据OpenAI本月最新发布的报告《Influence and cyber operations: an update》，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。 该组织与伊斯兰革命卫队（IRGC）有关，利用AI工具进行侦察、编码和漏洞研究，攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供奖励。 CyberAv3ngers利用AI寻找默认密码和漏洞，编写bash和Python脚本，增强攻击能力。这表明网络战正转向利用AI制定全面网络攻击战略，对传统安全措施构成挑战，需采取新的防御措施。 OPENAI的结论认为，AI为防御者提供了强大的能力，以识别和分析可疑行为，缩短了分析步骤的时间。威胁行为者通常在活动中期使用AI模型，如在获取基本工具后和部署最终产品前。尽管威胁行为者不断尝试，但没有证据表明他们能通过AI创造新的恶意软件或建立病毒式受众。 事件缘起 伊朗与政府有关联的黑客迅速成为精通技术的工程师。起初只是协助侦察，但很快就升级为更为险恶的行为。伊朗伊斯兰革命卫队(IRGC)关联组织“CyberAv3ngers”一直在使用ChatGPT等人工智能模型，对工业控制系统(ICS)和可编程逻辑控制器(PLC)发起新一轮网络攻击。OpenAI的最新发现表明，随着这些攻击者不断突破网络战的界限，他们的活动反映出人工智能和民族国家黑客攻击日益融合的现象。 据OpenAI称，CyberAv3ngers使用人工智能工具来协助侦察、编码和漏洞研究。人工智能模型不仅仅是被动的信息来源。相反，该组织积极寻求有关调试脚本和收集已知ICS漏洞情报的指导。OPenAI的最新报告中列出了该组织向Chatgpt提问的类型，大致有如下17种情形。 目标明确：针对关键基础设施 据悉，CyberAv3ngers最近的行动集中在以色列、美国和爱尔兰的高价值目标上，利用开源工具来攻击水系统、电网和制造设施中的弱点。 2023年末，他们破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市供水局。美国国务院还确定了与该威胁组织有关的六名伊朗黑客，他们参与了针对美国水务公司的一系列网络攻击。该部门为任何提供有关这些黑客的信息的人提供了丰厚的奖励。 这些事件表明，威胁组织能够利用默认口令和PLC中的已知漏洞来利用安全性较差的工业网络。 CyberAv3ngers专门破坏关键基础设施，瞄准工业控制系统中的薄弱环节，工业控制系统通常管理水利、能源和制造业的关键业务。他们的行动对国家安全构成直接威胁，利用人工智能洞察力和传统攻击方法相结合。 使用LLM：用AI助力侦察和编写脚本 黑客对大型语言模型(LLM)的依赖反映了网络攻击者越来越倾向于自动化部分攻击生命周期。通过ChatGPT等 AI工具，CyberAv3ngers寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。每个请求都代表着精心策划的努力，以增强他们执行ICS特定攻击的工具包。 OpenAI表示：“虽然之前关于该威胁行为者的公开报道主要集中在他们对ICS和PLC的目标上，但从这些提示中，我们能够识别出他们可能试图利用的其他技术和软件。” 例如，该组织利用人工智能协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。 AI驱动攻击：有限但危险 虽然CyberAv3ngers利用LLM来协助他们的侦察活动，但他们获取的信息并不具有开创性。他们获取的大部分知识都可以通过搜索引擎或公开的网络安全资源等传统方法找到。在这种情况下，人工智能的作用是渐进式的，帮助他们自动执行繁琐的任务，而不是提供全新的漏洞利用。 尽管如此，他们对人工智能的依赖也凸显了利用机器学习支持国家黑客攻击的潜在危险。即使是有限的增量收益，在针对关键基础设施部署时也会产生重大影响。 AI将为谁所用？ 使用人工智能工具入侵工业控制系统揭示了网络战的下一步，现在网络战似乎正在从信息战转向制定全面网络攻击的战略。像CyberAv3ngers这样的民族国家行为者正在利用人工智能来加快攻击准备，以以前无法想象的效率和规模探测工业系统。这一新兴趋势对传统安全措施提出了挑战，并要求安全专业人员（尤其是能源和水利等行业的安全专业人员）采取新的防御措施来抵御人工智能辅助攻击。 与攻击者主动积极利用AI/LLM相反的是，在工业领域AI的应用尚处于初级阶段。10月8日SANS发布的《2024 ICS/OT网络安全调查报告》显示，关键基础设施安全方面较2019年已取得很大起步，但仍存在重大差距。报告的关键发现中有一条，即有限的人工智能应用：人工智能在很大程度上仍处于实验阶段，由于缺乏用例和安全性/可靠性问题，很少有组织将其应用于ICS/OT。 随着人工智能模型变得越来越复杂，风险也随之增加。现在至关重要的是组织如何预测和缓解这些人工智能驱动的威胁。采取主动措施，例如加强密码、修复众所周知的漏洞以及持续监控 ICS 网络，可以帮助组织领先于攻击者。 在网络攻击可能破坏整个城市的供水或对电网造成严重破坏的时代，风险从未如此之高。安全专业人员需要将人工智能视为防御者的工具和攻击者的武器。 CyberAv3ngers最近的活动证明，人工智能虽然是一种强大的创新工具，但也为试图破坏关键基础设施的恶意行为者打开了新的大门。网络安全社区现在应该尽快关闭这些大门，以免为时已晚。 随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。 参考资源： https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/ https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf3 https://www.sans.org/press/announcements/2024-ics-ot-cybersecurity-survey-reveals-significant-progress-while-highlighting-that-major-gaps-remain-in-securing-critical-infrastructure/     转自FreeBuf，原文链接：https://www.freebuf.com/news/412521.html 封面来源于网络，如有侵权请联系删除

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除

图片来源：安全内参 一名安全研究人员透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险。 这则消息表明，尽管公司和研究人员在人工智能研究上突飞猛进，但保护这些工具，仍需要依赖适用于其他类型账号的通用账号安全和身份验证最佳实践。 Reddit的安全研究人员兼首席安全工程师Charan Akiri在其研究报告中指出：“除了机器学习（ML）模型本身，暴露的数据还可能包括训练数据集、超参数，甚至有时是用于构建模型的原始数据。” 暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。 Akiri在研究报告中写道：“这种配置错误使得未经授权的人员能够访问、下载，甚至运行敏感的机器学习模型和数据集。这类暴露事件本不应发生，因为这些平台应该仅限于内部使用。” Akiri指出，他们已经能够识别出部分暴露实例的所有者，但他强调，“这只是整体暴露的一小部分，实际上可能还有许多公司尚未被我们识别出来。” 其中一家公司是日本的半导体制造商瑞萨电子（Renesas Electronics）。Akiri表示，通过控制面板证书中的线索，他们确认了一个机器学习工具属于瑞萨电子。外媒404 Media联系瑞萨电子请求对此事发表评论后，瑞萨电子立即撤下了暴露的控制面板，Akiri也通知了该公司这一问题。然而，瑞萨电子最终未对评论请求作出回应。 404 Media在访问几个可以通过开放互联网找到的MLFlow实例时，发现控制面板提供了创建“新运行”的选项。用户还能查看之前的实验记录，通常还能够执行与原用户相同或类似的任务。Akiri表示，他们发现了大约5000个暴露的MLFlow实例。 参考资料：https://www.404media.co/thousands-of-internal-ai-training-datasets-tools-exposed-to-anyone-on-the-internet/     转自安全内参，原文链接：https://www.secrss.com/articles/71040 封面来源于网络，如有侵权请联系删除

Mozilla 透露，一个影响 Firefox 和 Firefox Extended Support Release (ESR) 的关键安全漏洞已被恶意利用。 该漏洞被追踪为 CVE-2024-9680，被描述为动画时间轴组件中的 “use-after-free ”漏洞。 Mozilla 在周三的一份公告中说：“攻击者利用了动画时间轴中的use-after-free，在内容进程中执行了代码。我们收到了关于该漏洞在野外被利用的报告。” 斯洛伐克 ESET 公司的安全研究员 Damien Schaeffer 发现并报告了这一漏洞。 该问题已在以下版本的网络浏览器中得到解决： 火狐 131.0.2 火狐浏览器 ESR 128.3.1 火狐浏览器 ESR 115.16.1 目前还没有关于该漏洞在实际攻击中如何被利用以及幕后威胁者身份的详细信息。 尽管如此，此类远程代码执行漏洞可以通过多种方式加以利用，既可以作为针对特定网站的灌水漏洞攻击的一部分，也可以通过欺骗用户访问虚假网站的 “偷渡式下载 ”活动加以利用。 建议用户更新到最新版本，以抵御主动威胁。     转自安全客，原文链接：https://www.anquanke.com/post/id/300716 封面来源于网络，如有侵权请联系删除

9 月，美国州际和国际点对点支付与汇款公司速汇金证实，由于受到网络攻击，其服务目前无法使用。 9 月 22 日，该公司通知其客户，它正在经历一次网络中断，影响到其几个系统的连接。 该公司关闭了部分系统以控制攻击，这表明它是勒索软件攻击的受害者。 这次攻击影响了个人和在线汇款服务。该公司对安全漏洞展开了调查，并通知了执法部门。 速汇金现在证实，网络攻击暴露了客户数据，包括联系信息（如电话号码、电子邮件和邮政地址）、政府 ID、社会安全号和交易详情。 速汇金公布的数据泄露通知中写道：“受影响的信息包括某些受影响的消费者姓名、联系方式（如电话号码、电子邮件和邮寄地址）、出生日期、数量有限的社会安全号、政府颁发的身份证明文件副本（如驾照）、其他身份证明文件（如水电费账单）、银行账号、速汇金加值奖励号码、交易信息（如交易日期和金额），以及数量有限的消费者的刑事调查信息（如欺诈）。受影响信息的类型因受影响的个人而异。” 在外部网络安全专家的帮助下，该公司正在努力控制和修复此次攻击。该公司已经向执法部门通报了此次安全漏洞事件。 TechCrunch 报道称，速汇金表示其调查还处于 “早期阶段”，正在努力确定安全漏洞的程度。目前还不清楚有多少消费者受到了此次事件的影响。 目前，系统已经重新上线，公司也已恢复正常业务运营。 速汇金国际于 2023 年 6 月 1 日被私募股权公司 Madison Dearborn Partners 以每股 11.00 美元的价格收购，成为一家私有公司。到 2023 年初，该公司 50%的交易已实现数字化。该公司在 200 多个国家开展业务，为全球 1.5 亿客户提供服务，是汇款行业的重要参与者。 速汇金拥有大量敏感的客户数据，因此是网络犯罪分子的首要目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/300713 封面来源于网络，如有侵权请联系删除

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除

电信巨头康卡斯特（Comcast）正在通知受金融商业和消费者解决方案公司（FBCS）数据泄露事件影响的约 23.8万名客户。 FBCS 是一家第三方债务催收机构，它收集客户的个人信息，以便代表这些客户开展债务催收活动。 今年 4 月，Financial Business and Consumer Solutions (FBCS) 披露了一起数据泄露事件，1,955,385 人可能受到影响。后来，该公司确定受该事件影响的人数超过 425 万。 该机构于 2024 年 2 月 26 日发现未经授权的访问，并立即采取措施保护受影响的基础设施，同时在第三方取证专家的帮助下展开调查。 据该机构称，被泄露的信息可能包括姓名、出生日期、社会安全号和账户信息。 该机构发现，未经授权的访问发生在 2024 年 2 月 14 日至 2 月 26 日之间。 “2024 年 2 月 26 日，FBCS 发现其网络中的某些系统遭到未经授权的访问。这次事件没有影响到 FBCS 网络以外的计算机系统，包括其客户的计算机系统。”数据泄露通知中写道。“调查确定，在 2024 年 2 月 14 日至 2 月 26 日期间，该环境受到了未经授权的访问，未经授权的行为者有能力在访问期间查看或获取 FBCS 网络上的某些信息。” 据 FBCS 所知，在此次事件之后，没有任何暴露的信息被滥用。自 2024 年 4 月 4 日起，该机构开始通知受影响的客户。 该公司为可能受到影响的个人提供 12 个月的免费信用监控服务。 电信供应商 Comcast 是受此次事件影响的 FBCS 客户之一。 康卡斯特正在通知近 23.8 万人，他们的个人信息在 FBCS 的安全漏洞事件中遭到泄露。 根据康卡斯特公司与缅因州总检察长办公室共享的数据泄露通知函，此次数据泄露事件影响到 237703 名现有客户和前客户。 2024年3月13日，FBCS通知Comcast，它经历了一次数据泄露事件，但Comcast的消费者数据并未受到影响。然而，2024 年 7 月 17 日，FBCS 通知 Comcast 其新的调查结果，即 Comcast 的数据受到了影响。 FBCS 提供了以下信息： 2024 年 2 月 14 日至 2 月 26 日期间，一名未经授权的人员进入了 FBCS 的计算机网络和部分计算机。在此期间，该未经授权方下载了 FBCS 系统中的数据，并作为勒索软件攻击的一部分对一些系统进行了加密。 2024 年 2 月 26 日发现攻击后，FBCS 在第三方网络安全专家的协助下展开了调查。在调查过程中，FBCS 发现未经授权方下载的文件包含个人信息，其中包括您的个人信息。FBCS 还向联邦调查局（FBI）通报了这一攻击事件 这起安全事件完全发生在 FBCS，而不是 Xfinity 或 Comcast 系统。 FBCS 通知 Comcast：“由于其目前的财务状况，无法再向受此次事件影响的个人提供通知或信用监控保护。因此，我们将直接与您联系并提供支持服务。FBCS 收到您的信息是因为他们之前曾为 Comcast 提供拖欠付款的相关催收服务，直到 2020 年 Comcast 停止与 FBCS 合作。由于 FBCS 受康卡斯特与 FBCS 工作关系之外的数据保留要求的限制，因此有关您的被泄露信息的时间约为 2021 年。” 被泄露的数据包括： 姓名、地址、社会保险号、出生日期以及客户的 Comcast 账号和 FBCS 内部使用的 ID 号。 FBCS 指出，没有迹象表明在此次事件中泄露的任何个人信息被进一步滥用。 Comcast 向受影响的客户提供为期一年的信用监控和身份保护服务。     转自安全客，原文链接：https://www.anquanke.com/post/id/300706 封面来源于网络，如有侵权请联系删除

在 Livewire 中发现了一个新发现的漏洞 CVE-2024-47823，Livewire 是 Laravel 的一个流行全栈框架，用于在不离开 PHP 的情况下构建动态 UI 组件。该安全漏洞的 CVSS 得分为 7.7，允许攻击者利用文件上传，在受影响的系统上实现远程代码执行 (RCE)。 Livewire 与 Laravel 无缝集成，简化了动态用户界面的开发。然而，在 v3.5.2 之前的版本中，Livewire 处理文件上传的方式存在重大缺陷。 在这些存在漏洞的版本中，上传文件的文件扩展名是根据其 MIME 类型猜测的，而不是根据其实际文件扩展名进行验证。这意味着攻击者可以上传具有有效 MIME 类型（如 image/png）的文件，但使用 .php 等危险的文件扩展名。如果系统的网络服务器被配置为执行 PHP 文件，这个漏洞就为远程代码执行打开了大门。 报告该漏洞的安全研究员杰里米-安热尔（Jeremy Angele）描述了攻击者如何在特定条件下利用 Livewire 漏洞： 在概念验证（PoC）场景中，Angele演示了攻击者如何上传名为shell.php、MIME类型为image/png的文件。上传文件后，攻击者可以通过浏览器访问该文件来触发文件的执行，从而获得对服务器的远程访问权限。 Livewire 3.5.2 版修补了 CVE-2024-47823 漏洞。该补丁包括在上传过程中对文件扩展名进行更严格的验证，确保阻止 MIME 类型和扩展名不匹配的文件。 为保护您的系统，立即更新到最新版本的 Livewire 至关重要。此外，还建议开发人员配置网络服务器，防止在公共目录中执行 PHP，并在上传文件时彻底验证 MIME 类型和文件扩展名。     转自安全客，原文链接：https://www.anquanke.com/post/id/300711 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 近日， 有黑客入侵了Internet Archive 网站并窃取了一个包含3100万条记录的用户认证数据库。 昨天（10月9日）下午 ，在 archive.org 的访问者开始看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。 archive.org 网站上显示的 JavaScript 警报中写道：“你有没有觉得互联网档案馆就像是在用棍子运行，随时可能遭受灾难性的安全漏洞？现在已经发生了。看到HIBP上的3100万用户了吗！”这里的“HIBP”指的是由Troy Hunt创建的Have I Been Pwned数据泄露通知服务，威胁分子通常会与之分享窃取的数据以添加到该服务中。 Archive.org上显示的 JavaScript， 警报来源：BleepingComputer Hunt告诉BleepingComputer，威胁分子在九天前分享了 Internet Archive 的认证数据库，这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册会员的认证信息，包括他们的电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt散列密码以及其他内部数据。被盗记录的最新时间戳是2024年9月28日，这可能是数据库被盗的时间。 Hunt表示，数据库中有3100万唯一的电子邮件地址，其中许多订阅了HIBP数据泄露通知服务。这些数据将很快被添加到HIBP中，允许用户输入他们的电子邮件并确认他们的数据是否在此次泄露中被暴露。 在Hunt联系了数据库中列出的用户（包括网络安全研究员Scott Helme）后，确认了数据的真实性。 Helme允许BleepingComputer分享他的暴露记录。Helme确认，数据记录中的bcrypt散列密码与他密码管理器中存储的bcrypt散列密码相匹配。他还确认，数据库记录中的时间戳与他最后一次在密码管理器中更改密码的日期相匹配。 archive.org的密码管理器条目，参考来源：Scott Helme Hunt表示，他在三天前联系了 Internet Archive  并开始了披露过程，称数据将在72小时内加载到服务中，但此后他再也没有收到回复。 目前尚不清楚威胁分子是如何侵入 Internet Archive  的，以及是否有其他数据被盗。 昨天早些时候， Internet Archive  遭受了一次DDoS攻击，BlackMeta黑客组织声称将对此次攻击负责，他们表示还将进行的其他持续攻击。BleepingComputer就此次攻击联系了 Internet Archive ，但暂时没有得到回应。 参考来源：https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/     转自Freebuf，原文链接：https://www.freebuf.com/news/412412.html 封面来源于网络，如有侵权请联系删除