2025-01-24 星期五 Vol-2025-021
1. 特朗普政府要求情报监督委员会民主党成员辞职,引发监督职能担忧
2. 爱达荷国家实验室白皮书探讨利用网络信息工程确保电池储能系统(BESS)安全
3. 微软改变登录规则:安全与便利的权衡
4. ChatGPT全球大规模宕机,数百万用户无法访问服务
5. ICICI银行数据泄露:BASHE勒索软件组织涉嫌危害并公开客户信息
6. 纳斯达克官方X账户遭黑客攻击,用于推广欺诈性Memecoin
7. 大规模数据泄露影响格鲁吉亚全体人口
8. SonicWall严重漏洞CVE-2025-23006被攻击者利用,可执行任意操作系统命令
9. Rails应用程序文件写入漏洞使攻击者可远程执行代码
10. Next.js框架漏洞导致网站遭受缓存中毒和XSS攻击
11. Palo Alto防火墙曝严重漏洞,黑客可绕过安全启动并操控固件
12. QNAP修复HBS备份应用中的六个rsync漏洞,防止远程代码执行
13. Ivanti云服务设备中的连锁漏洞引发严重网络攻击
14. 专家发现Morpheus与HellCat勒索软件共享代码库
15. 参议院确认约翰·拉特克利夫担任中央情报局局长
16. 五角大楼将启动非地面网络和协议研究
政策法规
1. 特朗普政府要求情报监督委员会民主党成员辞职,引发监督职能担忧
【Recorded Future News网站1月23日报道】特朗普政府已要求情报监督委员会(PCLOB)的所有民主党成员辞职。PCLOB是一个由五人组成的独立两党机构,负责监督美国政府的情报活动。目前,委员会中有三名民主党成员,他们的辞职将使委员会无法达到法定人数,从而影响其监督职能。消息人士透露,白宫要求这三名成员在周四前辞职。如果辞职生效,PCLOB将无法启动或关闭任何情报项目,尽管已批准的项目仍可继续。民主党参议员罗恩·怀登批评此举是特朗普政府将情报机构政治化的表现,削弱了独立监督能力。白宫未对此事发表评论。
2. 爱达荷国家实验室白皮书探讨利用网络信息工程确保电池储能系统(BESS)安全
【Industrial Cyber网站1月23日报道】爱达荷国家实验室(INL)发布了一份白皮书,探讨如何通过网络信息工程(CIE)原则确保电池储能系统(BESS)技术的安全。白皮书分析了BESS的架构和通信,提出了一个评估风险和解决方案的框架,旨在帮助资产所有者和运营商评估其BESS实施的安全性。白皮书指出,尽管BESS技术对电网稳定性和可持续性至关重要,但其供应链中大量依赖外国关注实体(FEOC)组件,引发了网络安全和地缘政治风险。INL建议通过CIE原则增强BESS的安全性,包括网络分段、访问控制、固件验证等措施,并结合工程控制减少网络安全入侵的影响。白皮书还强调了短期和长期缓解策略的重要性,建议通过模块化评估框架优先考虑供应链组件的安全性,并评估其成本影响。INL呼吁将网络安全工程纳入BESS的整个生命周期,从设计到运营,以应对不断变化的威胁环境。
3. 微软改变登录规则:安全与便利的权衡
【SecurityLab网站1月23日报道】微软将于2024年2月更改其授权系统,即使用户关闭浏览器,其账户仍将保持登录状态。这一变化旨在简化用户体验,但同时也带来了潜在的安全风险,尤其是在公共设备上使用时。根据新规则,用户通过浏览器或应用程序登录微软账户后,授权将默认保留,这意味着后续用户可能访问Outlook电子邮件、OneDrive文件和搜索历史记录。微软建议在公共设备上使用隐私浏览模式以避免保存授权数据,并启用双因素身份验证以增强安全性。尽管这一变化为个人设备用户提供了便利,但在公共设备上使用时需格外警惕,手动注销以防止数据泄露。微软尚未公开解释这一变化的原因,但推测其目的是优化浏览器版本服务的用户体验。
安全事件
4. ChatGPT全球大规模宕机,数百万用户无法访问服务
【Cybersecurity News网站1月23日报道】OpenAI的ChatGPT服务今日凌晨发生全球性大规模宕机,导致数百万用户无法访问这一流行的AI聊天机器人服务。此次宕机影响了包括印度和美国在内的多个国家和地区的用户,引发了社交媒体平台(尤其是X平台)上的大量投诉和调侃。用户报告和跟踪网站数据显示,问题范围从完全无法访问到与ChatGPT交互时收到“内部服务器错误”提示。此次宕机不仅对个人用户造成不便,还影响了依赖ChatGPT API的企业和开发者。许多用户在X平台上幽默地表示,不得不回归传统搜索引擎,甚至“用自己的大脑”完成通常由ChatGPT辅助的任务。OpenAI尚未发布官方声明说明宕机原因或预计恢复时间,但X平台上的帖子表明公司已意识到问题。此次宕机并非ChatGPT首次出现大规模服务中断,2024年也曾发生类似事件,凸显了用户对AI服务的依赖性。
5. ICICI银行数据泄露:BASHE勒索软件组织涉嫌危害并公开客户信息
【Cybersecurity News网站1月23日报道】印度央行联盟ICICI银行疑似遭到了BASHE勒索软件组织的攻击。该组织自称窃取了该银行的大量客户数据,并要求在1月24日前支付赎金,否则将泄露敏感信息。组织(又名APT73或Eraleig)自2024年以来活跃,主要通过基于TOR的泄露网站对关键行业进行数据勒索,曾针对银行、医疗、技术等高价值目标展开复杂攻击。ICICI银行尚未公开承认数据泄露,但该事件引发了社交媒体和网络安全界的广泛关注,尤其是印度政府在2022年将ICICI作为“关键信息基础设施”后,该事件可能对国家安全构成威胁。网络安全专家建议ICICI银行采取紧急措施,包括加强安全防护、通知用户及与相关机构合作追查犯罪分子。印度CERT-尚未对此事发表评论,但政府干预或将突然出现。目前,该事件尚在进一步调查中,ICICI银行对数据泄露的真实性保持沉默。
6. 纳斯达克官方X账户遭黑客攻击,用于推广欺诈性Memecoin
【Cybersecurity News网站1月23日报道】纳斯达克的官方X账户遭到黑客攻击,被用于推广一种名为“STONKS”的欺诈性Memecoin。该事件发生于1月22日,黑客利用被盗账户错误地将STONKS代币宣传为纳斯达克的附属项目,导致其市值在数小时内飙升至8000万美元。然而,随着骗局被识破,代币价值迅速下跌。攻击者创建了一个虚假X账户冒充纳斯达克合作伙伴,并从纳斯达克官方账户转发有关STONKS代币的帖子。许多投资者因此蒙受损失,其中一名用户声称损失了20万美元,并计划采取法律行动。该事件引发了X平台上对大型机构账户安全性的广泛担忧,用户呼吁加强网络安全实践,包括更强大的双因素认证(2FA)和持续账户监控。这是近期一系列利用名人或机构账户推广欺诈性加密货币的案例之一。纳斯达克已重新控制账户并删除了欺诈性内容,但尚未公布黑客入侵的具体细节。
7. 大规模数据泄露影响格鲁吉亚全体人口
【SecurityLab网站1月23日报道】格鲁吉亚发生了一起大规模数据泄露事件,约500万条个人数据记录和720多万个电话号码被公开。此次泄露的数据包括身份证号码、全名、出生日期、保险证书号码等敏感信息,影响了格鲁吉亚全国约400万人口。部分数据源自2020年的泄露事件,现已与包含145万车主信息的新记录合并。泄露的数据库托管在德国云提供商的服务器上,因未受保护而被公开。尽管服务器在发现后已被关闭,但泄露的数据仍可能被用于身份盗窃、金融欺诈和社会工程攻击。网络安全专家警告,在当前地缘政治局势下,此类数据可能被用于政治操纵和虚假信息传播。目前,数据库的所有者尚未确定,调查工作面临困难。此次事件凸显了加强个人数据保护措施和严格遵守数据保护法的重要性。
漏洞预警
8. SonicWall严重漏洞CVE-2025-23006被攻击者利用,可执行任意操作系统命令
【Cybersecurity News网站1月23日报道】SonicWall的SMA1000设备管理控制台(AMC)和中央管理控制台(CMC)中发现了一个严重的安全漏洞,编号为CVE-2025-23006。该漏洞被归类为CWE-502(不受信任的数据反序列化),严重程度评分为9.8(严重),表明其可能造成毁灭性影响。攻击者可利用此漏洞在未修补的设备上执行任意操作系统命令,从而完全控制系统,威胁机密性、完整性和可用性。SonicWall已确认该漏洞正在被恶意行为者积极利用,并敦促用户立即采取措施降低风险。受影响的设备包括运行版本12.4.3-02804或更早版本的SMA1000系列。SonicWall已发布修补版本(12.4.3-02854)以解决此问题,并建议用户立即升级。作为临时缓解措施,组织应限制AMC和CMC接口的访问权限,仅允许受信任的IP地址访问,并使用网络监控工具检测异常活动。
9. Rails应用程序文件写入漏洞使攻击者可远程执行代码
【Cybersecurity News网站1月23日报道】研究人员发现利用Bootsnap缓存库的Rails应用程序存在一个严重的安全漏洞,该漏洞允许攻击者通过任意文件写入实现远程代码执行(RCE)。Bootsnap自Rails 5.2版本以来一直是默认组件,因此该漏洞影响广泛。漏洞源于用户可控制文件路径和内容,从而将恶意文件写入服务器任意位置。尽管生产环境中的Docker容器限制了可写目录(如/tmp、db和log),但攻击者可通过定位特定目录(如tmp/cache/bootsnap)绕过限制。Bootsnap缓存文件包含已编译的Ruby代码,攻击者可覆盖这些文件并在应用程序启动时触发恶意代码执行。利用过程包括:识别目标文件、生成恶意缓存、写入恶意缓存、重启应用程序并执行恶意代码。研究人员建议采取缓解措施,如限制可写目录、验证用户输入、监控缓存文件以及更新依赖项至最新版本。
10. Next.js框架漏洞导致网站遭受缓存中毒和XSS攻击
【Cybersecurity News网站1月23日报道】流行的Next.js框架中发现了一个严重漏洞(CVE-2024-46982),该漏洞使网站面临缓存中毒和存储型跨站点脚本(XSS)攻击的风险。该漏洞的CVSS评分为7.5(高),影响13.5.1至14.2.9版本的Next.js,主要涉及使用非动态服务器端渲染(SSR)路由的页面路由器。漏洞源于Next.js处理getServerSideProps和getStaticProps的方式,攻击者可通过特制HTTP请求操纵缓存机制,注入恶意内容。利用某些标头(如x-now-route-matches)或内部URL参数(__nextDataReq),攻击者可绕过缓存控制规则,导致缓存中毒或存储型XSS攻击。攻击者可通过缓存中毒实施拒绝服务(DoS)攻击,向缓存注入恶意JSON对象,使用户访问受感染页面时看到错误内容。此外,攻击者还可通过反射用户输入(如用户代理字符串或Cookie)将恶意脚本注入缓存,执行XSS攻击以窃取数据或接管账户。Next.js团队已在13.5.7和14.2.10版本中修复该漏洞,建议开发人员立即升级。
11. Palo Alto防火墙曝严重漏洞,黑客可绕过安全启动并操控固件
【CybersecurityNews网站1月23日报道】Palo Alto Networks防火墙设备被发现存在一系列严重漏洞,可能使攻击者绕过安全启动保护、利用固件级漏洞并获取提升权限,从而在目标网络中实现持久控制。Eclypsium研究人员指出,这些漏洞影响包括PA-3260、PA-1410和PA-415在内的多款广泛部署的防火墙型号,涉及安全启动绕过、固件风险及硬件保护配置错误等问题。其中最严重的漏洞与BootHole(GRUB2引导加载程序缺陷)相关,攻击者可利用该漏洞绕过安全启动保护。结合其他漏洞(如CVE-2024-0012和CVE-2024-9474),攻击者可获取root权限并安装持久性恶意软件。此外,PA-3260平台的固件存在六个高权限系统管理模式(SMM)漏洞,而PA-1410和PA-415则易受PXE网络启动过程中的PixieFail漏洞影响,可能导致远程代码执行(RCE)。Eclypsium建议企业立即采取缓解措施,包括更新固件、加强供应链安全、监控设备完整性、实施网络分段以及限制管理访问权限。这些漏洞凸显了安全设备在供应链和固件完整性方面的脆弱性,供应商需加强防御以应对现代攻击技术。
12. QNAP修复HBS备份应用中的六个rsync漏洞,防止远程代码执行
【BleepingComputer网站1月23日报道】QNAP修复了其HBS 3 Hybrid Backup Sync备份与灾难恢复解决方案中的六个rsync漏洞,这些漏洞可能允许攻击者在未修补的网络附加存储(NAS)设备上执行远程代码。受影响的漏洞包括CVE-2024-12084(堆缓冲区溢出)、CVE-2024-12085(信息泄露)、CVE-2024-12086(服务器泄露客户端文件)、CVE-2024-12087(路径遍历)、CVE-2024-12088(绕过安全链接)和CVE-2024-12747(符号链接竞争条件)。QNAP建议用户将HBS 3 Hybrid Backup Sync更新至25.1.4.952版本以修复这些漏洞。攻击者可通过组合这些漏洞形成攻击链,利用匿名读取访问权限在目标设备上执行任意代码。尽管Shodan搜索显示超过70万个IP地址暴露了rsync服务器,但成功利用漏洞需要有效凭据或配置为匿名连接的服务器。此次修复凸显了NAS设备在网络安全方面的脆弱性,用户应及时更新软件以防止潜在攻击。
风险预警
13. Ivanti云服务设备中的连锁漏洞引发严重网络攻击
【Infosecurity Magazine网站1月23日报道】威胁行为者正在积极利用Ivanti云服务设备(CSA)中的连锁漏洞(CVE-2024-8963、CVE-2024-9379、CVE-2024-8190和CVE-2024-9380),以破坏系统、执行远程代码(RCE)、窃取凭据并部署Webshell。美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)联合发布报告,指出攻击者通过两种不同的漏洞链实现其目标,放大了攻击的影响。CISA和FBI建议使用Ivanti CSA的组织立即升级到最新支持版本,监控入侵指标(IOC),并将受感染系统上的凭据视为可能暴露。特别需要注意的是,Ivanti CSA 4.6版本已过期且不再接收安全更新,极易受到攻击。此外,CISA建议实施多因素身份验证、及时修补和端点监控等措施以加强防御。
14. 专家发现Morpheus与HellCat勒索软件共享代码库
【The Hacker News网站1月23日报道】SentinelOne的安全研究员Jim Walter发现,Morpheus和HellCat勒索软件的负载样本在代码库上完全相同,表明这两个勒索软件操作的附属机构可能共享相同的代码库或构建器应用程序。这两种勒索软件分别于2024年10月和12月出现,均未修改加密文件的扩展名,而是使用Windows加密API生成密钥并加密文件。Morpheus和HellCat的赎金记录与2023年出现的Underground Team勒索软件模板相似,尽管其负载在结构和功能上有所不同。Trustwave指出,勒索软件生态系统正日益分散化,小型、敏捷的威胁组织正在崛起。NCC Group数据显示,2024年12月发生了创纪录的574起勒索软件攻击,其中FunkSec组织最为活跃。
其他动态
15. 参议院确认约翰·拉特克利夫担任中央情报局局长
【Nextgov网站1月23日报道】参议院以74票对25票确认约翰·拉特克利夫为中央情报局(CIA)局长。拉特克利夫曾在特朗普第一任期内担任国家情报总监,因其将情报评估政治化而引发争议。他在2020年大选前解密了一份中情局备忘录,指控俄罗斯情报部门试图转移对希拉里·克林顿电子邮件服务器争议的注意力,此举遭到时任中情局局长吉娜·哈斯佩尔等人的反对。拉特克利夫在参议院情报委员会的确认听证会上承诺,将确保中情局的分析“深刻、客观、全面”,不受政治或个人偏见影响。中情局在比尔·伯恩斯领导下,曾在以色列-哈马斯停火谈判和乌克兰战争中发挥重要作用,拉特克利夫上任后可能面临类似任务。特朗普对情报界的怀疑源于其对2016年大选俄罗斯干预调查的不满,认为情报机构存在政治偏见。特朗普近期签署行政命令,撤销了50名前国家安全和情报官员的安全许可,要求国家情报总监调查与2020年一封质疑亨特·拜登笔记本电脑真实性的信件相关的“不当活动”。
16. 五角大楼将启动非地面网络和协议研究
【DefenseScoop网站1月23日报道】美国国防部即将启动一项关于非地面网络(NTN)及其协议的新研究,旨在推动通信和数据传输能力的现代化,并支持联合全域指挥与控制(JADC2)等作战概念的实施。国防部首席信息官办公室C3基础设施主管迈克·迪恩表示,该研究将利用5G的可扩展性和网络管理灵活性,提升通信架构的性能。研究计划将在几周内启动,涵盖国防部内部多个利益相关者以及工业界的参与。五角大楼希望通过此次研究了解当前能力和发展方向,制定相关政策、资源要求和架构框架,以避免未来出现技术不兼容问题。国防部正在推进多项非地面网络相关计划,例如太空发展局的“扩散式战斗机空间架构”项目,旨在通过低地球轨道卫星群实现数据传输和导弹跟踪。此外,5G和“FutureG”计划也在推动新型无线技术的应用,以减少延迟、提高吞吐量,并支持前沿部队的通信需求。
2025-01-17
2025-01-20
2025-01-21
2025-01-22
2025-01-23
