分类: 今日推送

Drupal 开发人员修复了 CMS 中的代码执行漏洞

Hackernews 编译,转载请注明出处: Drupal开发团队发布了安全更新来修复多个问题,其中包括关键的代码执行漏洞。 Drupal core – 中度严重 – 多个漏洞 – SA-CORE-2022-015 Drupal core – 严重– 任意PHP代码执行 – SA-CORE-2022-014 Drupal core – 中度严重 – 访问绕过 – SA-CORE-2022-013 Drupal core – 中度严重 – 信息泄露 – SA-CORE-2022-012 美国网络安全和基础设施安全局针对上述漏洞发布了一份公告。 最严重的一个是跟踪为CVE-2022-25277的任意PHP代码执行。 “Drupal core在上传时会清理带有危险扩展名的文件名(参考:SA-CORE-2020-012),并从文件名中删除前导点和尾随点,以防止上传服务器配置文件(参考:SA-CORE-2019-010)。公告中写道。“但是,之前对这两个漏洞的保护并没有正常工作。因此,如果将站点配置为允许上传带有htaccess扩展名的文件,这些文件的文件名将无法得到正确清理。这也可能允许绕过Drupal core的默认.htaccess文件提供的保护,以及在Apache Web服务器上远程执行代码。” 为了缓解此问题,域管理员必须将文件字段显式配置为允许 htaccess 作为扩展名(受限权限),或作为覆盖允许的文件上载的模块或自定义代码。这个漏洞影响了9.4和9.3版本,公告指出,该问题只影响具有特定配置的Apache web服务器。 其他三个漏洞被评为“中度严重”,可能导致跨站点脚本攻击、信息泄露或访问绕过。 所有问题都会影响9.4和9.3版本,但信息泄露漏洞也会影响版本7。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Uber 承认隐瞒 2016 年数据被盗事件 换来美检方不指控

新浪科技讯 北京时间7月25日早间消息,据报道,2016年,美国网约车平台Uber发生了黑客攻击事件,导致5700万用户和司机的个人数据受到影响。日前,该公司和美国检方达成和解协议,Uber宣布为这次事件承担责任,作为交换,该公司也避免了检方的刑事罪名指控。 在这份双方达成的不指控协议中,Uber承认,在2016年11月的黑客袭击事件发生后,工作人员并未及时向美国证券交易委员会报告情况,而证交会之前一直在调查Uber的数据安全问题。 美国加州旧金山的检察官西兹(Stephanie Hinds)介绍说,在黑客袭击事件发生一年之后,Uber才向监管部门报告了情况。在对外报告之前,该公司调整了管理层,新管理层更加强调职业道德和合规经营。 这位检察官表示,之所以决定不对Uber提出刑事指控,主要考虑到两个情况,一是Uber现任管理层在积极调查和信息披露上的表现,二是Uber在2018年和美国联邦贸易委员会签署了一个长达20年的协议,公司承诺实施全方位的用户隐私保护计划。 据悉,检方仍将对Uber当时担任网络安全一把手的高管苏利文(Stephanie Hinds )提出控罪,罪名有关他在隐瞒黑客攻击事件中所扮演的角色。在对这位前高管的指控中,Uber也向检方提供了配合。 对于这一报道,Uber并未发表评论。 苏利文最早遭到检方指控是在2020年9月。检方指出,苏利文做出决定,向黑客支付10万比特币的封口费,并且让黑客签署保密协议,黑客在协议中谎称,并未窃取Uber任何数据。 在网络安全方面,Uber很早之前就推出了一个“有奖捉虫”计划,对发现公司系统漏洞的外部安全研究人员提供奖励,不过这一计划并不包括向黑客支付费用,掩盖数据盗窃事件。 之前,美国50个州和华盛顿特区的检方也对Uber迟报黑客攻击事件的问题展开调查,在2018年9月,Uber一共赔付1.48亿美元,和这些州的检方达成了和解协议。 上周五,Uber股价小幅下跌。上述的检方不指控协议是在美国股市收盘后宣布的。 转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/it/2022-07-25/doc-imizmscv3384660.shtml 封面来源于网络,如有侵权请联系删除

司法部通报:又一位 Gozi 恶意软件制作者被引渡到美国受审

尽管网络犯罪已在全球范围内泛滥,但这并不意味着犯罪分子就能够免于跨国诉讼。美国司法部(DOJ)在周二的一篇新闻稿中宣布,其已将罗马尼亚 / 拉脱维亚双重国籍的 Mihai Ionut Paunescu(绰号 Virus)从哥伦比亚引渡到美国。 截图(来自:US DOJ) 据悉,Mihai Ionut Paunescu 涉嫌设计了从世界各地的网银账户中窃取资金的恶意软件,并运营着一套分发用的基础设施。 其被指控为 Gozi 病毒的创建者之一,该木马于 2007 – 2012 年间感染了美国、英国、德国、意大利和芬兰等国家的数百万台计算机。 病毒通过被感染的 PDF 文档分发,得逞后可捕获受感染计算机上的网银登录凭证,从而允许制作者从世界各地的银行账户中窃取数千万美元的资金。 此外根据 2013 年提交给纽约南区法院的起诉书,Paunescu 还经营着一套面向其他网络犯罪分子的“防弹托管”服务。 该服务提供了可用于在线犯罪活动的服务器 —— 比如分发恶意软件和控制僵尸网络 —— 同时让幕后操纵者维持匿名身份。 起诉书中甚至提到,美国宇航局(NASA)也是该恶意软件的受害者之一。其中一项指控写道: 从 2011 年末 – 大约 2012 年中期,绰号‘病毒’的犯罪嫌疑人导致 NASA 的大约 60 台计算机被感染了 Gozi 病毒、造成月 1.9 万美元的损失。 美国检察官指出,Mihai Ionut Paunescu 引领了将病毒木马和僵尸网络分享给其它网络犯罪分子的金融模式,据说该病毒的每周报价为 500 美元。 在 Gozi 病毒的主要活动期结束后,他最初于 2012 年在罗马尼亚波哥大机场被拘,并一度在保释后设法避免了被美国引渡。 不过哥伦比亚司法部长表示,宣布绰号‘Virus’的他,还是在将近 10 年后的 2021 年 6 月在当地被逮捕。 美国纽约南区检察官 Damian Williams 在一份声明中指出,检察与执法机构为追踪跨国网络犯罪分子付出了长期不懈的努力。 此前另一位参与设计病毒的拉脱维亚程序员,已在被引渡到美国并认罪后,被判处 37 个月的监禁和 700 万美元罚款。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1294985.htm 封面来源于网络,如有侵权请联系删除

最新动作!美国众议员通过 8400 亿美元国防法案以保护关键基础设施网络安全

美国众议院通过了其 8400 亿美元的年度国防政策法案,其中包括一项条款,用于识别和更好地保护最容易受到网络攻击的关键基础设施。 该措施由退休的罗德岛州民主党众议员吉姆·朗之文(Jim Langevin)倡导,将指定某些关键基础设施实体对美国具有“系统重要性”,并为信息共享、风险管理披露和对数字入侵的快速响应建立新途径,以及其他步骤。 “在我在国会任职的近 22 年里,我们在网络空间取得了长足的进步,”朗之万在众议院以 329-101 投票后发表声明说。“When I was elected in 2000, nobody was talking about cybersecurity.” 根据该措施,最初可以命名多达 200 个实体,在四年内还有 150% 的空间。实体可以对名单上的位置提出上诉。绝大多数美国关键基础设施由私营部门管理,资产范围从通信到化学品、水坝到国防工业基地。据网络安全和基础设施安全局称,它们的破坏将削弱美国的经济安全、公共健康和安全。 乌俄冲突使人们关注关键基础设施和相关的数字漏洞。 立法者和分析师警告美国资产(物理和虚拟)可能受到网络攻击,CISA 发布了所谓的 Shields Up 通知,呼吁提高在线意识。负责国家网络安全的国家网络副主任尼尔·希金斯( Neal Higgins )表示,俄乌战争持续的时间越长,莫斯科就越有可能在网络空间采取行动。 众议院国防政策一揽子计划中包含的措施是网络空间日光浴室委员会所做工作的一个分支,该委员会是一个旨在分析和改善美国网络安全的两党组织。其于 2020 年发布的旗舰报告包括一项建议,即国会将具有系统重要性的关键基础设施(也称为 SICI)编入法典。 报告称:“私营部门和美国政府在保护这些系统和资产方面拥有既得利益,并对它们的安全性和弹性负有独特的责任。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/XlQnUAiPATV–vaxuMlK0w 封面来源于网络,如有侵权请联系删除

美众议院小组推进具有里程碑意义的联邦数据隐私法案

美一个众议院小组周三以53比2的两党投票结果推进了一项全面的数据隐私法案,该法案旨在为科技公司如何收集和使用美国人的数据设定一个国家标准。 众议院能源和商业委员会对《美国数据隐私和保护法(ADPPA)》的投票是在立法者对联邦数据隐私法采取行动拖延多年后迈出的重要一步,但仍有一些悬念可能会使该提案向前推进。 加利福尼亚州的几位议员对联邦法案可能破坏该州数据隐私法的保护措施表示担忧。众议员 Anna Eshoo和Nanette Diaz Barragán是唯一投票反对推进该法案的人。 众议员Doris Matsui表示,她将投票推进该法案以继续讨论,但不会投票赞成在没有额外修改的情况下通过该法案。 “我承认这项法律对全国大部分地区来说将是一个改进,但我不能对我的选民和所有加州人说同样的话,”Eshoo说道。 据悉,Eshoo提出了一项修正案从而将联邦标准设定为底线并允许各州超越联邦法规。该修正案获得了其加州民主党同事的支持,但在周三的讨论中未能通过。 委员会主席Frank Pallone Jr.则是对该修正案投反对票的成员之一,他说认为设定底线的更新将破坏所做的妥协,反过来使整个法案无法在两党的支持下向前推进。 Pallone说道:“但基本上,这项修正案将拒绝所有达成妥协的努力,用一项不设定真正的联邦标准的条款取代精心设计的豁免条款,并注意到一些州的情况。” 加利福尼亚州拥有美国最强的数据隐私法,但其他州缺乏跟黄金之州相同的保护措施。 为了纳入更新内容,委员会审议的法案版本在审议前进行了修正,其授予根据该州隐私法设立的加州隐私保护局执行ADPPA的明确权力。 联邦提案的目的是建立一个全国性的标准而不是各州法律的拼凑。共和党人广泛推动联邦标准优先于州法律,因为他们说认为不同的州标准会给企业特别是小公司带来遵守不同标准的问题。 该法案将使用户有能力通过私人诉讼权对违反法律的行为提起诉讼。小组投票通过的法案版本允许在法律生效两年后开始私人执法,这比最初提出的四年时间缩短了时间。 参议院商务委员会主席Maria Cantwell在该法案草案首次发布时将四年的延迟作为批评的主要目标。参议院商务委员会的排名成员Roger Wicker表示支持该提案,但如果没有Cantwell的支持,该法案在参议院面临的进展机会很小。在众议院提出的修正提案也改变了围绕保护儿童的语言。该提案仍然禁止针对儿童的广告并将跟17岁以下个人有关的所有信息视为敏感数据。 提案的版本包括对构成“知道”一个人未满17岁的分层方法,对不同规模的公司适用不同的级别。 众议员Debbie Lesko对该法案提出了一项修正案。据悉,Debbie Lesko和Ann Kuster的修正案获得通过,其将国家失踪和被剥削儿童中心排除在受保护实体之外,从而确保其能够收集、处理和传输数据以协助其开展有关儿童贩运、虐待和诱拐的工作。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1294907.htm 封面来源于网络,如有侵权请联系删除

欧盟警告称,乌克兰正在经历的战争有溢出效应风险

Hackernews 编译,转载请注明出处: 欧盟理事会警告称,在俄罗斯和乌克兰持续冲突的背景下,黑客进行了恶意网络活动。 欧盟的声明指出,大量黑客正在不分青红皂白地瞄准全球关键基础设施。 “在乌克兰战争的背景下,恶意网络活动的增加造成了不可接受的溢出效应,误解和可能升级的风险。”声明中写道。“在这方面,我们回顾欧盟及其成员国强烈谴责2022年1月14日针对乌克兰的网络攻击,并于2022年5月10日将针对KA-SAT卫星网络的恶意网络活动归因于俄罗斯联邦。” 在持续不断的战争背景下,网络攻击的数量不断增加,造成了不可接受的溢出效应风险。 欧盟引用了最近一波由亲俄黑客组织对几个欧盟成员国和合作伙伴进行的分布式拒绝服务攻击,这些攻击对欧盟及其成员国构成了严重威胁。 欧盟强烈谴责网络空间这种不可接受的行为,并表示声援受到攻击的国家。 “欧盟重申,所有联合国成员国都需要遵守联合国网络空间负责任国家行为框架,以确保国际和平、安全与稳定。我们呼吁所有国家履行尽职调查义务,敦促它们采取适当行动,打击在其领土开展的恶意网络活动。”宣言总结道。“此外,我们敦促所有相关行动者提高对网络威胁的认识,并采取预防措施保护关键基础设施。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

有俄罗斯背景的黑客组织骚操作:伪装为反俄应用来传播恶意软件

《孙子兵法》有云:“兵者,诡道也”。在 2500 年后的今天,这句格言也适用于虚拟/物理战场。在俄乌冲突中,来自 Google 的研究人员发现了一款由俄罗斯政府支持的恶意应用程序,它伪装成为亲乌克兰的应用进行传播。 在 Google Threat Analysis Group (TAG) 团队今天发布的博文中,详细地披露了这个俄罗斯政府支持的恶意应用程序。该应用叫做 Cyber Azov,伪装成乌克兰的极右翼军事部门 Azov Regiment 创建,但实际上是由俄罗斯政府支持的黑客组织 Turla 创建。 根据 TAG 的研究,这款应用通过 Turla 控制的域名即逆行分发,网站上提供了离线的 APK 安装文件,而不是托管在 Google Play Store 上。在 Cyber Azov 网站上描述,称该应用会对俄罗斯网站发起拒绝服务攻击,不过实际上经 TAG 分析该应用并无这方面的功能。 通过 VirusTotal 分析该 APK 文件,很多知名反恶意软件提供商都将其标记为含有木马的恶意应用。TAG 博文中表示目前安装该恶意应用的用户数量并不多。不过 The Verge 发现 Cyber Azov 的域名网站仍可访问,这意味着会有更多的 Android 用户中招。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1294409.htm 封面来源于网络,如有侵权请联系删除

研究发现,攻击者利用伪造时间戳等方式在 GitHub 上传播恶意代码

当开发人员在GitHub上寻找开源项目时,会习惯对其元数据进行检查,但研究发现,这些元数据很容易被伪造,并以此用来传播恶意代码。 Checkmarx 的研究人员在一份新报告中警告说,开发人员在查看元数据时应当尽力核实背后贡献者的身份,而不应仅停留于对元素据表面的检查。 通常,开发人员在GitHub上寻找开源项目时,会倾向于选择那些活跃的、有积极维护记录的贡献者所提供的项目,Git对每一次更改分配了一个唯一的 ID,该ID记录了由谁更新、具体的更新内容以及时间戳,相对而言,拥有较多的更新反映了贡献者对这个项目的重视,项目得到了较好的维护与优化。 但根据Checkmarx的说法,攻击者可以轻松伪造这些记录。报告称,衡量 GitHub 上用户活动的一个重要指标是用户个人资料页面上的活跃热图,显示用户在一段时间内的活跃程度,而攻击者能在注册的全新账户上通过伪造带有时间戳的提交记录,使之看起来已经平台上活跃了很长时间。 利用git set更改本地两个环境变量,从而在 GitHub 上显示伪造的时间戳 类似的,攻击者还可以“借用”一些知名的、信誉度良好的贡献者身份上传包含恶意代码的项目,攻击者只需要找到这些贡献者的电子邮件地址,然后在 Git 命令行上设置用户名和电子邮件地址并提交更改。报告称,尽管 GitHub 提供了隐藏电子邮件地址的方法,但大多数人并没有使用这些功能,从而让攻击者可以相对容易地获取这些邮件地址。此外,被借用身份的贡献者也不会收到任何关于他们的账户被添加为另一个项目的贡献者的通知。 Checkmarx的供应链安全主管Tzachi Zornstain强调,开发人员在选择开源项目时,要重视这些项目贡献者的身份是否已被验证,如果一个项目包含多个贡献者提交的代码,要确保这些贡献者也是必须真实可靠。 他还建议这些项目贡献者使用GitHub的数字签名功能,对自己的代码进行签名,这样他们的贡献就会被验证。该功能包括一个 “警惕模式”,显示所有在其名下贡献的代码的状态,包括其他人可能在其名下提交的代码。GitHub指出,如果所有贡献者希望能够这样做,就需要在2023年前开启双因素认证。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339431.html 封面来源于网络,如有侵权请联系删除

Digium 软件存在漏洞,威胁行为者利用其攻击 VoIP 服务器

最近,Unit 42的研究人员发现了一项针对2021年12月以来Digium手机中使用的Elastix系统的活动。威胁参与者利用Rest Phone Apps (restapps)模块中的一个漏洞,编号为CVE-2021-45461 (CVSS评分9.8),在VoIP服务器上植入一个web shell。攻击者通过在目标的Digium手机软件中放置额外的有效载荷,利用web shell来窃取数据。 根据Palo Alto Networks Unit 42 发布的公告,“截至目前,从2021年12月底到2022年3月底,我们已经见证了该家族超过50万个独特的恶意软件样本。该恶意软件会在web服务器的文件系统上安装多层混淆的PHP后门,下载新的有效负载以执行并安排重复的任务来重新感染主机系统。 此外,恶意软件会向每个下载的恶意软件植入一个随机的垃圾字符串,以试图规避基于IoCs的签名防御。” 研究人员还观察到,在 2021 年 12 月中旬至 2022 年 3 月期间,大量恶意流量可能来自超过50万个独特的样本。这些流量的目标是用于VoIP电话设备的Digium 开源 Asterisk 通信软件。该恶意活动与两年前Check Point Research 在 2020 年详述的INJ3CTOR3 报告有许多相似之处 ,专家推测这可能是该活动的死灰复燃。该攻击链从远程服务器检索shell脚本释放器的代码开始,然后在文件系统的多个位置下载并执行混淆的 PHP 后门程序,PHP 后门还会创建多个root用户帐户并设置计划任务来维护持久性并重新感染主机系统,该恶意软件通过cmd请求参数支持任意命令以及允许操作员执行恶意活动的内置默认命令。 该报告还显示,在易受攻击的服务器中植入 web shell 的策略对于恶意行为者来说并不是一种新策略。捕获高级入侵的唯一方法是深度防御策略。只有通过在一个窗格中编排多个安全设备和应用程序,防御者才能检测到这些攻击。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339440.html 封面来源于网络,如有侵权请联系删除

Retbleed 投机执行攻击缓解代码已并入 Linux 内核

本周迎来的 RETBLEED 补丁,修复了影响当今硬件的两个新投机执行攻击漏洞。Phoronix 指出 —— Retbleed 会利用返回指令、并能够破坏针对“幽灵”(Spectre)分支目标注入(BTI)的现有防御措施。 在四年前之时,人们还不怎么相信会受到 BTI 攻击。但这种“不切实际”的设想,最终还是被现实给打了脸。 Computer Security Group 安全研究人员发现 —— Retbleed 不仅能够绕过“retpolines”防御,还证明了返回指令可被实际利用。 据悉,该问题影响 AMD Zen 1 / 1+ / 2,以及 Intel 6~8 代酷睿处理器。此外从今天的披露来看,处理器也面临性能开销增加的压力。 想要在 Linux 内核层面缓解 Retbleed 攻击,需要付出巨大的努力。涉及修改 68 处文件,引入 1783 行新代码、同时剔除 387 行旧代码。 性能评估表明,缓解 Retbleed 的代价非常高昂 —— 实测 AMD(CVE-2022-29900)/ Intel(CVE-2022-29901)补丁的开销,有在 14% 到 39% 之间。 最后,Retbleed 缓解工作已于今早被合并到 Linux 内核中。至于更多细节,还请移步至 Retbleed 专题网站(via ComSec)了解。 转自 cnbeta,原文链接:https://www.cnbeta.com/articles/tech/1291757.htm 封面来源于网络,如有侵权请联系删除