比特币协议的流行替代实施方案 btcd 中的一个关键漏洞可能会让恶意行为者以最小的代价创建比特币区块链的硬分叉。 该漏洞被追踪为 CVE-2024-38365，CVSS 得分为 7.4，源于 btcd 验证传统比特币交易签名的方式中的一个错误。该缺陷于 2014 年引入，偏离了原始比特币代码库中定义的共识规则，可能导致创建的有效交易被易受攻击的 btcd 节点拒绝。 问题出在 btcd 对 removeOpcodeByData 函数的实现上，该函数负责在签名验证过程中重建签名信息。与比特币核心中的FindAndDelete函数不同，removeOpcodeByData只从脚本中删除与签名完全匹配的数据，而removeOpcodeByData则删除任何包含签名的数据推送，甚至包括额外的填充数据。 这种差异允许攻击者制作特殊脚本来利用这种行为。通过在数据推送中嵌入签名和额外数据，他们可以创建在比特币核心节点看来有效的交易，但却被易受攻击的 btcd 节点拒绝。 这个漏洞的影响非常大，因为攻击者可以利用它迫使易受攻击的 Btcd 节点进入分叉链，从而导致网络不稳定和交易处理问题。 “攻击者可以创建一个标准交易，其中 FindAndDelete 不会返回匹配结果，但 removeOpCodeByData 却会返回匹配结果，从而使 btcd 获得不同的 sighash，导致链分裂。重要的是，任何比特币用户都可以远程利用这个漏洞，而且不需要任何哈希能力。” CVE-2024-38365 漏洞由研究人员 Niklas 和 Antoine 发现并报告。btcd 开发团队已在 0.24.2 版本中解决了该问题。我们强烈建议所有用户将他们的 btcd 节点更新到最新版本，以防止潜在的漏洞利用。     转自安全客，原文链接：https://www.anquanke.com/post/id/300807 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 近日，GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164，CVSS 得分为 9.6（满分 10 分），攻击者可以在某些情况下以任意用户身份触发Pipeline，可能导致权限提升或执行恶意操作 。 GitLab 在一份公告中说：“在 GitLab EE 中发现了一个漏洞，影响了从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本，以及从 17.4 开始到 17.4.2 之前的所有版本。” 目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修复该漏洞。 在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低： CVE-2024-8970（CVSS 得分：8.2），允许攻击者在某些情况下以其他用户身份触发管道 CVE-2024-8977（CVSS 得分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击 CVE-2024-9631 (CVSS score: 7.5)，可导致在查看有冲突的合并请求的差异时速度变慢 CVE-2024-6530 （CVSS 得分：7.3），由于跨站点脚本问题，当授权新应用程序时，会在 OAuth 页面中注入 HTML 近几个月来，GitLab 不断披露与管道相关的漏洞，该公告是其中的最新进展。 近期历史漏洞回顾 GitLab近期频繁披露与管道相关的漏洞，此次更新只是其中的一部分。 上个月，GitLab修复了另一个关键漏洞（CVE-2024-6678，CVSS得分：9.9），该漏洞允许攻击者以任意用户身份运行管道作业。 此前，GitLab还修补了其他三个类似的缺陷——CVE-2023-5009（CVSS得分：9.6）、CVE-2024-5655（CVSS得分：9.6）和CVE-2024-6385（CVSS得分：9.6）。 尽管目前没有证据表明这些漏洞已被主动利用，但GitLab强烈建议用户将其实例更新至最新版本，以确保系统安全并防范潜在威胁。定期更新和监控是保护关键基础设施免受攻击的重要措施。 GitLab的安全更新反映了当前软件安全环境的动态性，企业需保持警惕并及时响应安全公告，以维护其数字资产的安全。 参考来源：New Critical GitLab Vulnerability Could Allow Arbitrary CI/CD Pipeline Execution (thehackernews.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412651.html 封面来源于网络，如有侵权请联系删除

由于早前的黑客攻击并泄露了数亿人的数据，美国最大的背景调查公司之一——美国国家公共数据公司（National Public Data，NPD）近日出于多方诉讼压力申请破产。 图片来源：FreeBuf 据悉，NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产，该公司在破产申明中表示，2023年12月有黑客入侵了系统，相关数据于今年4月首次出现在Breached黑客犯罪市场中，并点名一位叫USDoD的黑客窃取了这些数据，称其在入侵其他机构（包括 FBI、空客等）方面也取得了巨大成功。 今年6月，以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据，声称其中包含 29 亿条美国公民记录。一个多月后，名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。 这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。包括数据泄露专家 Troy Hunt 在内的几位网络安全专家已经证实，虽然数据库包含重复项，但大部分信息都是准确的。Hunt 估计，该数据库包括大约 8.99 亿个唯一的 SSN，可能包括部分已经去世的人的信息。 事发后，NPD表示已与执法部门和政府调查人员合作调查该事件，但此后一直没有提供最新情况，该公司也没有向受害者提供身份盗窃保护服务。 NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债，以及承担诉讼辩护和支持调查的费用。该公司表示，他们业务的很大一部分是为医疗机构服务，但这些机构禁止“有背景问题”的企业提供服务。 该公司还承认正面临多起集体诉讼，这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。 此外，来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款，美国联邦贸易委员会也在审查这一事件。 参考来源： National Public Data files for bankruptcy, citing fallout from cyberattack After breach of billions of records, National Public Data files for bankruptcy     转自FreeBuf，原文链接：https://www.freebuf.com/news/412671.html 封面来源于网络，如有侵权请联系删除

10月12日，广东省教育厅发布声明： 近日，发现有不法分子入侵我厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。我厅已第一时间向公安机关报案，并配合开展调查。请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。 此前，社交媒体上有用户表示，收到一条来自“广东省教育厅”的短信，写着“成人电影”。 文章来源：综合正观新闻、南方都市报 转自安全内参，原文链接：https://www.secrss.com/articles/71121 封面来源于网络，如有侵权请联系删除

由于2014年至2020年期间发生的多起重大数据泄露事件，影响了全球超过3.44亿人，10月9日，万豪同意支付5200万美元（约合人民币3.67亿元）罚款，并制定一项全面的信息安全计划。 达成用户赔偿和安全改进的和解协议 这是当日宣布的两项和解协议之一。第一项是万豪与美国49个州总检察长及华盛顿特区组成的联盟之间达成的和解协议。这一联盟在网络入侵者窃取了包括部分财务信息在内的敏感客户信息后发起调查。该笔5200万美元赔偿将分配给所有50位联盟成员。 第二项是万豪与美国联邦贸易委员会（FTC）达成的和解协议，要求万豪国际及其子公司喜达屋酒店及度假酒店国际集团（下称“喜达屋”）在未来20年内实施更严格的网络安全措施，并向FTC证明其合规情况。此外，万豪还需为客户提供便捷的方式，允许他们请求删除酒店已收集的个人信息。 正如惯例，依据酒店官网和两项协议声明，万豪在同意和解的同时，并未承认任何与相关指控有关的责任。 声明还指出：“作为与FTC和州总检察长达成解决方案的一部分，万豪将继续强化其数据隐私和信息安全计划，许多措施已经在实施或正在推进中。” 声明补充道：“例如，万豪为美国客户提供了请求删除个人信息的流程，并为万豪旅享家（Marriott Bonvoy）会员开设了在线门户，允许他们报告可能存在的可疑账号活动。此外，万豪还为旅享家账号引入了多因素身份验证功能。” 万豪数年内发生多起重大数据泄露事件 这两项调查的源头是2014年至2020年间发生的一系列网络入侵事件，这些事件涉及管理着全球超过7000家酒店万豪以及其在2016年收购的喜达屋集团。 根据FTC起诉书，首次数据泄露事件涉及超过4万名喜达屋客户的支付卡信息。 在万豪宣布收购喜达屋的四天后，喜达屋通知客户，数据窃贼自2014年6月起在其网络中潜伏了14个月，期间窃取了客户姓名和卡号，直到系统将其驱逐。 第二次数据泄露始于2014年7月，并持续了四年多，直到2018年9月才被发现。此次入侵涉及超过3.39亿条喜达屋客户记录的泄露，其中包括525万份未加密的护照号码。 第三次数据泄露发生于2018年9月，影响了万豪网络，且耗时近两年，直到2020年2月才被察觉。入侵者在此期间窃取了180万美国人的姓名、实际地址和电子邮件地址、电话号码、出生月份和日期，以及忠诚会员账号信息。 万豪内部安全控制极为薄弱，将实施改进计划 起诉书指出，所有这些数据泄露事件的发生源于万豪和喜达屋极为薄弱的安全措施，包括不当的密码管理和访问控制、缺乏有效的网络分段和软件补丁程序，以及多因素身份验证未普及，日志和网络监控也十分不足。 为了了结这些指控，万豪同意向前述美国各州和首都华盛顿支付5200万美元赔偿。但是，该公司一如既往地否认有任何过失。为便于理解这一金额大小，万豪这一全球酒店巨头在2023年的收入约为237.1亿美元，因此5200万美元对它来说几乎无关痛痒。 此外，万豪还同意实施一系列措施，旨在提高其数据安全性，并尽可能减少客户信息的收集。这些措施包括仅保留为实现特定信息收集目的所必需的个人信息。 根据协议，万豪还需提供一个链接，供客户请求删除与其电子邮件或忠诚奖励计划账号相关的任何个人信息。 此外，万豪和喜达屋还必须根据协议建立一个信息安全计划，每两年由独立的第三方评估，该计划包括多因素身份验证、网络分段和数据加密等措施。 最后，两家公司还需为消费者提供一种方式，允许他们审查其万豪旅享家忠诚会员账号中的任何未经授权的活动。万豪还承诺恢复任何被网络犯罪分子盗取的忠诚会员积分。 参考资料：https://www.theregister.com/2024/10/09/marriott_settlements_data_breaches/     转自安全内参，原文链接：https://www.secrss.com/articles/71101 封面来源于网络，如有侵权请联系删除

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。 这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。 这些漏洞可让攻击者： 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)； 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)； 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)； 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。 这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。 Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。 对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015： 将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。 有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300739 封面来源于网络，如有侵权请联系删除

G DATA 安全实验室（G DATA Security Lab）最近发现了一个利用流行代码托管平台 Bitbucket 部署著名远程访问木马AsyncRAT （RAT）的复杂恶意软件活动。报告称，攻击者采用了多阶段攻击策略，利用 Bitbucket 托管和分发恶意有效载荷，同时躲避检测。 图片来源：安全客 恶意软件操作员使用多层 Base64 编码来混淆代码，掩盖攻击的真实性质。报告解释说：“在剥开这些层级后，我们能够揭开整个事件的来龙去脉，以及我们在分析 AsyncRAT 有效载荷传输时发现的关键入侵指标（IOC）。” Bitbucket 作为软件开发平台的合法声誉使其成为网络犯罪分子青睐的目标。 Bitbucket 资源库托管各种恶意有效载荷，包括 AsyncRAT。 Bitbucket 这个流行的代码托管平台来托管恶意有效载荷，为传播恶意软件提供了 “合法性 ”和 “可访问性”。 攻击开始于一封包含恶意 VBScript 文件的钓鱼邮件，该文件名为 “01 DEMANDA LABORAL.vbs”，可执行 PowerShell 命令。这个初始阶段通过多层字符串操作和 Base64 编码混淆和传递有效载荷。 报告指出：“VBScript 构建并执行 PowerShell 命令，有效地将攻击过渡到下一阶段。” 在第二阶段，PowerShell 脚本从 Bitbucket 资源库下载一个文件。这个名为 “dllhope.txt ”的文件是一个 Base64 编码的有效载荷，它被解码为一个 .NET 编译文件，从而揭示了 AsyncRAT 恶意软件的真实本质。 一旦成功发送，AsyncRAT 就能让攻击者完全远程控制受感染的系统。 G DATA 的分析证实：“AsyncRAT 为攻击者提供了对受感染机器的广泛控制，使他们能够执行各种恶意活动。这些活动包括远程桌面控制、文件管理、键盘记录、网络摄像头和麦克风访问以及执行任意命令。” 报告还强调了攻击者利用反虚拟化检查来避免在沙盒环境中被发现。 G DATA 表示：“如果标志参数包含‘4’，代码就会检查是否存在 VMware 或 VirtualBox 等虚拟化工具，从而避免分析。持续性是通过多种机制建立的，包括修改 Windows 注册表和创建启动快捷方式，确保恶意软件即使在系统重启后也能保持活跃。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300743 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）已与一家交易公司达成和解，该公司涉嫌在声称使用人工智能（AI）进行加密货币和其他资产的自动交易方面向投资者撒谎。 美国证券交易委员会（SEC）周四表示，投资公司 Rimar LLC 和 Rimar USA 的所有者兼首席执行官伊泰-利普兹（Itai Liptz）和 Rimar USA 董事会成员克利福德-博罗（Cliffard Boro）声称可以使用人工智能交易加密货币、股票、债券和其他投资，从而从 45 名投资者手中筹集了近 400 万美元。 但实际上，该公司并没有使用人工智能，美国证券交易委员会称，使用新兴技术的说法只是用来愚弄投资者的 “流行语”，该机构称之为 “人工智能洗盘”。 总部位于加利福尼亚州伯林格姆的 Rimar USA 同意和解指控，并支付总额 31 万美元的民事罚款，但不承认或否认监管机构的调查结果。 美国证券交易委员会资产管理部门联席主管安德鲁-迪恩（Andrew Dean）在周四的一份新闻稿中说：“利普兹通过他控制的实体，以多种捏造的事实，包括有关最新人工智能技术的流行语，引诱投资者和客户。” 诉讼还称，尽管 Rimar 声称拥有 “一个人工智能驱动的平台，用于交易股票和加密资产等产品”，但实际上它 “在集资时根本没有交易应用，也从未有过股票或加密资产交易平台”。 美国证券交易委员会表示，Liptz 同意支付总额为 213611 美元的罚没款和预审利息，支付 25 万美元的民事罚款，并被禁止投资公司和结社。同时，Boro 同意支付 60,000 美元的民事罚款，Rimar LLC 同意接受谴责。 华尔街监督机构美国证券交易委员会今年 1 月警告公众，一些 “不良行为者可能会使用朗朗上口的人工智能相关流行语 ”来欺骗潜在投资者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300747 封面来源于网络，如有侵权请联系删除

经过多年的缺失，Coinbase 用户终于可以获得一项重大升级：向 Taproot 地址发送比特币的功能。 本周二，Coinbase 解决了这一空白，允许其数百万用户利用 Taproot 的隐私和节约成本功能，“创建访问更多链上目的地的途径”。 自 2021 年 11 月 Taproot 推出以来，Coinbase 用户一直无法充分利用该升级功能。 在此次更新之前，许多Coinbase用户报告称，在向Taproot地址发送比特币时遇到困难，导致延迟和交易失败。 通过新的整合，Coinbase 用户可以向 Taproot 地址发送比特币，加入 OKX、Binance 和 Kraken 等平台的行列。 作为自2017年SegWit以来最大的比特币升级，Taproot承诺加强隐私保护，但Coinbase用户多年来一直被抛在后面。 Taproot 由比特币核心开发者格雷戈里-麦克斯韦尔（Gregory Maxwell）提出，它使用施诺尔签名（Schnorr signatures），将复杂的交易压缩成更小、更高效的数据包。 这减少了存储在区块链上的信息量，提高了可扩展性，降低了交易费用。 通过 Taproot 升级，复杂的交易（如需要多个签名的交易）看起来就像标准的比特币转账。这就限制了公共区块链上暴露的数据量，使追踪交易变得更加困难。     转自安全客，原文链接：https://www.anquanke.com/post/id/300753 封面来源于网络，如有侵权请联系删除