有报道称针对上周末被披露的Apache OFBiz 安全漏洞（CVE-2024-38856）的攻击企图日益增多，使用 Apache OFBiz 的组织被敦促修补一个严重漏洞。 Apache OFBiz 开发人员称，18.12.14 之前的版本都受到影响，18.12.15 包含一个修复程序。 开发人员在一份咨询报告中表示： “如果满足某些先决条件（例如，当屏幕定义没有明确检查用户的权限，因为它们依赖于其端点的配置时），未经身份验证的端点可能会允许执行屏幕的屏幕渲染代码。” 发现该漏洞的 SonicWall 威胁研究人员将其描述为一个严重问题，可能允许未经身份验证的远程代码执行。 SonicWall 解释称：“漏洞的根本原因在于身份验证机制存在缺陷。该缺陷允许未经身份验证的用户访问通常需要用户登录才能使用的功能，从而为远程代码执行铺平了道路。” SonicWall 尚未发现利用 CVE-2024-38856 的攻击。 然而，最近发现的另一个 Apache OFBiz 漏洞似乎已被恶意攻击者利用。该漏洞于 5 月被发现，编号为 CVE-2024-32113，是一个路径遍历错误，可能导致远程命令执行。 SANS 技术研究所的互联网风暴中心报告称，7 月底发现攻击尝试有所增加。 有证据表明攻击者正在试验该漏洞并可能将其添加到 Mirai 僵尸网络变种的攻击中。 Apache OFBiz 是一个用于创建企业资源规划 (ERP) 应用程序的免费框架。OFBiz被多家大型公司使用。大多数用户在美国，其次是印度和欧洲。 SANS 的 Johannes Ullrich 指出：“OFBiz 似乎远不如商业替代方案那么流行。然而，就像任何其他 ERP 系统一样，组织依靠它来存储敏感的业务数据，而这些 ERP 系统的安全性至关重要。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_RfZplteHa9jDl1FXXRqtA 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

威胁行为者正在利用Selenium Grid的配置错误来部署修改版的XMRig工具，用于挖掘Monero（门罗币）加密货币。 Selenium Grid是一个流行的开源Web应用测试框架，它允许开发者在多台机器和浏览器上自动化测试。它在云环境中使用，并且在Docker Hub上的下载量超过1亿次。 Selenium测试概述（来源：Wiz） 测试任务通过API交互从中央集线器分发到服务的各个节点上执行，这些节点具有不同的操作系统、浏览器和其他环境变化，以提供全面的测试结果。 云安全公司Wiz的研究人员发现，他们正在跟踪的恶意活动“SeleniumGreed”已经运行了一年多。这个活动利用了服务在默认配置中缺乏认证机制的弱点。 根据Wiz的研究，Selenium Grid默认情况下没有激活的身份验证机制。对于公开的服务，任何人都可以访问应用程序测试实例、下载文件和执行命令。 Selenium 在其文档中警告了互联网暴露实例的风险，建议那些需要远程访问的人通过设置防火墙来防止未经授权的访问。然而，这个警告不足以防止更大规模的错误配置。 Wiz提到，威胁行为者正在利用Selenium WebDriver API来更改目标实例中Chrome的默认二进制路径，使其指向Python解释器。然后，它们使用“add_argument”方法将base64编码的Python脚本作为参数传递。当WebDriver发起启动Chrome的请求时，它会使用提供的脚本执行Python解释器。 攻击中使用的漏洞利用脚本（来源：Wiz） Python脚本建立了一个反向shell，使攻击者几乎可以远程访问实例。接下来，攻击者依靠Selenium用户（seluser），可以在没有密码的情况下执行sudo命令，在被破坏的实例上放置自定义XMRig矿工，并将其设置为在后台运行。 为了逃避检测，攻击者经常使用受损的Selenium节点工作负载作为后续感染的中间命令和控制服务器（C2），以及作为采矿池代理。 Wiz公司使用FOFA搜索引擎对公开网络上暴露的网络资产进行了扫描，结果显示至少有30,000个Selenium实例目前可以通过公共网络访问到。 Wiz在报告中说：“任何缺乏适当身份验证和网络安全策略的Selenium Grid服务版本都容易受到远程命令执行的攻击。” “根据我们的数据，本博客中描述的威胁针对的是Selenium v3.141.59，但它也可能演变为利用更高版本，其他威胁行为者可能已经这样做了，”研究人员指出。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oygRvBpVcyd-nuYYRbR6aQ 封面来源于网络，如有侵权请联系删除

LangChain是一个流行的开源生成式人工智能框架，其官网介绍，有超过一百万名开发者使用LangChain框架来开发大型语言模型（LLM）应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日，来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。 这些漏洞被识别为CVE-2023-46229和CVE-2023-44467，它们有可能允许攻击者执行任意代码和访问敏感数据。鉴于有一百多万名开发者依赖LangChain，这一发现给众多AI驱动的应用程序带来了重大安全风险。 CVE-2023-46229：服务器端请求伪造（SSRF） 在LangChain 0.0.317之前的版本中，存在一个通过精心设计的站点地图实现的SSRF漏洞。利用该漏洞，攻击者可以从内网获取敏感信息，并可能绕过访问控制。Palo Alto Networks在2023年10月13日发现了这一问题，并立即通知了LangChain团队。该漏洞已在版本0.0.317中通过拉取请求langchain#11925得到修复。 CVE-2023-44467：LangChain实验中的严重提示注入 CVE-2023-44467是一个严重提示注入漏洞，影响0.0.306之前的LangChain实验版本。LangChain实验是一个专为研究和试验而设计的Python库，包含可能被恶意提示利用的集成。这个漏洞影响了PALChain功能，这是一个通过程序辅助语言模型（PAL）增强语言模型生成代码解决方案的能力的功能。 该漏洞允许攻击者利用PALChain的处理能力进行提示注入，使他们能够执行有害的命令或代码。这种利用可能导致未经授权的访问或操纵，带来重大的安全风险。Palo Alto Networks在2023年9月1日识别出这一问题，并及时通知了LangChain开发团队，后者在第二天在LangChain实验PyPI页面上发布了警告。 随着对大型语言模型（LLM）应用需求的增加，LangChain的受欢迎程度在最近几个月急剧上升。其丰富的预构建组件和集成库使其成为开发者的首选工具。然而，这种广泛的应用也意味着这些漏洞的潜在影响被放大。 Palo Alto Networks的研究人员强烈建议使用LangChain的开发者和组织将LangChain更新到最新的修补版本，以确保应用安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/407063.html 封面来源于网络，如有侵权请联系删除

虽然无法切换红灯绿灯，但通过篡改信号时长，依然可以制造出交通堵塞事故；研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 安全内参7月22日消息，一名安全研究人员表示，他发现了一个交通信号控制器的漏洞。恶意黑客或能利用该漏洞改变交通信号灯，制造交通堵塞。 网络安全公司Red Threat的研究员Andrew Lemon近日发表了两篇博客文章，详细介绍了他在调查交通信号控制器安全性时发现的研究结果。 Lemon研究的一种设备型号是Intelight X-1。他表示，在该设备上发现了一个漏洞，允许任何人完全控制交通信号灯。根据Lemon的说法，这是一个非常简单的基础性漏洞：设备暴露在互联网上的网页界面，且没有认证机制。 Lemon告诉外媒TechCrunch：“我简直不敢相信。如此明显的问题居然会被忽略，令我感到震惊。” Lemon说，他试着验证是否可以触发，类似电影《偷天换日》中所展示的场景——黑客将所有十字路口的灯都切换为绿灯。不过，一种名为故障管理单元的设备令这种情况无法成真。 Lemon表示：“我们仍然可以更改信号灯的时间设置。例如，可以将一个方向的切换时间设置为三分钟，另一个方向设置为三秒钟。在物理世界中，这大抵是一种拒绝服务攻击，因此可以堵塞交通。” 目前尚不清楚有多少易受攻击的Intelight设备可以从互联网访问。Lemon表示，他带领的团队发现了大约30个暴露的设备。 研究员称制造商拒绝修漏洞并警告他们 Lemon说，他联系了Intelight的制造公司Q-Free，报告了这个漏洞。但根据Lemon的说法，Q-Free没有回应并与他合作修复这个漏洞，反而给他发了一封法律信件。他在博客文章中发布了该信件的副本。 信件副本中写道：“我们只接受与目前在售的Q-Free产品相关的漏洞报告。我们没有足够的资源来处理对过时产品的分析。”该信件似乎由Q-Free的总法律顾问Steven D. Tibbets签署。 信件副本中还说，Lemon分析的设备并不在售，而且他和Red Threat研究该设备的方式可能违反了美国反黑客法《计算机欺诈和滥用法》。公司没有具体说明Lemon的研究可能如何违反法律。信中要求Lemon和Red Threat承诺不公布漏洞的详细信息，因为这可能危害国家安全。 信中写道：“我们还敦促Red Threat考虑发布对使用Q-Free设备的关键基础设施安全性的影响。与您所述的改善网络安全的目标相反，漏洞的发布可能会鼓励对基础设施的攻击，并给Red Threat带来相关责任。” Lemon表示，他对这封信感到惊讶，并说“真的感觉他们只是想通过法律威胁和其他手段让我保持沉默。” 制造商称产品早已停产，客户应限制公网访问 Q-Free的发言人Trisha Tunilla告诉TechCrunch：“需要指出的是，涉事控制器早在近十年前就停产了。” Tunilla在一封电子邮件中写道：“根据我们的记录，无法确认这些控制器是否都已更新。然而，如果这些旧控制器仍在使用，强烈建议客户立即联系我们，以便我们提供指导和解决方案。” 关于Q-Free总法律顾问发出的信件，Tunilla表示：“这是我们法律部门处理此类询问的标准程序。” Lemon表示，通过研究，他还发现了一些由Econolite制造的交通控制器设备暴露在互联网上，并运行一种可能存在漏洞的协议。 该协议称为NTCIP，是交通信号控制器的行业标准。Lemon表示，对于那些暴露在互联网上的设备，黑客无需登录即可更改系统中的数值。这些数值可以控制灯光闪烁的时间，或者设置十字路口所有灯光同时闪烁。 Lemon说，他没有联系Econolite，因为NTCIP问题已被先前知晓。 Econolite工程副总裁Sunny Chakravarty在接受TechCrunch采访时证实了这一点。Chakravarty告诉TechCrunch，Lemon测试的Econolite设备已“报废多年，所有用户应将这些旧控制器更换为合适的新型产品。” Chakravarty表示：“Econolite强烈建议客户遵循网络安全和访问控制的最佳实践，限制所有关键设备在开放的公共互联网上的访问。如果设备未暴露在开放的互联网，作者的行为是不可能实现的。”   转自安全内参，原文链接：https://www.secrss.com/articles/68350 封面来源于网络，如有侵权请联系删除

网络空间搜索引擎 Censys 警告称，超过 150 万个 Exim 邮件传输代理 (MTA) 实例未修补一个严重漏洞，该漏洞可导致攻击者绕过安全过滤器。 该安全漏洞被编号为CVE-2024-39929 ，并于周三由 Exim 开发人员进行了修补，影响 Exim 4.97.1 及以下版本。 该漏洞是由于对多行 RFC2231 头文件名的错误解析造成的，这使得远程攻击者可以绕过$mime_filename扩展名阻止保护机制，将恶意的可执行附件传送到最终用户的邮箱中。 Censys 警告称：“如果用户下载或运行其中一个恶意文件，系统可能会受到威胁”，并补充道，“目前已经有了 PoC，但尚未发现任何主动攻击。” 该公司补充道：“截至 2024 年 7 月 10 日，Censys 观察到 1,567,109 台公开暴露的 Exim 服务器运行着潜在易受攻击的版本（4.97.1 或更早版本），主要集中在美国、俄罗斯和加拿大。” 虽然电子邮件收件人仍需启动恶意附件才会受到影响，但该漏洞可让攻击者绕过基于文件扩展名的安全检查。这样一来，他们便可将通常被阻止的危险文件（如可执行文件）发送到目标邮箱。 建议无法立即升级 Exim 的管理员限制从互联网对其服务器的远程访问，以阻止传入的攻击尝试。 数百万台服务器暴露在网上 MTA 服务器（例如 Exim）经常成为攻击目标，因为它们几乎总是可以通过互联网访问，这使得它们很容易找到进入目标网络的潜在入口点。 根据本月初的邮件服务器调查， Exim 也是 Debian Linux 默认的 MTA，并且是世界上最受欢迎的 MTA 软件。 调查显示，在调查期间可通过互联网访问的 409,255 台邮件服务器中，超过 59% 运行着 Exim，也就是超过 241,000 个 Exim 实例。 此外，根据Shodan 搜索，目前有超过 330 万台 Exim 服务器暴露在网上，其中大部分位于美国，其次是俄罗斯和荷兰。Censys 发现网上有 6,540,044 台面向公众的邮件服务器，其中 4,830,719 台（约占 74%）运行着 Exim。 可在线访问 Exim 服务器分布（Shodan） 美国国家安全局 (NSA)于 2020 年 5 月透露，俄罗斯黑客组织 Sandworm 至少自 2019 年 8 月以来一直在利用关键的 CVE-2019-10149 Exim 漏洞（被称为“WIZard 的回归”）。 最近，在 10 月份，Exim 开发人员修补了通过趋势科技零日计划 (ZDI) 披露的三个零日漏洞，其中一个 (CVE-2023-42115)使数百万台暴露在互联网上的 Exim 服务器面临预授权 RCE 攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nyy-QsuvfzrWvkCRyJ1tFg 封面来源于网络，如有侵权请联系删除

思科修补了 4 月份曝出的 NX-OS 零日漏洞，威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份，安装未知恶意软件。 网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件，威胁攻击者利用安全漏洞进入受害者内部系统后，收集了大量的管理员级的凭据，一边可以随时访问思科 Nexus 交换机，部署了一个此前未出现过的定制化恶意软件。 此后，威胁攻击者利用这一”渠道“，便可以轻松的远程连接到受害者的设备，上传额外文件并执行恶意代码。 接到漏洞通知后，思科方面立刻做出回应，指出具有管理员权限的本地威胁攻击者可以利用安全漏洞（跟踪为 CVE-2024-20399），在易受攻击设备的底层操作系统上以 root 权限执行任意命令。 此外，思科相关负责人还指出，CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的，使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数，从而利用这一安全漏洞。 一旦威胁攻击者成功利用该安全漏洞后，就可以以 root 权限在底层操作系统上执行任意命令。 受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机： MDS 9000 系列多层交换机； Nexus 3000 系列交换机； Nexus 5500 平台交换机； Nexus 5600 平台交换机； Nexus 6000 系列交换机； Nexus 7000 系列交换机； 独立 NX-OS 模式下的 Nexus 9000 系列交换机。 威胁攻击者还可以利用 CVE-2024-20399 安全漏洞，在不触发系统 syslog 消息的情况下执行命令，从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。 因此，思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。 今年 4 月，思科曾警告称，自 2023 年 11 月以来，一个由国家支持的黑客组织（被追踪为 UAT4356 和 STORM-1849）一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞（CVE-2024-20353 和 CVE-2024-20359），针对全球政府网络开展名为 ArcaneDoor 的活动。 当时，斯克公司多次强调，安全研究人员还发现有证据表明，威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后，威胁攻击者利用这些安全漏洞安装了未知的恶意软件，使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。 值得一提的是，思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。 上个月，Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备，在这次攻击活动中，威胁攻击者利用对受害者网络的持续访问，在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/404980.html 封面来源于网络，如有侵权请联系删除

近日，科技巨头谷歌发布了安全更新，成功解决其 Pixel 设备中存在的 50 个安全漏洞。 值得注意的是，谷歌方面着重提到了一个被追踪为 CVE-2024-32896 的安全漏洞，并指出威胁攻击者可以利用该漏洞非法提升权限，目前安全人员已经发现其在野被利用的证据。 谷歌方面一再强调有迹象表明，CVE-2024-32896 安全漏洞可能已被用于有限的针对性攻击活动。因此，谷歌督促所有 Pixel 用户应立即在设备上安装安全更新，以最大程度上缓解安全风险，保障自身设备的安全。 谷歌此次发布的安全更新还解决了直接影响 Pixel 设备的其他 44 个安全漏洞，其中 7 个是权限升级漏洞，这些漏洞一旦被威胁攻击者利用，可能会引发更大的安全危机。 注意：有关 Pixel 六月份更新的更多信息，请查看谷歌智能手机安全公告。要应用更新，Pixel 用户需要进入 “设置”>”安全与隐私”>”系统与更新”>”安全更新”，点击 “安装”，然后重启设备完成更新过程。 2024 年 4 月，谷歌方面还解决了 Pixel 中的另外两个 0day 漏洞，这些漏洞被取证公司用来在没有 PIN 码或访问数据的情况下解锁手机。CVE-2024-29745 安全漏洞被标记为与 Pixel 引导加载器信息泄露有关的高危漏洞，CVE-2024-29748 被标记为 Pixel 固件中的权限升级漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403559.html 封面来源于网络，如有侵权请联系删除

发现该漏洞的研究人员 Morphisec 警告说，微软在2024 年 6 月补丁日更新中解决的一个漏洞可能会被利用来实现无需用户交互的远程代码执行 (RCE)。 微软在其公告中表示，该安全漏洞编号为CVE-2024-30103（CVSS 评分为 8.8），可让攻击者绕过 Outlook 注册表阻止列表并创建恶意 DLL 文件。 微软安全公告指出：“预览窗格是一种攻击媒介”，并补充说攻击复杂性较低，并且可以通过网络进行利用。Outlook 2016、Office LTSC 2021、365 Apps for Enterprise 和 Office 2019 均受到影响。 尽管微软将该漏洞评定为“重要”，但发现该漏洞的 Morphisec 研究员却认为该漏洞为“危急”，并警告称攻击者可能很快就会开始利用该漏洞，因为它不需要用户交互。 “相反，当受影响的电子邮件被打开时，执行就开始了。这对于使用 Microsoft Outlook 自动打开电子邮件功能的帐户来说尤其危险。”Morphisec 研究员指出。 Morphisec 表示，RCE 漏洞可能被利用来窃取数据、未经授权访问系统以及执行其他恶意活动。 Morphisec 补充道：“此 Microsoft Outlook 漏洞可以在用户之间传播，无需点击即可执行。” 据该网络安全公司称，利用此零点击漏洞非常简单，这使得它在初始访问时容易被大规模利用。 Morphisec 说：“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统被入侵。” Morphisec 研究员计划在今年夏天的 DEF CON 会议上发布技术细节和概念验证（PoC）漏洞。 建议用户尽快更新 Outlook 客户端。据了解，攻击者以前曾利用零点击 Outlook 漏洞进行攻击。 周二，微软发布了针对其产品中十多个远程代码执行漏洞的补丁，其中包括微软消息队列 (MSMQ) 中的一个严重漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6CWP3JOlUHc3Mh6M9Zsg7w 封面来源于网络，如有侵权请联系删除

疑似国家级黑客入侵了纽交所母公司的VPN设备，试图窃取该设备上的用户账号信息，以进一步渗透内网；该公司评估事件影响极小，但SEC认为其作为市场关键主体，未能及时上报事件，以此处罚1000万美元。 安全内参5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。 美国《监管系统合规性和完整性》（Regulation SCI）法规要求，如公司发现入侵等安全事件，必须立即通知SEC，并在24小时内提供更新，除非他们确定事件对其业务或市场参与者的影响微乎其微。 SEC表示：“被告受Reg SCI监管，但却未能按要求通知SEC有关入侵事件。相反，委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。” “SEC在命令中指控，洲际交易所足足花了四天时间评估事件影响，得出内部结论，认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中，每一秒都很重要，四天过于漫长。” 洲际交易所于2021年4月15日发现了这一事件。此前，第三方通知洲际交易所，可能发生了与其VPN设备中未知漏洞有关的系统入侵。 疑为国家级黑客入侵 后续调查发现，一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码，用于远程访问洲际交易所的企业网络。 SEC的命令显示：“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码，试图窃取该设备处理的信息，包括员工姓名、密码和多因素认证代码。利用这些数据，威胁行为者或能访问内部企业网络。” 洲际交易所的安全团队发现证据表明，威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”，但是他们依然确定攻击者只访问了一台被入侵的VPN设备。 SEC表示，洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞，违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误，洲际交易所子公司未能正确评估入侵情况，并未履行Reg SCI规定的披露义务。 洲际交易所及其子公司同意接受SEC的命令，承认子公司违反了Regulation SCI的通知规定，且这些违规行为系洲际交易所所致。 对于SEC的调查结果，洲际交易所及其子公司既未承认也未否认，表示将按SEC禁止令的规定，不再违反Reg SCI法规，并支付1000万美元民事罚款。   转自安全内参，原文链接：https://www.secrss.com/articles/66426 封面来源于网络，如有侵权请联系删除