根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动，甚至还可以在全球成千上万台服务器上执行任意代码。 仅花20美元即可控制全球海量服务器 哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。 该域名曾是用于管理.mobi顶级域名的WHOIS服务器，然而，.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi，却未通知任何人，全球大量服务器仍然引用旧域名。 哈里斯在购买并重新启用该域名后，惊讶地发现，短短数小时内，他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是，在接下来的五天里，他的服务器收到了约250万次查询请求，来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。 WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而，随着时间的推移，许多系统依旧信任旧的WHOIS服务器，未能及时更新其记录。这意味着，当哈里斯接管这个过期域名时，他不仅能够拦截对.mobi域名的所有查询，还能通过伪造的WHOIS信息操控证书颁发流程。例如，哈里斯尝试为“microsoft.mobi”生成证书请求，并顺利收到了证书颁发机构GlobalSign发来的验证邮件。 虽然出于道德原因，哈里斯并没有进一步生成伪造证书，但他指出，这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说，无异于“游戏结束”。 WHOIS为何如此“危险”？ 自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为NIC（网络信息中心项目的简称）的首席研究员。在Feinler的监督下，NIC开发了顶级域名系统和官方主机表，并发布了ARPANET目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为WHOIS系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。 尽管WHOIS看起来已经过时，但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外，证书颁发机构依靠它来确定域名的官方管理电子邮件地址。 废弃WHOIS服务器域名一旦落入黑客，则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。 与绝大多数竞争对手一样，GlobalSign使用自动化流程。例如，针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。 除了伪造证书外，哈里斯还发现，许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时，依然会向他的伪造服务器发送查询请求。这意味着，他能够通过长期追踪这些查询，间接推测出相关通信的发件人和收件人，潜在地获取敏感信息。 此外，一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞，攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。 结论：信任是互联网最可怕的安全债 哈里斯的安全测试揭示了一个更深层次的问题：互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统，容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准，许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。 这类问题不仅限于WHOIS服务器。哈里斯指出，类似的漏洞也存在于S3存储桶等云基础设施中，当这些资源被废弃时，仍有可能被其他人重新注册并利用。 哈里斯的研究提醒我们，网络世界中的信任链条往往比我们想象的更加脆弱，而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EGP-0nJamnCoJwbNnIwxGQ 封面来源于网络，如有侵权请联系删除

该校校长称本周前三天将关闭学校进行网络安全清洁，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。 安全内参9月11日消息，英国伦敦南部一所高中日前遭遇勒索软件攻击，导致本周前半段停课，约1300名学生的学业受到影响。 9月5日，查尔斯·达尔文学校的学生被迫离校。次日，校长Aston Smith向家长发布了一封信，告知学生们之前了解到的IT问题“比预想的更为严重”，实际上是一次勒索软件攻击。 信中确认，由于“所有员工的设备已被移走进行清理”，学校将在“下周一、周二和周三暂停授课”。教师们需要时间重新准备课程，而学校的高级管理层则需要建立新的系统，以确保学校正常运作。 信中还提到：“作为预防措施，所有学生的微软Office 365账号已被禁用。如果您收到来自陌生邮箱的邮件，请保持警惕。在恢复过程中，我们绝不会发送任何附件或链接。” 信中补充道，根据接下来几周的情况更新，学校可能需要采取进一步措施，并警告称“所有由学校保存的信息都有可能已被访问”。 目前，学校正与一家网络安全公司合作进行取证调查。然而，校长警告说，在调查结束之前，他无法提供有关数据泄露的更多细节。 校长表示：“令人遗憾的是，尽管我们已经实施了最新的安全措施，这类网络攻击仍然变得越来越普遍。我们目前的情况与英国国家医疗服务体系（NHS）、伦敦交通局、英国国家铁路，以及其他学校和公共部门机构经历的情况类似。” 英国教育业遭勒索攻击日渐增多 此次攻击恰逢英国新学年刚开始，也是继去年一系列针对教育机构的勒索软件攻击后的又一起事件。 近年来，针对英国教育和儿童保育部门的勒索软件攻击达到了前所未有的高峰。2023年，向信息专员办公室（ICO）报告的相关事件多达126起，创下了历史最高纪录。在2024年第一季度，ICO再次收到了27起攻击报告，比去年同期的报告数量增长了一倍以上。 包括英国最大公立寄宿学校怀蒙德汉姆学院（Wymondham College）和西萨塞克斯郡的坦布里奇豪斯学校（Tanbridge House School）在内，多所学校均遭到了网络勒索者的攻击。这些犯罪分子威胁称，如果受害者不支付赎金，他们将公开被窃取的数据。 此前，LockBit勒索软件组织曾试图勒索一所特殊教育需求学校。更有甚者，犯罪分子还公开了吉尔福德郡学校的敏感文件，这些文件似乎包含教师记录的关于高危学生的内部报告。 英国官方称学校应对勒索攻击能力逐步加强 英国教育部发言人曾在谈及影响学校的攻击时表示，教育部正在密切监控网络安全事件，但目前没有证据显示攻击数量有所增加。至于最新的事件，教育部未作进一步回应。 英国政府网络安全主管机构国家网络安全中心（NCSC）早在2020年9月就首次向学校发出了勒索软件攻击的警报，警告称“越来越多的勒索软件攻击正影响英国的教育机构，包括学校、学院和大学。” 自那以后，随着更多勒索软件攻击的发生，NCSC已多次更新其警报页面。 在上个月发布的一项调查报告中，NCSC最近一次提及攻击数量增加。调查显示，尽管勒索软件攻击数量有所增加，但学校应对这些事件的准备工作也在逐步加强。这些准备工作不仅包括保护IT网络，还包括如何快速从事件中恢复。 勒索软件已成为全球教育业公害 Vice Society这一网络犯罪组织是近年来针对英国及全球教育机构发起的一系列勒索软件攻击的幕后黑手。该组织通过窃取敏感数据并威胁公开来勒索受害者支付赎金。 去年，Hive勒索软件组织曾在一次攻击后，向英国两所学校勒索50万英镑（约合60.8万美元）。今年1月，美国和德国的执法机构宣布，他们已“黑掉”了这一黑客组织，并摧毁了Hive团伙使用的基础设施。 此前，BBC新闻曾报道，该团伙公开了从英国14所学校窃取的高度机密数据。在一些情况下，学校并未告知学生和教职工，他们的个人数据已被发布在泄露网站上。 勒索软件攻击在美国的教育机构中也屡见不鲜。最近，美国洛杉矶联合学区以及艾奥瓦州和马萨诸塞州的教育系统也遭遇了类似的攻击。今年早些时候，黑客还入侵了美国首都华盛顿附近的一个学区，导致近10万人的个人信息被泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/70139 封面来源于网络，如有侵权请联系删除

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞，入侵多个品牌的 SOHO 路由器和 VPN 设备，并积极发展。 根据法国网络安全公司 Sekoia 的最新报告，目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。 研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示：“Quad7 僵尸网络运营商似乎正在改进其工具集，引入新的后门并探索新的协议，目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。” Quad7，也称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。 该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，据观察，该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。 VulnCheck 的 Jacob Baines 今年 1 月初指出：“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统，尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动 SOCKS5 服务器。” Sekoia 和 Team Cymru 在过去几个月的后续分析发现，该僵尸网络不仅攻 击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。 最新调查结果显示，该僵尸网络由若干个集群组成—— xlogin（又名 7777 僵尸网络） – 由受感染的 TP-Link 路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 7777 和 11288 alogin（又名 63256 僵尸网络）——由受感染的华硕路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 63256 和 63260 rlogin – 由受感染的 Ruckus Wireless 设备组成的僵尸网络，这些设备打开了 TCP 端口 63210 axlogin – 一个能够攻击 Axentra NAS 设备的僵尸网络（目前尚未在野外检测到） zylogin – 由受感染的 Zyxel VPN 设备组成的僵尸网络，这些设备开放了 TCP 端口 3256 感染量排名前三的国家是保加利亚、美国和乌克兰。 进一步表明战术演变的是，攻击者现在使用一个名为 UPDTAE 的新后门，该后门建立基于 HTTP 的反向 shell，以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。 目前尚不清楚该僵尸网络的具体目的或幕后黑手。 “关于 7777 [僵尸网络]，我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络，我们仍然不知道它们是如何使用的。” “我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。” 技术报告：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MxYNWKVCLZzkOCd4p7V9Jw 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意 Python 包，它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示：“新的样本被追踪到 GitHub 项目，该项目与之前的针对性攻击有关，这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分，该活动于 2023 年 8 月首次曝光。有迹象表明，这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介，他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员，要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上，或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示，它发现了嵌入在合法 PyPI 库（如pyperclip和pyrebase ）的修改版本中的恶意代码。 Zanki 表示：“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件（PYC）中，这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现，掩盖了下载器功能，该功能与命令和控制 (C2) 服务器建立联系，以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中，攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”，Zanki 表示，并补充道，“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试，突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广，谷歌旗下的 Mandiant 最近也强调，他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示：“在初步聊天对话后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件，该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露，代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击，通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT，并且与代号为CLOUD#REVERSER（又名 puNK-002）的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件，这是一种 Windows 快捷方式 (LNK) 文件，可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法，该活动已链接到跟踪为 puNK-003 的子集群。 技术报告：https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络，如有侵权请联系删除

乌克兰安全局（SBU）拘留了一名当地公民，他涉嫌在关键基础设施附近安装监控摄像头，据称允许俄罗斯情报部门监视这些地点。 乌克兰安全局周一在一份声明中表示，据报道，这名嫌疑人居住在乌克兰东北部城市哈尔科夫，俄罗斯军事情报局 (GRU) 通过社交消息应用程序 Telegram 招募了他，并承诺给他“轻松”的钱。 乌克兰执法部门在基辅逮捕了这名涉嫌俄罗斯间谍的人，他在基辅租了几套可以俯瞰当地能源设施的高层建筑中的公寓。 据乌克兰安全局称，嫌疑人利用这些公寓安装了带有远程访问软件的摄像头，据称可以让俄罗斯人实时监控关键基础设施。 俄罗斯可能利用这些录像来评估其最近对基辅地区空袭的影响，并确定乌克兰防空系统的位置。 乌克兰安全局称，嫌疑人在基辅设立这些“观察站”后，以探望父母为幌子返回哈尔科夫，但实际上是为了纵火焚烧战略铁路线上的继电器柜。 安全部门表示，他们记录了他的一举一动，并最终将他拘留在基辅的一间出租公寓中。被捕时，嫌疑人正在安装一台新的闭路电视 (CCTV) 摄像机，以记录对该市的空袭。 在搜查过程中，执法人员缴获了他的手机和摄像机，其中包含俄罗斯“情报和颠覆活动”的证据。 嫌疑人目前已被拘留。乌克兰安全局表示，他将面临终身监禁和没收财产。 流行的间谍工具 俄罗斯和乌克兰都广泛使用监控摄像头进行间谍活动。它们通常安装在关键基础设施附近，或用于识别部队、防空系统或军事装备的位置。 今年8月，俄罗斯当局警告乌克兰攻击风险地区的居民停止使用监控摄像头，担心它们可能被用于情报收集。 根据俄罗斯内务部（MVD）的声明，乌克兰军队正在远程连接不受保护的闭路电视摄像机，“监视从私人庭院到具有战略意义的道路和高速公路的一切”。 今年 1 月，乌克兰安全官员称，他们关闭了两台在线监控摄像头，据称这些摄像头遭到俄罗斯黑客攻击，用于监视基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的居民楼上，最初供居民监控周边地区和停车场。据称，俄罗斯情报部门在入侵这些摄像头后，获得了远程访问权限，改变了摄像头的视角，并将其连接到 YouTube 以播放敏感视频。 这些画面可能帮助俄罗斯在对乌克兰进行大规模导弹袭击期间向基辅发射无人机和导弹。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/sRU6TCWNfy9m0WwFKG25AA 封面来源于网络，如有侵权请联系删除

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。 近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。 由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。 “最流行硬件密钥”YubiKey被破解 YubiKey 5系列硬件密钥产品是当下最流行的FIDO硬件令牌，内置了英飞凌的SLE78安全微控制器，以确保设备的高安全性。然而，研究人员发现，该微控制器在ECDSA实现中存在一个关键漏洞，可被攻击者利用并克隆密钥。 FIDO硬件令牌是一种用于网络服务身份验证的强认证工具，广泛应用于政府、企业和个人的敏感数据保护中。这些令牌通常嵌入安全元素（Secure Element），依赖椭圆曲线数字签名算法（ECDSA）作为其核心的加密原语。 该漏洞涉及一种非恒定时间的模逆运算，导致加密操作产生可预测的电磁辐射。研究人员通过分析电磁信号，发现攻击者可以利用这些泄露的信息推断出ECDSA私钥。具体而言，攻击者通过在受害设备附近部署特定的物理设备并进行几分钟的电磁侧信道采集，即可获得足够的信息来推导密钥。 研究的突破点是利用Feitian A22设备上的JavaCard开放平台进行逆向工程。该设备基于与YubiKey 5系列相同的Infineon SLE78微控制器，研究人员通过此平台发现了ECDSA实现中的侧信道漏洞，并成功设计了一种可行的攻击方法。最终，他们在YubiKey 5Ci设备上成功验证了该攻击。 产品漏洞顺利通过了80次顶级安全认证 该漏洞不仅影响YubiKey 5系列设备，还扩展至其他采用Infineon加密库的设备，如Optiga Trust M和Optiga TPM等安全微控制器。这些微控制器被广泛应用于各种复杂的安全系统，包括电子护照、智能家居、智能汽车等。尽管研究人员尚未确认该漏洞是否适用于所有这些系统，但潜在风险不容忽视。 根据论文，受影响的设备多达80款，且在过去14年中通过了多个最高级别的安全认证（如Common Criteria CC认证）。这一漏洞的长期未被发现，反映出即使是经过严格审查的加密系统，也可能存在未察觉的严重安全漏洞。 更糟糕的是，该漏洞还摧毁了人们对安全认证的信心，因为该漏洞在英飞凌顶级安全芯片中存在了14年之久，期间存在漏洞的芯片和加密库在2010年至2024年期间顺利通过了大约80次AVA VAN 4级（用于TPM）或AVA VAN 5级（用于其他芯片）的CC认证评估，（以及近30次证书维护）。 漏洞严重，但不紧急 尽管Yubikey等硬件密钥曝出高危漏洞，但对于普通用户来说，未必需要紧急停用或者更换密钥。研究人员强调，利用这一漏洞的前提条件相对苛刻。首先，攻击者需要物理访问目标设备，其次，还需要昂贵的设备、定制软件以及高度专业的技术能力（编者：克隆YubiKey密钥还需要需要掌握受害者的用户名和密码，以及对其YubiKey的物理访问权）。因此，在现实中，该漏洞被大规模利用的风险较低。研究人员指出，对于普通用户而言，继续使用FIDO硬件令牌仍是抵御网络钓鱼攻击的最安全手段。虽然存在漏洞，但相比不使用硬件认证，使用受影响的FIDO令牌依然提供了更高的安全性。 未来应对措施 针对这一漏洞，研究人员提出了若干应对方案，包括加强物理防护、通过电磁干扰阻断侧信道、使用法拉第笼屏蔽设备外部的电磁辐射等。这些措施虽然有效，但在实际部署中可能带来较高的成本和复杂性。 此外，研究人员呼吁安全系统制造商尽快修复这一漏洞，尤其是那些依赖ECDSA加密的设备。未来的硬件设计中，应更加关注侧信道攻击的防御能力，并确保加密操作的时间一致性。 也有安全专家建议关注开源硬件密钥方案，例如Soma、Solokey、Nitrokey、Onlykeys等，虽然这些硬件密钥也都存在漏洞（有些甚至无法修复）。 截止本文发稿，有报道称，yubikey已经在密钥固件中用自己的ECC上游库替换了Infineon密码库。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/iVxB7faNkGuRwP7nHwJ9fg 封面来源于网络，如有侵权请联系删除

安全内参9月10日消息，美国西雅图高线（Highline）公立学区的技术系统遭到网络攻击，导致学区内所有学校在周一和周二暂时关闭。 学区在上周日（8日）通过其官网发布声明称：“我们已检测到技术系统中存在未经授权的活动，并立即采取行动隔离了关键系统。我们正与第三方以及州和联邦合作伙伴密切配合，力争安全完成系统的恢复与测试工作。” 所有体育活动、学校活动、会议以及疫苗接种点均已暂停，但学区的中央办公室仍然开放。这次关闭还推迟了周一的幼儿园开学，高线学区的幼儿园为全日制。 根据学区官网的通知，部分学区员工仍需到校，负责引导那些未得知学区停课消息的家庭。周一，只有少数学生到校。 高线学区负责为西雅图南部社区的35所学校提供服务，涵盖17290名学生。 学校运转高度依赖IT系统，后期将补课弥补学时损失 学区发言人Tove Tupper在上周日下午表示，处理此问题的学区专家尚未发现员工或家庭的个人信息遭到泄露。学区在上周日并未解释黑客的动机或目标，Tupper仅表示，学区“发现技术系统中存在未经授权的活动”。 Tupper指出，学校的计算机和通信系统对于维持课堂运作至关重要。她举例说，校车调度通过在线系统进行。“我们无法在没有这些系统的情况下正常运作，尤其是在学年初阶段。这时，年幼的学生们正乘坐校车，且仍在适应日常流程。”她补充道，出勤记录也依赖在线系统。 上周日下午，学区通过短信、自动电话和电子邮件向家长和员工发出了通知。 高线学区2024-25学年日历中已用红色标出了补课日，以应对教学时间的损失。第一个补课日定在阵亡将士纪念日后的星期二，若有必要，官员们可能会将原本四天的长周末缩短为三天。 教育机构网络威胁态势愈发严峻 这是Tupper在高线学区工作11年来，首次看到整个学区因计算机网络安全问题关闭。 随着越来越多的学校系统依赖互联网和技术开展工作，网络攻击的频率也在上升。根据网络安全公司Emsisoft的报告，2021年曾发生62起针对学校系统的攻击事件，而到2023年，这一数字已超过100起。在某些情况下，黑客会要求赎金或威胁公开个人信息。 此次针对高线公立学校的攻击，仅是近年来影响北美及全球公立学区和学生的一系列网络攻击中的最新一起。 今年6月，一名身份不明的攻击者入侵了数字课堂管理平台Mobile Guardian，并远程清除了北美、欧洲和新加坡至少13000台学生iPad和Chromebook上的数据。 加拿大最大的学校董事会、北美第四大董事会——多伦多地区学校董事会（TDSB）也在6月警告称，其软件测试环境遭到了勒索软件攻击的影响。   转自安全内参，原文链接：https://www.secrss.com/articles/70092 封面来源于网络，如有侵权请联系删除

近日，有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766，影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补，并警告称其只影响防火墙的管理访问界面。 然而，SonicWall上周五（9月6日）透露，该安全漏洞还影响了防火墙的SSLVPN功能，且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁，但没有透露有关野外利用的详细信息。 Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联，他们试图以SonicWall设备为目标，获得对目标网络的初始访问权。 Arctic Wolf高级威胁情报研究员Stefan Hostetler表示：在每个实例中，被攻击的账户都是设备本身的本地账户，而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外，所有被入侵账户的 MFA 都被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。 同时，网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织，但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。 Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告，并敦促管理员尽快升级到最新的 SonicOS 固件版本。 联邦机构被勒令在 9 月 30 日前打补丁 本周一（9月9日），CISA将此关键访问控制漏洞添加到其已知漏洞目录中，并命令联邦机构在 9 月 30 日之前的三周内，按照约束性操作指令 (BOD) 22-01 的规定，确保其网络中存在漏洞的 SonicWall 防火墙的安全。 SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源，并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。 在网络间谍和勒索软件攻击中，攻击者经常以 SonicWall 设备和设备为目标。例如，包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/410635.html 封面来源于网络，如有侵权请联系删除