(10/07--10/13）

泄露3亿客户信息，万豪决定花3.6亿和解

万豪国际酒店集团已同意支付5200万美元作为和解协议的一部分，该数据泄露事件暴露了全球超过3.44亿名客户的信息。目前，万豪在美国各地以及130多个其他国家/地区管理着7000多家酒店。

这家总部位于马里兰州贝塞斯达的酒店公司还同意加强其数据安全，并解决2014年至2020年间导致三次重大泄露的问题，根据联邦贸易委员会（FTC）的说法。监管机构表示，万豪国际及其子公司喜达屋酒店及度假村将不得不实施“一个健全的信息安全计划以解决指控”。

在并行调查后，FTC和49个州以及哥伦比亚特区的总检察长分别宣布了与万豪的和解协议条款。根据FTC消费者保护局局长塞缪尔·莱文的说法，这些协议将确保万豪在全球范围内改善其酒店的数据安全实践。

莱文说：“万豪糟糕的安全实践导致了多次泄露，影响了数亿客户。”在其网站上发布的一份声明中，万豪表示，作为和解的一部分，它对“潜在指控”没有承认责任。它还表示，已经加强了其数据隐私和信息安全实践，并将继续做得更多。

作为与FTC的和解协议的一部分，万豪被命令采取措施更好地保护客户的个人信息，并让客户对他们的数据有更多的控制权。

万豪同意为美国的所有客户提供一种方式，要求删除与其电子邮件地址或忠诚度奖励账户号码相关的个人信息。此外，和解要求万豪在客户请求时审查忠诚度奖励账户，并恢复被盗的忠诚度积分。

它还被要求实施一个“全面”的信息安全计划，包括多因素认证、加密和其他保障措施。此外，公司同意配合对其信息安全计划的第三方审计。万豪还被告知，只有在业务需要时才收集和保留个人信息，并在不再需要时删除收集的数据。在与各州的单独和解中，万豪还同意支付5200万美元的罚款，并解决与FTC协议中概述的类似的数据安全指控。

根据FTC的说法，万豪和喜达屋“欺骗”了消费者，声称他们拥有适当的数据安全，而实际上并非如此。

具体来说，投诉声称万豪和喜达屋未能实施适当的密码、访问和防火墙控制或网络分段，修补过时的软件和系统，或充分记录和监控网络环境。

FTC表示，也没有部署多因素认证。结果，“恶意行为者”通过至少三次单独的数据泄露获得了个人信息，包括护照信息、支付卡号码、忠诚度号码、出生日期、电子邮件地址和个人信息。

根据FTC的说法，第一次泄露始于2014年6月，影响了喜达屋，并在酒店通知客户之前未被检测到14个月。投诉指出，这次泄露暴露了超过4万名客户的支付卡信息。尽管万豪在2016年收购了喜达屋，但它对两个品牌的数据安全实践负有责任。

第二次泄露始于2014年7月左右，直到2018年9月才被检测到。在此期间，不良行为者访问了全球3.39亿喜达屋客户账户记录，包括超过500万个未加密的护照号码。

第三次泄露影响了万豪自己的网络，从2018年9月至2020年2月未被检测到。FTC表示，恶意行为者在那段时间内访问了520万客户记录，包括180万美国人的数据。

GitLab 曝出严重漏洞，可能导致任意 CI/CD 管道执行

近日，GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164，CVSS 得分为 9.6（满分 10 分），攻击者可以在某些情况下以任意用户身份触发Pipeline，可能导致权限提升或执行恶意操作 。

GitLab 在一份公告中说："在 GitLab EE 中发现了一个漏洞，影响了从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本，以及从 17.4 开始到 17.4.2 之前的所有版本。目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修复该漏洞。

在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低：

• CVE-2024-8970（CVSS 得分：8.2），允许攻击者在某些情况下以其他用户身份触发管道

• CVE-2024-8977（CVSS 得分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击

• CVE-2024-9631 (CVSS score: 7.5)，可导致在查看有冲突的合并请求的差异时速度变慢

• CVE-2024-6530 （CVSS 得分：7.3），由于跨站点脚本问题，当授权新应用程序时，会在 OAuth 页面中注入 HTML

近几个月来，GitLab 不断披露与管道相关的漏洞，该公告是其中的最新进展。

研究人员在Windows版的SVN中发现代码执行漏洞

Apache Subversion（SVN）是一款广受开发者欢迎的版本控制系统，用于维护源代码、网页和文档。最近，Apache Subversion中发现了一个关键的安全漏洞，CVE-2024-45720（CVSS评分8.2）。该漏洞主要影响Windows平台，可能导致命令行参数注入，从而执行非预期的程序。

根据Apache Subversion项目的安全公告，该漏洞源于Windows平台上命令行参数的处理方式。具体来说，当命令行参数传递给svn.exe等Subversion可执行文件时，会发生“最佳匹配”字符编码转换。公告解释道：“攻击者如果能够运行Subversion的一个可执行文件（svn.exe等），并使用特制的命令行参数字符串，可以利用字符编码转换过程导致意外的命令行参数解释，从而导致参数注入和其他程序的执行。”

这个漏洞因为Windows处理命令行参数的方式与UNIX-like平台不同而变得更加严重。在Windows上，命令行参数作为单个字符串传递给程序，然后程序必须将其解析为单独的参数。在这个过程中，特别是当涉及到某些Unicode字符时，会发生“最佳匹配”字符编码转换，可能导致不可预测的结果，包括执行恶意命令。

公告指出：“已知Subversion在Windows 10和11上受到影响；它可能也会影响大多数其他版本的Windows。”

尽管这个问题仅限于Windows平台，但Apache Subversion在开发环境中的广泛使用增加了风险，因为许多团队依赖Subversion来管理跨各种项目的版本控制过程。这个漏洞对UNIX-like平台（如Linux和macOS）没有影响，因为这些平台处理命令行参数的方式不同。

该漏洞由DEVCORE研究团队的安全研究人员Orange Tsai和Splitline报告，该团队以识别关键软件漏洞而闻名。

CVE-2024-45720漏洞已在Subversion 1.14.4中得到修复，强烈建议所有Windows平台的用户升级到这个修复版本。对于那些无法立即升级的用户，公告提供了一个临时缓解措施，即应用Subversion项目提供的补丁。

Veeam曝出关键漏洞，勒索团伙趁火打劫利用RCE攻击全球企业

勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。

Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。

Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。

企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。

正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。

在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。

在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。

在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。

这并非勒索软件攻击针对的首个Veeam漏洞。去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。

几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。

几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。

Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。

#03 数据安全

包含2个满分漏洞，MMS协议被曝存在严重安全风险

Claroty研究人员发现制造信息规范（MMS）协议中存在多个安全漏洞，一旦被黑客利用，将很有可能会对工业环境中造成严重影响。Claroty研究人员Mashav Sapir和Vera Mens表示，这些漏洞可能允许攻击者使工业设备崩溃，在某些情况下，还能实现远程代码执行。

MMS是一种用于工业自动化系统中数据通信的标准协议，它定义了一种客户/服务器模型，允许生产设备与上层管理系统进行通信。作为一种更高级别的通信协议，它提供了更丰富的服务和接口。

MMS协议采用面向对象的建模方法，定义了虚拟制造设备（VMD），用于表示实际设备，并通过服务接口进行通信，支持多种数据类型，包括数字、浮点数、字符、时间等。

目前，MMS协议被广泛应用于电力系统、制造业、交通系统等领域，特别是在IEC 61850标准中，被用作变电站自动化系统中设备间通信的基础，其重要性不言而喻。

此前，Claroty公司发现了影响MZ Automation的libIEC61850库和Triangle MicroWorks的TMW IEC 61850库的安全漏洞，这些漏洞在2022年9月和10月报告后已经被修复，具体漏洞信息如下：

• CVE-2022-2970（CVSS评分：10.0）：libIEC61850中的基于栈的缓冲区溢出漏洞，可能导致崩溃或远程代码执行。

• CVE-2022-2971（CVSS评分：8.6）：libIEC61850中的类型混淆漏洞，可能允许攻击者使用恶意负载使服务器崩溃。

• CVE-2022-2972（CVSS评分：10.0）：libIEC61850中的基于栈的缓冲区溢出漏洞，可能导致崩溃或远程代码执行。

• CVE-2022-2973（CVSS评分：8.6）：空指针解引用漏洞，可能允许攻击者使服务器崩溃。

• CVE-2022-38138（CVSS评分：7.5）：未初始化指针的访问漏洞，允许攻击者造成拒绝服务（DoS）条件。

Claroty公司的报告还发现，西门子的 SIPROTEC 5 IED依赖于SISCO的MMS-EASE栈的过时版本来支持MMS，该版本容易受到特制数据包的DoS攻击影响（CVE-2015-6574，CVSS评分：7.5）。但根据CISA发布的报告，西门子早在2022年12就更新了其固件，并使用了更新版本的协议栈。

对此，Claroty公司认为造成上述问题的核心原因是，快速发展技术所需的安全需求与底层过时的、不安全的协议之间的矛盾，这些协议目前存在各种安全风险，且难以马上替换。该公司呼吁供应商们应遵循CISA发布的安全指南，及时更新系统版本。

几周前，Nozomi Networks详细说明了ESP-NOW无线协议中存在的两个漏洞（CVE-2024-42483和CVE-2024-42484），这两个漏洞可能或造成重放攻击和DoS攻击。

Claroty公司进一步表示，“根据被攻击的系统，这个漏洞[CVE-2024-42483]可能会有深远的后果。由于ESP-NOW用于安全系统，其中包括建筑报警，允许它们与运动传感器通信，在这种情况下，攻击者可以利用这个漏洞重放以前截获的合法'OFF'命令，从而随意禁用运动传感器。”

如果ESP-NOW在远程门开启器中的使用，例如自动门和车库门，那么攻击者可以截获合法的"OPEN"命令并实施重放攻击，从而轻松实现以未经授权的方式进入建筑物。

DumpForums黑客声称从网络安全公司 Dr.Web 窃取了 10TB 数据

据Cyber Security News消息，在著名的黑客论坛DumpForums上，有黑客声称对俄罗斯著名网络安全公司 Dr.Web进行了攻击，并窃取了惊人的10TB数据。

根据黑客在DumpForums 上发布的声明，此次攻击事件经过了精心策划和执行，历时数天，最初是渗透到 Dr.Web 的本地网络中，然后一个接一个地入侵了服务器和资源。据称，这种系统化的方法甚至使他们能够渗透到 Dr.Web 基础设施中最安全的部分。

黑客在DumpForums上发布的帖子

声明中表示，黑客成功地从几个关键系统中破解并泄露了数据，包括：

• 包含内部开发和项目的企业 GitLab 服务器

• 公司邮件服务器

• 用于开发和任务管理的 Confluence、Redmine、Jenkins 和 Mantis 系统

• RocketChat通信平台

• 各种软件管理资源

内部数据截图

黑客还声称Dr.Web在整整一个月的时间里都没有发现他们的窃取行径，并且已经访问、上传了客户端数据库，这可能会暴露Dr.Web用户的敏感信息。

与黑客宣扬的广泛且成功的攻击相反，Dr.Web 的官方声明虽然其系统资源遭受了有针对性的攻击，但已成功挫败其破坏其基础设施的企图，用户端的产品均未受到影响。

作为预防措施，Dr.Web断开了所有资源与网络的连接以进行验证，并暂时停止了病毒库的发布。为此，该公司还发布了一个特殊的 Linux 预发布版本，用于加快资源验证过程。

评论认为，这一泄露行为一旦得到证实，将对Dr.Web乃至整个网络安全行业造成重大打击，它将凸显作为“守门员”的安全公司也容易受到复杂的攻击，并引发用户对当前保护措施有效性的质疑。

这一事件也是俄乌冲突下双方攻击较量的缩影，2024 年 6 月，亲乌克兰黑客组织 Cyber Anarchy Squad 声称入侵了另一家俄罗斯安全公司 Avanpost，泄露了390GB数据。

Apache Avro SDK曝关键漏洞，可在Java中执行任意代码

Apache Avro Java软件开发工具包（SDK）中披露了一个关键安全漏洞，如果成功利用，可以在易受攻击的实例上执行任意代码。该漏洞编号为CVE-2024-47561，影响1.11.4之前版本的所有软件。Databricks安全团队的Kostya Kortchinsky被发现并报告了这个安全缺陷。

Apache Avro与谷歌的Protocol Buffers（protobuf）类似，是一个为大规模数据处理提供语言中立的数据序列化框架的开源项目，提供紧凑、快速且高效的数据格式。它在大数据处理、分布式系统和云计算中被广泛使用。项目维护者发布公告称，“Apache Avro 1.11.3及之前版本的Java SDK中的模式解析允许恶意行为者执行任意代码，建议用户升级到1.11.4或1.12.0版本，这些版本修复了此问题。”

Avro团队进一步指出，如果应用程序允许用户提供自己的Avro模式进行解析，则该漏洞会影响任何应用程序。

“CVE-2024-47561影响Apache Avro 1.11.3及之前版本，在通过avroAvro模式反序列化接收到的输入时。处理来自威胁行为者的此类输入会导致代码执行。根据我们的威胁情报报告，没有公开的PoC，但这个漏洞存在于通过ReflectData和SpecificData指令处理包时，也可以通过Kafka利用。

因泄露数亿人数据，美国国家公共数据公司申请破产

由于早前的黑客攻击并泄露了数亿人的数据，美国最大的背景调查公司之一——美国国家公共数据公司（National Public Data，NPD）近日出于多方诉讼压力申请破产。

据悉，NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产，该公司在破产申明中表示，2023年12月有黑客入侵了系统，相关数据于今年4月首次出现在Breached黑客犯罪市场中，并点名一位叫USDoD的黑客窃取了这些数据，称其在入侵其他机构（包括 FBI、空客等）方面也取得了巨大成功。

今年6月，以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据，声称其中包含 29 亿条美国公民记录。一个多月后，名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。

这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。包括数据泄露专家 Troy Hunt 在内的几位网络安全专家已经证实，虽然数据库包含重复项，但大部分信息都是准确的。Hunt 估计，该数据库包括大约 8.99 亿个唯一的 SSN，可能包括部分已经去世的人的信息。

事发后，NPD表示已与执法部门和政府调查人员合作调查该事件，但此后一直没有提供最新情况，该公司也没有向受害者提供身份盗窃保护服务。

NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债，以及承担诉讼辩护和支持调查的费用。该公司表示，他们业务的很大一部分是为医疗机构服务，但这些机构禁止“有背景问题”的企业提供服务。

该公司还承认正面临多起集体诉讼，这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。此外，来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款，美国联邦贸易委员会也在审查这一事件。

伊朗黑客使用ChatGPT策划ICS攻击

据OpenAI发布的通告，越来越多的黑客和APT组织利用包括ChatGPT在内的AI大模型发起全球性的大规模网络攻击。这些活动既包括部署恶意软件、生成社交媒体账户传记、创建虚假账户、生成照片、文章等。

此外OpenAI还重点指出，发现伊朗黑客组织Cyber Av3ngers利用大模型ChatGPT策划一系列针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。

公开信息显示，Cyber Av3ngers与伊朗伊斯兰革命卫队（IRGC）存在紧密联系，且以美国、以色列等国家的关键基础设施为长期攻击目标。在此次攻击中，Cyber Av3ngers通过AI来增强其网络攻击能力，包括但不限于侦察、漏洞研究、脚本编写和社会工程学等方面。

从目前的情况来看，攻击者利用AI大模型进行网络攻击的方式可能有以下几种方式：

越来越的网络攻击行为表明，AI大模型技术正被用于网络攻击的多个阶段，从侦察和情报收集到漏洞利用和攻击执行，这增加了网络攻击的复杂性和隐蔽性，同时自动化的攻击方式也让黑客组织越来越“上瘾”。

在此次行动中，CyberAv3ngers借助AI寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。例如利用AI协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。

Awaken Likho恶意组织利用高级网络工具对俄罗斯政府发起“猛攻”

近日，俄罗斯政府机构和工业实体遭遇了一场名为“ Awaken Likho ”的网络活动攻击活动。卡巴斯基表示，攻击者现在更倾向于使用合法MeshCentral平台的代理，而不是他们之前用来获得系统远程访问权限的UltraVNC模块。这家俄罗斯网络安全公司详细说明了一场始于2024年6月并至少持续到8月的新活动。该活动主要针对俄罗斯政府机构、其承包商和工业企业。

“ Awaken Likho ”组织，亦称作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌针对国防和关键基础设施部门发动网络攻击。据悉，该组织的活动可追溯至2021年8月。其采用的鱼叉式钓鱼攻击手法包括发送伪装成Word或PDF文档的恶意可执行文件，这些文件带有双重扩展名，如“doc.exe”或“.pdf.exe”，使用户仅能看到看似无害的.docx或.pdf后缀。

然而，一旦受害者打开这些文件，便会触发UltraVNC的安装程序，进而导致攻击者能够完全接管受害者的计算机系统。此外，根据F.A.C.C.T.今年5月的报告，Core Werewolf还针对位于亚美尼亚的一个俄罗斯军事基地以及一家从事武器研究的俄罗斯研究所发动了攻击。在这些攻击中，攻击者使用了一种自解压存档（SFX）技术，以隐蔽的方式安装UltraVNC，同时向受害者展示看似无害的诱饵文档。

卡巴斯基最新揭露的攻击链条中，攻击者利用7-Zip创建了一个SFX存档文件。当受害者打开该文件时，会执行一个名为“MicrosoftStores.exe”的程序，进而解压并运行一个AutoIt脚本，最终激活开源的MeshAgent远程管理工具。卡巴斯基解释称，这一系列操作使得攻击者能够在受害者的系统中长期潜伏，并通过计划任务定时执行命令文件，以此来启动MeshAgent并与MeshCentral服务器建立连接。

据安全专家分析，“ Awaken Likho ”团伙使用了定制化的恶意软件和零日漏洞利用，以实现对目标系统的深度渗透。此外，他们还运用了复杂的网络钓鱼和社会工程学技巧，诱导目标用户点击恶意链接或下载病毒文件。

值得注意的是，该团伙的攻击目标主要集中在俄罗斯政府的敏感部门和关键基础设施领域。这些攻击不仅可能导致政府机密的泄露，还可能对国家安全和社会稳定造成严重影响。

为了应对这一威胁，俄罗斯政府已经加强了对网络安全的投入，并提升了相关机构的防御能力。同时，国际间的网络安全合作也在不断加强，以共同应对跨国网络攻击的挑战。

专家建议，政府机构和个人用户都应提高网络安全意识，定期更新系统和软件补丁，避免点击不明链接或下载来源不明的文件。此外，加强数据备份和恢复策略也是防范网络攻击的重要措施。

消息由湖南省网络空间安全协会整理编辑，涉及版权请联系删除，如有转载请标明出处。