2025-01-21 星期二 Vol-2025-018
1. 特朗普推行管道网络规则,TSA 负责人被要求离职
2. 北约启动波罗的海任务,美及北欧-波罗的海盟友聚焦海底电缆安全
4. 欧洲刑警组织呼吁访问加密数据,引发隐私争议
5. 黑客声称窃取HPE源代码,公司正调查违规指控
6. 前中情局分析师承认泄露绝密文件
7. 法律制裁下的Telegram:杜罗夫承认平台面临严峻挑战
8. 人工智能取代程序员:代码开发的新现实
9. Azure DevOps漏洞曝光:CRLF注入与DNS重新绑定攻击风险
10. ChatGPT爬虫漏洞曝光:攻击者可对任意网站发起DDoS攻击
11. 微软修复 Windows Server 2022中导致多NUMA节点设备无法启动的漏洞
12. 研究人员利用ChatGPT发现红牛S3 Bucket接管漏洞
13. 不安全的隧道协议暴露420万台主机,包括VPN和路由器
14. 摩根大通CISO分享应对金融领域网络威胁与监管挑战的策略
15. 社交媒体安全公司Spikerz融资700万美元
政策法规
1. 特朗普推行管道网络规则,TSA 负责人被要求离职
【Nextgov网站1 月 20 日报道】美国运输安全管理局(TSA)局长戴维·佩科斯克被特朗普过渡团队要求辞去职务,其任期将于 1 月 20 日中午结束。佩科斯克自 2017 年起担任 TSA 局长,并于 2022 年获得连任。他在任期内推动了多项管道和铁路网络安全指令,特别是针对2021 年殖民管道黑客事件后的一系列网络安全规则。佩科斯克最近还监督了 2024 年 11 月发布的拟议规则制定通知,要求管道、货运铁路和客运铁路运营商建立网络安全风险管理计划。这些规则旨在加强地面交通领域的网络安全防护。然而,随着特朗普政府的上台,联邦网络安全政策可能面临调整。特朗普提名的国土安全部长候选人克里斯蒂·诺姆曾表示,网络安全和基础设施安全局(CISA)应缩小规模并放弃打击虚假信息的努力。目前尚不清楚特朗普政府将如何调整现有的网络安全法规。
2. 北约启动波罗的海任务,美及北欧-波罗的海盟友聚焦海底电缆安全
【Industrial Cyber网站1月20日报道】北约启动“波罗的海哨兵”行动,旨在加强波罗的海地区关键基础设施的安全,特别是海底电缆的保护。此举是为了应对近期波罗的海海底电缆遭破坏的事件。美国副国家安全顾问安妮·诺伯格与丹麦、爱沙尼亚、芬兰等北欧-波罗的海国家代表举行会议,重点讨论加强合作以保护海底电缆等关键基础设施。会议强调了通过北约加强务实合作的重要性,并重申了《关于数字互联世界中海底电缆安全性和弹性的纽约联合声明》的承诺。与会各方还讨论了建立实时态势感知共享机制、优化维修设备进出口流程以及加强公私合作等具体措施。北约秘书长马克·吕特表示,将通过部署新技术和整合国家监视资产,提高保护关键基础设施的能力。海底电缆是全球互联网和电信的骨干,处理约99%的洲际数据流量。然而,其战略重要性使其成为监控和破坏的目标,尤其是在地缘政治紧张局势加剧的背景下。美国国土安全部近期发布的白皮书也强调了加强海底电缆安全性和弹性的必要性。
4. 欧洲刑警组织呼吁访问加密数据,引发隐私争议
【SecurityLab网站1月20日报道】欧洲刑警组织主席凯瑟琳·德博勒在达沃斯世界经济论坛上呼吁大型科技公司与执法机构加强合作,允许警方访问加密数据以打击犯罪。德博勒强调,匿名并非基本权利,执法部门需要获取加密信息以确保民主原则的遵守。然而,这一立场遭到数字权利专家的强烈反对。他们认为,匿名是言论自由的重要组成部分,且在加密系统中创建“后门”可能导致安全漏洞,反而被犯罪分子利用。科技公司如苹果、Meta(WhatsApp所有者)和Signal也拒绝削弱加密系统,认为这会损害用户隐私和安全。欧洲刑警组织近年来在打击勒索软件、贩毒等犯罪活动中取得显著成效,但扩大对私人通信的访问权限仍面临争议。一些欧盟国家对此持怀疑态度,导致相关立法进展缓慢。德博勒还呼吁在调查中扩大人工智能的使用,以应对混合威胁。
安全事件
5. 黑客声称窃取HPE源代码,公司正调查违规指控
【BleepingComputer网站1月20日报道】惠普企业(HPE)正在调查一起新的网络安全事件。一名名为IntelBroker的黑客组织声称从HPE的开发环境中窃取了大量文件,包括API访问权限、GitHub存储库、Zerto和iLO源代码、Docker版本以及用户个人信息。HPE发言人Clare Loxley表示,公司已于1月16日获悉此事,并立即启动了网络响应协议,禁用了相关凭证,同时展开调查。目前,HPE尚未发现安全漏洞的证据,也未发现客户信息受到影响。IntelBroker还声称,他们在2024年2月1日从HPE系统中窃取了另一批数据,包括凭证和访问令牌。HPE当时也进行了调查,但未发现违规证据。IntelBroker因多次攻击知名企业和机构而闻名,包括入侵DCHealthLink、诺基亚、思科、AMD等。HPE近年来多次成为网络攻击的目标,例如2018年APT10黑客组织入侵其系统,2021年ArubaCentral平台数据泄露,以及2023年Microsoft Office 365电子邮件环境遭APT29组织攻击。此次事件再次凸显了HPE面临的网络安全挑战。
6. 前中情局分析师承认泄露绝密文件
【Infosecurity Magazine网站1月20日报道】前中央情报局(CIA)分析师阿西夫·威廉·拉赫曼(AsifWilliamRahman)承认两项故意保留和传输国防相关机密信息的指控,面临最高10年监禁。拉赫曼在社交媒体上分享了两份绝密文件,内容涉及以色列对伊朗导弹袭击的反击计划,随后试图通过销毁电子设备掩盖其行为。拉赫曼自2016年起担任CIA雇员,他多次访问和打印机密文件,带回家中修改以掩盖来源,并于2024年11月18日打印文件后于次日分享至社交媒体。为隐藏行为,他删除并编辑了相关内容,并伪造日记条目。他还销毁了用于上传信息的智能手机和路由器,并将其丢弃在公共垃圾箱中。拉赫曼于2024年11月7日被起诉,五天后被FBI逮捕并拘留至今。此案与五角大楼泄密者杰克·特谢拉(Jack Teixeira)的案件类似,后者因泄露乌克兰作战计划等机密信息于2024年11月被判处15年监禁。拉赫曼的案件再次凸显了情报机构内部安全措施的漏洞。
7. 法律制裁下的Telegram:杜罗夫承认平台面临严峻挑战
【SecurityLab网站1月20日报道】Telegram创始人帕维尔·杜罗夫在法国调查人员的审讯中首次承认,其平台在犯罪活动中被广泛利用,并面临严重的审核和财务问题。此次审讯是杜罗夫自2024年8月被捕以来最深入的一次,调查人员重点关注了Telegram在贩毒、人口贩卖和诈骗等犯罪活动中的作用。杜罗夫解释称,Telegram缺乏强制用户验证是其快速增长的副作用,尽管平台每月屏蔽约2000万个账户和200万个频道,但仍难以完全遏制非法内容。他还提到,犯罪组织曾利用“附近的人”功能协调活动,导致该功能被迫关闭。此外,Telegram目前面临20亿美元的债务,财务压力巨大。法国调查人员计划进一步审讯杜罗夫,重点审查Telegram的内容审核和删除机制。此次事件凸显了加密通讯平台在平衡用户隐私与打击犯罪活动之间的复杂挑战。
8. 人工智能取代程序员:代码开发的新现实
【SecurityLab网站1月20日报道】人工智能编程工具正经历第二波发展,逐渐承担起程序员的部分职责,从根本上改变了软件开发的方式。谷歌等大公司已开始利用AI生成代码,显著加速开发流程。AI工具能够分析数千个文件的代码库、测试假设并提出改进建议,使程序员更多扮演代码管理员的角色,而非直接编写代码。初创公司如Cosine、Poolside和Zencoder正在开发专注于编程数据的AI技术,通过“过程重建”和强化学习(如RLCE)等方法提高代码质量。这些技术使AI能够理解代码创建的逻辑,并根据上下文生成优化方案。此外,专门针对编程数据训练的语言模型进一步提升了AI的准确性和效率。开发自动化正在改变行业格局,现代工具允许同时开发多个软件版本并自动修复错误,减少了对大规模程序员团队的依赖。专家预测,未来软件开发将更加依赖计算系统的能力,而非人力。
漏洞预警
9. Azure DevOps漏洞曝光:CRLF注入与DNS重新绑定攻击风险
【Cybersecurity News网站1月20日报道】安全研究人员发现微软Azure DevOps平台存在多个严重漏洞,可能导致攻击者注入CRLF查询并执行DNS重新绑定攻击。这些漏洞由Binary Security团队在与客户合作期间发现,凸显了该开发平台的安全风险。第一个漏洞存在于Azure DevOps的“endpointproxy”功能中,允许攻击者通过服务器端请求伪造(SSRF)与内部元数据服务通信,从而泄露敏感信息。第二个漏洞位于Service Hooks功能中,可导致SSRF和CRLF注入,攻击者能够注入任意HTTP标头并操纵出站请求。此外,研究人员发现“endpointproxy”漏洞的初始修复可通过DNS重新绑定技术绕过,这种攻击方法通过操纵DNS记录将恶意主机名解析为不同IP地址,可能访问内部网络资源。这些漏洞的利用可能导致未经授权访问内部服务、数据泄露,甚至远程代码执行。微软已承认漏洞并向研究人员提供总计15,000美元的奖励。Azure DevOps用户需确保系统更新至最新安全补丁,并实施强身份验证机制、定期审核访问控制及监控异常网络活动以降低风险。
10. ChatGPT爬虫漏洞曝光:攻击者可对任意网站发起DDoS攻击
【Cybersecurity News网站1月20日报道】OpenAI的ChatGPT API被发现存在严重爬虫漏洞,攻击者可利用该漏洞对任意网站发起分布式拒绝服务(DDoS)攻击。该漏洞由研究人员Benjamin Flesch披露,涉及ChatGPT API处理HTTP POST请求的方式,具体指向端点https://chatgpt[.]com/backend-api/attributions。由于API未对重复超链接进行检查,也未限制可提交的URL总数,攻击者可通过操纵URL参数生成大量请求,利用ChatGPT爬虫运行的多个Microsoft Azure IP地址范围对目标网站发起DDoS攻击。漏洞的技术细节显示,API在收到请求后会立即向每个超链接发送HTTP请求,且未限制并发请求数量或频率,导致目标网站可能因流量过大而服务中断。尽管漏洞已于1月被发现并通知OpenAI和微软,但截至1月10日,双方均未作出回应。
11. 微软修复 Windows Server 2022中导致多NUMA节点设备无法启动的漏洞
【 BleepingComputer 网站 1月20日报道】微软近日修复了Windows Server 2022中的一个严重漏洞,该漏洞导致某些配置两个或更多 NUMA(非统一内存访问)节点的服务器无法正常启动。NUMA是一种优化多处理器系统性能的内存架构,广泛应用于企业计算和高性能计算(HPC)领域。该架构通过为每个处理器分配“本地”内存以加快访问速度,而访问“远程”内存时则相对较慢。微软在支持文档 KB5052819中解释了这一问题,并发布了相关更新。此外,微软还推出了服务堆栈更新(SSU)KB5050117,以增强系统更新组件的稳定性和可靠性。此前,微软已多次修复Windows Server 的类似问题。例如,2024年9月修复了Windows Server 2019因8月安全更新导致的启动失败和性能问题;2025年11月解决了Windows Server 2025设备在安装和升级过程中出现的蓝屏死机(BSOD)问题。目前,微软仍在努力修复Windows Server 2025在iSCSI环境中出现的“启动设备无法访问”错误。
风险预警
12. 研究人员利用ChatGPT发现红牛S3 Bucket接管漏洞
【GBHackers网站1月20日报道】一名安全研究人员通过红牛漏洞赏金计划,利用ChatGPT编写域监控脚本,成功发现了一个严重的AmazonS3存储桶接管漏洞。该漏洞源于配置错误的S3存储桶,允许公开写入权限,可能导致攻击者完全接管存储桶并上传任意文件。研究人员使用ChatGPT开发的Python脚本,通过TelegramAPI实时监控红牛漏洞赏金计划范围内的域名变化。脚本在发现新域名后,研究人员迅速展开调查,发现与之关联的S3存储桶存在公共写入权限。通过上传测试文件,研究人员成功验证了该漏洞,并向红牛安全团队报告。红牛团队迅速响应并修复了漏洞,研究人员因此获得了三罐红牛作为奖励。此次发现不仅展示了自动化工具在漏洞挖掘中的高效性,也凸显了配置错误可能带来的严重安全风险。研究人员强调,实时监控漏洞赏金计划的变化对于发现潜在漏洞至关重要,而ChatGPT等技术的应用为安全研究提供了新的可能性。
13. 不安全的隧道协议暴露420万台主机,包括VPN和路由器
【The Hacker News 网站1月20日报道】一项由Top10VPN与鲁汶大学教授Mathy Vanhoef合作的研究发现,多种隧道协议(如IP6IP6、GRE6、4in6和6in4)存在严重安全漏洞,可能导致420万台主机暴露于攻击风险中。这些主机包括VPN服务器、ISP家庭路由器、核心互联网路由器、移动网络网关和内容交付网络(CDN)节点,其中中国、法国、日本、美国和巴西受影响最严重。这些漏洞源于隧道协议缺乏身份验证和加密机制(如IPsec),攻击者可利用恶意数据包注入隧道,伪造源IP地址并绕过网络过滤器。成功利用漏洞可能导致拒绝服务(DoS)攻击、单向代理滥用以及对专用网络的未授权访问。研究团队为此分配了多个CVE标识符,包括CVE-2024-CVE-2024-7596、CVE-2025-23018和CVE-2025-23019。为防御此类攻击,建议使用IPsec或WireGuard提供身份验证和加密,仅接受来自可信来源的隧道数据包,并在网络设备上实施深度数据包检测(DPI)和流量过滤。此次研究再次凸显了隧道协议安全性的重要性,以及未加密流量可能带来的严重风险。
14. 摩根大通CISO分享应对金融领域网络威胁与监管挑战的策略
【Infosecurity Magazine网站1月20日报道】摩根大通全球首席信息安全官(CISO)Pat Opet在接受采访时,分享了该银行在应对日益复杂的网络威胁和监管要求方面的经验。Opet强调,金融机构面临的威胁包括勒索软件攻击、第三方供应链漏洞以及地缘政治冲突带来的风险。Opet指出,勒索软件攻击者正变得更加老练,利用自动化工具大规模攻击易受攻击的目标。此外,第三方供应链的漏洞和地缘政治冲突也加剧了威胁环境。为应对这些挑战,摩根大通采取了多种措施,包括加强对关键第三方的渗透测试、建立专门的情报和安全运营部门,以及推动开源和商业软件的安全性改进。在监管合规方面,Opet提到欧盟《数字运营弹性法案》(DORA)的报告要求非常繁琐,增加了企业的负担。他呼吁监管机构加强协调,避免过度分散的监管要求。此外,Opet强调了建立强大网络安全文化的重要性,通过自动化威胁建模和生成式AI工具,摩根大通能够更高效地识别和控制风险。Opet认为,网络安全行业的最大成功在于信息共享,但政策制定者需注意避免过度报告义务对信息共享的负面影响。他建议其他CISO关注细节,深入理解系统和软件,以有效应对故障和威胁。
其他动态
15. 社交媒体安全公司Spikerz融资700万美元
【SecurityWeek网站1月20日报道】社交媒体安全初创公司Spikerz在种子轮融资中成功筹集700万美元。本轮融资由Disruptive AI领投,Horizon Capital、Wix Ventures、Storytime Capital和BDMI等现有投资者跟投。Spikerz专注于为社交媒体团队和影响者提供安全解决方案,帮助其追踪和消除网络钓鱼攻击、诈骗、虚假账户和恶意机器人等威胁。此外,Spikerz还提供工具以识别和解决账户被“影子封禁”(shadowban)的问题。公司首席执行官Naveh Ben Dror表示,随着恶意行为者利用生成式AI(GenAI)技术,社交媒体账户面临的风险日益增加,Spikerz致力于通过AI工具和网络安全专业知识保护用户账户。此次融资将用于加速平台开发、扩展全球市场并加强团队建设。
2025-01-13
2025-01-14
2025-01-16
2025-01-17
2025-01-20
