2025-01-13 星期一 Vol-2025-011
1. 美国国税局重启身份保护PIN计划,呼吁纳税人注册以防税务欺诈
2. 工业网络安全:IT与OT环境中的整体网络物理安全策略
3. 谷歌与Linux基金会合作推动Chromium开源生态,重塑浏览器市场未来
4. 暗网市场出售高级私人加密器,威胁网络安全
5. 威胁行为者出售以色列军医院敏感医疗数据,国家安全受威胁
6. 法院驳回对Roskomnadzor在YouTube访问问题中的不作为指控
7. 盗版软件暗藏恶意程序,用户数据与财产安全面临威胁
8. IBM watsonx.ai曝XSS漏洞,用户需紧急升级以防范风险
9. 研究人员通过漏洞发现获Facebook 10万美元赏金
10. GitHub上虚假LDAPNightmare漏洞利用传播信息窃取恶意软件
11. ClatScope信息工具:多功能OSINT实用程序助力快速侦察
12. 中国发布免费电子战设计软件“耀光”,性能远超美国同行
政策法规
1. 美国国税局重启身份保护PIN计划,呼吁纳税人注册以防税务欺诈
【BleepingComputer网站1月11日报道】美国国税局(IRS)重新启动了身份保护个人识别码(IP PIN)计划,并呼吁所有纳税人注册以防范身份盗窃和欺诈性退税。IP PIN是一个六位数的号码,纳税人在提交纳税申报表时必须使用,且每年更新一次。该号码仅由纳税人、会计师和IRS知晓,可有效防止诈骗者利用社会安全号码提交虚假退税申请。此前,IRS在2024年10月已鼓励纳税人加入该计划,但因维护于12月暂停,本周重新开放。已注册的纳税人可通过IRS网站获取2025年的IP PIN,而未注册的纳税人应尽快申请,以避免诈骗者抢先提交虚假退税。IRS特别强调,鉴于近期大规模数据泄露事件导致超过1亿人的社会安全号码外泄,IP PIN计划的重要性更加凸显。纳税人可通过IRS网站或提交15227表格申请IP PIN,建议选择连续注册以每年自动获取新号码。IP PIN免费提供,可显著减少因税务相关身份盗窃带来的麻烦和损失。
2. 工业网络安全:IT与OT环境中的整体网络物理安全策略
【Industrial Cyber网站1月12日消息】随着工业物联网(IIoT)和自动化技术的普及,IT(信息技术)和OT(运营技术)环境的网络物理安全面临前所未有的挑战。工业网络联系了多位网络安全专家,探讨了如何通过整体方法应对这些复杂性。网络物理安全不仅涉及数字组件的保护,还需考虑物理过程的后果,尤其是在关键基础设施中。Nozomi Networks的Sandeep Lota指出,网络物理安全风险与传统IT风险不同,其后果可能直接影响物理系统,甚至危及生命和基础设施。Forescout Technologies的Christina Hoefer强调,OT环境中的设备通常无法像IT设备那样随意重启,因此需要量身定制的安全措施。专家们一致认为,统一的安全框架、风险评估和合规性是确保网络物理安全的关键。IT和OT安全团队需要紧密合作,采用如NIST网络安全框架和IEC 62443等标准框架,并通过持续监控和威胁检测来应对不断变化的威胁。此外,组织需灵活应对动态的监管环境,确保安全措施的有效性和合规性。例如,IEC 62443-2-1:2024标准的更新为全球CPS安全提供了更强大的基础,但组织仍需根据自身运营环境调整实施细节。最终,有效的网络物理安全策略应结合技术、程序和人员培训,以应对数字与物理世界融合带来的多方面威胁。通过详细的资产清单、非侵入式安全评估和定期内部审计,组织可以更好地管理风险并增强系统弹性。
3. 谷歌与Linux基金会合作推动Chromium开源生态,重塑浏览器市场未来
【SecurityLab网站1月12日消息】谷歌与Linux基金会联合发起“基于Chromium的浏览器的支持者”计划,旨在为Chromium开源项目创建可持续生态系统,并为开发者提供经济支持。Chromium是Chrome、Microsoft Edge、Brave等浏览器的核心基础,占据全球浏览器市场约68%的份额。谷歌经理Shruti Sreekanta表示,此举将推动Chromium技术改进,并鼓励更多组织参与开发。尽管谷歌仍是Chromium的主要贡献者(占代码更改的94%),但该项目希望通过多方合作减少对单一公司的依赖。Linux基金会首席执行官Jim Zemlin强调,新团队将为Chromium开发提供资金支持,具体细节尚未公开。微软和Vivaldi等公司已表示支持。然而,Chromium的主导地位引发技术多样性减少的担忧。目前,全球仅剩三种主要浏览器引擎:Google的Blink、Apple的WebKit和Mozilla的Gecko。Firefox(基于Gecko)市场份额仅为2.47%,而Safari(基于WebKit)凭借iOS设备保持17%的份额。Chromium的进一步强化可能加剧浏览器市场的垄断风险,削弱技术多样性。
安全事件
4. 暗网市场出售高级私人加密器,威胁网络安全
【Darkwebinformer网站1月11日报道】威胁行为者kgbcrypter在一个流行的暗网市场上出售一款名为“私人加密器”的高级恶意软件工具。该工具被宣传为能够绕过现代安全机制,包括Chrome、Edge、Firefox等浏览器的警告,以及Windows Defender、SmartScreen等安全功能。其主要特点包括长期的FUD(完全不可检测)状态,最长可达20天;无需额外依赖的独立运行能力;以及支持.NET和C++可执行文件的自定义存根创建。此外,该工具还提供反虚拟机绕过和启动配置等高级功能。定价方面,15天订阅费用为225美元,30天订阅为450美元,而永久使用权则需5000美元,包含EV证书以确保隐秘性。此类工具的存在大大增加了网络犯罪的风险,可能导致恶意软件广泛传播、数据泄露和勒索软件长期潜伏。企业和个人应加强安全防护,及时更新安全解决方案以应对此类威胁。
5. 威胁行为者出售以色列军医院敏感医疗数据,国家安全受威胁
【Dark Web Informer网站1月11日报道】威胁行为者freecss宣称出售超过1TB的敏感医疗文件,据称这些文件来自以色列的三家军医院。泄露的数据涉及驻扎在加沙和黎巴嫩或从这些地区返回的士兵,内容包括患者的姓名、私人电话号码、军人身份证、医疗诊断、治疗记录以及医院机密日志等。卖家暗示这些数据的敏感性可能导致士兵情绪困扰,并以1比特币(BTC)或可协商的价格出售,同时通过外部图库提供预览样本。此次数据泄露可能对以色列的作战安全、个人隐私和国家安全构成重大威胁,包括泄露军事人员详细信息、侵犯个人健康隐私以及为对手提供军事行动情报等。建议受影响的组织立即评估风险并实施事件响应计划,同时通知相关人员采取保护措施,并对威胁行为者采取法律行动以减轻进一步损害。
6. 法院驳回对Roskomnadzor在YouTube访问问题中的不作为指控
【SecurityLab网站1月11日报道】圣彼得堡Krasnogvardeisky地方法院驳回了居民Vadim Matveev对俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)的行政索赔。Matveev指控该部门对自2024年7月以来俄罗斯境内YouTube访问速度持续放缓的问题未采取行动,认为这侵犯了公民获取信息的权利,并违背了宪法规定的意识形态多样性原则。他要求法院宣布Roskomnadzor的行为非法,并恢复对YouTube的正常访问。Roskomnadzor回应称,YouTube访问速度下降是由于谷歌在退出俄罗斯后停止支持其服务器,且该机构无权控制外国资源的技术可用性。法院最终以缺乏证据证明YouTube完全无法使用,以及Roskomnadzor无权对特定域的运行速度采取控制措施为由,驳回了诉讼。值得注意的是,2024年12月,俄罗斯境内YouTube的访问情况进一步恶化,流量降至平时水平的10%,几乎等同于全面封锁。
7. 盗版软件暗藏恶意程序,用户数据与财产安全面临威胁
【SecurityLab网站1月11日报道】趋势科技研究人员发现,假冒安装程序和流行软件的破解版本中通常包含窃取个人信息的恶意软件。许多用户为节省成本,选择下载盗版软件(如Adobe Photoshop或AutoCAD),却可能因此感染信息窃取程序,导致密码、财务信息等重要数据被盗。攻击者通过YouTube、OpenSea、SoundCloud等平台分发恶意文件,并利用Mediafire和Mega.nz等看似安全的网站提供下载链接。这些恶意文件通常体积庞大(高达900MB)、受密码保护,并嵌入LummaStealer、PrivateLoader、MarsStealer等恶意程序,能够绕过标准防病毒软件的检测。使用未经许可的软件可能导致个人数据泄露、账户信息被盗以及财务损失。专家建议用户避免点击可疑链接,并仅从官方来源下载软件以保障安全。
漏洞预警
8. IBM watsonx.ai曝XSS漏洞,用户需紧急升级以防范风险
【Cybersecurity News网站1月12日报道】IBM披露其watsonx.ai平台中存在一个跨站脚本(XSS)漏洞,标识为CVE-2024-49785。该漏洞影响Cloud Pak for Data上的IBM watsonx.ai版本4.8至5.0.3,以及独立安装的IBM watsonx.ai版本1.1至2.0.3。攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码,可能导致功能篡改或凭据泄露。该漏洞的CVSS评分为5.4(中等严重性),攻击复杂度低且需要用户交互。IBM已发布修复版本,建议用户升级至Cloud Pak for Data上的watsonx.ai 5.1.0及以上版本,或独立安装的watsonx.ai 2.1.0及以上版本。尽管尚未发现漏洞被利用的案例,但IBM敦促用户立即升级以降低风险。安全专家强调,及时修补漏洞和定期安全审计是防范此类风险的关键。IBM的快速响应体现了其对安全的重视,但也提醒业界在AI开发和部署中需持续保持警惕,优先考虑安全性。
9. 研究人员通过漏洞发现获Facebook 10万美元赏金
【Security Affairs网站1月12日报道】安全研究员Ben Sadeghipour(@NahamSec)因发现Facebook广告平台中的一个严重漏洞,获得Meta公司10万美元的漏洞赏金。该漏洞允许Sadeghipour通过未修补的Chrome版本在Facebook内部服务器上执行命令,从而完全控制服务器。Sadeghipour于2024年10月通过Meta的漏洞赏金计划报告了该问题,公司迅速承认并修复了漏洞。TechCrunch指出,该漏洞源于Facebook广告服务器使用了存在已知漏洞的Chrome浏览器,Sadeghipour利用无头Chrome浏览器成功劫持了服务器。尽管未进一步测试漏洞的全部潜在影响,但此类漏洞可能被威胁行为者利用,破坏公司内部基础设施。Sadeghipour此前因在Apple漏洞赏金计划中报告55个漏洞而获得数十万美元奖励,展现了其在安全研究领域的卓越能力。此次事件再次凸显了漏洞赏金计划在提升企业安全性方面的重要性。
风险预警
10. GitHub上虚假LDAPNightmare漏洞利用传播信息窃取恶意软件
【BleepingComputer网站1月11日报道】GitHub上出现了一个伪装成CVE-2024-49113(LDAPNightmare)漏洞概念验证(PoC)的恶意存储库,实际传播信息窃取恶意软件。该存储库看似是从SafeBreach Labs发布的合法PoC分叉而来,但下载的“poc.exe”文件会在执行后释放PowerShell脚本,创建计划任务并从Pastebin获取最终有效载荷。该恶意软件会收集受感染系统的计算机信息、进程列表、目录列表、IP地址和网络适配器信息等,并通过硬编码的FTP凭据将数据上传至外部服务器。趋势科技指出,威胁行为者利用SafeBreach Labs最初博客文章中的错误(将CVE-2024-49113误标为CVE-2024-49112)吸引了更多关注,从而诱骗用户下载恶意文件。专家建议用户在GitHub上下载PoC时需谨慎,验证存储库的真实性,并在执行代码前检查或上传至VirusTotal进行分析,以避免感染恶意软件。
其他动态
11. ClatScope信息工具:多功能OSINT实用程序助力快速侦察
【Dark Web Informer网站1月11日报道】ClatScope信息工具是一款多功能OSINT(开源情报)实用程序,由Joshua M Clatney(Clats97)开发,旨在为调查人员、渗透测试人员等提供快速侦察能力。该工具支持多种功能,包括IP地址查找、电话号码查询、电子邮件分析、用户名搜索、域名/网站查询、密码强度检查等。其主要特点包括:通过Google自定义搜索API进行人名搜索、针对Have I Been Pwned(HIBP)进行数据泄露检查、分析电子邮件标头以及提取网页元数据等。ClatScope还提供用户友好的文本界面和自定义配色方案,便于操作和结果展示。用户需配置Google Custom Search API和HIBP API密钥以充分利用其功能。该工具通过查询公共API和在线资源,能够快速收集和分析目标信息,是网络安全和情报收集领域的实用工具。
12. 中国发布免费电子战设计软件“耀光”,性能远超美国同行
【SecurityLab网站1月11日报道】中国电子科技大学李斌教授领导的团队开发了一款名为“耀光”的免费武器设计软件,其在速度和内存效率方面显著优于美国同类产品。该软件能够在12分钟内完成多频段相控阵天线的辐射分析,而美国行业标准软件Ansys HFSS需要三小时才能完成类似任务。此外,“耀光”在分析航空母舰电磁弹射器的电磁特性时,结果比美国软件详细50%,计算时间减少三分之一。该软件已免费开放数月,作为中国关键技术开发计划的一部分,正在工业设计中广泛应用。专家估计,“耀光”将使中国开发人员在相同计算能力下,理论验证设计的速度提高15倍,为新一代电子战系统的开发提供显著优势。
2025-01-07
2025-01-08
2025-01-09
2025-01-10
2025-01-11
