据BleepingComputer消息，全球最大的ERP供应商SAP在本月修复了一批重要漏洞，其中包含一个关键的身份验证绕过漏洞，该漏洞可能允许攻击者完全破坏系统。 漏洞被跟踪为 CVE-2024-41730，CVSS v3.1 评分高达9.8，影响 SAP BusinessObjects Business Intelligence Platform 430 和 440版本 。根据漏洞描述，如果在企业身份验证上启用了单点登录，则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以此完全破坏系统，从而对机密性、完整性和可用性产生重大影响。 另一个评分达9.1的漏洞被追踪为CVE-2024-29415，与 Node.js 的“IP”包中的一个缺陷有关，该包会检查 IP 地址是公共还是私有。当使用八进制表示时，会错误地将“127.0.0.1”识别为公有且全局可路由的地址。该漏洞影响版本低于4.11.130 的 SAP Build Apps。 其他一些评分在7.4至8.2的漏洞也同样不容忽视，包括： CVE-2024-42374– SAP BEx Web Java 运行时导出 Web 服务中的 XML 注入问题。影响 BI-BASE-E 7.5、BI-BASE-B 7.5、BI-IBC 7.5、BI-BASE-S 7.5 和 BIWEBAPP 7.5版本。 CVE-2023-30533– 与 SAP S/4 HANA 中的原型污染相关的漏洞，特别是在“管理供应保护”模块中，影响低于 0.19.3 的 SheetJS CE 库版本。 CVE-2024-34688– SAP NetWeaver AS Java 中的拒绝服务 （DOS） 漏洞，特别影响 Meta Model Repository 组件的MMR_SERVER 7.5版本 。 CVE-2024-33003– 与 SAP Commerce Cloud 中的信息泄露问题相关的漏洞，影响 HY_COM 1808、1811、1905、2005、2105、2011、2205 和 COM_CLOUD 2211版本。 由于SAP是全球最大的ERP供应商，布斯全球2000强榜单中有90%的企业使用了相关产品，因此黑客一直在利用SAP的漏洞，试图攻击这些高价值的企业网络。在2020年6月至2021年3月间，攻击者就利用未及时打补丁的SAP 系统，至少进行了300起公司网络渗透行为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 8 月补丁日，本次升级针对 89 个漏洞的安全更新，其中包括六个被积极利用的漏洞和三个公开披露的0day漏洞。微软仍在努力为第十个公开披露的0day漏洞开发补丁。 本次补丁日修复了八个严重漏洞，这些漏洞涉及权限提升、远程代码执行和信息泄露。 各个漏洞类别的漏洞数量如下： 36 个特权提升漏洞 4 个安全功能绕过漏洞 28 个远程代码执行漏洞 8 个信息泄露漏洞 6 个拒绝服务漏洞 7 个欺骗漏洞 上面列出的漏洞数量并不包括本月早些时候披露的 Microsoft Edge 漏洞。 本月补丁日修复了六个被积极利用的0day漏洞和另外三个公开披露的0day漏洞。目前，另一个公开披露的0day漏洞仍未修复，但微软正在开发更新。 以下是六个新修补的0day漏洞： CVE-2024-38178— Windows 脚本引擎中的内存损坏漏洞允许远程代码执行攻击，如果经过身份验证的客户端被诱骗点击链接，未经身份验证的攻击者便可发起远程代码执行。据 Microsoft 称，要成功利用此漏洞，攻击者需要先准备目标，使其在 Internet Explorer 模式下使用 Edge。CVSS 7.5/10。 Ahn 实验室和韩国国家网络安全中心报告了这一0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。 CVE-2024-38189— Microsoft Project 中存在一个远程代码执行漏洞，攻击者可通过恶意操纵的 Microsoft Office Project 文件利用此漏洞，在禁用“通过 Internet 策略阻止宏在 Office 文件中运行”且未启用“VBA 宏通知设置”的系统上执行远程代码执行。CVSS 8.8/10。 微软表示，攻击者需要诱骗用户打开恶意文件，例如通过网络钓鱼攻击或引诱用户访问托管该文件的网站。 CVE-2024-38107 — Windows 电源依赖性协调器中的权限提升漏洞被评为“重要”，CVSS 严重性评分为 7.8/10。“成功利用此漏洞的攻击者可以获得系统权限.”微软表示，但没有提供任何 IOC 或其他漏洞利用遥测数据。 CVE-2024-38106 – 已检测到针对此 Windows 内核特权提升漏洞的攻击，该漏洞的 CVSS 严重性评分为 7.0/10。“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得系统权限。”此0day漏洞已匿名报告给 Microsoft。 CVE-2024-38213— 微软将其描述为 Windows Mark of the Web 安全功能绕过，在主动攻击中被利用。“成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。” CVE-2024-38193– Windows 辅助功能驱动程序中 WinSock 的权限提升安全缺陷正在被广泛利用。目前尚不清楚技术细节和 IOC。成功利用此漏洞的攻击者可以获得系统权限。 微软还敦促 Windows 系统管理员紧急关注一批严重漏洞，这些问题使用户面临远程代码执行、权限提升、跨站点脚本和安全功能绕过攻击。 其中包括Windows 可靠多播传输驱动程序(RMCAST)中的一个主要缺陷，该漏洞会带来远程代码执行风险 (CVSS 9.8/10)；Windows TCP/IP 远程代码执行严重缺陷，CVSS 严重性评分为 9.8/10；Windows 网络虚拟化中两个独立的远程代码执行问题；以及Azure Health Bot中的信息泄露漏洞(CVSS 9.1)。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p6babzoONUHIA413JpVQyA 封面来源于网络，如有侵权请联系删除

物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。该网络中的一些场馆正在举办夏季奥运会的比赛。 此次攻击于周日被发现，影响了法国约 40 家博物馆使用的数据系统。 巴黎当局周二表示，尽管发生了网络攻击事件，但奥运会赛事并未受到影响。 大皇宫举办击剑和跆拳道比赛，而同样属于 RMN 网络的凡尔赛宫则是马术运动和现代五项的场地。 巴黎检察院已指派打击网络犯罪大队下属部门开展调查，以确定攻击的规模和实施者。目前正在努力保护和恢复受影响的系统，初步调查尚未发现任何受感染系统数据泄露的迹象。 据报道，此次事件背后的未具名黑客组织已要求以加密货币支付赎金，并威胁称，如果不支付赎金，他们将在 48 小时内公布加密数据。 卢浮宫馆长马蒂亚斯·格罗利尔 (Matthias Grolier) 在 X 上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体Sud Ouest报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以防止攻击蔓延，导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营。 上周，即将辞职的法国总理加布里埃尔·阿塔尔表示，该国安全部门在奥运会前几天挫败了 68 起网络攻击，其中两起针对奥运场馆。 法国安全机构  ANSSI 表示，所报告的大多数攻击都是低强度的，例如分布式拒绝服务 (DDoS) 攻击，并且没有网络事件影响开幕式或比赛的首项赛事。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z3V8OSuAeGQy-qmp5voBTw 封面来源于网络，如有侵权请联系删除

近日，达美航空的首席执行官Ed Bastian公开表示，由于CrowdStrike的技术故障，导致该航空公司遭受了高达5亿美元的损失，达美航空已经向CrowdStrike和微软发出了诉讼准备通知。 在7月19日CrowdStrike错误更新引发的全球IT系统崩溃中，美国主要航空公司包括达美航空、联合航空和美国航空都于上周五当日上午短暂停飞。 联合航空和美国航空在周末迅速恢复了运营，而达美航空却花费了比其他航空公司更长的时间恢复运营，其航班中断持续到了接下来的一周，累积取消了超过6000个航班，严重影响了业务正常运行。此外，由于运营混乱期间客户服务质量低下，达美航空还引来了美国运输部的调查。 据报道，达美航空已经聘请了知名律师David Boies，向CrowdStrike和微软发出了诉讼准备通知。Bastian在接受CNBC采访时强调，达美航空别无选择，只能寻求让CrowdStrike赔偿（5亿美元）损失。他指出，除了收入损失外，达美航空还承担了（因航班中断和延误导致的）数千万美元的赔偿和酒店费用。 然而，CrowdStrike坚决否认对此次事故负有全部责任，并指责达美航空试图“甩锅”。 在一封回应达美航空的公开信中，CrowdStrike表示，达美航空对事故的描述带有误导性。 CrowdStrike的律师Michael Carlinsky在上周日的一封信中表示，达美航空编造了一种“误导性的说法”，称CrowdStrike在这次事故中“严重疏忽”，导致达美航空在这次事故中损失了5亿美元。 根据GoUpSec此前的报道，CrowdStrike始终否认该事件是“安全事件”，同时否认自身存在严重过失。 虽然上周三CrowdStrike发布的初步事件调查报告（PIR）的结果显示其更新工具和测试流程存在严重漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。相反，CrowdStrike认为自己在事件响应中的表现堪称行业楷模，业务严重中断是达美航空自身问题。 CrowdStrike的律师指出，如果采取法律行动，达美航空将不得不解释为何其竞争对手能够更快地恢复运营。他还警告达美航空：“如果达美航空选择这条路，它就必须向公众、股东以及最终的陪审团解释，为什么CrowdStrike能够积极对其行为承担责任，而且是迅速、透明和建设性的，而达美航空却没有。” 面对达美航空的巨额索赔，CrowdStrike还强调，其合同责任上限在“数百万美元”范围内，而非达美航空所声称的5亿美元。 CrowdStrike进一步表示，在事件发生后，他们曾向达美航空提供现场支持，但被告知不需要。同时，CrowdStrike要求达美航空保留与此次事件以及过去五年内其他IT问题相关的所有文件和记录。 目前，达美航空仍在进行内部分析，以汲取此次事件的教训。有业内人士指出，达美航空的遭遇不仅暴露了关键信息基础设施和企业IT系统的脆弱性，也凸显了关键业务过于依赖技术合作伙伴的风险。 达美航空首席执行官Bastian也坦承，达美航空过于依赖微软和CrowdStrike，是该公司遭受如此严重损失的主要原因。他在上周致员工的信中写道，达美航空的IT、运营和客户服务团队正在对此次事件进行深入分析，以期从中吸取教训。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FAoPVv7LRhO8gbsisW1SMQ 封面来源于网络，如有侵权请联系删除

5 月 6 日美国知名电子制造服务公司Keytronic 披露了一次数据泄露事件，称一勒索软件团伙从其网络内窃取了信息，导致该公司的美国和墨西哥的业务暂停了两周。该公司还指出由于此次网络攻击，其已向外部网络安全专家支付了约 60 万美元，并且生产中断以及与恢复和补救工作相关的费用可能会对其第四季度财务业绩产生重大影响。 近期，Keytronic 透露，最近的勒索软件攻击造成的额外费用和收入损失总计超过 1700 万美元。 该公司在2024财年第四季度的初步财务报告中披露了与该事件相关的成本。 Keytronic 表示：“由于这一事件，公司产生了约 230 万美元的额外费用，并认为第四季度损失了约 1500 万美元的收入。”但该公司补充道，“这些订单大部分都是可以收回的，预计将在 2025 财年完成。本季度的 70 万美元的保险收益可以抵消部分额外费用。” 虽然Keytronic并未透露是哪一组织造成了有关数据泄露，但勒索软件组织Black Basta在泄密网站上公布了从该公司窃取超过 500 GB 的数据后，该事件就被披露了。 Black Basta 声称对 Keytronic 发起攻击，并窃取了超过 500 GB 的数据，包括财务文件、工程文件、人力资源信息和其他类型的公司数据。 Keytronic 专注于精密塑料成型、精密金属加工和装配服务，为计算机、电信、医疗、工业、汽车和航空航天领域制造精密零件。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近期，Infoblox和Eclypsium的网络安全研究人员，在域名系统（DNS）中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露，自2018年以来，Sitting Ducks劫持超过35,000个域名，存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS（一个流量分配系统）基础设施时发现的，系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动，包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。 “Sitting Ducks”攻击与其他控制域名的技术不同，因为它不需要注册商的访问权限，攻击者只需要利用所谓的”无效委托”（lame delegation）即可。 Sitting Ducks flow (Infoblox) 无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时，如果权威名称服务器缺少域名信息并且无法解析查询，这种委托就被称为无效的。当恶意行为者注册了被分配的域名，获得指向该域名的所有域名的访问权限时，就会发生无效委托攻击。此外，攻击者通过利用DNS提供商的漏洞，扫描互联网上具有无效委托的域名，未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录，将流量定向到恶意服务器，并将用户定向到攻击者的网站。根据Eclypsium博客文章所述，“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误，从而使得攻击者能够注册部分无效域名。Dangling DNS记录，由于配置被遗忘而包含无效信息，可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名，从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析，结果显示，参与者中最显著的是俄罗斯的网络犯罪分子。 利用这种攻击，每天有数百个域名被劫持，这些域名通常是通过所谓的“品牌保护注册商”注册的，或者是注册了外观相似的域名。 媒体呼吁，为了避免Sitting Ducks攻击，域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商，并询问DNS提供商缓解措施以降低风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA 封面来源于网络，如有侵权请联系删除

近日，在一起重大网络安全事件中，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。 据路透社报道，知情人士表示，此次攻击需要立即采取行动，将受影响的银行与更广泛支付网络隔离开来。 尽管多次请求，C-Edge Technologies并未回应评论，而印度银行和支付系统的主要监管机构——印度储备银行（RBI）也未发表任何声明。 周三晚间，负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。 公告指出，由C-Edge服务的银行客户在隔离期间将无法使用支付系统。 这种隔离是预防措施，目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称，这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大，但一位知情人士指出，这些银行的业务量仅占该国整个支付系统总量的0.5%左右。 为了评估情况并进一步降低风险，NPCI目前正在进行审计。此外，印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。   转自Freebuf，原文链接：https://www.freebuf.com/news/407594.html 封面来源于网络，如有侵权请联系删除