研究发现OpenVPN可被指纹识别，引发隐私担忧；威胁分子滥用亚马逊AWS S3存储桶加密功能发起勒索攻击 | 牛览

•国家计算机病毒应急处理中心监测发现16款违规移动应用

•CISA发布报告呼吁关键基础设施采用网络安全绩效目标

•WEF《2025年全球网络安全展望》:网络空间日益复杂，网络不平等加剧

•Howden：过去5年英国企业遭网络攻击损失550亿英镑

•研究发现OpenVPN可被指纹识别，引发隐私担忧

•黑客利用Aviatrix远程代码执行漏洞部署后门

•威胁分子滥用亚马逊AWS S3存储桶加密功能发起勒索攻击

•非营利血液捐献机构OneBlood确认遭遇勒索软件攻击，献血者个人信息被盗

•一家酒店集团因恶意广告抛弃谷歌搜索改用DuckDuckGo

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、《168运友物流》（版本3.9.93，应用宝）等16款移动App存在隐私不合规行为。

其中，9款App存在隐私政策难以访问、未声明App运营者的基本情况；8款App隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等；6款App个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意；1款App未建立并公布个人信息安全投诉、举报渠道；10款App基于个人同意处理个人信息的，个人有权撤回其同意，个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确；2款App处理敏感个人信息未取得个人的单独同意；3款App个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。

针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

原文链接：

https://mp.weixin.qq.com/s/7V6FHFZ8s53AtYePIlSiaw

1月10日，美国网络安全与基础设施安全局(CISA)日前发布了《网络安全绩效目标采用报告》，旨在强调采用网络安全绩效目标(CPGs)对该国关键基础设施行业的益处。

CISA最初于2022年10月发布了CPGs，这是关键基础设施所有者可自愿采纳的实践措施，旨在保护他们免受网络威胁。这份新报告基于CISA从2022年8月1日至2024年8月31日期间，对7791家注册其漏洞扫描服务的关键基础设施组织的分析。数据显示，医疗和公共卫生、水和废水系统、通信以及政府服务和设施等四个关键基础设施领域最受CPGs采用的影响。这四个领域均与CISA有着密切的合作关系。

随着CISA加强与所有16个关键基础设施领域的合作伙伴关系，该机构希望CPGs的采用将继续扩大。

原文链接：

https://thehackernews.com/2025/01/farewell-to-fallen-cybersecurity-stars.html

2025年1月13日，世界经济论坛(WEF)发布的《2025年全球网络安全展望》报告显示，随着网络空间的复杂性不断增加和地缘政治的不确定性加剧，过去一年网络不平等进一步扩大。

报告显示，大型和小型组织之间的网络安全能力差距相当显著，超过三分之一(35%)的小型组织认为自身的网络恢复能力不足，这一比例自2022年以来增长了7倍。相比之下，报告不足网络恢复能力的大型组织比例则几乎减半。

报告还发现，与私营部门相比，公共部门应对网络事件的准备程度明显不足。38%的公共部门受访者报告网络恢复能力不足，而中大型私营组织这一比例仅为10%。这种不平等还延伸到网络人才方面，49%的公共部门组织表示缺乏实现网络安全目标所需的人才，比2024年增加了33%。

WEF研究人员表示，网络安全环境日益复杂是导致网络不平等加剧的主因，这增加了组织实现网络恢复所需的成本和技能。推动网络安全复杂性的主要因素包括:地缘政治紧张局势升级、供应链集成和依赖程度加深、人工智能快速采用、监管要求激增、网络人才短缺。WEF指出，这种复杂环境并没有显示出缓解的迹象。

原文链接：

https://www.infosecurity-magazine.com/news/wef-cyber-inequity-complexities/

近日，国际保险经纪集团Howden公布了一项针对900多名英国私营部门IT决策者的调查分析结果，揭示了网络攻击给英国企业造成的巨大损失，以及企业在加强网络安全方面所面临的诸多问题。

据Howden的分析，在过去5年里，英国企业遭受网络攻击造成的损失高达550亿英镑。在这一时期内，有52%的私营企业至少遭受过一次网络攻击，平均损失占企业营收的1.9%。其中，年收入超过1亿英镑的大型企业更容易成为攻击目标，有74%的企业遭受过网络攻击，而年收入在200万至5000万英镑的中小企业则为49%。

调查显示，20%的英国企业遭受过电子邮件被入侵的攻击，18%遭受过数据窃取，16%的供应商系统被攻破，14%遭受过资金转账欺诈，14%受到内部人员的恶意行为，12%遭受过勒索软件攻击。令人震惊的是，仅有61%的受访企业使用防病毒软件，55%使用网络防火墙，基本防护措施都严重缺乏。Howden建议，采用更有效的防病毒解决方案和防火墙等措施，可使网络攻击造成的损失减少75%，为英国企业平均节省350万英镑。

原文链接：

https://www.tripwire.com/state-of-security/55-billion-wake-call-cybersecurity-challenges-facing-uk-businesses

近日，由密西根大学、Merit Network公司、亚利桑那州立大学和Breakpointing Bad机构的研究人员合作完成的新研究揭示，商业VPN服务中最受欢迎的协议OpenVPN存在可被指纹识别的漏洞。

研究人员扮演了一个控制网络的攻击者角色，设计了一个两阶段的框架，能够通过被动指纹识别和主动探测来准确识别OpenVPN连接。研究人员在一个中型ISP的一个主要节点部署了他们的框架，对20Gbps的入站和出站流量进行分析。在对2000个控制流量进行测试时，他们能够识别出1718个OpenVPN流量，涵盖了40种不同的OpenVPN配置中的39种。他们还成功识别了三分之二的"隐蔽"OpenVPN流量。尽管一些顶级VPN提供商宣称其"隐蔽"服务"无法被检测"，但研究人员发现大多数实现都类似于使用简单的XOR掩码对OpenVPN进行掩盖，很容易被指纹识别。在为期8天的评估中，他们的框架标记了3638个流量为OpenVPN连接，其中3245个流量有证据支持检测结果。

研究人员指出，与Tor或Refraction Networking等规避工具采用了复杂的策略不同，OpenVPN和更广泛的VPN生态系统中明显缺乏健壮的隐蔽技术。研究人员警告，即使连接到"隐蔽"服务，对于那些面临较高威胁的用户来说，他们的VPN使用也可能被观察到。

原文链接：

https://hackernoon.com/new-study-exposes-openvpn-fingerprintability-raising-privacy-concerns

网络安全研究人员近日发现，多个网络攻击团伙正在积极利用Aviatrix Controller集中管理平台的一个评分高达10分的严重漏洞（CVE-2024-50603）进行攻击。该漏洞能让未经身份验证的远程攻击者在受影响的系统上执行任意代码，从而完全控制系统。攻击者目前正在利用这个漏洞在易受攻击的目标上部署XMRig加密货币挖矿恶意软件和Sliver后门程序。

Wiz Security的研究人员在1月10日警告说，在默认情况下，Aviatrix Controller允许权限提升，这使得漏洞更加危险，大约3%的企业云环境部署了Aviatrix Controller，其中有65%的Aviatrix Controller虚拟机存在可以横向移动获取管理云控制平面权限的路径。

数百家大型企业使用Aviatrix的技术在AWS、Azure、Google Cloud平台等多云环境中管理云网络。常见的使用场景包括自动化部署和管理云网络基础设施，以及管理安全性、加密和连接策略。该公司的客户包括Heineken、雷神公司、Yara和IHG酒店等。

CVE-2024-50603源于Aviatrix Controller未能正确检查或验证用户通过其应用程序接口(API)发送的数据，存在于所有7.2.4996或7.1.4191之前版本的Aviatrix Controller中。目前Aviatrix已经为此漏洞发布了补丁，并建议组织应用补丁或升级到7.1.4191或7.2.4996版本。

了解更多API安全相关信息，请关注安全牛最新报告：

原文链接：

https://www.darkreading.com/cloud-security/cloud-attackers-exploit-max-critical-aviatrix-rce-flaw

Halcyon公司近日发现，威胁分子Codefinger正在利用亚马逊AWS的"客户提供密钥的服务器端加密"(SSE-C)功能，使用仅有攻击者知晓的密钥加密S3存储桶，并勒索赎金以获取解密密钥。Codefinger已至少加密了两个受害者的数据。此类行为可能会扩大,或被其他威胁分子效仿。

亚马逊简单存储服务(S3)是亚马逊网络服务(AWS)提供的可扩展、安全且高速的对象存储服务，S3存储桶用于存储文件、数据备份、媒体、日志等。SSE-C是一种加密选项,用于保护S3上的静态数据，允许客户使用自己的加密密钥通过AES-256算法加密和解密数据。

Codefinger使用被盗的AWS凭证定位具有"s3:GetObject"和"s3:PutObject"权限的受害者密钥，这些权限允许账户通过SSE-C加密S3存储桶中的对象。攻击者随后在本地生成一个加密密钥，用于加密目标数据。由于AWS不存储这些加密密钥，如果没有攻击者的密钥，即使受害者向亚马逊报告未经授权活动，也无法恢复数据。接下来，攻击者使用S3对象生命周期管理API设置7天文件删除策略，并在所有受影响目录中留下勒索信，要求受害者向指定比特币地址支付赎金，以换取自定义AES-256密钥。勒索信还警告受害者，如果他们试图更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，导致受害者无法恢复数据。

Halcyon已将发现情况报告给亚马逊。该云服务提供商表示，他们会尽最大努力及时通知密钥被泄露的客户，以便他们采取立即行动。

了解更多勒索攻击防护相关信息，请关注安全牛最新报告：

原文链接：

https://www.bleepingcomputer.com/news/security/ransomware-abuses-amazon-aws-feature-to-encrypt-s3-buckets/

美国非营利性血液捐献机构OneBlood近日证实，去年夏天遭受的一次勒索软件攻击导致献血者的个人信息被盗。

OneBlood于2024年7月31日首次就此次攻击向公众发出通知，称勒索软件行为者加密了其虚拟机，导致该医疗机构不得不采取人工操作流程。作为全美250多家医院的血液供应商，此次攻击造成了血液采集、检测和分发延迟，一些诊所不得不启动"血液严重短缺"应急方案。

OneBlood于上周开始向受影响个人发送数据泄露通知，告知调查于2024年12月12日结束，确定泄露发生的确切日期为2024年7月14日。该威胁分子一直保持对OneBlood网络的访问权限，直至7月29日，即该机构发现入侵的次日。尽管血液采集中心通常会收集电话号码、电子邮件和物理地址、人口统计数据和病史等信息,但此次泄露的数据仅限于姓名和社会安全号码。为降低此风险，OneBlood在信函中附上了免费一年信用监控服务的激活码。

原文链接：

https://www.bleepingcomputer.com/news/security/ransomware-abuses-amazon-aws-feature-to-encrypt-s3-buckets/

斯堪的纳维亚酒店集团Strawberry决定将其员工的默认浏览器搜索引擎从谷歌切换到DuckDuckGo,原因是谷歌广告环境中存在漏洞,使其每天都面临欺诈威胁。

Strawberry技术安全负责人马丁·贝拉克表示，虽然谷歌的工具运行非常出色,但谷歌搜索服务和广告服务缺乏控制给他们带来了麻烦，其中最大的问题是谷歌不核实哪些广告商被允许拥有付费搜索位置，他们不检查真实性或进行背景调查，这意味着合法和犯罪分子都投放广告。任何人在搜索栏中搜索供应商，都有可能被引导到由犯罪分子购买的页面。犯罪分子购买关键词并创建与合法网站完全相同的假登录页面,还确保URL与真实URL相似。“我们每天都面临这种欺诈企图,尽管我们的安全层能够捕获大部分，但仍有一些成功的案例给我们带来了信任和经济损失。"

Strawberry多次试图向谷歌报告这一问题，但无法联系到合适的权威部门。因此，在圣诞节前夕，Strawberry决定将Chrome浏览器的默认搜索引擎切换到DuckDuckGo，并关闭了广告功能以获得额外保护。

原文链接：

https://www.csoonline.com/article/3801734/hotel-chain-ditches-google-search-for-duckduckgo-subjected-to-fraud-attempts-daily.html