每周安全动态精选(1.29-2.2)
本周精选
1、IAPP发布《欧盟数据法案》概述
2、Docker 和 runc 容器越界漏洞
3、针对 Rust 恶意软件 KrustyLoader 的分析
4、俄罗斯 280 台服务器被摧毁,200 万 GB 数据丢失
5、TruffleHog:2024年全面指南,揭秘Git仓库中的秘密扫描技术
政策法规动态
**1、**IAPP发布《欧盟数据法案》概述
Tag:欧盟、数据法案
IAPP研究和洞察团队发布了第五期“欧洲数据战略”新法规概述“系列。欧洲运营协调员劳拉·普利斯凯特(LauraPliauskaite)的“欧盟数据法案101”提供了一个图表,概述了根据《数据法案》允许哪些实体访问和使用欧盟所有经济部门生成的数据。
https://iapp.org/news/a/iapp-publishes-series-on-eu-data-act
**2、**CCPA儿童隐私修正案出台
Tag:儿童隐私、美国
加州总检察长罗伯·邦塔(Rob Bonta)和加州立法机构成员提出了2024年法案,涵盖青少年隐私和未成年人使用社交媒体的日益严重的问题。拟议的《儿童数据隐私法》旨在修订《加州消费者隐私法》,以加强对青少年的覆盖。这两项提案都旨在补充《加州适龄设计规范法案》,该法案在正在进行的法律挑战中处于禁令之下。IAPP新闻编辑乔·杜博尔(Joe Duball)报道了这些介绍及其潜在影响。
https://iapp.org/news/a/ccpa-childrens-privacy-amendment-introduced/
3、加拿大艾伯塔省承诺在未来 18 个月内加强隐私保护
Tag:加拿大、隐私法
据DiscoverAirdrie报道,阿尔伯塔省技术和创新部表示,它将发布立法,加强对滥用信息或侵犯个人隐私的处罚。该机构还将为艾伯塔人创建一个门户网站,以了解他们的数据是如何被使用的,如果他们认为使用不当,可以提出投诉。
https://iapp.org/news/a/alberta-promises-increased-privacy-protections-in-next-18-months/
4、丹麦 DPA 在 Chromebook 案中发布禁令
Tag:信息安全、禁令
丹麦的数据保护机构Datatilsynet规定,学区不能传递学生信息,以帮助谷歌维护和改进其服务,或衡量其Chrome产品中新功能的性能。数据可以传递以帮助提供服务并提高其安全性,以及用于通信目的。各区必须在 3 月 1 日之前报告他们将如何遵守该命令。
https://www.innoreader.com/article/3a9c6e74eb14835a-dpa-chromebook
技术标准规范
1、NIST着手实施隐私框架1.1,计划数据治理纲要
Tag:隐私框架
美国国家标准与技术研究院(U.S. National Institute of Standards and Technology)将开始更新其最新版本的隐私框架,并将在其框架之间创建一个联合数据治理配置文件。NIST就资源应该是什么样子征求公众意见。
https://iapp.org/news/a/nist-embarks-on-privacy-framework-update
**2、**荷兰的DPA呼吁制定隐私标准,并在教育中使用人工智能
Tag:隐私标准、人工智能
荷兰数据保护机构Autoriteit Persoonsgegevens表示,需要有更好的标准来保护教育领域的隐私,特别是当它开始更多地使用人工智能技术时。对实践的审查发现,教育工作者已采取措施遵守隐私法,但在人工智能软件使用方面几乎没有监管。
https://iapp.org/news/a/dutch-dpa-calls-for-standards-for-privacy-ai-use-in-education
重点漏洞情报
1、Docker 和 runc 容器越界漏洞
Tag:容器安全、Docker、runc、漏洞披露、容器越界漏洞
Snyk 安全实验室团队发现了核心容器基础设施组件中的四个容器越界漏洞,包括 Docker 和 runc,这也影响到了 Kubernetes。这些漏洞允许攻击者从容器内部获取未授权访问底层主机操作系统的权限,进而访问系统上的数据,包括敏感数据,以及发动进一步的攻击。建议用户尽快更新运行容器引擎和容器构建工具的系统。
https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/
**2、**GNU C 库(glibc)存在堆溢出漏洞,可能导致特权提升
Tag:安全漏洞,glibc,堆溢出,特权提升,安全性
Qualys 近日发布了一份安全公告,揭示了 GNU C 库(glibc)中的一个严重堆溢出漏洞(CVE-2023-6246)。该漏洞可能导致攻击者利用特权提升,从普通用户权限提升至完全 root 权限。该漏洞影响到包括 Debian、Ubuntu、Fedora 等多个流行 Linux 发行版。漏洞的原因是在 glibc 的__vsyslog_internal() 函数中存在堆溢出。通过构造超长的 argv [0] 参数或 openlog() 的 ident 参数,攻击者可以触发堆溢出漏洞。
https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt
3、Ivanti两款产品的身份验证绕过和命令注入漏洞
Tag:Ivanti,Connect Secure,Policy Secure,漏洞,身份验证绕过,命令注入
软件公司 Ivanti 的 Connect Secure 和 Policy Secure Gateways 被发现存在严重漏洞。这些漏洞影响所有支持的版本,包括 9.x 和 22.x 版本。其中,CVE-2023-46805 漏洞可绕过身份验证,CVE-2024-21887 漏洞可进行命令注入,导致恶意攻击者能够在系统上执行任意命令。
4、ModSecurity WAF 绕过漏洞
Tag:ModSecurity, WAF 绕过漏洞,CVE-2024-1019
最近,ModSecurity 版本 3.0.0 至 3.0.11 中出现了一个重要的漏洞,被标识为 CVE-2024-1019。这个漏洞使得 Web 应用防火墙(WAF)绕过成为可能,由此带来了严重的安全风险。漏洞利用方式为通过在请求 URL 中使用URL编码的问号(“%3F”),绕过 ModSecurity 的路径检查规则。漏洞影响 ModSecurity 变量 REQUEST_FILENAME 和 REQUEST_BASENAME,使得依赖这些变量的规则对该漏洞攻击检测失效。
https://securityonline.info/cve-2024-1019-exposing-modsecuritys-critical-waf-bypass-flaw/
恶意代码情报
1、针对 Rust 恶意软件 KrustyLoader 的分析
Tag:KrustyLoader、Rust、Ivanti ConnectSecure、安全漏洞、恶意软件
2024 年 1 月 10 日,Ivanti 披露了两个影响 Connect Secure VPN 产品的零日安全漏洞:CVE-2024-21887 和 CVE-2023-46805,可导致未经身份验证的远程代码执行。Volexity 和 Mandiant 发表了多篇文章,详细介绍了漏洞如何被黑产利用。1 月 18 日,Volexity 发布了新的观察结果,包括在受感染的 Ivanti Connect Secure 设备上下载的 Rust 载荷的哈希值。本文介绍了这些未经确认的 Rust 载荷的恶意软件分析,将其命名为 KrustyLoader。
**2、**RedLine窃密软件感染链分析 – Part 1
Tag:RedLine,感染链,LNK,VBScript,PowerShell
RedLine感染链利用 LNK、PowerShell、mshta 和 URL 下载最终有效载荷。文章还使用了 CyberChef 和 Wscript.Echo 对 VBScript 进行了分析。RedLine窃密软件是一种在地下论坛上售卖的恶意软件,价格约为 100 美元 / 150 美元。该恶意软件可以窃取浏览器中的信息,包括保存的凭证、自动填充数据和信用卡信息。最新版本还增加了窃取加密货币的功能。
**3、**Play勒索软件反分析技术揭秘
Tag:Play、反分析技术、数据加密、网络共享、漏洞利用
本文介绍了 Play 勒索软件组织的背景和活动方式。该组织采用了一系列反分析技术,使得对其恶意软件进行静态逆向工程成为一项艰巨的任务。然而,令人意外的是,该恶意软件在运行时经常崩溃。文章详细探讨了 Play 使用的字符串解密和动态计算解密密钥的过程。此外,文章还介绍了 Play 勒索软件组织的网络共享加密技术,并分析了可能导致崩溃的潜在问题。
https://www.cyberark.com/resources/threat-research-blog/ransomwares-playing-a-broken-game
4、DarkGate 恶意软件通过 Microsoft Teams 传播
Tag:钓鱼攻击、Microsoft Teams、DarkGate、恶意软件、安全响应
这篇文章介绍了一起利用 Microsoft Teams 传播钓鱼攻击的案例。大多数用户对于传统的钓鱼攻击方式,比如通过电子邮件或其他媒体传播的攻击已经有所了解。然而,很多人可能不知道 Microsoft Teams 的聊天功能也可能成为钓鱼攻击的手段。虽然大部分的 Teams 活动是组织内部的,但是 Microsoft 默认启用了外部访问功能,允许一个组织的成员将外部用户添加到对应的 Teams 聊天中。这一功能为恶意行为提供了一个新的利用途径。
数据安全情报
**1、**俄罗斯 280 台服务器被摧毁,200 万 GB 数据丢失
Tag:俄乌冲突、网络攻击
Hackread网站消息,乌克兰国防部主要情报总局(HUR)的网络安全专家宣称对俄罗斯IPL咨询公司发起了一次成功的网络攻击,摧毁了该公司所有的IT基础设施,导致全国通信中断。黑客入侵了IPL咨询公司的内部网络,俄罗斯 280 台服务器被摧毁,200 万 GB 数据丢失。
https://hackernews.cc/archives/49638
2、国际金融科技公司 Direct Trading Technologies 泄露超过 30 万敏感数据
Tag:数据泄露
国际金融科技公司 Direct Trading Technologies 泄露了超过 30 万交易者的敏感数据和交易活动,使用户面临账户被盗的风险。泄露的数据包括过去六年超过 30 万用户的交易活动,以及姓名、电子邮件地址、公司发送的电子邮件和 IP 地址。
https://hackernews.cc/archives/49722
3、英国大型化妆品制造商 Lush 遭遇黑客攻击,大量敏感数据被盗
Tag:黑客攻击、数据泄露
全球知名化妆品和沐浴产品制造商Lush遭遇网络攻击,黑客组织 Akira 声称对此次攻击负责,称其窃取了 110 GB 数据,包括护照扫描件以及与会计、财务、税务、项目和客户相关的公司文件。
https://hackernews.cc/archives/49690
4、Miracle Software Systems 1100 万条企业聊天记录数据被泄露
Tag:数据泄露
Miracle Software Systems遭受安全事故,导致数百万条企业用户之间的信息被暴露,其中一些消息涉及公司机密内容。尽管官方文件极其敏感,但企业聊天记录也同样具有极高价值,尤其是在涉及数百万条消息的情况下。与此同时,Cybernews 研究团队最近发现了一个开放的 MongoDB 实例,其中包含3,062个用户之间的超过1,100万条Rocket.Chat消息。
https://hackernews.cc/archives/49597
热点安全事件
1、土耳其黑客组织 MeshSec 攻击以色列最大的电影院
Tag:黑客、网络攻击
土耳其黑客攻击了以色列一家受欢迎的连锁电影院的系统,以传播威胁信息。为了发布该消息,黑客侵入了负责更新广告屏幕保护程序和预告片的外部系统。目前,这些消息已被删除,警方正在调查事件的具体情况, MeshSec 组织宣布参与此次网络攻击。
https://hackernews.cc/archives/49702
2、美国江森自控称勒索软件攻击已造成 2700 万美元损失
Tag:勒索软件、网络攻击
据BleepingComputer 消息,江森自控国际公司 (Johnson Controls International) 确认,2023 年 9 月的一次勒索软件攻击给该公司造成了至少2700 万美元的损失,并导致了数据泄露。
https://hackernews.cc/archives/49746
**3、**LockBit 团队称对 12 月芝加哥社区医院遭受的网络攻击负责
Tag:网络攻击
近日,LockBit勒索软件团伙宣布对芝加哥社区医院发起网络攻击。该医院在发布的声明中承认了这一事件,指出该攻击于去年12月18日被首次发现。LockBit勒索软件团伙在本周二晚上将医院列入其泄密网站,并要求支付近90万美元的赎金,给予两天时间作出回应,截止目前LockBit 官网信相关信息已经下架。
https://hackernews.cc/archives/49740
**4、**全球工业自动化巨头施耐德电气遭受 Cactus 勒索软件攻击
Tag:勒索软件、网络攻击
BleepingComputer 获悉,勒索软件攻击于本月初的 1 月 17 日袭击了施耐德电气公司的可持续发展业务部门。这次攻击扰乱了施耐德电气的部分资源顾问云平台,该平台至今仍处于中断状态。施耐德电气可持续发展业务部门的客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛。
https://hackernews.cc/archives/49671
热点安全技术
**1、**TruffleHog:2024年全面指南,揭秘Git仓库中的秘密扫描技术
Tag:Git安全、秘密扫描、API密钥保护、开源工具、持续集成
随着开源文化的兴起,Git已成为全球开发者广泛使用的版本控制系统。然而,Git仓库中泄露的秘密,如API密钥和密码,已成为安全领域的一个重大挑战。根据GitHub的统计,仅在2022年就检测到超过170万个泄露的秘密。为了应对这一问题,TruffleHog,一个开源的秘密扫描工具,应运而生,它能够检测多种来源中的800多种不同类型的秘密,包括Git仓库、本地文件、AWS S3、Docker镜像等。
https://trufflesecurity.com/blog/scanning-git-for-secrets-the-2024-comprehensive-guide/
2、利用链式漏洞攻击 Softing OPC UA Integration Server 实现远程代码执行
Tag:OPC UA,漏洞攻击,远程代码执行,Softing Secure Integration Server
文章作者利用了 Softing Secure Integration Server 的一些特性和漏洞,包括硬编码的 Web 界面凭证、绕过 OPC 命名空间之间的隔离、绕过文件和目录路径分配的限制等。通过利用这些漏洞能够创建和控制文件、目录,并将它们链接到服务器上的实际路径。最终成功实现了对服务器的完全控制。
3、后渗透工具 BOFHound 介绍
Tag:BOFHound, SpecterOps, Active Directory, LDAP, BloodHound
SpecterOps 团队成员在最新发布的文章中介绍了他们开发的工具 BOFHound,该工具可以在没有 SharpHound 的情况下帮助进行 Active Directory 的映射和攻击路径的分析。BOFHound 通过解析 Cobalt Strike 日志和 ldapsearch 的结果,将数据转换成 BloodHound 兼容的 JSON 格式,实现了手动操作的 LDAP 枚举和 BloodHound 的关系图谱功能。本文重点介绍了 BOFHound 新增的用户会话和本地组成员数据的收集方法,并给出了操作指南和示例。
https://posts.specterops.io/bofhound-session-integration-7b88b6f18423
4、ShapeSecurity 的 Javascript 虚拟机:第三部分
Tag:ShapeSecurity、Javascript 虚拟机、技术细节、操作码、异常处理
本文是 ShapeSecurity 的 Javascript 虚拟机系列的第三部分,将深入探讨操作码(ops)的细节。ShapeSecurity 的虚拟机在最初看起来很难理解,因为它们没有将虚拟操作码与脚本中的实际操作一一对应。本文将介绍分析每行代码的动作,以及介绍了 13 种不同类型的操作动作,包括数组构造、堆内存访问、栈操作、异常处理、跳转等。文章还详细解释了 TryCatch、TryCatchFinally 和 TryFinally 等异常处理的实现方式。
https://www.botting.rocks/shapesecuritys-javascript-vm-part-3/
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
