9. 汽车行业关键0-Day漏洞使攻击者能完全控制汽车

10. 欧盟谴责俄罗斯加大混合活动力度

11. 加州高等法院数据泄露事件

12. GoldenJackal黑客组织利用恶意软件工具集攻击大使馆和隔离系统

13. Raccoon Stealer创作者认罪，面临重罚

14. Comcast网络攻击导致23.7万用户数据泄露

15. 微软确认Windows管理控制台中存在被利用的零日漏洞

16. SAP修补BusinessObjects中的严重安全漏洞

17. Adobe紧急修补漏洞，防止代码执行攻击

18. OATH Toolkit漏洞CVE-2024-47191威胁数百万设备

19. 荷兰交通信号灯系统漏洞引发安全担忧

20. 高通警告OEM厂商修复关键漏洞攻击

备注: 第11-20条资讯为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 乌克兰国防部成立军事CERT以抵御网络攻击

【TheRecord网站10月8日消息】乌克兰国防部建立了一个新的事件响应中心，专门用于防御包括俄罗斯在内的网络攻击，特别是保护其军事和通信网络。此前，国防部已有专门的网络安全团队，但新成立的军事CERT将扩大其网络防御职责。乌克兰国防部负责数字化的副部长卡捷琳娜·切尔诺霍连科表示，组建这个团队是她上任以来的重点任务之一，并且一直在积极招募新专家。该中心将与乌克兰其他军事和民间网络机构合作，并与北约国家合作应对联合网络威胁。乌克兰的军事和国防企业经常成为与俄罗斯有联系的黑客攻击的目标。

来源：https://therecord.media/ukraine-creates-military-cert

2. CISA和FBI发布指南以抵御伊朗选举干预

【Bankinfosecurity网站10月8日消息】美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）发布指南，以应对伊朗针对美国政治活动和官员的黑客攻击。这些攻击通过电子邮件和聊天应用的社会工程手段进行，目的是破坏对民主机构的信心。攻击者与伊朗伊斯兰革命卫队有联系，他们通过冒充受害者的个人或专业联系人，引导其进入伪造的登录页面，最终获取账户访问权限。FBI已确认伊朗曾入侵特朗普的竞选活动，且伊朗和俄罗斯试图通过社会工程手段接触两大党派的总统竞选活动。CISA和FBI警告目标美国人注意新账户或电话号码的未经请求的联系，以及任何异常的电子邮件请求或通过社交媒体传递链接或文件的尝试。建议使用防网络钓鱼的多因素身份验证和密码管理器，并直接访问网站验证可疑警报。

来源：https://www.bankinfosecurity.com/cisa-issues-guidance-to-counter-irans-election-interference-a-26481

3. 俄罗斯推进“触觉互联网” 超高速网络建设

【SecurityLab网站10月7日消息】俄罗斯计划建设超低延迟（约1毫秒）的骨干通信网络，以支持远程医疗、工业设施管理、虚拟和增强现实（VR/AR）等“触觉互联网”应用。该项目已纳入俄罗斯政府批准的《到2035年电信业发展战略》中。触觉互联网能实时传输触觉感受，对需要即时反馈的应用场景极为关键。尽管项目前景广阔，但专家对实现1毫秒以下延迟的可行性表示怀疑，尤其是在长距离传输上。现有的基础设施也面临现代化改造的挑战，许多光纤线路建于1990至2000年代，且网络流量年增长率达25%，预计到2026年可能需全面更新。此外，对外国设备的依赖也给关键信息基础设施的运作带来风险。俄罗斯超高速互联网项目的实施将对医疗、交通和制造业等关键经济领域产生重大影响。

来源：https://www.Securitylab.ru/news/552777.php

安全事件

4. 卡西欧遭网络攻击导致系统故障

【TheRecord网站10月8日消息】日本科技制造商卡西欧近期遭受网络攻击，导致系统故障和部分服务无法供客户使用。该公司表示，正在调查此次于10月5日发生的网络入侵事件的细节，以确认是否有个人信息或其他重要信息被泄露。这是卡西欧近一年来第二次遭受网络攻击，上一次导致148个国家的客户信息泄露。目前，卡西欧尚未透露此次攻击的详细情况，包括受影响的客户范围、是否为勒索软件攻击，以及攻击者身份。卡西欧已采取限制外部访问等措施应对此次事件。卡西欧是计算器、相机、乐器、手表等产品的主要生产商之一，此次泄露的信息包括客户姓名、电子邮件地址、居住国、订单详情、服务使用信息和付款方式，但不包括信用卡信息。

来源： https://therecord.media/casio-cyberattack-system-failure

5. ADT遭黑客攻击，第三方漏洞导致内部员工数据泄露

【TheRecord网站10月8日消息】家庭安全巨头ADT报告称，黑客通过第三方业务合作伙伴的系统入侵，窃取了加密的内部员工数据。ADT在提交给美国证券交易委员会的文件中披露，黑客利用泄露凭证非法访问了ADT网络，但没有透露事件的具体时间和细节。尽管调查显示客户的个人信息和安全系统未受影响，但此次违规导致ADT信息系统出现中断。ADT已与联邦执法部门和合作伙伴展开合作，并采取了应对措施。值得注意的是，两个月前，ADT还报告了另一数据泄露事件，涉及客户订单信息被盗。

来源：https://therecord.media/adt-hacker-stole-encrypted-data-after-breaching-third-party

6. 数字皮条客及其受害者：揭露网络人口贩卖

【SecurityLab网站10月8日消息】欧洲刑警组织近期宣布开展大规模国际行动，以打击网络人口贩卖。在EMPACT计划的支持下，荷兰阿珀尔多伦市举办了一场黑客马拉松，吸引了来自27个国家的专家参与。这些专家在四天的调查中，收集了有关人口贩运的数字证据，包括对合法企业、社交网络、加密货币和游戏平台的分析。行动期间，共检查了252个对象，特别关注了40个可能涉及性剥削、劳动剥削和器官贩运的在线平台。已确定16名贩运嫌疑人和60名潜在受害者。最令人震惊的发现是犯罪分子在暗网平台上出售或出租男女，服务费用高昂，而“家庭”男孩和女孩的售价更是高达数万美元。此外，还发现了所谓的“数字拉皮条”现象，即在线平台提供成为OnlyFans客户经理的特殊课程，实际上是教授如何在网上剥削女性。受害者常常被迫成为数字诈骗者。国际刑警组织在“风暴制造者II行动”中报告了281人被捕，罪名包括人口贩运、伪造护照、腐败、电信欺诈和性剥削。国际黑客马拉松和联合执法行动在打击现代形式的人口贩运方面发挥着关键作用，有助于识别和压制利用数字技术剥削人口弱势群体的犯罪网络。

来源： https://www.Securitylab.ru/news/552804.php

7. Cyble报告揭示针对多款IT产品的网络攻击

【The Cyber Express网站10月8日消息】Cyble的漏洞情报部门近日报告了针对多款关键IT产品的网络攻击，包括Progress Telerik、思科、QNAP和Linux系统。攻击者利用已知和新发现的漏洞进行攻击，许多企业未能及时修补这些漏洞。特别是，Progress Telerik的两个严重漏洞（CVE-2024-7576 和 CVE-2024-7575）已被黑客利用。D-Link的某些路由器和 QNAP 的 QTS 固件也成为攻击目标，均存在严重的远程命令执行风险。此外，思科的ASA WebVPN登录页面被发现存在多种漏洞，可能导致敏感信息泄露。Linux系统方面，Cyble检测到针对CoinMiner和IRCBot的恶意软件攻击，后者利用IRC连接作为后门。报告还指出，暴力攻击的常见目标端口包括22、3389和443，黑客常用的用户名和密码则针对关键企业系统，提醒安全团队采取加强防护措施。

来源：https://thecyberexpress.com/telerik-cisco-qnap-linux-under-attack/

漏洞预警

8. Ivanti警告：关键CSA零日漏洞正被广泛利用

【TheHackerNews网站10月8日消息】Ivanti 公司警告其云服务设备 (CSA) 存在三个新的零日漏洞，这些漏洞已被广泛利用。攻击者通过CVE-2024-9379、CVE-2024-9380和CVE-2024-9381等漏洞，利用管理员权限绕过限制，执行SQL语句或远程代码。这些漏洞与上月修补的CVE-2024-8963结合使用，使得攻击者可以访问受限功能。Ivanti 建议用户尽快更新至5.0.2版本，并检查设备的管理用户及EDR工具的警报，以发现潜在入侵迹象。这一警告是在CISA将另一漏洞（CVE-2024-29824）列入已知利用漏洞目录后发布的。

来源：https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html

9. 汽车行业关键0-Day漏洞使攻击者能完全控制汽车

【Gbhackers网站10月8日消息】在汽车网络安全领域，研究人员发现了一系列的严重0-Day漏洞，这些漏洞可能使攻击者完全控制汽车系统。PlaxidityX的安全研究员Amit Geynis在演讲中强调了汽车行业迫切需要加强网络安全措施。首先，"漏洞#1"涉及通过控制器区域网络（CAN）的任意远程代码执行。该漏洞利用中断服务程序（ISR）中的memcpy函数，该函数具有最高权限，允许攻击者直接写入栈上的返回地址并绕过栈金丝雀。其次，"漏洞#2"涉及通过IPsec和SOME/IP-SD协议的远程代码执行（RCE）。研究人员通过接口模糊测试发现了栈溢出，可能导致程序计数器指向无效内存区域。"漏洞#3"突出了用于远程命令的移动应用程序中的加密问题。使用非随机可推导的密钥和硬编码的主密钥，使攻击者能够绕过认证并伪装成合法来源，如远程信息控制单元（TCU）。"漏洞#4"涉及通过蜂窝连接的远程和持久性漏洞。攻击者可以使用二进制短信消息触发与后端的通信，并将任意可执行文件注入系统，可能影响安全关键的CAN总线通信。

来源： https://gbhackers.com/automative-0-day-flaws-control-cars/

风险预警

10. 欧盟谴责俄罗斯加大混合活动力度

【TheRecord网站10月8日消息】欧盟近日发表声明，谴责俄罗斯加大针对欧盟及其合作伙伴的混合活动力度。这些活动包括破坏参与制造支持乌克兰武器的欧盟实体，以及试图影响欧洲民主选举。安全机构警告称，俄罗斯指挥的破坏分子在欧洲活动频繁，尽管这些活动通常由非俄罗斯国民执行，以便克里姆林宫有否认的余地。欧盟理事会制定了新规则，允许对俄罗斯实体实施制裁，包括禁止入境、冻结资产和禁止资金支持。欧盟高级代表博雷尔指出，俄罗斯的活动旨在分裂和削弱欧盟，包括网络攻击、信息战和实际破坏行为。俄罗斯还被指控利用移民破坏欧盟，破坏卫星通信和侵犯欧洲领空。欧盟的回应效果尚待观察，尽管制裁意图明确，但对欧盟有效归因和应对外国敌对活动的能力存在疑问。博雷尔强调，俄罗斯的活动旨在破坏欧盟对乌克兰的支持，但欧盟将坚决打击这些活动，对乌克兰的支持不会动摇。

来源：https://therecord.media/russia-hybrid-activities-european-union-condemnation

往期推荐