开源前哨 · 热点情报速览（2024.10.22-2024.10.28）

宾州州立大学因未遵守网络安全要求被罚款125万美元

摘要：宾州州立大学因未能遵守与联邦机构合同中规定的网络安全要求而被罚款125万美元。这些合同涉及与国防部和美国国家航空航天局（NASA）的15个不同项目。该校被指控在2018年至2023年间未能实施网络安全控制，并在承认问题后未能制定或实施纠正问题的计划。司法部表示，宾州州立大学在评估文件中承认了其网络安全缺陷，并承诺修复，但“对实施日期进行了误报，并未采取行动计划”。此外，该校未使用符合国防部安全要求的外部云服务提供商。此次和解是依据《虚假索赔法》的举报人条款提起的诉讼结果，该法案允许个人在知道机构提交虚假申请以获取政府资金时代表联邦政府提起诉讼。

链接：https://www.techepages.com/penn-state-university-fined-1-25-million-for-failing-to-meet-cyber-requirements-in-federal-contracts/

Lazarus Group利用Chrome零日漏洞攻击加密货币用户

摘要：朝鲜黑客组织Lazarus Group被指利用谷歌Chrome浏览器中的一个已修补的零日安全漏洞，通过伪造游戏网站“detankzone[.]com”控制受感染设备。该网站伪装成去中心化金融(DeFi)基于NFT的多人在线战斗竞技场游戏，诱使用户下载试玩版本。成功利用后，攻击者会运行一个验证器，收集系统信息，以决定是否进行进一步的后期利用。Lazarus Group被怀疑窃取了合法区块链游戏DeFiTankLand的源代码，并将其用于攻击。Kaspersky研究人员指出，Lazarus Group在社交工程方面投入了巨大努力，通过社交媒体和钓鱼技术接触目标人物。

链接：https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html

攻击者利用Docker API漏洞部署加密货币挖矿机

摘要：趋势科技（Trend Micro）的最新研究发现，恶意行为者正在瞄准暴露的Docker远程API服务器，通过gRPC协议和h2c协议（即无TLS加密的HTTP/2）来绕过安全防护，部署SRBMiner加密货币挖矿机。攻击者首先检查Docker API的可用性和版本，然后利用gRPC/h2c升级请求和gRPC方法操纵Docker功能，创建容器并使用SRBMiner有效载荷挖掘XRP加密货币。此外，研究还观察到攻击者利用暴露的Docker远程API服务器部署perfctl恶意软件。建议用户通过实施强访问控制和认证机制来保护Docker远程API服务器，防止未经授权的访问，并监控任何异常活动。

链接：https://thehackernews.com/2024/10/cybercriminals-exploiting-docker-api.html

美国SEC对四家公司因网络安全风险披露不实罚款

摘要：美国证券交易委员会（SEC）对Unisys Corp.、Avaya Holdings Corp.、Check Point Software Technologies Ltd.和Mimecast Limited四家公司提出指控并处以百万美元罚款，因为它们在与SolarWinds Orion软件供应链事件相关的网络安全风险和入侵问题上做出了实质性误导的公开披露。这些公司在公开披露中淡化了数据泄露的影响。SEC还指控Unisys违反了披露控制和程序规定，并因未能充分解决网络安全风险而受到处罚。这些公司同意支付的民事罚款分别为：Unisys Corp. 400万美元，Avaya Holdings Corp. 100万美元，Check Point Software Technologies Ltd. 99.5万美元，Mimecast Limited 99万美元。

链接：https://www.securityweek.com/sec-charges-four-companies-over-misleading-disclosures-on-solarwinds-hack/

Fortinet确认严重安全漏洞CVE-2024-47575被积极利用

摘要：Fortinet确认其FortiManager存在一个严重的安全漏洞（CVE-2024-47575），该漏洞的CVSS评分为9.8，允许未经身份验证的远程攻击者通过特制请求执行任意代码。该漏洞影响多个FortiManager版本及部分旧款FortiAnalyzer设备。攻击者利用gRPC协议通过h2c协议绕过安全防护，自动化提取FortiManager中的配置数据，包括管理设备的IP、凭证和配置。美国网络安全和基础设施安全局（CISA）已将该漏洞列入已知利用漏洞目录，要求联邦机构在2024年11月13日前应用修复。研究人员发现，超过4000个FortiManager管理门户在网上暴露，约30%位于美国，提醒受影响的组织立即应用修补程序并审查访问日志。

链接：https://thehackernews.com/2024/10/fortinet-warns-of-critical.html

思科系统发布关于其远程访问VPN服务的关键安全通告

摘要：思科系统针对其自适应安全设备（ASA）和火力威胁防御（FTD）软件中的远程访问VPN（RAVPN）服务的漏洞发布了关键通告。该漏洞（CVE-2024-20481）可能允许未经身份验证的远程攻击者对RAVPN服务执行拒绝服务（DoS）攻击，影响依赖这些安全工具的组织。漏洞的CVSS评分为5.8，属于CWE-772分类。攻击者可以通过向受影响设备发送大量VPN认证请求来利用此漏洞，耗尽系统资源，导致RAVPN服务完全中断。思科强调，目前没有直接的变通方法，因此建议受影响用户立即升级到最新软件版本，并定期查阅安全通告以确保使用更新的软件。

链接：https://thecyberexpress.com/vulnerability-in-adaptive-security-appliance/

拜登政府发布首个专注于人工智能的国家安全备忘录

摘要：拜登政府发布了首个专门针对人工智能的国家安全备忘录，旨在确保美国在人工智能技术的发展和部署上继续保持领导地位。备忘录强调了加强半导体等AI组件供应链的重要性，并在采用AI技术的同时，注重维护人权。备忘录还提出了增强国家AI研究资源、加强国际合作、增加与私营部门的网络安全信息共享，并正式指定国家科学技术研究院的AI安全研究所作为政府合作伙伴的主要联系人。同时，其还发布了伴随的AI治理和风险管理框架，该框架将适用于联邦机构，包括禁止在AI工具的操作中移除人类，例如与核武器相关的决策。

链接：https://www.nextgov.com/artificial-intelligence/2024/10/biden-signs-first-national-security-memorandum-focused-ai/400519/

北约推动数字化转型战略以加强技术优势

摘要：北约发布了数字化转型实施战略，以应对数字技术的快速发展对现代社会和现代战争的影响。该战略旨在通过利用数据和人工智能推动技术变革和文化转型。在2022年马德里峰会上，北约盟友同意加强北约的技术优势，以增强集体威慑和防御能力。战略提供了一个路线图，概述了到2030年北约将在所有运营领域利用数字技术，以支持其在执行威慑和防御核心任务方面的技术优势。战略强调了四个关键成果：在所有领域（海上、陆地、空中、网络空间和太空）的实力增强，提高数字标准以确保北约未来的适应性，使用实时分析的先进数据画面，以及通过更有效的数据共享支持增强的决策制定。

链接：https://www.nato.int/cps/en/natohq/news_229985.htm

俄罗斯VTB银行客户数据遭遇泄露

账号:  W*****8

内容: 俄罗斯VTB银行客户数据遭遇泄露，本次泄露数据达到400万，涉及到的数据有 名字，出生日期，手机号，地区，邮等。

印度航空客户数据遭遇泄露

账号: 5*****5

内容： 印度航空客户数据遭遇泄露，本次泄露数据达到14万，涉及到的数据有姓名、电子邮箱、手机号、邮编、联邦、城市、联系地址等。

注：本文仅挑选展示当周重点值得关注的情报，获取更多信息欢迎咨询当地绿盟科技销售代表

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/