2 月份使用 SSH-Snake 渗透测试工具发起攻击的“CrystalRay”黑客组织大幅增加了攻击规模，使用扩充的武器库袭击了数千名受害者。 SSH-Snake由澳大利亚安全研究员 Joshua Rogers 开发，用于获取 SSH 密钥并将其用于自动网络穿越。2月份，超过 100 个组织使用该工具窃取了凭证， SSH-Snake成为新闻头条。 SSH-Snake 是一种自我复制和自我传播的无文件工具，其目的是用于黑客攻击，其行为方式类似于蠕虫。Rogers 在二月份告诉《安全周刊》，该工具利用了安全架构漏洞，自动化了人类已经可以做的事情。 在首次报告 SSH-Snake 被恶意使用五个月后，Sysdig 表示，初始攻击背后的黑客组织（目前被追踪为CrystalRay）已扩展其工具集，进行大规模扫描、利用多个漏洞以及使用开源软件（OSS）安全工具部署后门。 该公司表示，黑客专注于窃取凭证，然后将其出售以牟利，部署加密矿工，并在受感染的环境中建立持久性。 除了 SSH-Snake 之外，还观察到 CrystalRay 使用 OSS 工具，例如 ASN（启用网络数据调查和侦察）、Zmap（用于端口扫描以识别易受攻击的服务）、Httpx（多用途 HTTP 探测工具）和 Nuclei（漏洞扫描器）。 攻击者试图发现 Activemq、Confluence、Metabase、Weblogic、Solr、Openfire、Rocketmq 和 Laravel 等服务，并利用CVE-2022-44877、CVE-2021-3129和CVE-2019-18394等漏洞。 在某些情况下，CrystalRay 黑客会使用 Nuclei 来识别扫描端口上的潜在蜜罐，并确保它们不会被检测到。 据云安全服务商 Sysdig 称，黑客还使用基于 Golang 的 pdtm 项目来管理和维护他们的开源工具，并依靠 SSH-Snake 进行横向移动。在某些情况下，攻击者还会尝试转移到其他平台，包括服务提供商。 攻击者将部署使用开源、跨平台、对手模拟/红队框架 Silver 生成的有效载荷以实现持久性，并使用开源工具 Platypus 来管理受害者。 云安全服务商 Sysdig 补充道：“CrystalRay 能够发现并提取易受攻击的系统中存在的凭证，然后在黑市上以数千美元的价格出售。出售的凭证涉及多种服务，包括云服务提供商和 SaaS 电子邮件提供商。” 此外，攻击者还会从受害者的机器中窃取各种感兴趣的文件，并部署加密矿工以进一步将未经授权的访问货币化。 CrystalRay 黑客组织的行动证明了攻击者仅使用开源和渗透测试工具就能轻松维护和控制对受害者网络的访问。 因此，实施检测和预防措施以抵御攻击者的持久性是必要的。避免绝大多数此类自动攻击的第一步是通过漏洞、身份和机密管理来减少攻击面。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/HdPTAc2oRuSiTYOck7Ptbw 封面来源于网络，如有侵权请联系删除

雇佣间谍软件通常涉及政府和执法机构试图监视某些关键目标。苹果公司表示，攻击是“持续性的和全球性的”。 苹果公司正在向部分 iPhone 用户发出有关间谍软件攻击的另一条警告。 距离上一轮警告发布已过去三个月，此次新警报引起了安全研究人员和隐私组织的关注。间谍软件监督组织 Citizen Lab 的研究员 John Scott-Railton 在推特上写道：“认真对待这些警报，寻求专家帮助。” 据TechCrunch 报道，苹果已向 98 个国家的用户发出警告。警告内容据称是：“苹果检测到您正受到雇佣间谍软件攻击，该软件正试图远程入侵与您的 Apple ID -xxx- 关联的 iPhone。” 目前尚不清楚此次攻击涉及哪种间谍软件，以及攻击了多少部 iPhone。但雇佣间谍软件攻击通常涉及那些关键人物、社会活动人士，通常通过零点击攻击（受害者完全无法察觉）。 最臭名昭著的雇佣间谍软件之一是 Pegasus(飞马间谍软件)，它来自一家以色列公司。近年来，Pegasus 被发现出现在记者甚至英国首相办公室成员的手机上。 在一份支持文件中，苹果表示“绝大多数用户永远不会成为此类攻击的目标”，因为雇佣间谍软件通常依赖于罕见的软件漏洞，而这些漏洞的发现和开发成本可能高达数百万美元。 苹果公司表示：“尽管雇佣间谍软件攻击的对象是极少数个人——通常是记者、活动家、政客和外交官——但它们仍在持续进行，而且遍布全球。” 自 2021 年以来，苹果一直在向用户发出间谍软件警报。今年 4 月，苹果向 92 个国家的消费者发出了警报。苹果公司周三发送的警告并未透露攻击者的身份或用户收到通知的国家/地区。 为了防范间谍软件威胁，苹果为 iPhone 创建了一种锁定模式，该模式可禁用某些功能以阻止间谍软件攻击成功瞄准设备。 锁定模式时将采取的安全措施： Messages：除图片外，大多数信息附件类型均被屏蔽。部分功能（如链接预览）被禁用。 网页浏览：除非用户将受信任的站点从锁定模式中排除，否则某些复杂的网页技术（如即时 JavaScript 编译）将被禁用。 Apple 服务：如果用户之前没有向发起者发送呼叫或请求，则传入的邀请和服务请求（包括 FaceTime 呼叫）将被阻止。 FaceTime：之前没有呼叫过的人的 FaceTime 来电将被阻止。 共享相册：共享相册将从照片应用中删除，并且新的共享相册邀请将被阻止。 当 iPhone 被锁定时，与电脑或配件的有线连接将被阻止。 当锁定模式处于开启状态时，无法安装配置文件，并且设备无法注册到移动设备管理 (MDM)。 注：普通人不必启用锁定模式，锁定模式会限制大量正常功能，大多数消费者是不会喜欢的。普通人也不必担心上述间谍软件的攻击，因此类攻击所需要的的成本太高了。非关键人物不会成为此类攻击的目标。 该公司还建议用户使用最新软件版本更新他们的 Apple 设备，并在他们的帐户中使用多因素身份验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hd5dm71j4x9pFHQbbzsHLQ 封面来源于网络，如有侵权请联系删除

近日，谷歌对其高级保护计划（APP）进行了重大改进，专门针对高风险用户推出了通行密钥，为传统物理安全密钥提供了一个替代方案，从而提升账户的安全性。 此前，想要加入谷歌高级保护计划的用户都需要一个物理安全密钥。但如今这个密钥为用户保护账户安全提供了一种更灵活、更方便的选择，尤其是对那些无法立即拿到实体钥匙的人。 据高级保护计划产品负责人 Shuvo Chatterjee 和隐私安全与安全合作伙伴 Grace Hoyt 称，这一更新允许高风险用户选择通行密钥作为他们的验证方法，与实体钥匙一起使用或代替实体钥匙。 用于高级保护程序 (APP) 的 Google 密钥 来源：Google 谷歌 谷歌密钥采用 FIDO 身份验证标准，可确保强大的安全性，防止网络钓鱼和未经授权的访问尝试。与密码相比，它们的设计更快捷、更方便，可利用生物识别技术，如指纹或面部扫描或 PIN 码进行验证。这使它们不仅安全，而且方便用户，减少了对记忆或输入密码的依赖。 Shuvo 和 Grace 详细阐述了这次更新的意义，他们说：现在高风险用户均可以注册高级保护计划，使用密码匙来保护自己的账户安全，这无疑为他们提供了一种更简化、更便捷的方式。 高级保护计划本身是谷歌最安全的账户保护产品，专为容易受到复杂网络威胁的个人，如记者、政治活动家和人权工作者量身定制。它通过要求严格的身份验证措施来抵御网络钓鱼、恶意软件和欺诈性访问尝试等常见攻击。 如何使用谷歌通行证 要使用密匙注册，用户首先需要确保其设备和浏览器的兼容性。然后用户可以访问谷歌高级保护计划的注册页面，选择 “开始”，按照屏幕上的说明使用密码或物理安全密钥完成设置。注册时还需要提供电话号码或电子邮件等恢复选项，以便在必要时恢复账户。 除了加强用户安全，谷歌还宣布与 Internews 建立合作伙伴关系，旨在为全球记者和人权工作者提供额外的安全支持。这一举措将利用 Internews 遍布亚洲、拉丁美洲和欧洲 10 个国家的广泛安全合作伙伴和培训师网络。 谷歌通过此次合作践行了其扩大关键在线安全工具和资源的使用范围来支持高风险个人的承诺，也是对现有项目（如 “盾牌项目”）以及与 “保卫数字运动”（Defending Digital Campaigns）和 IFES 等组织合作开展的各种安全培训项目的补充。 谷歌在高级保护计划中引入密钥，这标志着谷歌在加强高风险用户的在线安全方面迈出了重要一步。通过提供物理安全密钥的多功能替代方案，谷歌的账户保护更加方便易用，同时也加强了其对面临网络风险的个人的保护。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405698.html 封面来源于网络，如有侵权请联系删除

负责管理菲律宾全民医疗保健系统的政府机构因未能通知 4200 多万人他们的健康信息在去年秋季的勒索软件攻击中遭到泄露而面临立法者的强烈反对。 菲律宾健康保险公司（PhilHealth）执行副总裁埃利·迪诺·桑托斯（Eli Dino Santos）周一在众议院拨款委员会的听证会上作证称，该组织并未按照法律要求向每位受害者提供有关数据泄露的通知。 听证会上的一名律师表示，菲律宾健康保险公司需要在事件发生后 72 小时内通知受害者，告知他们哪些数据被盗、泄露是如何发生的、每个人面临的风险以及人们如何保护自己。 众议员斯特拉·金博要求在周三之前提交一份数据泄露通知工作的情况报告，并要求菲律宾健康保险公司在本周末之前提供一份如何通知受害者的计划。 该国有实体为该国 1.14 亿公民提供国家健康保险计划。2023 年 9 月，Medusa 勒索软件团伙袭击了该组织并导致数周的中断。 菲律宾健康保险公司当时声称“没有任何个人信息和医疗信息被泄露”。 但到了2023年10月，政府证实850万老年人的信息在袭击中被盗。 今年 4 月，政府为受影响人群创建了一个门户网站，人们可以在其中输入一个 12 位的身份证号码（相当于菲律宾的社会安全号码），以查看自己是否受到了影响。 该网站称勒索软件团伙窃取的 430 GB 数据中包含了 42,089,693 万人的个人信息。  近年来，菲律宾遭受了一系列犯罪分子和民族国家袭击。 一家网络安全公司表示， 2024 年前几个月，针对菲律宾的恶意网络活动增加了近 325% 。与此同时，一个黑客组织被发现使用勒索软件对该国关键基础设施发动“小规模”攻击。   转自e安全，原文链接：https://mp.weixin.qq.com/s/5ugK5LxpmrlwvnwGufml1w 封面来源于网络，如有侵权请联系删除

GitLab 今天警告称，其产品 GitLab 社区版和企业版中存在一个严重漏洞，允许攻击者像任何其他用户一样运行管道作业。 GitLab DevSecOps 平台拥有超过 3000 万注册用户，并被超过 50% 的财富 100 强公司使用，其中包括 T-Mobile、高盛、空中客车、洛克希德马丁、Nvidia 和瑞银。 今天的安全更新中修补的漏洞编号为CVE-2024-6385，其 CVSS 基本评分严重性评级为 9.6（满分 10 分）。 该漏洞影响 GitLab CE/EE 的所有版本，从 15.8 到 16.11.6、17.0 到 17.0.4 以及 17.1 到 17.1.2。在 GitLab 尚未披露的某些情况下，攻击者可以利用该漏洞以任意用户身份触发新管道。 GitLab 管道是一种持续集成/持续部署 (CI/CD) 系统功能，允许用户自动并行或按顺序运行流程和任务来构建、测试或部署代码更改。 该公司发布了 GitLab 社区版和企业版 17.1.2、17.0.4 和 16.11.6 来解决这一严重的安全漏洞，并建议所有管理员立即升级所有安装。 GitLab 安全公告中警告说：“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本。”“GitLab.com 和 GitLab Dedicated 已经在运行修补版本。” GitLab安全漏洞被攻击者积极利用 GitLab 在 6 月底修补了一个几乎相同的漏洞（追踪为CVE-2024-5655），该漏洞也可以被利用以其他用户的身份运行管道。 一个月前，它修复了一个高严重性漏洞（CVE-2024-4835），该漏洞允许未经身份验证的攻击者通过跨站点脚本（XSS）攻击接管帐户。 正如 CISA在 5 月份警告的那样，黑客还在积极利用 1 月份修补的另一个零点击 GitLab 漏洞 ( CVE-2023-7028 )。此漏洞允许未经身份验证的攻击者通过密码重置劫持帐户。 尽管 Shadowserver在 1 月份发现有超过 5,300 个易受攻击的 GitLab 实例在线暴露，但目前仍可访问的还不到一半（1,795 个） 。 攻击者之所以将 GitLab 作为目标，是因为它托管了各种类型的敏感公司数据，包括 API 密钥和专有代码，因此一旦遭到入侵，将会带来严重的安全影响。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，从而危及受感染组织的存储库，则包括供应链攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/HxX4kPQGQFa0uR02R3p9XQ 封面来源于网络，如有侵权请联系删除

加密货币分析师揭露了一个名为 HuiOne Guarantee 的在线市场，该市场被东南亚的网络犯罪分子广泛使用，尤其是与生猪屠宰骗局有关的犯罪分子。 Elliptic在一份报告中表示：“Huione Guarantee 是东南亚诈骗集团的主要推动者之一，根据发现的证据，商户平台的支付系统‘积极参与洗钱世界各地的诈骗所得’。该平台为相关参与者提供技术、数据和洗钱服务，交易总额至少达 110 亿美元。” 这家英国区块链分析公司表示，该市场隶属于Huione 集团，该集团是一家与柬埔寨官方有联系的柬埔寨企业集团，而Huione 集团另一家企业汇旺国际支付 (HuiOne International Payments) 正积极参与全球洗钱诈骗收益。 据其网站介绍， HuiOne 金融服务部门拥有 50 万注册用户。该公司还宣称其客户包括PayGo Wallet、银联和 Yes Seatel。 缅甸、柬埔寨、老挝、马来西亚、缅甸、菲律宾等东南亚国家近年来已成为危害全球的杀猪盘骗局的滋生地。 根据 Elliptic 的调查，缺乏审核加上不健全的支付框架为网络犯罪分子买卖以下物品/服务创造了肥沃的土壤： 洗白勒索软件组织和“杀猪盘诈骗”的非法收入 接受受害者的付款并将其转换为现金、稳定币和中国支付应用程序积分。 创建用于“杀猪盘”行动的加密货币投资诈骗网站。 与受害者交流时使用的人工智能换脸软件。 窃取个人数据（包括联系方式），用于锁定潜在受害者。 为诈骗行动提供便利的电信设备。 销售诈骗团伙使用的酷刑和控制设备。 Huione Guarantee 及其商家使用的加密货币钱包收到的 USDT 价值。这些数字应被视为平台真实交易量的下限。 在这些骗局中，不知情的亚洲和非洲人被该地区的高薪工作诱惑，最终却被困在跨国有组织犯罪集团经营的“诈骗团伙”内，被迫参与欺诈活动。 这些行为包括在社交媒体和约会平台上创建虚假账户，并利用它们与受害者发展恋爱关系，最终说服他们投资不存在的加密货币业务，目的是吸走他们的资金。 HuiOne Guarantee 成立于 2021 年，由 Telegram 上的数千个即时通讯应用频道组成，这些频道由不同的商家运营。尽管该公司声称自己是房地产和汽车的交易市场，但 Elliptic 表示，其提供的大多数商品和服务都是针对网络诈骗运营商的。 Huione Guarantee 商家提供用于杀猪骗局的加密货币投资网站的网页开发（左）、供骗子瞄准的全球个人的个人数据（中）以及用于诈骗的 AI 换脸软件（右）。 该公司解释道：“在汇旺担保上运营的最大一类商户是那些提供货币转移和兑换服务的商户。” “许多商家明确提供洗钱服务，包括接受来自世界各地受害者的付款、将其跨境转移并将其转换为现金、稳定币和中国流行的支付应用程序等其他资产。” 此外，还发现商家宣传软件和网络开发服务，为创建用于杀猪盘诈骗的加密投资诈骗网站提供便利，并且推销催泪瓦斯、电棍和电子镣铐，供诈骗团伙经营者监禁和折磨工人。 Huione Guarantee 上的电击镣铐（左）和电棍（右）广告，商家建议使用这些产品对付诈骗大院的工人。 根据慢雾在今年 1 月初分享的数据，据称与汇旺担保有关联的商家进一步通过一个钱包进行加密货币交易，该钱包从另一个与缅甸联军有关的钱包中收到了超过 460 万美元。 Elliptic 表示：“汇旺担保及其商家收到的加密货币的价值以及所提供的商品和服务类型表明，它是东南亚网络诈骗运营商的关键推动者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Qrr2XVrnyzt1QB_XpY7vfg 封面来源于网络，如有侵权请联系删除

美国政府机构在一份联合咨询报告中写道：俄罗斯政府支持的媒体组织 RT (前身为今日俄罗斯) 旗下的威胁组织利用 Meliorator 软件的人工智能 (AI) 功能创建虚假的网络角色，用于向美国、德国、以色列、荷兰、波兰、西班牙和乌克兰传播有关这些国家的虚假信息。 Meliorator 设计目的是大规模创建看似真实的社交媒体人物，像真实用户一样发布内容，镜像其他虚假人物发布的虚假信息，传播虚假叙述，并制定信息。 该工具由一个名为 Brigadir 的管理员面板（作为主要的最终用户界面）和一个名为 Taras 的播种工具（用于控制虚构人物的后端）组成。 威胁组织可以使用 Meliorator 根据特定参数或原型创建机器人，并控制机器人ID完成自动化场景或操作。 据编写机构称，RT 自 2022 年起就开始使用人工智能机器人农场生成和管理软件，并利用它来传播虚假信息，以支持俄罗斯的利益。 截至 2024 年 6 月，Meliorator 仅与 X 兼容，俄罗斯威胁组织使用它创建了 968 个账户，作为其影响行动的一部分。 周二，美国宣布查封了两个域名，这两个域名是俄罗斯威胁组织用来注册机器人农场虚假社交媒体账户的私人电子邮件服务器所使用的。 扣押令显示，该机器人农场由一名俄罗斯联邦安全局官员、一名 Meliorator 开发人员以及一家私人情报组织的成员控制，“并得到了俄罗斯官方的批准和资金支持”。 已确认的账户已被 X 暂停，美国政府机构呼吁其他社交媒体平台注意这一影响行动并“协助识别虚构人物，以减少恶意外国影响力活动”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/fyy4_sqEzdIoR8Hc7f5wpg 封面来源于网络，如有侵权请联系删除

微软7月补丁日推出大量更新，以修复 Windows 生态系统中的安全漏洞，并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。 微软在一份公告中表示：“成功利用此漏洞的攻击者可以获得系统权限”，并将 Hyper-V 问题标记为“检测到利用”类别。 编号为CVE-2024-38080的 Windows Hyper-V 漏洞的 CVSS 严重性评分为 7.8/10。 微软没有分享有关观察到的攻击的任何其他细节或任何数据或遥测数据来帮助防御者寻找感染迹象。 另外，微软紧急呼吁关注 Windows MSHTML 平台欺骗漏洞 ( CVE-2024-38112 )，该漏洞也被标记为在野外被利用。 微软表示：“要成功利用此漏洞，攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件，受害者必须执行该文件。” 这两个被利用的0day漏洞是微软7月补丁日发布的一大批补丁的重点，补丁修复了 Windows 生态系统中超过 140 个漏洞。在记录的 143 个漏洞中，有 5 个被评为严重，这是微软的最高严重等级。 各个漏洞类别的漏洞数量如下： 26 个特权提升漏洞 24 个安全功能绕过漏洞 59 个远程代码执行漏洞 9 个信息泄露漏洞 17 个拒绝服务漏洞 7 个欺骗漏洞 安全专家敦促 Windows 系统管理员特别注意 Microsoft Office SharePoint 中的一个严重远程代码执行漏洞 – CVE-2024-38023，该漏洞很可能被攻击者利用。 Office SharePoint 漏洞可能允许具有站点所有者权限或更高权限的经过身份验证的攻击者将特制的文件上传到目标 SharePoint 服务器并制作专门的 API 请求来触发文件参数的反序列化。 微软证实：“这将使攻击者能够在 SharePoint Server 的上下文中执行远程代码执行”，并指出具有站点所有者权限的经过身份验证的攻击者可以利用此漏洞注入任意代码并在 SharePoint Server 的上下文中执行此代码。 微软补丁还为 Windows 图像组件和 Windows 桌面远程许可中的严重远程代码执行漏洞提供了保障。 微软发布补丁的同一天，软件制造商 Adobe 也发布了针对 Adobe Premiere Pro、Adobe InDesign 和 Adobe Bridge 产品线安全缺陷的严重性补丁。 Adobe 公司警告称：“成功利用此漏洞可能会导致任意代码执行。”Adobe 组件相关漏洞会影响 Windows 和 macOS 用户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GV29d0xTF5b8-c_8JVBt9g 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员在名为Blast-RADIUS的RADIUS网络身份验证协议中发现了一个安全漏洞，攻击者可以利用该漏洞发动中间人（MitM）攻击，并在特定情况下绕过完整性检查。 关于Blast-RADIUS Blast-RADIUS是目前广泛应用的RADIUS/UDP协议中的一种认证绕过技术，可以使攻击者在中间人MD5冲突攻击中攻破网络和设备。 InkBridge Networks的首席执行官、FreeRADIUS项目的创始人Alan DeKok在一份声明中说：RADIUS 协议允许某些访问请求信息无需进行完整性或身份验证检查。 RADIUS是远程身份验证拨号用户服务的简称，是一种客户端/服务器协议，为连接和使用网络服务的用户提供集中身份验证、授权和记账（AAA）管理。 RADIUS的安全性依赖于使用MD5算法导出的哈希值，由于存在碰撞攻击的风险，截至2008年12月，MD5算法被认为在密码学上已被破解。 因此，攻击者可以在不被发现的情况下修改这些数据包，将能够强制任何用户进行认证，并给予该用户任何授权（例如VLAN等）。 这意味着访问请求数据包可能会受到所谓的选定前缀攻击，使得可以修改响应数据包，以便它通过原始响应的所有完整性检查。 需要注意的是，要使攻击成功，攻击者必须修改在客户端和服务器之间传输的RADIUS数据包。那么，通过互联网发送数据包的组织将面临该漏洞带来的风险。 漏洞利用细节 Blast-RADIUS利用了一个新的协议漏洞CVE-2024-3596和MD5碰撞攻击，允许访问RADIUS流量的攻击者操纵服务器响应并添加任意协议属性，这使他们无需暴力或窃取凭证即可获得RADIUS设备的管理权限。 Blast-RADIUS研究人员解释说：Blast-RADIUS攻击允许位于RADIUS客户端和服务器之间的中间人对失败的认证请求伪造有效的“访问接受”响应。攻击者通过向有效的客户端请求中注入恶意的“代理状态”属性来实现这一点。这个“代理状态”属性肯定会在服务器的响应中被回显。攻击者构造“代理状态”，使得有效响应和攻击者希望伪造的响应之间的响应验证器值相同。这种伪造将导致NAS（网络访问服务器）在攻击者不猜测或暴力破解密码或共享机密的情况下授予对手对网络设备和服务的访问权限。 研究人员表示：”利用此攻击的攻击者可以将部分网络访问权限升级为能够登录任何使用RADIUS进行身份验证的设备，或为自己分配任意网络权限。” 在对设备进行身份验证时，RADIUS协议使用MD5请求和响应。研究人员的概念验证漏洞（尚未共享）计算了伪造有效 “访问-接受 “响应所需的MD5选择前缀哈希冲突，以表示成功的身份验证请求。然后，利用中间人攻击将伪造的MD5哈希值注入网络通信，使攻击者能够登录。 伪造这个MD5哈希值需要3到6分钟，比RADIUS在实践中常用的30到60秒超时要长。 不过，攻击中使用的碰撞算法的每个步骤都可以有效地并行化，并适合硬件优化，这将使资源充足的攻击者能够使用GPU、FPGA或其他更现代、更快速的硬件来实施攻击，从而实现更快的运行时间，可能快数十倍或数百倍。 攻击流程（Blast-RADIUS 研究团队） 研究团队表示，虽然MD5哈希碰撞在2004年已首次被证实，但当时仍有人对在RADIUS协议中加以利用表示质疑。 缓解措施 由于这种攻击不会危及最终用户的凭证，因此最终用户无法采取任何防范措施。 不过，BlastRADIUS是一个基本设计缺陷的结果，据说会影响所有符合标准的RADIUS客户端和服务器，具体来说，PAP、CHAP和MS-CHAPv2认证方法是最脆弱的，建议使用该协议的互联网服务提供商(isp)和组织更新到最新版本。 网络运营商可以升级到RADIUS over TLS (RADSEC)，转而采用 “多跳 “RADIUS 部署，并使用限制访问管理VLAN 或 TLS/ IPsec隧道将RADIUS流量与互联网访问隔离。 另外，还可以通过Message-Authenticator属性提高数据包安全性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405650.html 封面来源于网络，如有侵权请联系删除

近日，一个名为 noyb 的非营利性欧洲隐私权倡导组织对 Xandr 提起诉讼。Xandr 被指控透明度不高，侵犯了欧盟人民的数据访问权。 Xandr 是科技巨头微软的子公司，如果监管机构认定其有侵犯隐私权的行为，微软或将面临巨额罚款。 据悉，  Xandr被投诉的原因是 noyb 认为其违反了《通用数据保护条例》（GDPR），因为Xandr 的信息被处理后还创建了用于微目标广告的档案，并且这些广告会通过程序化广告拍卖出售。 此外，Xandr 收集并分享了数百万欧洲人的个人数据，用于详细的定向广告，这使得 Xandr 可以向成千上万的广告商拍卖广告空间。虽然最终只向用户展示一个广告，但所有广告商都会收到他们的数据。这些数据中包括用户健康、性或政治观点等个人信息。 根据此前的研究表明，Xandr 收集了数百份欧洲人的敏感档案，其中包含他们的健康、性生活或性取向、政治或哲学观点、宗教信仰或财务状况等信息。 尽管该公司以 “有针对性 “为卖点，但其掌握的信息却相当随机，投诉人显然既有男性也有女性，既有在职者也有失业者。noyb 称：正是这样信息的随机性使得 Xandr 可以把广告空间卖给自以为针对特定群体的多家公司。 最后，noyb 还指出，广告代理商并不遵守任何访问请求。尽管 Xandr 收集了大量详细的个人信息，但在 2022 年，它对访问和删除请求的回复率却是 0%。 很明显 Xandr 的业务是基于数百万欧洲人的数据展开的，该公司此前也承认其对访问和删除请求的回复率为 0%。 noyb 数据保护律师Massimiliano Gelmi认为 Xandr 公开说明它是如何违反 GDPR 的这一举动令人十分震惊。 目前该组织正要求数据保护机构进行调查，如果证实存在违规行为，将责令 Xandr 遵守规定。 据该非营利组织称，当局应处以 Xandr 母公司年收入 4% 以下的罚款。而根据公开信息，其母公司微软 2023 年全年收入约为 2120 亿美元，也就是说一旦被证实违规，微软面临的 4% 的罚款将是惊人的 85 亿美元。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405594.html 封面来源于网络，如有侵权请联系删除