2024-10-24 星期四Vol-2024-256
1. 英国Cyber Essentials认证计划十周年,成效显著但普及率低
2. 美国下届政府面临的五大网络安全优先事项
3. 俄罗斯通信监管机构计划限制即时通讯工具的通话功能
4. 英国法院批准沙特异见人士起诉沙特政府,指控其使用间谍软件
5. 宾夕法尼亚州立大学因网络安全违规被罚款125万美元
6. 勒索软件团伙瞄准美国残疾人非营利组织复活节封印,索要巨额赎金
7. 威斯康星州因投票系统网络保护薄弱遭起诉
8. Fortinet披露FortiManager严重漏洞正遭黑客利用
9. 施乐打印机严重安全漏洞可致远程控制
10. 新反机器人服务绕过谷歌红页警告
11. 美国国防部吸引技术专家作为预备役人员
12. 美国科技巨头呼吁建立人工智能安全研究所
13. 谷歌推动"安全设计"计划,树立IT安全新标准
14. Grayscale Investments数据泄露影响近70万用户记录
15. 网络犯罪分子出售包含1,000个NHS邮箱账户的数据库
16. 白帽黑客在Pwn2Own Ireland 2024首日赚取50万美元
17. Rambler&Co推出APT Bug Bounty计划以增强网络安全
18. SMB强制身份验证漏洞影响所有Windows OPA版本
19. 热门应用硬编码凭证漏洞威胁数百万用户安全
20. Red Hat NetworkManager 严重漏洞可致攻击者获得Root 访问权限
备注: 第11-20条资讯为订阅用户专享!(更多信息,欢迎订阅!)
1. 英国Cyber Essentials认证计划十周年,成效显著但普及率低
【The Record网站10月24日报道】英国政府对Cyber Essentials认证计划表示满意,该计划旨在提升组织和机构的网络安全基本水平。网络安全部长Feryal Clark称赞该计划,指出拥有Cyber Essentials认证的组织提出保险索赔的可能性比没有的组织低92%。然而,尽管计划已推出十年,在英国500多万个符合资格的组织中,仅有31,000多家获得认证,占比不到1%。一些最大的银行已承诺将网络基本要求纳入其供应商要求中,这可能预示着《网络安全和弹性法案》将出台新的义务。尽管如此,皇家联合军种研究所的研究员Joseph Jarnecki表示,鉴于接受度仍然很低,很难知道该计划是否物有所值,且政府在监管方面过于谨慎,市场激励措施并未证明其对软件产品的网络安全有效。【Cyberscoop网站10月23日报道】美国在网络安全方面仍面临重大挑战,敌对国家和非国家行为者不断威胁着美国的关键基础设施。为此,麦克拉里研究所和网络空间日光浴委员会2.0的专家发布了一份报告,强调下届政府需立即采取行动的五大网络安全优先事项。首先,需全面审查联邦网络安全法规,简化合规要求,适应行业特定需求。其次,加强网络威慑力,提高对敌对网络攻击的归因和响应能力。第三,启动国家网络劳动力发展计划,解决人才短缺问题。第四,加强政府与私营部门的合作,提高关键基础设施的网络安全。最后,制定国家“经济连续性”计划,确保在重大网络事件中维持基本经济功能。报告指出,这些措施对于保护美国的民主生活方式和经济安全至关重要。3. 俄罗斯通信监管机构计划限制即时通讯工具的通话功能【Security Lab网站10月23日报道】俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)正在准备限制即时通讯工具的通话功能,作为打击电话诈骗的一部分。Roskomnadzor负责人Andrei Lipov表示,该机构可能限制通过即时通讯工具拨打的电话,但即时通讯工具本身将继续工作。此外,俄罗斯可能对外国即时通讯软件的未接来电制定一套要求,例如要求Messenger提供独立限制接受来自国外或不在联系人中的用户电话的功能。若相关公司不遵守这些要求,Roskomnadzor将暂时禁止通过其软件拨打电话。自夏季以来,俄罗斯一直在讨论限制即时通讯工具的通话问题,特别是因为诈骗者开始越来越多地使用这些工具进行活动。Roskomnadzor和电信运营商正在积极打击欺诈电话,并已开始阻止未连接到反欺诈系统的用户拨打的电话。4. 英国法院批准沙特异见人士起诉沙特政府,指控其使用间谍软件【The Record网站10月24日消息】英国高等法院裁定,沙特异见人士叶海亚·阿西里可在伦敦对沙特政府提起诉讼,指控其使用以色列公司NSO Group开发的Pegasus和以色列间谍公司QuaDream的间谍软件,非法监控他的手机。阿西里是著名的沙特人权活动家,曾与遇害记者卡舒吉交好。他指出,沙特政府的监控行为侵犯了人权,并表示如果沙特释放被关押的异见人士,他愿意撤销诉讼。法院的裁决被视为对沙特政府的责任追究重要一步。多名异见人士、记者等也曾因Pegasus间谍软件而遭到监控。公民实验室等机构发现,这些间谍活动与沙特政府有密切关联。5. 宾夕法尼亚州立大学因网络安全违规被罚款125万美元【The Record网站10月24日消息】宾夕法尼亚州立大学因未能遵守与美国国防部和NASA签订的合同中的网络安全要求而被罚款125万美元。该校在2018至2023年间未能实施必要的网络安全控制措施,并在承认问题后未能制定或执行纠正计划。美国司法部指出,大学承认了网络安全漏洞并承诺修复,但提供了错误的修复截止日期且未制定行动计划。此外,该校还因未使用符合国防部安全要求的外部云服务提供商而受到指责。前首席信息官马修·德克尔作为举报人将获得25万美元的和解金。学校既不承认也不否认指控,但表示正在采取额外的网络安全政策和系统。该和解协议是美国司法部更大范围的民事网络欺诈倡议的一部分,旨在惩罚未能充分保护政府数据的组织。6. 勒索软件团伙瞄准美国残疾人非营利组织复活节封印,索要巨额赎金【The Record网站10月24日消息】臭名昭著的Rhysida勒索软件团伙近日对美国非营利残疾组织复活节封印(Easterseals)发起攻击,试图勒索130万美元。该组织在4月1日遭受网络攻击,影响了部分系统的访问。复活节封印立即采取措施,切断网络访问,并聘请第三方网络安全公司进行调查。经调查,黑客获取了14,855人的个人信息,包括全名、地址、社会安全号码、医疗信息等。受害者将获得12个月的身份保护服务。Rhysida勒索团伙要求在10月30日前支付20比特币。该团伙此前曾攻击多家医院和医疗机构,危害严重。【The Record网站10月24日消息】威斯康星州选举委员会(WEC)因在线选举门户网站MyVote的网络安全措施薄弱,被一名选举工作人员和选民起诉。该系统允许任何人通过输入姓名和出生日期申请缺席选票,且无需身份验证,增加了选举欺诈的风险。原告要求对MyVote进行安全审计,并暂时停止使用该平台。诉讼指出,MyVote不使用用户名和密码等标准安全措施,易受攻击者利用,威胁选举的公正性和选民个人信息的安全。类似的网络安全问题在其他州也有发生,选举安全成为焦点话题。8. Fortinet披露FortiManager严重漏洞正遭黑客利用【The Record网站10月24日报道】网络安全公司Fortinet公开披露了一个正被黑客利用的严重漏洞,该漏洞影响了一个关键工具FortiManager,它允许公司通过单一界面管理多个产品。自10月13日起,Fortinet私下警告客户有关这个被标记为CVE-2024-47575的漏洞,并在用户在Reddit和其他社交媒体上表达担忧后开始面临公开披露细节的压力。该公司在周三发布了公开咨询,确认了漏洞被利用的报告,并警告说多个版本的FortiManager和FortiManager Cloud受到影响。已发布补丁,并列出用户可以部署的几种变通方法。该漏洞的严重性评分为9.8,允许黑客窃取大量敏感信息,以促进进一步访问。美国网络安全和基础设施安全局(CISA)在周三的咨询中确认了该漏洞的利用,并给予联邦民间机构直到11月13日的修补期限。CISA表示尚不清楚勒索软件团伙是否在利用该漏洞,但自10月13日起一直在警告的网络安全专家Kevin Beaumont表示,该漏洞正被国家级攻击者使用。【Cybersecuritynews网站10月23日报道】多个型号的施乐打印机存在高危安全漏洞CVE-2024-6333,允许具有管理权限的攻击者完全控制设备。SEC Consult指出,漏洞影响EC80xx、AltaLink、VersaLink和WorkCentre系列打印机。该漏洞允许攻击者通过打印机的Web界面执行任意命令。漏洞源于“网络故障排除”功能的输入验证不足,攻击者可注入恶意命令。漏洞的CVSS等级为7.2,影响多个AltaLink和VersaLink系列型号。SEC Consult建议立即安装最新的安全更新,确保所有先前的安全补丁已应用,并进行全面的安全审查。此发现强调了对网络连接打印设备的适当安全维护的重要性。【Cybersecurity News网站10月23日消息】新的反机器人服务在暗网上出现,旨在帮助网络犯罪分子绕过谷歌的保护性“红页”警告。这些服务使网络钓鱼活动更加复杂,给全球网络安全团队带来了新的挑战。随着网络钓鱼即服务(PhaaS)平台的发展,即使技术水平较低的犯罪分子也能发起大规模攻击。谷歌的安全浏览“红页”警告通过警示用户潜在风险,有效降低了网络钓鱼的成功率。然而,新兴的反机器人服务,如Otus Anti-Bot、Remove Red和Limitless Anti-Bot,正在挑战这一防线。它们通过过滤安全爬虫和伪装钓鱼页面,延长恶意网站的存活时间。Otus Anti-Bot利用行为分析和机器人签名检测,实时动态调整配置;Remove Red则提供临时白名单功能,确保域名在短期内不再出现红页;Limitless Anti-Bot则通过AI和用户代理识别等技术区分真实用户与机器人。这些反机器人服务结合了多种技术,包括机器人检测、IP过滤、隐藏技术和CAPTCHA等,以有效延长网络钓鱼活动的寿命。然而,它们也存在局限性,最终仍需依赖网络安全分析师的手动检测。
还没有评论,来说两句吧...