点击蓝字·关注我们 / aqniu
新闻速览
•44项网络安全国家标准正式立项,涉及密码、零信任等领域
•助长网络犯罪遭重罚!DDoS压力测试平台Dstat.cc被德国警方查封
•新兴勒索组织Interlock瞄准FreeBSD系统展开攻击
•全球身份欺诈威胁态势调查:社交媒体攻击激增至28%
•Okta紧急修复重大安全漏洞,或导致长用户名账户被入侵
•双重零日漏洞袭击PTZOptics摄像机,多个重要行业或受影响
•Opera修复 "CrossBarking"攻击漏洞,私有API滥用引发关注
•微软修复Azure AI内容安全服务中的多个严重漏洞
•Fortinet联合发布新一代全方位SASE安全解决方案
特别关注
44项网络安全国家标准正式立项,涉及密码、零信任等领域
日前,全国网络安全标准化技术委员会发布通知,正式印发已经完成立项工作的44项网络安全国家标准清单。通知要求,各标准工作组应按照国家标准委和委员会相关规定,认真做好项目的指导工作,监督好各项目的实施进度,各项目牵头单位应做好项目的研制工作。以下是44项网络安全国家标准项目立项清单:
44项网络安全国家标准项目立项清单
原文链接:
https://mp.weixin.qq.com/s/rjOf42egFMmaaA-uS-nYaA
网络攻击
助长网络犯罪遭重罚!DDoS压力测试平台Dstat.cc被德国警方查封
11月1日,作为国际执法行动“Operation PowerOFF”的一部分,长期助长分布式拒绝服务(DDoS)攻击的评测平台Dstat.cc被执法部门查封。这次行动由德国法兰克福总检察长办公室下属的网络犯罪中央办公室(ZIT)、黑森州刑事警察局(HLKA)和联邦刑事警察局(BKA)共同领导。
虽然Dstat.cc本身并不提供DDoS攻击服务,但它通过允许威胁行为者展示其DDoS攻击能力的有效性,并为不同类型的攻击提供评论和建议,从而助长了此类攻击。该平台还运营着一个拥有6600名成员的同名Telegram频道,威胁行为者经常在此讨论最新攻击或提供服务。BleepingComputer已确认该Telegram频道的所有消息已被清除,并被锁定以防止新的讨论。
德国警方表示,该平台使得即使没有高级技术技能的用户也能执行DDoS攻击,从而中断或禁用在线服务。压力测试服务最近在警方调查中引起了关注,经常被Killnet等黑客组织使用。黑客组织Killnet就会经常利用Dstat.cc展示他们的攻击能力。
近年来,DDoS攻击在报复、勒索和黑客主义中的使用有所增加。然而,DDoS攻击在大多数司法管辖区都是非法的,属于可被处罚的犯罪。当这些服务的基础设施落入警方手中时,会被检查取证证据,以确定购买访问权限并DDoS攻击者的身份。
原文链接:
https://www.bleepingcomputer.com/news/security/ddos-site-dstatcc-seized-and-two-suspects-arrested-in-germany/
新兴勒索组织Interlock瞄准FreeBSD系统展开攻击
近期,一个名为Interlock的新兴勒索软件组织引起了网络安全界的关注。该组织采取了一种不同寻常的策略,专门开发了针对FreeBSD服务器的加密程序,对全球企业组织发起攻击。
Interlock的攻击活动于2024年9月底首次被发现,迄今已声称对6个组织实施了攻击,并在其数据泄露网站上公布了未支付赎金的受害者数据。但值得注意的是,Interlock创建了针对FreeBSD的加密程序,这在勒索软件领域并不常见。网络安全公司Trend Micro的研究人员表示,攻击者之所以选择FreeBSD,很可能是因为该操作系统广泛应用于服务器和关键基础设施中。攻击这些系统可能会造成广泛的破坏,从而迫使受害者支付高额赎金。
Interlock勒索软件的Windows版本在加密文件时会将.interlock扩展名添加到所有加密文件名中,并在每个文件夹中创建一个名为"!__README__!.txt"的赎金通知。在进行攻击时,Interlock会入侵企业网络,从服务器窃取数据,同时横向扩散到其他设备。完成后,攻击者会部署勒索软件加密网络上的所有文件。窃取的数据被用作双重勒索攻击的一部分,威胁如果不支付赎金就公开泄露数据。
据了解,Interlock勒索软件组织要求的赎金金额从数十万美元到数百万美元不等,具体取决于受害组织的规模。
原文链接:
https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/
全球身份欺诈威胁态势调查:社交媒体攻击激增至28%
身份验证和管理技术厂商AU10TIX日前发布了2024年第三季度全球身份欺诈观察报告。该报告基于2024年7月至9月期间处理的数百万笔全球交易,揭示了大规模有组织身份欺诈的重要趋势。
报告显示,针对社交媒体平台的自动化机器人攻击激增。第三季度,社交媒体领域占所有攻击的28%,相比第一季度的3%大幅上升。报告还揭示了AI驱动的模仿机器人和深度伪造技术的复杂程度超出预期,包括能够绕过一些领先验证系统的合成自拍。
研究人员认为,欺诈者正以前所未有的速度进化,利用AI来扩大和执行攻击,尤其是在社交媒体和支付领域。虽然企业组织正在使用AI来加强安全性,但犯罪分子正在将同样的技术武器化,创造合成自拍和假文件,使检测难度进一步增加。
报告提出了三个可行的建议来帮助组织防范身份欺诈:
采用基于行为的检测,分析用户行为和流量模式;
以AI对抗AI,利用AI驱动的解决方案来应对这些威胁;
为合成自拍做好准备,增强检测系统以发现这些新形式的欺诈。
原文链接:
https://www.darkreading.com/cyber-risk/au10tix-q3-2024-global-identity-fraud-report-detects-skyrocketing-social-media-attacks
漏洞预警
Okta紧急修复重大安全漏洞,或导致长用户名账户被入侵
身份访问安全知名企业Okta近日发布公告称,已紧急修复了其AD/LDAP委托认证系统中的一个严重漏洞。该漏洞可能导致未经授权的用户账户访问。据介绍,这个漏洞是今年7月的一次常规平台更新中引入,影响了Okta的AD/LDAP DelAuth认证的缓存密钥生成机制。问题源于使用Bcrypt算法通过哈希用户ID、用户名和密码的组合来创建缓存密钥。
这个严重漏洞特别影响长度为52个字符或更长的用户名。在某些条件下,这种实现可能允许仅使用与先前缓存的成功登录尝试匹配的用户名进行身份验证,从而有效地绕过了密码验证。漏洞可能在两种情况下被触发:当认证代理宕机且无法访问时,或在高流量期间。在这些情况下,委托认证系统会优先查找缓存,可能导致未授权访问。
Okta的安全团队于10月30日内部发现了这个漏洞,并立即采取了修复措施。修复方案包括将缓存密钥生成的Bcrypt算法替换为PBKDF2。目前,补丁已经正式发布并被部署到了Okta的生产环境中。Okta强烈建议受影响的客户审计2024年7月23日至2024年10月30日期间的系统日志,以识别潜在的未授权访问尝试。
原文链接:
https://cybersecuritynews.com/okta-ad-ldap-authentication-vulnerability/
双重零日漏洞袭击PTZOptics摄像机,多个重要行业或受影响
近日,网络安全研究公司GreyNoise的研究人员警告,黑客正在积极利用PTZOptics全景摄像机(PTZ)中的CVE-2024-8956和CVE-2024-8957两个零日漏洞。GreyNoise是在使用其基于LLM的威胁搜寻工具调查一个漏洞利用时发现了这两个漏洞。这些受影响的IoT直播摄像机广泛应用于工业运营、医疗检查等敏感环境中。
CVE-2024-8956(CVSS评分9.1)是一个身份验证机制不足的漏洞,可能允许攻击者访问敏感信息,如用户名、MD5密码哈希值和配置数据。CVE-2024-8957(CVSS评分7.2)则是一个操作系统命令注入漏洞。攻击者可以利用CVE-2024-8956触发此漏洞,在受影响的摄像机上执行任意操作系统命令,从而可能完全控制系统。
这些漏洞影响使用VHD PTZ摄像机固件<6.3.40版本的多个制造商的NDI支持全景摄像机,包括PTZOptics、Multicam Systems SAS和SMTAV Corporation基于海思Hi3516A V600 SoC V60、V61和V63的设备。攻击者可以利用这些漏洞完全控制设备,查看或篡改视频流,并破坏敏感会话。被入侵的摄像机还可能被添加到僵尸网络中,用于执行拒绝服务攻击。此外,攻击者可以提取网络详细信息以渗透连接的系统,增加数据泄露和勒索软件攻击的风险。
目前,PTZOptics已发布了解决这些漏洞的固件更新。使用受影响设备的组织应立即采取行动,修补已发现的漏洞并保护其系统。
原文链接:
https://securityaffairs.com/170456/hacking/ptzoptics-cameras-flaws-exploited.html
Opera修复 "CrossBarking"攻击漏洞,私有API滥用引发关注
近日,网络安全研究公司Guardio披露了一种名为"CrossBarking"的新型浏览器攻击方法,该攻击可能会危及Opera浏览器用户的隐私和安全。这种攻击利用了Opera浏览器中的"私有"应用程序接口(API),使攻击者能够完全控制受害者的浏览器。
Opera浏览器为某些特定的第三方域名(如Instagram、Atlassian、Yandex和VK等)以及其内部开发域名保留了"私有"API。这些API通常只对最受信任的网站开放,为开发人员提供特殊且强大的功能。然而,Guardio的研究人员发现,黑客可以利用一些已被修复的漏洞来访问这些私有API,从而获得更改设置、劫持账户、禁用安全扩展、添加恶意扩展等一系列权限。
研究人员通过开发一个名为"CrossBarking"的概念验证攻击来展示了这一漏洞的危险性。由于Opera允许用户下载Chrome扩展,研究人员开发了一个Chrome扩展而非Opera扩展。如果用户安装了这个扩展并访问了具有私有API访问权限的网站,它就会执行直接脚本注入攻击,运行恶意代码并获取这些私有API提供的任何权限。
Opera目前已经采取了修复措施,阻止任何扩展在具有私有API访问权限的域上运行脚本。这一事件再次提醒了浏览器厂商需要全面考虑整个生态系统的安全性,而不仅仅是单一漏洞。
原文链接:
https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users
微软修复Azure AI内容安全服务中的多个严重漏洞
Azure AI内容安全服务是微软公司推出的一项基于云的服务,旨在帮助开发人员为AI应用程序创建安全防护,通过检测和管理不当内容来过滤有害内容。Azure OpenAI使用大型语言模型(LLM)与Prompt Shield和AI文本审核防护机制来验证输入和AI生成的内容。
然而,英国人工智能安全公司Mindgard的研究人员发现这些防护机制存在多个严重的漏洞。攻击者可以绕过AI文本审核和Prompt Shield防护,向系统注入有害内容,操纵模型的响应,甚至可能泄露敏感信息。
Mindgard的研究人员主要采用了两种攻击技术:字符注入和对抗性机器学习(AML)。字符注入通过注入或替换特定符号或序列来操纵文本,以欺骗模型错误分类内容。AML则通过扰动技术、单词替换、拼写错误等方法操纵输入数据,误导模型的预测。这两种技术有效绕过了AI文本审核防护,分别将检测准确率降低了100%和58.49%。
基于Mindgard的漏洞披露,微软表示目前已部署了"更强大的缓解措施"来减少其影响。对于使用Azure AI内容安全服务的组织来说,建议及时更新安全补丁并实施额外的安全措施至关重要。
原文链接:
https://hackread.com/azure-ai-vulnerabilities-bypass-moderation-safeguards/
产业动态
Fortinet联合发布新一代全方位SASE安全解决方案
在当今动态多变的工作环境中,员工可能从各种设备和地点访问公司数据,这给企业的网络安全带来了巨大挑战。为应对这一问题,Exclusive Networks和Fortinet共同推出了FortiSASE,这是一款全面的安全解决方案,旨在为现代移动办公环境提供全方位保护。
据了解,FortiSASE的核心优势在于其统一的可视性和控制能力。通过单一的管理控制台和操作系统,它为企业提供了无缝的安全体验。该解决方案能够与现有工具无缝集成,同时通过先进的威胁检测和响应功能增强了终端保护。这意味着组织可以在不中断当前系统的情况下,维持强大的安全态势。
值得注意的是,FortiSASE的设计充分考虑了与企业现有安全架构的兼容性。它不仅可以提升整体安全水平,还能确保IT团队能够轻松管理和监控整个网络环境。无论员工身在何处,FortiSASE都能为企业数据提供全面保护,使公司能够安心地支持远程办公和混合工作模式。
原文链接:
https://www.crn.com/sponsored/fortisase-advanced-security-across-all-work-environments