日前，华硕七种型号路由器曝出高危安全漏洞，漏洞被跟踪为 CVE-2024-3080（CVSS v3.1 评分：9.8“严重”），是一个身份验证绕过漏洞，允许未经身份验证的远程威胁攻击者控制设备。华硕方面在近日发布的固件更新中解决了安全漏洞问题。 安全漏洞主要影响以下路由器型号： XT8 （ZenWiFi AX XT8） – Mesh WiFi 6 系统，提供速度高达 6600 Mbps 的三频覆盖、AiMesh 支持、AiProtection Pro、无缝漫游和“家长”控制； XT8_V2 （ZenWiFi AX XT8 V2） – XT8 的更新版本，保持了类似的功能，增强了性能和稳定性； RT-AX88U – 双频 WiFi 6 路由器，速度高达 6000 Mbps，具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS； RT-AX58U – 双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh、AiProtection Pro 和 MU-MIMO，可实现高效的多设备连接； RT-AX57 – 专为基本需求而设计的双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh 和基本的“家长”控制； RT-AC86U – 双频 WiFi 5 路由器，速度高达 2900 Mbps，具有 AiProtection、自适应 QoS 和游戏加速功能； RT-AC68U – 双频 WiFi 5 路由器，提供高达 1900 Mbps 的速度，支持 AiMesh、AiProtection 和强大的“家长”控制； 安全漏洞曝出后，华硕建议用户应当尽快将设备更新到华硕下载门户上提供的最新固件版本（上述每个型号的链接），并表示固件更新说明也可以在“此常见问题解答”页面上找到。对于那些无法立即更新固件的用户，华硕建议应当设置更加复杂的 WiFi 密码（超过 10 个非连续字符）。 此外，华硕还建议用户立即禁用对管理面板的互联网访问、WAN 远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发器。 值得一提的的是，新发布的安全更新固件中还修复了另一个安全漏洞 CVE-2024-3079 ，这是一个高严重性 （7.2） 缓冲区溢出问题，需要管理员帐户访问权限才能利用。同时，研究人员还披露了安全漏洞 CVE-2024-3912，这是一个严重 （9.8） 任意固件上传漏洞，允许未经身份验证的远程威胁攻击者在设备上执行系统命令（CVE-2024-3912 安全漏洞影响了多个华硕路由器型号。 每个受影响模型的建议解决方案是： DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U：升级至固件版本 1.1.2.3_792 或更高版本。 DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1：升级至固件版本 1.1.2.3_807 或更高版本。 DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U：升级至固件版本 1.1.2.3_999 或更高版本。 DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55：已达到 EoL 日期，建议更换。 华硕方面在最新发布的下载主版本 3.1.0.114 解决了五个中高严重性问题，涉及任意文件上传、操作系统命令注入、缓冲区溢出、反映的 XSS 和存储的 XSS 安全问题。 尽管这些都不如 CVE-2024-3080 漏洞影响范围广、危害大，但还是建议用户应尽快将其实用程序升级到 3.1.0.114 或更高版本，以获得最佳的安全性和保护。   转自Freebuf，原文链接：https://www.freebuf.com/news/403718.html 封面来源于网络，如有侵权请联系删除

一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度政府机构。 该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与代号为“UTA0137”的巴基斯坦黑客组织有关。 “2024 年，Volexity 发现了一个疑似巴基斯坦威攻击者开展的网络间谍活动，Volexity 目前以别名 UTA0137 进行追踪。”Volexity 解释道。 “Volexity 高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体。根据 Volexity 的分析，UTA0137 的活动似乎取得了成功。”研究人员继续说道。 该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许攻击者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。 攻击者使用 Discord 和表情符号作为命令和控制 (C2) 工具，这使得该恶意软件可以让它绕过基于文本进行检测的安全软件。 Discord 和表情符号作为 C2 据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。 执行后，恶意软件将下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，以防军官死亡。 诱饵文档的一部分 额外的有效载荷将在后台下载，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据。 当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者。 为了控制恶意软件，攻击者利用开源命令和控制项目discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。 该恶意软件将连接到攻击者控制的 Discord 服务器并等待攻击者在频道中输入表情符号。 当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中。一旦命令完全处理完毕，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行。” 九个表情符号用于表示在受感染设备上执行的命令，如下所示。 该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。 Volexity 表示，他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本，包括XDG 自动启动条目。 一旦设备被攻破，攻击者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证。 虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物，但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件检测，这是一种有趣的方法。 UTA 0137 感染后行为 Volexity 发现 UTA0137 在成功感染后使用的许多第二阶段工具，以及攻击者使用的通用策略、技术和程序 (TTP)。 其中一些总结如下： 使用Nmap扫描受害网络 使用Chisel和Ligolo进行网络隧道传输 大量使用文件共享服务oshi[.]at来准备受感染机器下载的工具并托管窃取的数据 此外，UTA0137 会利用预安装的Zenity实用程序，诱使受害者在攻击者控制的对话框中输入密码。UTA0137 发出了多个命令，在用户系统上弹出一个对话框，伪装成 Firefox 更新： 在最近的一次活动中，Volexity 注意到 UTA0137针对系统部署了DirtyPipe (CVE-2022-0847) 特权提升漏洞。 详细技术报告：https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vZsnyaizTaWFYKsWhkKxEQ 封面来源于网络，如有侵权请联系删除

乌克兰安全局 SBU拘留了两名据称帮助俄罗斯情报部门传播亲克里姆林宫宣传和窃听乌克兰士兵手机的人员。 这两名嫌疑人运营所谓的机器人农场，使用特殊服务器和 SIM 卡来创建和管理虚假的社交媒体账户。 其中一个机器人农场位于西部城市日托米尔，位于一名身份不明的乌克兰女子的公寓内。根据乌克兰安全局的声明，她注册了 600 多个虚拟手机号码以及数量不详的虚假 Telegram 账户，然后在专门的俄罗斯犯罪网站上出售或出租这些号码以换取加密货币。 乌克兰安全局称，俄罗斯情报部门利用这些账户和电话号码向乌克兰军方发送钓鱼邮件，入侵其设备。这些邮件包含恶意文件，一旦打开，就会在目标手机上安装间谍软件，以收集机密数据。 乌克兰安全局称，俄罗斯还利用这些账户传播据称代表普通乌克兰公民的亲克里姆林宫言论。 另一名嫌疑人是来自乌克兰中东部城市第聂伯罗的一名 30 岁男子，他使用乌克兰移动运营商的 SIM 卡在各种社交网络和即时通讯应用上注册了近 15,000 个虚假账户。乌克兰安全局称，他随后在暗网论坛上将这些账户卖给了俄罗斯情报机构。 如果罪名成立，两名嫌疑人将面临最高三年监禁或罚款。调查仍在进行中。 俄罗斯此前曾利用机器人农场在战争期间进行宣传和制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布的报酬，而卢布是乌克兰禁止使用的货币。 今年 4 月早些时候，乌克兰安全局在基辅逮捕了两名黑客，他们涉嫌通过冒充乌克兰政府官员的社交媒体账户传播俄罗斯宣传。同月，一名乌克兰男子因制作和传播俄罗斯宣传被判处15 年监禁。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/T9IibyYHilKsSVLQid3TrQ 封面来源于网络，如有侵权请联系删除

乌克兰网络警察称，他们已经发现了一名与臭名昭著的 Conti 和 LockBit 勒索软件团伙有关联的当地黑客。 警方称，这名 28 岁的基辅居民专门从事加密器的开发，加密器是一种用于加密恶意软件的恶意工具，使防病毒软件更难检测和分析。 根据警方周三发布的声明，该男子向与俄罗斯有关的 Conti 和 LockBit 勒索软件组织有关的黑客出售自己的服务，以获得加密货币奖励。 乌克兰警方没有说明嫌疑人目前是否被拘留。该机构的发言人告诉 Recorded Future News，“目前正在进行调查行动，包括分析被扣押设备中包含的信息，以收集更多证据并识别可能参与犯罪的其他人员。” 荷兰警方上周发表声明称，该嫌疑人于 4 月在“终局行动”中被捕，该行动是针对僵尸网络的最大规模国际执法行动之一。当局关闭或破坏了 100 台犯罪分子使用的服务器，并查获了 2,000 多个恶意域名。 声明称：“荷兰调查部门对乌克兰的逮捕行动感到非常高兴，并感谢乌克兰警方在战争时期为此找到的空间。” LockBit是过去四年来最猖獗的勒索软件之一。其恶意软件已经破坏了全球数千家企业，其中包括波音公司和英国皇家邮政。 今年 2 月，警方关闭了该勒索网站，但犯罪分子很可能在 5 月重新启用了该网站。FBI 官员最近表示，美国当局拥有 7,000 多个解密密钥，可以帮助 LockBit 受害者恢复数据。 Conti因攻击美国医疗保健组织而闻名。2022 年，美国悬赏高达 1000 万美元，以获取有关任何担任 Conti 领导职务的个人的身份和位置的信息。 乌克兰警方称，这名乌克兰黑客据称使用加密器伪装的恶意软件于 2021 年底感染了荷兰和比利时公司的计算机网络。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TrREozllofJF1mIAKQkfiQ 封面来源于网络，如有侵权请联系删除

美国政府削减国家漏洞库的预算，导致无人处理富化CVE属性信息，全球网络防御基础数据出现缺失状况，引发业界广泛关注。目前，CISA、NIST正在着手解决这一问题。 有消息称，最新研究显示，自今年2月美国政府宣布削减国家漏洞数据库（NVD，由NIST运营，以下简称NVD漏洞库）预算以来，超过90%提交至该数据库的漏洞尚未完成分析或补充信息（即在创建漏洞编号后添加完善各类元信息）。 因资金短缺和漏洞激增，NVD漏洞库不得不缩减运营规模。作为网络安全防御方的重要信息来源，该数据库运转放缓后，通用漏洞披露（CVE）信息完善流程受到了严重影响。 网络安全公司VulnCheck的研究人员分析发现，NVD漏洞库自2月12日预算削减以来，期间新增了12720个漏洞，其中高达11885个“尚未完成分析或或补充关键数据，而这些数据能帮助安全专业人士确定哪些软件受到漏洞影响。” 大量漏洞基础信息缺失 VulnCheck表示，NVD漏洞库运行放缓以来，已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称，82％的存在公开概念样本（POC）的已被利用漏洞也未经检查。 NVD漏洞库每周发布CVE的处理状况（2024年2月12日至5月19日） VulnCheck的Patrick Garrity表示：“众多知名和有影响力的业内人士已经警告，这种情况将为恶意威胁者提供可乘之机，将漏洞武器化，从而大幅增加多个关键领域的供应链风险。” “近期，NVD漏洞库运行速度放缓，我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织，造成破坏性后果，而我们却自乱阵脚。” Garrity补充说，20多年来，NVD漏洞库一直向网络安全专家提供了关键信息，包括严重性分数、参考标签、漏洞分类，以及其他影响流行软件的简明漏洞数据。 他表示，没有这些数据，“NVD漏洞库的前景就将一片黯淡”。 数据消费方该如何应对？ 未来，网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议，为了帮助下游消费者，有权创建CVE编号（即漏洞标签）的机构应添加更完整的关于漏洞的数据。 全球共有379家CVE编号机构（CNAs），分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。 Garrity还特别提及了严重程度评分和漏洞分类：“CVE编号机构应尽最大努力完整补充CVE记录，包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。” 根据Garrity的说法，NVD漏洞库还应该尽可能自动补充CVE信息，从而填补信息空白。他补充说，NVD漏洞库应该“不再分析每个CVE提交情况，转而建立与CNAs和CVE程序的信任模式，无需人工逐个审核。” 他指出，第三方也应被允许为CVE记录添加信息。 CISA&NIST提出解决办法 4月底，NVD漏洞库表示，正在“努力组建联盟，应对所面临的挑战，并开发更好的工具和方法。” 5月上旬，美国网络安全和基础设施安全局（CISA）表示理解安全社区的担忧和愤慨，并表示正在启动新的漏洞信息富化项目“Vulnrichment”，为CVE添加Garrity所述的大部分内容。 CISA表示：“最近，我们为1300个CVE补充了信息，并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。” CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算，以摆脱当前的困境。 5月29日，NVD漏洞库发布状态更新称，已授予一份合同，以支持NVD CVE信息富化工作。据悉，美国安全公司Analygence赢得了这份合同，项目底价为86万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67059 封面来源于网络，如有侵权请联系删除

美国联邦政府各机构2023年累计上报3万余起事件，数量同比增长10%。 有消息称，根据白宫最新发布的报告，2023年，美国联邦机构报告的网络安全事件数量高达32211起，同比增长9.9％。该报告还披露了美国政府遭受的最严重事件的细节。 在所有事件中，大多数（38％）被归类为“不当使用”，即系统被以违反机构可接受使用政策的方式使用。报告指出，机构有能力检测到安全政策被违反的情况，但无法阻止其实际发生。 第二类最常见的事件由钓鱼和恶意电子邮件引起。按事件数量计算，此类攻击向量同比增长幅度最大。从2022年到2023年，此类事件数量从3011起增长到6198起。 有5687起事件无法确定攻击向量的归类，因此被模糊地划归“其他/未知”类别。与2022年相比，基于网络（Web）的攻击数量（3569起）几乎没有增长。 由于疏忽或盗窃引发的设备故障事件有较大增长。从2022年到2023年，此类事件数量从1832起增长到3135起。然而，报告并没有将此类事件细分为损失或失窃。 除此之外，唯一超过1000起的事件类别是针对网络和服务的暴力破解攻击。此类事件同比增长百分比最大。2022年仅有197年，2023年暴涨到1147起。 尽管攻击数量每年都在增加，但没有任何事件超过“国家网络事件评分系统”（NCISS）的“中级”评分。该系统类似通用漏洞评分系统（CVSS），用于评估漏洞的影响，并根据它们对社会各方面（比如国家和经济安全、公共服务、外交关系）的可能影响程度对事件进行评分。 绝大多数事件（31621起）属于基线类别，即“极不可能”有社会影响。只有348起属于“低级”，即“不太可能”有社会影响，而31起被归类为“中级”，即可能有社会影响。另外229起案例因信息不足无法分类。 11起重大事件 除了考虑事件对美国的影响程度，报告还从另一个维度评出了“重大事件”。2023年，美国联邦机构一共报告了11起重大事件。卫生与公众服务部、司法部和财政部均提交了多份报告。 根据M-23-03备忘录，如果事件符合以下两种描述之一，就被定义为重大事件： 任何可能会对美国的国家安全利益、外交关系或经济，或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害的事件； 涉及个人可识别信息（PII）的数据泄露。如果数据被窃取、修改、删除或以其他方式破坏，可能会对美国的国家安全利益、外交关系或经济，或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害。 卫生与公众服务部 2023年的11起重大事件中，有两起来自卫生与公众服务部。报告将首起事件描述为勒索软件攻击，主要针对支持该部门卫生与医疗保险服务中心的承包商拥有和运营的系统。这次攻击专门针对网络文件共享，导致280万人的个人数据暴露，其中约一半个人已经去世。暴露信息包括姓名、地址、出生日期、医疗保险号码和银行信息。事件听起来类似Maximus公司遭遇的MOVEit攻击事件。该公司负责为医疗保险和医疗补助提供行政服务。不过，那起事件影响了800-1100万人，而不仅仅是280万人，攻击者也没有部署勒索软件。 卫生与公众服务部的另一起重大事件依然是承包商的过失。攻击者利用零日漏洞入侵了两名承包商的个人数据托管系统。据信，188万人的数据可能受到影响，包括所有常见的数据类型，某些情况下还涉及社会保障号码和医疗诊断。 财政部 2023年，美国财政部也发生了两起重大事件。第一起可以被认为是两起单独的事件，因为事件中同一数据集被连续披露两次。这起事件于2022年9月被美国国税局（IRS）公布。攻击导致990-T表格中包含的姓名、地址、电子邮件地址和电话号码可以公开下载。事件源于编码错误。尽管数据很快从公共网络服务器中删除，但相关供应商却没有从缓冲服务器中删除数据，不经意地导致数据第二次公开。 第二起事件中，该部门监察长办公室（OIG）的一名员工被一名某国政府支持的攻击者钓鱼，之后无意中泄露了登录凭据。攻击者接管了账户大约15小时，可以访问各种文件。好在，攻击者尚未进行横向移动或部署恶意软件之前就被逐出系统。 司法部 美国司法部在2023财年遭遇了两起成功的勒索软件攻击。第一起事件攻击了美国法警（USMS）的一台计算机，暴露了相关人员的个人数据。由于响应迅速，事件影响有限。 关于第二起事件的详细信息并不多。这次攻击对提供案件数据分析支持的供应商造成影响，导致了个人和医疗数据的泄露。所有受影响的人都获得了必要的信用监控服务。 内政部 美国内政部仅发生了一起重大案件，而这纯属意外。据报告描述，一位授权开发人员修改了工资系统的安全政策，错误地允许人力资源人员查看36个联邦机构客户的记录。 据信，大约147000的个人数据可能因此泄露。尽管架构更改引发事故，操作受影响系统的内政业务中心没有进行隐私影响评估。事后，内政部加强了内部流程和培训。 消费者金融保护局 由于员工（现已被开除）作案，美国消费者金融保护局遭受了数据泄露。该员工发送了14封电子邮件和两张电子表格，其中包含约256000名与单一金融机构相关的消费者的个人数据。消费者金融保护局要求这名犯罪分子删除电子邮件并提供删除证据，却遭到无视。官方评估认为，这些电子邮件包含的数据无法用于访问个人账户或进行身份盗用，但仍然选择向受影响个人发出通知。 交通部 交通部多个管理系统遭到入侵，且支持TRANServe计划的停车和交通福利系统（PTBS）中的个人数据遭到窃取。大约237000人的个人信息可能受到影响。攻击者通过利用一个未修补的“商业Web应用开发平台”中的关键漏洞获取了访问权限，并窃取了姓名、住址和工作地址以及社会安全号码的最后四位数字等详细信息。 人事管理局 虽然报告未明确提到MOVEit，但几乎可以肯定Cl0p是美国人事管理局2023财年唯一一起重大事件的幕后黑手。该局一名承包商使用MOVEit MFT软件协助管理联邦雇员观点调查信息。结果导致数据泄露，涉及约632000名司法和国防部门雇员。 能源部 这大概率是另一起MOVEit攻击事件，影响了美国能源部的废物隔离试验场和橡树岭大学联盟。34000名参与可能接触核废料等危险物质人员补助项目的前能源部员工遭遇数据泄露，泄露数据包括个人和健康数据。 能源部下属的科学办公室约有66000员工也受到了影响。他们的姓名、出生日期、完整或部分社会安全号码、护照细节和国籍遭到泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/67058 封面来源于网络，如有侵权请联系删除

近日，科技巨头谷歌发布了安全更新，成功解决其 Pixel 设备中存在的 50 个安全漏洞。 值得注意的是，谷歌方面着重提到了一个被追踪为 CVE-2024-32896 的安全漏洞，并指出威胁攻击者可以利用该漏洞非法提升权限，目前安全人员已经发现其在野被利用的证据。 谷歌方面一再强调有迹象表明，CVE-2024-32896 安全漏洞可能已被用于有限的针对性攻击活动。因此，谷歌督促所有 Pixel 用户应立即在设备上安装安全更新，以最大程度上缓解安全风险，保障自身设备的安全。 谷歌此次发布的安全更新还解决了直接影响 Pixel 设备的其他 44 个安全漏洞，其中 7 个是权限升级漏洞，这些漏洞一旦被威胁攻击者利用，可能会引发更大的安全危机。 注意：有关 Pixel 六月份更新的更多信息，请查看谷歌智能手机安全公告。要应用更新，Pixel 用户需要进入 “设置”>”安全与隐私”>”系统与更新”>”安全更新”，点击 “安装”，然后重启设备完成更新过程。 2024 年 4 月，谷歌方面还解决了 Pixel 中的另外两个 0day 漏洞，这些漏洞被取证公司用来在没有 PIN 码或访问数据的情况下解锁手机。CVE-2024-29745 安全漏洞被标记为与 Pixel 引导加载器信息泄露有关的高危漏洞，CVE-2024-29748 被标记为 Pixel 固件中的权限升级漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403559.html 封面来源于网络，如有侵权请联系删除

Cybernews 网站消息，比荷卢经济联盟（Benelux）最大的汽车经销商 Van Mossel 和多家公司使用了一家不知名的数据分析公司的服务来训练人工智能模型，结果将客户数据泄露到了互联网上。 2 月 1 日，Cybernews 研究团队在数据收集和分析公司 Rawdamental 的系统中发现了一个令人担忧的错误配置，导致个人数据泄露。 尽管 Rawdamental 没有在荷兰公司登记册中找到，但其服务已被众多荷兰公司使用。此次发现的安全事件影响了可能使用数据收集服务的 10 家公司的用户，其中包括拥有近 7000 名员工的跨国汽车经销商 Van Mossel。 受泄露影响的公司 汽车经销商 – Van Mossel 软件公司 – Simpul.nl 和 Divtag.nl 摩托车零部件市场 – Motorparts-online.com 营销机构 – InovaMedia 烟花零售商 – Vuurwerkbestel.nl 室内装饰零售商 – Oletti.nl 圣诞礼物服务 – Kerstpakkettenexpress.nl 和 kerstcomplimenten.nl 荷兰赛车迷俱乐部 – Ttassen-fanbase.com 收集用户数据的目的是为 Rawdamental 的客户提供一个起始数据集，用于训练人工智能模型来预测用户行为。暂不论使用企业人工智能模型是否符合道德规范，但目前的数据泄露事件表明，此类服务的安全性仍然非常模糊。 Cybernews 联系了使用 Rawdamental 服务的公司，但尚未得到回应。据调查，泄漏是由于 Rawdamental 公司的 Kibana 面板（一种用于搜索、可视化和分析存储数据的流行在线工具）上的身份验证缺失造成的。认证缺失未被察觉，导致数据自 2021 年 12 月起被公开访问。 Cybernews 和荷兰计算机应急响应小组（CERT）试图与 Rawdamental 公司取得联系，但该公司均未回应。此后，研究人员注意到该公司已经关闭了这一实例。 受影响域的仪表板 泄露的电子商务仪表板 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 无法匿名化用户数据 除了明显的网络安全漏洞导致数据泄露，并为威胁行为者提供了一个数据库外，另一个主要问题是公司对用户数据的匿名化处理不力。 对于像 Rawdamental 这样的服务公司来说，匿名化用户数据至关重要。Cybernews 的安全研究员 Nazarovas 表示，尽管 Rawdamental 有意对用户数据进行匿名处理，但调查显示，他们未能预见到所有可能出现的情况。 要求披露个人信息和项目信息 其中一个例子涉及该公司的客户平台，这些平台很可能专门用于会计工作。一些平台在网站的标题标签中显示个人身份信息，如姓名和项目，这些标签会出现在浏览器的标签名称中。 Rawdamental 没有针对这种情况实施保护措施，因此收集到了敏感的用户数据。此外，用户 IP 地址也出现在收集到的数据中，这表明数据集也没有完全匿名化。 除 Van Mossel 外，大多数受影响的公司都没有披露用于跟踪和指纹识别目的的第三方 cookies。公司隐私政策的模糊性让用户不清楚自己的个人信息是否会被 Rawdamental 等第三方服务共享。   转自Freebuf，原文链接：https://www.freebuf.com/news/403553.html 封面来源于网络，如有侵权请联系删除

据CyberNews独家研究的消息，无论是Booking、Airbnb、希尔顿还是丽笙，这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。 CyberNews称，这些应用都会获知用户的位置信息，但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据，某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件，甚至代表用户拨打电话。 CyberNews分析了22款目前被广泛使用的旅行和酒店订阅类软件，这些软件在Google Play 商店上已获得至少百万次的下载量。虽然这些应用Google Play列出了所需权限及相关声明事项，但研究人员对此并不信任，认为这些可通过软件开发人员手动填写。某些应用不仅没有披露收集了用户的敏感数据，而且似乎也没有正当理由收集这些数据。 通过排名发现，Booking、MakeMyTrip 和 HotelTonight 是数据收集方面的终极“冠军”。 旅行类应用涉及数据采集权限数量的排名 研究人员检查了这些应用的内置权限，发现这些权限基本上允许开发人员访问用户设备上的敏感信息，例如位置、联系人、相机、麦克风和短信等。“一个设计良好的应用程序应该只请求对其功能至关重要的权限，因此用户在授予应用程序权限时应始终谨慎行事，并仔细查看它们。不幸的是，我们的调查显示情况并非总是如此，“安全研究员Mantas Kasiliauskis说道。 虽然旅行应用程序主要用于预订酒店和安排接送服务，但有些应用程序显然可以阅读短信，甚至更改设备设置。“请求敏感权限的应用程序，特别是与设备系统文件和配置相关的应用程序是一个危险的信号，可能表明潜在的恶意意图或糟糕的代码设计，”Kasiliauskis表示。 获得用户的确切位置 在用户定位上，所调查的22款的应用都可以访问用户的精确位置，包括纬度和经度坐标，该权限虽然是为了获得用户的精确位置来提供更好的服务，但也会被用来记录用户活动并了解其生活和工作地点。这些数据对于提供个性化广告或进一步销售这些数据的公司来说是一个宝库，如果恶意攻击者访问该数据，用户可能会面临安全威胁。 有权获取位置信息的应用 访问设备相机 在22 款被调查的应用中有14款会访问设备的摄像头进行拍照、录制视频和视频通话，其中有10款未在应用商店中披露与相机相关的数据搜集权限。这些应用可能会在未经用户同意的情况下执行此操作，从而损害用户的隐私和安全。 有权访问相机的应用 获取手机标识符甚至读取短信 一些应用程序具有特别危险的访问权限，能够读取手机状态，使其能够识别用户和设备。 此权限允许提取各种用户标识符，例如国际移动设备标识 （IMEI）、国际移动用户标识 （IMSI）、电话号码、设备序列号和 SIM 卡的唯一标识符。 一个重要的问题是，酒店预订和租赁应用程序没有正当理由向用户请求此类权限，即使不需要这些权限应用也能正常运行。通常，此类权限仅授予系统应用或使用平台密钥签名的应用，因为它们允许访问敏感设备信息。 研究人员还注意到，名为MakeMyTrip的应用可以读取存储在设备上的整条短信，包括有关发送方和接收方以及消息日期的信息。这类应用几乎没有任何理由需要阅读用户的短信，因为其中可能包含用户的敏感信息。 有权读取手机状态的应用 读取设备文件 在研究的22款应用中有14款可以读取和写入外部存储，而 Hopper 只能读取存储在设备中的文件。只有3款应用程序在收集“文件和文档”方面相对透明，其余的应用决定对收集文件相关数据的权利保持沉默。 访问设备存储的权限是敏感的，因为它使应用能够访问、写入、修改或删除外部存储（包括 SD 卡和其他外部媒体）上的数据。对设备存储的访问可能包括用户文件，例如照片、视频、文档和其他机密信息。如果此类数据处理不当或恶意行为者访问它，可能会导致潜在的数据丢失和隐私泄露。 有权读取手机文件的应用 访问麦克风 在经过测试的 22 款应用中，有 3 款（Hotwire、Trip.com 和 MakeMyTrip）有权访问设备的麦克风并录制音频。 Trip.com在应用商店中披露，它收集语音和录音。相比之下，MakeMyTrip 和 Hotwire 没有透露音频相关数据的收集，但访问麦克风的权限内置于这些应用中。如果被恶意利用，“录制音频”权限可能会导致未经授权的监视，捕获敏感对话和个人信息。 读取联系人列表 有3款应用——MakeMyTrip、Hilton Honors 和 Hopper会要求读取用户设备的联系人列表，这对于此类应用而言也是非必要项。 联系信息是敏感的，可能包含有关朋友、家人、同事和熟人的私人数据，包括姓名、电话号码、电子邮件地址和其他联系方式。如果滥用，此权限可能会导致不必要的数据抓取、用户隐私侵犯，甚至数据利用以制定各种欺诈计划。 替代用户进行通话 MakeMyTrip、希尔顿和 Trip.com会在不告知用户的情况下访问用户设备上的消息和通话。具有此权限的应用可以代表用户发送短信和拨打电话，如果被滥用可能会导致隐私泄露和欺诈性垃圾邮件通信。 HotelTonight 可以操作文件系统 Airbnb旗下的住宿预订应用HotelTonight可以请求用户访问设备上的挂载和卸载文件系统。文件系统是操作系统 （OS） 的组成部分。它组织文件和目录，跟踪它们的位置，并维护有关文件的元数据，确保高效的数据检索和存储。该软件的此项权限允许在系统级别操作和修改文件，可能会导致严重的安全风险。 希尔顿可以控制设备上打开的对话框 该应用专为希尔顿酒店和度假村的预订管理和会员计划而设计，有权访问设备的系统级组件。此权限允许应用请求系统关闭任何打开的系统对话框，包括关键用户界面 （UI） 组件，例如通知栏、最近使用的应用屏幕和电源对话框。虽然此权限主要由设备系统使用，但处理不当可能会导致应用强制关闭系统对话框并干扰设备 UI 的正常操作。 目前，被调查的部分应用已给出回应，MakeMyTrip称这些权限是可选的，并且“仅在应用程序的特定流程和功能中”请求；万豪旅享家称位置数据改善了用户在搜索或浏览酒店预订和提供路线时的体验，同时摄像头访问允许用户扫描信用卡并将其添加到他们的应用程序帐户配置文件中，这些权限都非默认设置，需基于用户的许可；Trivago也表示，激活定位功能需经用户同意。 Kayak和Momondo则表示不清楚为何在Google Play上没有充分列出软件的权限信息，并会对此展开调查。 敏感权限滥用可能会对用户造成潜在的有害后果。隐私侵犯是最重要的风险之一，因为具有风险权限的应用程序可以在未经适当同意的情况下访问敏感信息。权限处理不当也会危及数据安全，使用户数据容易受到未经授权的访问、身份盗用或数据泄露。 此外，滥用权限或消耗过多资源的应用可能会对设备性能产生负面影响，从而导致速度变慢、崩溃或电池耗尽。 Cybernews 建用户议在允许访问之前始终查看权限请求，注意那些对于应用的预期功能来说似乎不必要的权限，并可通过导航到“应用程序管理器”或“应用程序”来管理和撤消相应的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/403449.html 封面来源于网络，如有侵权请联系删除

发现该漏洞的研究人员 Morphisec 警告说，微软在2024 年 6 月补丁日更新中解决的一个漏洞可能会被利用来实现无需用户交互的远程代码执行 (RCE)。 微软在其公告中表示，该安全漏洞编号为CVE-2024-30103（CVSS 评分为 8.8），可让攻击者绕过 Outlook 注册表阻止列表并创建恶意 DLL 文件。 微软安全公告指出：“预览窗格是一种攻击媒介”，并补充说攻击复杂性较低，并且可以通过网络进行利用。Outlook 2016、Office LTSC 2021、365 Apps for Enterprise 和 Office 2019 均受到影响。 尽管微软将该漏洞评定为“重要”，但发现该漏洞的 Morphisec 研究员却认为该漏洞为“危急”，并警告称攻击者可能很快就会开始利用该漏洞，因为它不需要用户交互。 “相反，当受影响的电子邮件被打开时，执行就开始了。这对于使用 Microsoft Outlook 自动打开电子邮件功能的帐户来说尤其危险。”Morphisec 研究员指出。 Morphisec 表示，RCE 漏洞可能被利用来窃取数据、未经授权访问系统以及执行其他恶意活动。 Morphisec 补充道：“此 Microsoft Outlook 漏洞可以在用户之间传播，无需点击即可执行。” 据该网络安全公司称，利用此零点击漏洞非常简单，这使得它在初始访问时容易被大规模利用。 Morphisec 说：“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统被入侵。” Morphisec 研究员计划在今年夏天的 DEF CON 会议上发布技术细节和概念验证（PoC）漏洞。 建议用户尽快更新 Outlook 客户端。据了解，攻击者以前曾利用零点击 Outlook 漏洞进行攻击。 周二，微软发布了针对其产品中十多个远程代码执行漏洞的补丁，其中包括微软消息队列 (MSMQ) 中的一个严重漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6CWP3JOlUHc3Mh6M9Zsg7w 封面来源于网络，如有侵权请联系删除