2025-01-23 星期四 Vol-2025-020
1. GAO报告:美国海上货物安全需加强评估措施
2. 特朗普赦免“丝绸之路”创始人罗斯·乌布利希
3. 业界启动1000亿美元AI基础设施建设以保持领先中国
4. OpenAI提出美国人工智能发展新战略,推动和平革命
5. NFCGate应用程序被用于银行诈骗,俄罗斯用户两个月内遭受400次攻击
6. Conduent确认近期中断为网络安全事件
7. 威胁者声称出售英国政府电子邮件账户
8. Windows文件资源管理器特权提升漏洞CVE-2024-38100被积极利用,微软已发布补丁
9. Oracle发布1月关键补丁更新,修复318个漏洞
10. ChatGPT API漏洞被用于DDoS攻击,OpenAI已修复
11. 思科警告ClamAV拒绝服务漏洞,PoC漏洞代码已公开
12. 欺诈者利用Blogspot平台传播恶意链接,窃取用户数据
13. Google Chrome扩展程序被曝存在大规模间谍网络
14. Pwn2Own Automotive 2025首日:黑客利用16个零日漏洞,奖金总额达38.2万美元
15. DNV报告:能源行业因威胁升级加大OT网络安全投资
政策法规
1. GAO报告:美国海上货物安全需加强评估措施
【美国海军研究所网站1月22日消息】美国政府问责局(GAO)于1月21日发布了一份关于美国海上货物安全的报告,题为《海上货物安全:需进一步评估国土安全部措施的有效性》。报告指出,尽管美国国土安全部(DHS)通过多层安全措施识别高风险船舶和货物,但其在评估这些措施的有效性方面存在不足。报告显示,DHS下属的美国海岸警卫队和海关与边境保护局(CBP)是负责筛查、定位和检查美国入境船舶和货物的主要机构。这些活动在货物离港、运输和抵达美国港口时进行。例如,两机构通过情报项目对供应链中的船舶和货物进行筛查和定位。GAO发现,在16个选定的现场单位中,海岸警卫队和CBP在保障海上货物安全方面遵循了五项跨机构协作的领先实践。例如,部分海岸警卫队官员利用CBP等联邦机构的资源协助船舶登检,以应对自身人员不足的问题。然而,GAO指出,DHS尚未全面评估其保障船舶和货物安全措施的有效性。GAO建议海岸警卫队与合作伙伴制定可量化的绩效目标,并定期使用绩效信息评估其多层安全措施的有效性,从而为资源分配等决策提供依据。DHS已同意GAO的建议。
2. 特朗普赦免“丝绸之路”创始人罗斯·乌布利希
【Dark Reading网站1月23日消息】美国总统特朗普在就任第二天赦免了“丝绸之路”暗网市场创始人罗斯·乌布利希。乌布利希因创建并运营这一匿名市场,于2015年被判处终身监禁,不得假释。丝绸之路曾是互联网上最复杂的犯罪市场之一,允许用户匿名买卖非法毒品和其他违禁品。特朗普在社交媒体上宣布了这一决定,称赦免是为了纪念乌布利希的母亲和支持自由意志主义运动。乌布利希的支持者长期以来呼吁释放他,认为其初衷是创建自由匿名市场。然而,执法部门坚称其严厉判决是为了震慑网络犯罪。目前尚不清楚乌布利希是否仍对创建丝绸之路感到后悔。
3. 业界启动1000亿美元AI基础设施建设以保持领先中国
【Nextgov网站1月22日消息】甲骨文、OpenAI及日本软银和阿联酋MGX等投资者联合启动了一项名为“星际之门”的1000亿美元AI基础设施建设项目,旨在通过建设大规模数据中心保持美国在人工智能领域的领先地位。甲骨文首席执行官拉里·埃里森表示,该项目已在德克萨斯州启动10个数据中心建设,未来将扩展至20个。OpenAI创始人山姆·奥特曼称该项目为“时代最重要的项目”,预计将创造数十万个就业岗位并推动新产业发展。美国总统特朗普表示,此举旨在确保技术留在美国,以应对中国的竞争。专家指出,AI竞赛正从数学模型转向硬件基础设施,美国需解决数据中心、电网和高速网络等瓶颈问题。
4. OpenAI提出美国人工智能发展新战略,推动和平革命
【SecurityLab网站1月22日消息】OpenAI发布了一项新的经济计划,旨在加强美国在人工智能(AI)领域的全球领导地位,确保公平获取技术并刺激经济增长。该计划提出了一个“智能规则”框架,旨在帮助美国从AI的机遇中获取最大利益,同时降低潜在风险。OpenAI强调,AI具有巨大的经济潜力,能够通过发展数据中心、芯片工厂和能源设施等基础设施来推动产业转型并创造就业机会。然而,随着中国等国家的竞争加剧,美国需加速创新以保持领先地位。计划的关键领域包括确保国家安全、制定技术使用标准以及通过基础设施发展和吸引投资来最大化经济机会。此外,OpenAI呼吁防止利用AI压迫公民或威胁国际安全,并建议制定统一的联邦规则以促进竞争和投资。该计划被视为“活文件”,将根据新数据和经验不断更新。近期,OpenAI与日本软银和甲骨文合作,启动“星际之门项目”,计划在美国建设多个AI数据中心,初始投资1000亿美元,未来四年内将增至5000亿美元,预计创造数十万个就业机会并加强美国在AI领域的领导地位。
安全事件
5. NFCGate应用程序被用于银行诈骗,俄罗斯用户两个月内遭受400次攻击
【SecurityLab网站1月22日消息】FACCT专家发现一种基于NFCGate移动应用程序的新型欺诈方案,该方案在2024年12月至1月期间已导致俄罗斯主要银行客户遭受400多次攻击,平均损失约10万卢布。NFCGate最初是达姆施塔特工业大学学生的教育项目,用于分析NFC流量,但自2023年11月起被犯罪分子用于非法活动。攻击者通过社会工程手段诱骗受害者安装伪装成银行或政府服务的恶意应用程序,利用NFCGate窃取银行卡数据及PIN码,随后通过ATM或在线支付盗取资金。专家还发现攻击者使用服务器基础设施存储被盗数据,并预测未来可能引入拦截短信和推送通知等功能,进一步扩大攻击范围。
6. Conduent确认近期中断为网络安全事件
【BleepingComputer网站1月22日消息】美国商业服务巨头Conduent确认其近期服务中断是由一起“网络安全事件”引起的。此次事件影响了多个州客户的运营,包括威斯康星州儿童与家庭部门和俄克拉荷马州人类服务部等机构,导致依赖电子转账或EBT卡支付的用户面临问题。Conduent表示,事件已得到控制,所有系统均已恢复,但未透露受影响客户数量、是否发生数据泄露或是否收到赎金要求。这是Conduent近年来第二次遭遇网络安全事件,此前曾在2021年遭受Maze勒索软件攻击。
7. 威胁者声称出售英国政府电子邮件账户
【Dark Web Informer网站1月22日消息】威胁者“Exploit_R4v3n”在暗网论坛上声称出售域名government.me.uk下的可定制电子邮件账户。这些账户可根据需求个性化设置,标准账户每月收费100美元,自定义名称账户每月收费50美元,支持比特币和门罗币支付。尽管尚不清楚这些账户是否基于泄露的政府数据,但其出售引发了严重的安全担忧,包括网络钓鱼、欺诈活动以及敏感信息泄露的风险。英国政府需调查此事并加强电子邮件安全措施,如实施DMARC协议和监控可疑活动。公众应警惕来自政府域名的可疑邮件,并报告网络钓鱼尝试。
漏洞预警
8. Windows文件资源管理器特权提升漏洞CVE-2024-38100被积极利用,微软已发布补丁
【Cybersecurity News网站1月22日消息】Windows文件资源管理器中的一个严重权限提升漏洞(CVE-2024-38100)已被攻击者积极利用。该漏洞位于文件资源管理器的分布式组件对象模型(DCOM)中,涉及ShellWindows DCOM对象。攻击者可通过跨会话激活在管理员会话中创建ShellWindows对象,并利用“ShellExecute”等方法提升权限,执行任意命令或启动反向Shell,从而获得系统管理员级别的访问权限。该漏洞影响多个Windows Server版本,CVSS评分为7.8,攻击复杂度较低,仅需本地访问即可利用。微软已在2024年7月的补丁星期二更新(KB5040434)中修复该漏洞,建议用户及时更新系统并实施最小特权原则以降低风险。
9. Oracle发布1月关键补丁更新,修复318个漏洞
【Cybersecurity News网站1月22日消息】Oracle发布了1月关键补丁更新(CPU),修复了其产品组合中新发现的318个安全漏洞。此次更新涵盖了Oracle数据库服务器、通信应用程序、金融服务应用程序、融合中间件及MySQL等多个产品,其中多个漏洞的CVSS评分高达9.9,表明其严重性。最严重的漏洞包括影响Oracle Agile产品生命周期管理(PLM)框架的CVE-2025-21556(CVSS 9.9),以及Oracle WebLogic Server中的远程代码执行漏洞CVE-2025-6371(CVSS 9.8)。Oracle强烈建议用户立即应用补丁,以避免数据泄露、财务损失等风险。此次更新再次强调了及时修补漏洞对维护系统安全的重要性。
10. ChatGPT API漏洞被用于DDoS攻击,OpenAI已修复
【CyberScoop网站1月22日消息】德国安全研究员Benjamin Flesch发现ChatGPT API中存在一个严重漏洞,允许攻击者通过发送包含大量URL的请求对目标网站发起分布式拒绝服务(DDoS)攻击。该漏洞的CVSS评分为8.6,因其基于网络且无需用户交互即可利用。Flesch称其为“糟糕的编程”,并发布了概念验证代码。尽管Flesch多次尝试通过BugCrowd、电子邮件和GitHub联系OpenAI和微软的安全团队,但最初未得到回应。直到媒体开始报道该漏洞后,OpenAI才禁用易受攻击的端点并修复问题。随着ChatGPT等大型语言模型的普及,安全研究人员对其漏洞的兴趣日益增加,但OpenAI的使用政策限制了外部研究人员对其技术的访问,引发了对安全研究范围受限的担忧。
11. 思科警告ClamAV拒绝服务漏洞,PoC漏洞代码已公开
【BleepingComputer网站1月22日消息】思科发布安全更新,修复ClamAV防病毒软件中的一个拒绝服务(DoS)漏洞(CVE-2025-20128)。该漏洞由OLE2解密例程中的堆缓冲区溢出引发,允许未经身份验证的远程攻击者通过提交精心设计的文件导致ClamAV扫描进程崩溃。尽管漏洞利用可能导致扫描延迟或中断,但不会影响整体系统稳定性。思科产品安全事件响应小组(PSIRT)表示,目前尚未发现该漏洞在野利用,但概念验证(PoC)漏洞代码已公开。受影响的软件包括适用于Linux、Mac和Windows平台的思科安全端点连接器。此外,思科还修复了BroadWorks中的DoS漏洞(CVE-2025-20165)和会议管理REST API中的权限提升漏洞(CVE-2025-20156)。
风险预警
12. 欺诈者利用Blogspot平台传播恶意链接,窃取用户数据
【SecurityLab网站1月22日消息】网络诈骗者通过Blogspot平台分发伪装成合法帖子的恶意链接,将用户重定向至网络钓鱼网站或恶意软件下载页面。攻击者利用社交媒体元标签和JavaScript代码根据用户操作系统进行重定向,并通过Azure子域滥用微软声誉绕过垃圾邮件过滤器。此外,攻击者使用混淆技术、虚假验证码和视频播放器诱骗用户安装恶意软件。此次活动涉及ApateWeb的130,000多个域,部分域通过返回空OK响应绕过拦截。研究人员已将相关恶意域信息添加到Open Threat Exchange(OTX)以帮助安全社区应对威胁。
13. Google Chrome扩展程序被曝存在大规模间谍网络
【SecurityLab网站1月22日消息】研究人员发现多个Chrome浏览器扩展程序滥用远程代码执行功能,进行用户数据收集和恶意活动。尽管Google在Manifest V3中引入了技术限制,但仍未明确禁止远程代码执行,导致攻击者利用漏洞。调查发现,Phoenix Invicta Inc.、Technosense Media Pvt. Ltd.和Sweet VPN等组织的扩展程序通过下载远程配置、监视用户活动、替换Cookie和显示广告等方式进行间谍和欺诈活动。这些扩展程序仍存在于Chrome网上应用店,引发对Google审查机制的质疑。建议用户在安装扩展时谨慎检查权限和反馈,避免成为受害者。
14. Pwn2Own Automotive 2025首日:黑客利用16个零日漏洞,奖金总额达38.2万美元
【BleepingComputer网站1月22日消息】在Pwn2Own Automotive 2025比赛的首日,安全研究人员成功利用了16个独特的零日漏洞,并获得了总计382,750美元的奖金。此次比赛聚焦于汽车技术,于1月22日至24日在东京的Automotive World汽车会议期间举行。Fuzzware.io团队通过利用堆栈缓冲区溢出和源验证错误漏洞,成功入侵了Autel MaxiCharger和Phoenix Contact CHARX SEC-3150电动汽车充电器,赢得了5万美元和10个“Pwn大师”积分,目前位居榜首。Summoning Team的Sina Kheirkhah利用硬编码加密密钥漏洞和三个零日漏洞(其中一个为已知漏洞)入侵了Ubiquiti和Phoenix Contact CHARX SEC-3150充电器,获得了91,750美元和9.25个积分。Synacktiv团队通过演示OCPP协议中的漏洞,利用信号操纵入侵了ChargePoint Home Flex(型号CPH50),赢得了57,500美元,位列第三。PHP Hooligans团队利用堆缓冲区溢出漏洞成功入侵了完全修补的Autel充电器,获得了5万美元。Viettel网络安全团队则通过利用操作系统命令注入零日漏洞,在Kenwood车载信息娱乐系统(IVI)上实现了代码执行,赢得了2万美元。Pwn2Own比赛期间,参赛者报告零日漏洞后,厂商有90天的时间开发并发布安全补丁,之后趋势科技的Zero Day Initiative将公开披露这些漏洞。今年的比赛目标包括电动汽车充电器、车载信息娱乐系统和汽车操作系统(如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX)。特斯拉也提供了基于Ryzen的Model 3/Y等效台式机单元,但参赛者仅针对其壁挂式连接器进行了尝试。
15. DNV报告:能源行业因威胁升级加大OT网络安全投资
【Industrial Cyber网站1月22日消息】DNV发布《2025年能源网络优先事项》报告,指出能源行业正加大对运营技术(OT)网络安全的投资,以应对日益复杂的网络威胁。报告显示,67%的受访者预计未来一年将增加OT安全投资,71%的能源专业人士预计其公司今年将加大网络安全投入。报告强调,能源转型带来的新技术(如人工智能、物联网和远程操作)虽然推动了行业创新,但也扩大了网络风险。71%的受访者认为其组织比以往更容易受到OT网络事件的影响,57%承认OT防御落后于IT防御。供应链安全、员工培训和人工智能应用成为主要挑战,53%的能源专业人士表示网络安全已纳入采购流程,但仅16%对其供应链的完全可见性有信心。DNV呼吁能源行业采取创新培训方法、加强OT保护、深化对人工智能的理解,并推动供应链透明度和协作,以应对不断演变的威胁。
2025-01-16
2025-01-17
2025-01-20
2025-01-21
2025-01-22
