网络盾牌 | 1213-美国国务院资助印太地区网络安全教育项目-Pwn2Own 2022闭幕-Hive勒索组织攻击欧洲零售商

 美国国务院资助印太地区面向未来的网络安全教育项目；

标签：美国，国务院，印太地区，网络安全，教育项目

由蒙纳士大学研究人员与大洋洲网络安全中心(OCSC)合作领导的一个新项目旨在培训印度洋-太平洋地区的组织，以帮助防范新出现的网络安全威胁。

研究人员正在寻找来自11个印太国家的以网络安全和信息技术(IT)为重点的参与者，以接受高级密码学方面的免费培训，这有助于抵御来自量子计算机的威胁。在接下来的三年里，印太计划中的后量子密码学(PQCIP)旨在与马来西亚、印度尼西亚、萨摩亚、汤加、瓦努阿图、巴布亚新几内亚(PNG)、基里巴斯、联邦的组织和政府机构合作密克罗尼西亚(FSM)、图瓦卢、库克群岛和瑙鲁。莫纳什大学信息技术学院的项目主管副教授Ron Steinfeld表示，加密是防止数据泄露的关键保护措施之一。Steinfeld副教授说：“然而，目前部署的大多数密码学都不足以抵御来自大型量子计算机的攻击，这些计算机可以快速解密当今大部分加密数据，我们预计此类计算机将在未来几年成为现实。” 通过PQCIP，蒙纳士大学和OCSC的网络安全专家将引导参与组织和政府实体通过一个循环，详细评估其当前的后量子网络安全能力、量身定制的教育、规划和网络威胁评估。

OCSC研究和能力建设负责人James Boorman博士表示，该计划旨在让参与者对后量子密码学有深入的了解，对相关工具有全面的了解，并制定他们自己的过渡计划，以保护他们的组织免受量子计算威胁。PQCIP由美国国务院资助，该计划的所有组成部分将免费提供给确定的参与者。

信源：https://www.miragenews.com/future-proofing-cybersecurity-in-indo-pacific-913332/

Pwn2Own 2022闭幕，参赛者累积获得近百万美元奖金；

标签：Pwn2Own 2022

Pwn2Own 2022黑客大赛已于当地时间12月9日在多伦多落幕，来自14个国家和地区的36支参赛队伍总共斩获了98万9750美元奖金。

在为期4天的比赛期间，这些参赛队伍对消费类产品共演示了63次零日漏洞攻击，涉及手机、家庭自动化集线器、打印机、无线路由器、网络附加存储和智能扬声器类别中的设备，涉及的厂商包括佳能、惠普、西部数据、TP-Link、Mikrotik、NETGEAR、Sonos、Lexmark、Synology、Ubiquiti、Mikrotik等，所有这些设备都已安装最新的安全更新的并且处于默认配置状态。

最终，DEVCORE 团队以 总计14万2500美元奖金和 18.5 个 Master of Pwn 积分赢得了第一名，Team Viettel以8万2500 美元和 16.5 个Master of Pwn 积分排名第二， NCC Group EDG以7万8750 美元和 15.5 个Master of Pwn 积分排名第三。

在较受关注的手机类别中，虽然没有参赛者成功破解拥有高额奖金的苹果 iPhone 13 和谷歌Pixel 6，但三星旗舰手机Galaxy S22却被四度攻破，其中STAR 实验室团队在比赛第一天，率先利用零日漏洞在该设备中成功执行了不正确的输入验证攻击，并因此获得了5万美元奖金和 5 个 Master of Pwn 积分；在比赛第三天，Pentest Limited团队仅用55秒就攻破了该设备。

据悉，在 Pwn2Own比赛期间利用的零日漏洞被报告后，供应商有 120 天的时间发布修复补丁，随后主办单位趋势科技ZDI将正式公开披露这些漏洞。

信源：https://www.bleepingcomputer.com/news/security/hackers-earn-989-750-for-63-zero-days-exploited-at-pwn2own-toronto/

Hive 勒索组织黑五期间攻击欧洲零售商，已累计攻击 1300 家公司；

标签：Hive 勒索组织，欧洲零售商

近日，Hive勒索组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。

据法国《世界报》报道，黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单，以及社会保险号码。

La Voix Du Nord报道说，黑客攻击发生在 “黑色星期五 “销售期间，使员工无法进入收银系统，迫使商店进行人工操作。

美国联邦政府在11月底表示，Hive已经袭击了全球1300多家公司，收取了约1亿美元的赎金。该组织使用各种方法来获得访问权，利用缺乏多因素认证的目标，访问远程桌面协议、VPN或其他远程网络连接协议。

同时也有利用含有恶意附件的钓鱼邮件，利用Microosft Exchange服务器的漏洞。绕过了多因素认证，通过利用CVE-2020-12812（Fortinet操作系统中现已修补的不当认证漏洞）获得了对FortiOS服务器的访问。

此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店，其中780家位于法国。目前该公司对此事还没有做出任何回应。

信源：https://www.inforisktoday.com/hive-ransomware-group-leaks-data-from-european-retailer-a-20667

思科爆出严重漏洞，更新补丁明年一月才能发布；

标签：苹果，iMessage，间谍窃听

The Hacker News 网站披露，近日思科发布了新的安全公告，指出 IP 电话（网络电话） 7800 和 8800 系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况。

漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。

注：通过运行 CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及 IP 地址，硬件平台等相关信息。（默认情况下自动开启。）

漏洞最早要明年一月才能修复

2022 年 12 月 8 日，Cisco 在一份公告中表示，潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞，若成功利用漏洞，潜在攻击者能够造成堆栈溢出，导致受影响设备上可能出现远程代码执行或拒绝服务（DoS）的情况。

值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。

此外，在同时支持 CDP 和链路层发现协议（LLDP）用于邻居发现的部署中，用户可以选择禁用 CDP，以便受影响的设备能够切换到 LLDP，向局域网（LAN）中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险，需要企业努力评估设备可能会受到的任何潜在影响。

最后，思科强调，CVE-2022-20968 漏洞虽已被公开披露，但迄今为止，没有证据表明该漏洞在野外被积极滥用。

信源：hehackernews.com/2022/12/cisco-warns-of-high-severity-unpatched.html

在披露 Log4Shell 一年后，大多数公司仍暴露在攻击之下；

标签：Apache，Log4Shell

在Apache软件基金会去年11月披露Log4j漏洞一年后，虽然针对该漏洞本身的攻击数量低于最初的预期，但仍然对企业组织构成重大威胁。

安全研究人员说，仍然有很多系统没有针对该漏洞打补丁，企业在发现、修复和防止该漏洞上仍面临挑战。

“Contrast Security的首席安全信息官 David Lindner说：”Log4j被用于约64%的Java应用程序，而其中只有50%的应用程序已经更新到完全固定的版本，这意味着攻击者将继续针对它。至少现在，攻击者继续在寻找通过Log4j进行攻击的途径。

攻击比预期的要少

Log4j的缺陷（CVE-2021-44228），通常被称为Log4Shell，存在于Log4j用于数据存储和检索的Java命名和目录接口（JNDI）。它可以帮助远程攻击者来控制易受攻击的系统。鉴于Log4J几乎被用于每一个Java应用环境，安全研究人员认为它是近年来最具威胁的漏洞之一，因为它很普遍，而且攻击者可以相对容易地利用它。

在过去的一年里，已经有许多关于攻击者利用该漏洞作为进入目标网络的报道。其中许多攻击涉及来自朝鲜、伊朗和其他国家的由国家支持的APT组织。例如，11月美国网络安全和基础设施安全局（CISA）警告说，一个由伊朗政府支持的APT组织利用未打补丁的VMware Horizon服务器中的Log4j漏洞，在一个联邦网络上部署了加密软件和凭证采集器。微软等其他公司也报告了类似的行为。

尽管还有其他一些关于有经济动机的网络犯罪团伙利用Log4j的报道， 但公开报道的涉及Log4的破坏事件的实际数量仍然比较低，特别是与涉及Exchange Server漏洞（如ProxyLogon和ProxyShell）的事件相比。Tenable公司的首席安全官Bob Huber说，相比于该漏洞的简单性和普遍的攻击路径，报告的攻击规模和范围出乎意料地低于预期。Huber说：只是在近期，我们才看到一些有针对性的重要报道，如最近CISA的民族性国家活动。

威胁未减弱

然而，安全研究人员指出，这并不意味着Log4j的威胁在过去一年中已经减弱。

首先，很大一部分企业仍然像一年前一样容易受到威胁。根据Tenable最近进行的一项与该漏洞有关的遥测分析显示，截至到10月1日，72%的企业容易受到Log4j的攻击，全球仅有28%的组织已经对该漏洞进行了全面修复。但当这些企业在向其环境中添加新的资产时，经常又一次地遭到Log4j的漏洞攻击。

Huber说：假设企业在软件的构建管道中建立修复，那么再一次地遭到Log4j漏洞攻击的概率会减少。是否会再一次地遭到Log4j漏洞攻击很大程度上取决于一个企业的软件发布周期。

此外，尽管网络安全界对这个漏洞的认识几乎无处不在，但由于应用程序如何使用Log4j，在许多企业中仍然很难找到有漏洞的版本。Sonatype公司首席技术官Brian Fox说，一些应用程序可能将开源日志组件作为其应用程序的直接依赖项，而在其他情况下，一些应用程序可能将Log4j作为一个交叉依赖项或另一个依赖项的依赖。

Fox说：由于过渡性依赖是从你的直接依赖项的选择中引入的，它们可能并不总是被你的开发人员所了解或直接看到。

Fox说，当Apache基金会首次披露Log4Shell时，公司不得不发出成千上万的内部电子邮件，在电子表格中收集结果，并递归扫描文件系统。这不仅仅花费了公司宝贵的时间和资源来修补该组件，而且延长了该漏洞的恶意影响程度。

来自Sonatype维护的Maven Central Java仓库的数据显示，目前35% 的 Log4 下载仍来自该软件的易受攻击版本。许多公司甚至在开始响应之前仍在尝试建立他们的软件清单，并且没有意识到传递依赖性的影响。

根据上述所有的问题，美国国土安全部审查委员会今年早些时候得出结论：Log4是一个地方性的安全风险，企业将需要与之抗衡多年。委员会成员评估说，Log4j的脆弱实例将在未来许多年里留在系统中，并使企业面临攻击的风险。

正面的影响

跟踪该漏洞的安全研究人员说，Log4j的积极成果是它引起了人们对软件构成分析和软件材料清单（SBOM）等实践的高度关注。企业在确定他们是否有漏洞或在他们的环境中可能存在的漏洞时所面临的挑战，促进了人们更好地理解对其代码库中所有组件的可见性需要，特别是那些来自开源和第三方的组件。

ReversingLabs的CISO Matthew Rose说：对Log4J问题的调查再次证实，除了跟上DevOps速度的SBOMs之外，还需要更好的软件供应链证明。应用安全和架构团队已经意识到，仅仅在源代码、API或开放源码包等部分寻找风险是不够的。他们现在意识到，全面了解应用程序的架构与寻找SQLI或跨站脚本错误（XSS）一样重要。

信源：https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack