每周安全动态精选(12.4-12.8)
本周精选
1、国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知
2、欧盟委员会支持《网络弹性法案》政治协议
3、HuggingFace 和 GitHub 存在 API 令牌泄露漏洞,数千个令牌被曝光
4、ICBC 遭遇勒索软件攻击,全球金融秩序受到重创
5、PHP 字节码级别的自动化 Web 应用程序漏洞检测算法
政策法规动态
**1、**国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知
Tag:网络安全事件、网络运营者、网信部门
为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,现向社会公开征求意见。
https://mp.weixin.qq.com/s/KEfKdwqd82syII5MaqLMxQ?version=4.1.13.6002&platform=win
**2、**欧盟委员会支持《网络弹性法案》政治协议
Tag:网络安全
欧盟委员会批准了欧洲议会和欧盟理事会就《网络弹性法案》达成的政治协议。该法律将对硬件和软件提出强制性网络安全要求。制造商将被要求制定针对产品整个生命周期的网络安全措施。
https://iapp.org/news/a/european-commission-supports-political-agreement-on-cyber-resiliency-act
3、美国众议院委员会将加价 FISA 第 702 条改革法案
Tag:情报监视
美国众议院司法委员会将于 12 月 6 日召开加价会议,讨论更新《外国情报监视法》第 702 条的法案。《保护自由和结束无证监视法案》将对情报和执法部门施加搜查令要求,以审查公民的电子通信,并对从第三方购买通信数据制定更严格的限制。
4、昆士兰州通过信息隐私改革
Tag:数据隐私
澳大利亚昆士兰州议会于 11 月 29 日通过了《2023 年信息隐私和其他立法修正案》。隐私改革将要求各组织将数据泄露情况通知受害者和信息专员办公室。强制性通知“将促使各机构考虑数据安全问题,并使他们更加主动地预防和管理数据泄露。” 隐私改革预计将于 2025 年 7 月开始。
https://iapp.org/news/a/queensland-passes-information-privacy-reform
技术标准规范
**1、**欧盟团体就联网产品法达成协议
Tag:网络安全
据 Euractiv 报道,根据《欧盟网络弹性法案》,创建联网设备的公司一旦意识到网络漏洞,就必须立即修复这些漏洞,该法案在 11 月 30 日的三方进程中最终确定。双方还同意,销售开源软件并将这些资金再投资于非营利活动的非营利组织将被排除在某些文档标准之外。
https://iapp.org/news/a/eu-groups-reach-agreement-on-connected-products-law
2、IAPP人工智能治理中心为人工智能治理定义添加新术语
Tag:人工智能
IAPP人工智能治理中心更新了“人工智能治理关键术语”资源。最新更新添加了八个新的关键术语,同时资源中包含的几个现有定义也进行了细微更新。IAPP 人工智能治理中心研究员 Uzma Chaudhry 详细介绍了这些变化。
https://iapp.org/news/a/iapp-ai-governance-center-adds-new-terms-for-ai-governance-definitions
3、美国立法者提出法案禁止运输安全管理局使用面部识别
Tag:生物数据
据《国会山报》报道,美国参议员、路易斯安那州共和党参议员约翰·肯尼迪和俄勒冈州民主党参议员杰夫·默克利提出了一项两党法案,将停止运输安全管理局在机场使用非自愿面部识别扫描。肯尼迪表示,《旅行者隐私保护法》将“通过终止面部识别计划来保护每个美国人免受老大哥的入侵”。
https://iapp.org/news/a/us-lawmakers-propose-bill-to-ban-tsa-use-of-facial-recognition
4、谷歌将于 2024 年阻止第三方 cookie
Tag:google
据 MediaPost 报道,作为与英国竞争和市场管理局制定的 2022 年计划的一部分,谷歌将从 2024 年 1 月开始在其 Chrome 浏览器中弃用第三方 cookie。此举旨在通过减少跨站点跟踪来保护消费者隐私。在转换过程中,其他浏览器将会有解决方法。
https://iapp.org/news/a/google-to-begin-blocking-third-party-cookies-in-2024
重点漏洞情报
1、HuggingFace 和 GitHub 存在 API 令牌泄露漏洞,数千个令牌被曝光
Tag:人工智能、安全漏洞、API 令牌、HuggingFace、GitHub
Lasso Security 公司近日发布报告指出,HuggingFace 和 GitHub 两大开发者平台存在 API 令牌泄露漏洞,导致数千个 API 令牌暴露给恶意攻击者,给数百万终端用户造成了安全隐患。
**2、**NAS326 设备存在身份验证绕过和命令注入漏洞
Tag:Zyxel,NAS326, 身份验证绕过,命令注入
Zyxel NAS326 设备是一款个人云存储设备,旨在为用户提供数据存储和共享功能。然而,BugProve 的研究人员发现,该设备的 Web 管理界面中存在一个身份验证绕过漏洞。攻击者可以利用这个漏洞绕过访问控制机制,远程执行未授权的操作。同时,NAS326 设备还存在多个命令注入漏洞,攻击者可以利用这些漏洞远程执行任意命令。
3、Owncloud 两个漏洞曝光,严重威胁文件安全和权限控制
Tag:Owncloud, 漏洞,CVE-2023-49103, CVE-2023-49105, 文件安全,权限提升,远程代码执行
Owncloud 是一个常用的云存储和文件同步平台,然而最近两个漏洞的曝光让用户们不得不关注其文件安全和权限控制的问题。这两个漏洞分别被标记为 CVE-2023-49103 和 CVE-2023-49105。
https://www.ambionics.io/blog/owncloud-cve-2023-49103-cve-2023-49105
4、Laravel 中的 Gadgets 链漏洞可导致远程命令执行
Tag:Laravel、Gadgets 链、远程命令执行
Fenrisk 安全公司的研究人员在 Laravel 项目中发现了一个有趣的 Gadgets 链漏洞,该漏洞可以导致远程命令执行。通过分析 Laravel 源代码,研究人员发现了一个可控的魔术方法,通过利用该方法,可以构建一个 Gadgets 链来执行任意命令。这项漏洞已被纳入到 phpggc 工具中,并已在 Laravel 版本 10.34 上进行了测试。
https://fenrisk.com/publications/blogpost/2023/11/30/gadgets-chain-in-laravel/
恶意代码情报
1、ICBC 遭遇勒索软件攻击,全球金融秩序受到重创
Tag:勒索软件攻击,ICBC,全球金融系统,美国国债市场,回购协议,系统性风险
11 月 8 日,中国工商银行(ICBC)的美国子公司遭受了一次严重的勒索软件攻击,导致美国国债交易操作瘫痪。勒索软件组织 LockBit 声称对 ICBC 的这次攻击负责,ICBC 是世界上最大的银行之一,管理着 5.7 万亿美元的资产。这次攻击震动了 26 万亿美元的美国国债市场,揭示了全球金融系统面临的网络攻击的脆弱性。
**2、**黑莓安全团队发现针对美国航空航天行业的 AeroBlade 威胁行动
Tag:商业间谍,航空航天行业,黑莓安全团队,AeroBlade
黑莓安全团队最近发现了一个名为 AeroBlade 的威胁行动,该行动针对美国的一家航空航天公司,旨在进行商业间谍活动。攻击者通过钓鱼邮件使用了一份带有恶意附件的 Word 文档,其中包含了远程模板注入技术和恶意 VBA 宏代码,用于传递最终的恶意载荷。
https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry
**3、**发现针对重要金融机构的加密 npm 软件包,内含恶意代码
Tag:金融机构,恶意软件,npm 软件包
最近,网络安全公司 Phylum 发现了一批针对重要金融机构的加密 npm 软件包,这些软件包包含了一个加密的代码块,只有通过本地机器信息和解密密钥才能解密。解密后的代码块会将用户凭据发送到一个内部的 Microsoft Teams webhook。Phylum 成功解密了这些软件包,并与受攻击的金融机构取得了联系。该攻击被认为是一次内部模拟攻击,或者是具有强大网络入侵能力的外部威胁行为。Phylum 已经向受攻击的机构报告了这一情况,以便尽早采取应对措施。
https://blog.phylum.io/encrypted-npm-packages-found-targeting-major-financial-institution/
4、新型 SugarGh0st 远程访问木马针对乌兹别克斯坦政府和韩国的攻击活动
Tag:SugarGh0st RAT、远程访问木马、网络攻击、乌兹别克斯坦、韩国
Cisco Talos 最近发现了一起可能从 2023 年 8 月开始的恶意活动,传播了一种被称为 "SugarGh0st" 的新型远程访问木马。根据发现的证据,威胁行动者正在针对乌兹别克斯坦外交部和韩国用户进行攻击。SugarGh0st RAT 是 Gh0st RAT 的一种定制变种,Gh0st RAT 是一种臭名昭著的木马程序,活跃了十多年。SugarGh0st RAT 具有定制化的命令,以便根据 C2 的指令进行远程管理任务,并根据命令结构和代码中使用的字符串的相似性来修改通信协议。
https://blog.talosintelligence.com/new-sugargh0st-rat/
数据安全情报
**1、**黑客访问了基因检测公司 690 万名会员信息
Tag:黑客、信息泄露
个人基因公司 23andMe 周二证实,黑客使用窃取的密码访问了约 690 万会员的个人信息。23andMe 的一名发言人在回答法新社的询问时表示,虽然黑客只能进入大约1.4万个账户,占该公司客户的0.1%,但他们能够看到 23andMe 基因相关亲属共享的信息。
https://hackernews.cc/archives/47586
2、国外知名占卜网站1300万条用户信息遭泄露
Tag:信息泄露
WeMystic是一个关于占星术、命理学、塔罗牌和精神取向的网站。近日,Cybernews 研究小组发现其开放式数据库近日暴露了该平台用户的34GB敏感数据。
https://hackernews.cc/archives/47509
3、开发人员疏忽导致数百万 KidSecurity 用户数据泄露
Tag:数据泄露
研究人员发现该应用程序未配置 Elasticsearch 和 Logstash 存储的身份验证,这些存储通常用于分析日志和事件数据。由于此错误,用户活动日志在互联网上公开保留了一个多月。此次泄露影响了超过 3 亿条记录,其中包括 21,000 个电话号码和 31,000 个电子邮件地址。
https://hackernews.cc/archives/47456
4、Dollar Tree 受到 ZeroedIn 数据泄露的影响,影响了 200 万人
Tag:数据泄露
劳动力分析服务提供商 ZeroedIn 通知大约 200 万人,他们的个人信息在 2023 年 8 月的一次数据泄露中遭到泄露。该公司表示,攻击者访问或窃取了包含姓名、出生日期和社会安全号码的文件。
https://hackernews.cc/archives/47452
热点安全事件
1、与伊朗有关的黑客入侵了美国多个州
Tag:黑客入侵、美国
美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示:“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。
https://hackernews.cc/archives/47487
2、办公用品零售商史泰博遭遇勒索攻击
Tag:勒索攻击
美国办公用品零售商史泰博遭受网络攻击,迫使该公司关闭多个系统。采取此步骤是为了最大限度地减少违规行为的影响并保护客户数据。
https://hackernews.cc/archives/47538
**3、**金融云被勒索,超 60 家信用社服务中断
Tag:勒索软件
美国国家信用合作社管理局发言人称,由于技术提供商Ongoing Operations遭勒索软件攻击,大约有60家信用合作社面临各种程度的服务中断。
https://hackernews.cc/archives/47550
**4、**XDSpy 黑客攻击俄罗斯军工公司
Tag:黑客、网络攻击
一个名为 XDSpy 的网络间谍组织最近以俄罗斯军工企业为目标。XDSpy 被认为是一个国家控制的威胁组织,自 2011 年以来一直活跃,主要攻击东欧和巴尔干地区的国家。俄罗斯网络安全公司 FACCT 表示,在 11 月份的最新活动中,黑客试图访问一家俄罗斯冶金企业和一家参与导弹开发生产研究机构。
https://hackernews.cc/archives/47477
热点安全技术
**1、**PHP 字节码级别的自动化 Web 应用程序漏洞检测算法
Tag:PHP 漏洞检测,字节码级别,自动化算法
本文介绍了一种基于字节码级别的自动化算法,用于检测 PHP 代码中的漏洞。通过跟踪数据在变量之间的传递,该算法能够准确地识别用户输入数据在潜在的漏洞函数或指令中的使用情况。通过实验测试了几个安全专业人员使用的漏洞 Web 应用程序,并在实际项目中进行了进一步的测试。
https://finixbit.github.io/posts/autonomous-Hacking-of-PHP-Web-Applications-at-the-Bytecode-Level/
2、DNS 绑定技巧在 Chrome 和 Safari 中的应用
Tag:DNS 绑定,网络安全,Chrome,Safari,攻击技术
本文介绍了在 Chrome、Edge 和 Safari 浏览器中,当 IPv6 可用时,实现可靠的秒级 DNS 绑定的新技术,并提供了一种绕过 Chromium 浏览器中对 fetch API 的本地网络限制的技术。
https://www.intruder.io/research/split-second-dns-rebinding-in-chrome-and-safari
3、高级字符串混淆技术:保护软件免受分析
Tag:字符串混淆,OPSEC
近日,安全研究人员发现了一种高级的字符串混淆技术,可用于保护软件免受分析和检测。该技术利用编译时的巧妙处理和现代处理器的特性,使得软件的字符串在静态分析中变得更加隐蔽,提高了攻击者的操作安全性。
https://steve-s.gitbook.io/0xtriboulet/just-malicious/advanced-string-obfuscation
4、通过 CSS 滥用技术获取未知网页数据
Tag:CSS 滥用,数据外泄,漏洞利用
近日,网络安全研究人员发现了一种全新的数据外泄技术,利用 CSS 滥用手法能够从未知的网页中获取敏感数据。这种滥用技术绕过了常见的安全机制,如 CSP 和 DOMPurify,使得攻击者能够在无法使用 JavaScript 的情况下,仅通过 CSS 样式来窃取数据。
https://portswigger.net/research/blind-css-exfiltration
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
