GitHub屏蔽中国IP？官方回应；美国海关系统故障影响关税新政执行，超10小时后修复 | 牛览

•GitHub屏蔽中国IP？官方回应

•美国海关系统故障影响关税新政执行，超10小时后修复

•全球芯片制造商遭遇有组织零日漏洞攻击，供应链安全面临严峻挑战

•HelloKitty勒索软件强势回归，同时瞄准Windows、Linux和ESXi环境

•APT组织利用创新设备码钓鱼技术绕过MFA防线，攻击多国组织

•IKEA运营商遭勒索软件攻击，已损失2300万美元

•敏感生育健康相关数据再遭攻击，美国实验室服务合作社确认160万用户信息被盗

•BentoML严重漏洞允许攻击者完全接管AI服务器

•老漏洞新威胁：思科7年前老漏洞成APT组织攻击武器

北京时间4月13日04:01到4月13日22:55，使用中国IP访问微软旗下代码托管平台 GitHub（GitHub.com） 出现无法访问的情况，疑似对中国大陆地区的 IP 进行了屏蔽。但是，已登录的用户仍然可以正常访问网站，而未登录用户在尝试访问时则会出现访问受限的提示（如下图所示）。

对此，GitHub 官方已作出回应，解释称：此次访问受限并非针对特定国家或地区，而是由于“配置更改”所带来的意外影响。GitHub 表示，相关配置问题目前已被撤回，用户在访问网站时“不应再遇到类似问题”。

有用户据此猜测，“看起来似乎是GitHub员工操作失误所致。”

原文链接：

https://news.qq.com/rain/a/20250414A01YFW00

美国海关与边境保护局(CBP)近日修复了一个影响特朗普政府新关税政策执行的系统故障。这一故障涉及自动商业环境(Automated Commercial Environment)系统无法接受符合"在途货物"资格的货物申报10%的较低关税税率，影响时间超过10小时。

根据CBP最新通报，此次修复针对4月9日以来提交的货物申报："对于(1)在2025年4月5日美东时间凌晨12:01或之后、2025年4月9日美东时间凌晨12:01之前已在装货港装船并处于最终运输模式的在途中的货物，以及(2)在2025年5月27日美东时间凌晨12:01之前进入消费或从仓库提取进入消费的货物，应申请10%的附加税率，而非国家特定税率。"CBP还要求用户尽快，并在放行日期后十天内重新提交符合在途条款的适用申报摘要。在故障期间，CBP建议申报人单独传输货物放行文件，并在问题解决后再提交摘要申报。

这一系统故障给已经面临不确定性和担忧贸易混乱的美国进口商和供应链带来了新的打击。专注于国际贸易的Longview Global高级政策分析师Dewardric McNeal指出："无论你是否同意这项政策，你都必须问，我们是否有能力如此迅速地执行它？这个故障可能表明我们需要更多时间。"

原文链接：

https://www.cnbc.com/2025/04/11/customs-reports-glitch-in-system-used-by-freight-for-tariff-exemptions.html

近期，全球技术供应链面临严重威胁，一批复杂的威胁行为者发起了有组织的攻击活动，利用半导体制造系统中的未知漏洞（零日漏洞）入侵领先芯片制造商的网络。这些攻击可能危及价值数百万的知识产权，并威胁到从消费电子到国防系统等多个行业的生产能力。

据DarkOwl研究人员发现，工业控制系统(ICS)、SCADA环境和芯片制造设备中的零日漏洞正在暗网论坛和私人通信渠道中公开交易，特别是ASML光刻系统和基于ARM的架构。这些漏洞在地下市场上因其在间谍活动和破坏行动中的潜力而获得高价。

攻击者主要通过利用制造环境中常用的网络边缘设备中的漏洞，发起复杂的多阶段攻击链。初始入侵通常通过设备固件更新机制中的内存损坏漏洞实现。一旦被利用，攻击者会部署自定义开发的有效载荷，建立持久性访问同时规避标准检测方法。特别令人担忧的是对电子设计自动化(EDA)工具中零日漏洞的利用。该漏洞允许在解析特定文件格式时执行任意代码。恶意软件与隐藏在TOR网络中的命令和控制服务器建立通信，使归因和检测特别具有挑战性。被入侵的系统随后被用作在网络中横向移动的跳板，攻击者专门针对包含知识产权和制造工艺细节的系统。在多个案例中，攻击者能够在被发现前维持持久访问数月，提取大量专有数据并建立后门以供未来利用。

原文链接：

https://cybersecuritynews.com/threat-actors-actively-attacking-semiconductor-companies/

网络安全专家近期发现HelloKitty勒索软件卷土重来，新变种正同时针对Windows、Linux和ESXi环境发起攻击。这款最初于2020年10月被发现的勒索软件，已从DeathRansom勒索软件的分支演变成为一种更具威胁的攻击工具。

技术上，HelloKitty采用Visual C++编码，并频繁使用UPK打包来压缩可执行文件，增加逆向工程难度。其加密机制极为先进，在Windows系统上实施AES-128和NTRU加密组合，而Linux环境则面临AES-256配合ECDH加密技术。加密过程始于嵌入RSA-2048公钥，该密钥在赎金通知中作为受害者标识符，同时用于加密每个文件的对称密钥。

尽管HelloKitty曾经历过休眠期，但它总是以技术改进的方式重返网络犯罪舞台。自2024年9月以来，研究人员已识别至少11个新的HelloKitty样本，表明其活动明显回升。这款升级版勒索软件保留了核心功能，即加密受害者文件并在被入侵数据后附加"CRYPTED"、"CRYPT"或"KITTY"等扩展名。与其他勒索软件不同，HelloKitty会直接在赎金通知中使用受害者姓名，采取更个性化的勒索方式。最近，安全分析师在2025年2月检测到潜在的新变种，表明即使旧的命令和控制基础设施已从暗网消失，开发工作仍在继续。

原文链接：

https://cybersecuritynews.com/hellokitty-ransomware-resurafced/

SOCRadar网络安全研究人员最新研究发现，高级持续性威胁(APT)组织Storm-2372正在使用一种名为"设备码钓鱼"的新型攻击策略，成功绕过多因素认证(MFA)等强安全措施，入侵多个重要组织的在线账户。

这种攻击利用OAuth设备授权流程的漏洞，黑客通过发送虚假邮件或短信，诱导受害者访问伪造的登录页面并输入黑客创建的设备码。一旦受害者输入代码，攻击者无需密码即可获取账户访问权，同时不会触发常规安全检查，使攻击难以被发现。

与早期只有15分钟有效期的OG设备码钓鱼不同，Storm-2372采用更先进的"动态设备码钓鱼"技术，利用Azure Web Apps等服务创建仿真登录页面。当用户访问这些页面时，系统会生成新的设备码，并有时使用CORS-Anywhere确保代码在用户浏览器中正确显示。一旦用户输入伪造代码，黑客将获得访问令牌和刷新令牌，可在长达三个月内访问Microsoft邮件系统。

据报道，Storm-2372主要针对政府机构、科技公司、银行、国防承包商、医疗机构和媒体公司等持有重要信息的组织，攻击目标遍布美国、乌克兰、英国、德国、加拿大和澳大利亚等国家。研究人员建议组织采用自适应、上下文感知的防御机制来应对这类逃避传统保护的基于身份的威胁。

原文链接：

https://hackread.com/russia-storm-2372-hit-mfa-bypass-device-code-phishing/

希腊、塞浦路斯、罗马尼亚和保加利亚IKEA商店的运营商Fourlis集团近日公布，其在2024年11月27日黑色星期五前夕遭受的勒索软件攻击，造成约2000万欧元（2280万美元）的损失。

该安全事件于2024年12月3日公开，当时集团承认IKEA在线商店面临的技术问题是由"恶意外部行为"导致的。尽管该公司在上述国家还经营Intersport、Foot Locker和Holland & Barrett商店，但攻击主要影响了IKEA的业务运营。据报道，这一事件导致商店补货临时中断，主要影响了家居用品部门（IKEA商店）和2024年12月至2025年2月期间的电子商务运营。Valachis指出，其没有向勒索软件攻击者支付赎金，而是在外部网络安全专家的帮助下恢复了受影响的系统。、

Valachis表示，他们成功挫败了首次入侵后的多次后续攻击。随后的调查没有发现与该事件相关的数据盗窃或泄露证据，尽管已按法律要求通知了四国的数据保护机构。虽然距离攻击已过去数月，但尚无勒索软件组织宣称对此负责，可能是因为他们未能窃取任何数据，或者仍然希望与受害者达成私下解决方案。

原文链接：

https://www.bleepingcomputer.com/news/security/ransomware-attack-cost-ikea-operator-in-eastern-europe-23-million/

实验室服务合作社(LSC)近日发布通知，确认该机构遭遇重大数据泄露事件，约160万用户的敏感健康信息被黑客窃取。这家总部位于西雅图的非营利组织主要为美国35个州的生殖健康服务机构提供集中式实验室服务，包括为精选计划生育中心处理敏感实验室测试、计费和个人数据。

根据声明， LSC 于2024年10月27日在网络中发现可疑活动。该机构随即聘请第三方网络安全专家调查事件性质和范围，并通知了联邦执法部门。调查显示，未授权第三方访问了LSC部分网络，并访问/删除了某些文件。被泄露的信息因人而异，可能包括：个人标识符（全名、社会安全号码、驾照号码等）、医疗信息（诊断、治疗、实验室结果等）、保险信息以及账单和财务数据。根据提交给缅因州总检察长办公室的文件，此次数据泄露主要影响通过LSC进行实验室测试的计划生育中心客户。

LSC表示，调查仍在进行中，外部网络安全专家正监控暗网中可能出现的相关数据。目前，这些数据尚未在暗网市场、论坛或勒索门户网站上曝光。

原文链接：

https://www.bleepingcomputer.com/news/security/us-lab-testing-provider-exposed-health-data-of-16-million-people/

近日，最初发现于2018年的思科网络设备漏洞(CVE-2018-0171)至今仍未修补，构成重大安全威胁。该漏洞针对思科Smart Install功能，这是一种用于简化网络设备部署的即插即用配置工具。最新数据显示，尽管漏洞已公开7年，但仍有超过1,200台设备的Smart Install功能可从互联网访问。

Smart Install协议在设计上缺乏身份验证要求，且在许多思科设备上默认启用，通常在TCP端口4786上运行，该端口经常暴露在互联网上。攻击者可利用公开工具如Smart Install Exploit Tool (SIET)连接到Smart Install端口并发送特制命令，无需身份验证即可提取设备配置。典型攻击流程包括：建立到端口4786的TCP连接；发送命令将运行配置复制到闪存目录；通过TFTP将配置传输到攻击者的机器。

由于TFTP以明文方式运行，整个配置（包括加密密码）对攻击者可见。Type 7密码使用公开已知的Vigenère密码加密，可被广泛可用的工具立即破解。

原文链接：

https://cybersecuritynews.com/seven-years-old-cisco-vulnerability-exposes-cisco-devices/#google_vignette