Bleeping Computer 网站披露，五眼联盟网络安全机构、CISA、美国国家安全局（NSA）和联邦调查局（FBI）联合发布了一份 2022 年最容易被利用的 12 个漏洞清单，五眼联盟网络安全机构呼吁全球各地的实体组织尽快部署补丁管理系统，解决安全漏洞问题，以最大限度地降低潜在的网络风险。 联合公告中指出在 2022 年，相比对新披露漏洞的利用，网络威胁攻击者越来越多地将攻击重点放在“过时”的软件漏洞上，特别是针对未修补和暴露在互联网上的系统。值得一提的是，许多软件漏洞或漏洞链的概念验证（PoC）代码都是公开的，这就为网络攻击者利用漏洞提供了便利。 此外，截至 2022 年底，常见漏洞和暴露（CVE）计划公布了超过 25000个新安全漏洞，但同年只有 5 个新漏洞进入网络攻击中最常用前12个漏洞名单中。以下是 2022 年被利用最多的 12 个安全漏洞列表，以及国家漏洞数据库条目的相关链接： 第一个漏洞被追踪为 CVE-2018-13379，是一个 Fortinet SSL VPN 漏洞，该公司在 2019 年 5 月修复该洞。问题。据悉，CVE-2018-13379 漏洞被某些具有国家背景的黑客用来入侵美国政府选举支持系统。 公告中还重点介绍了另外 30 个经常被用来入侵世界各地实体组织的漏洞，包括关于安全团队如何减少利用这些漏洞进行攻击的信息。为确保系统安全并降低入侵风险，供应商、设计人员、开发人员和最终用户组织应该根据公告中列出的缓解措施，尽快修复。 今年 6 月，MITRE 就已经公布了过去两年中持续存在的 25 个最普遍、最危险的软件漏洞；两年前，MITRE 还分享了最危险的编程、设计和架构硬件安全漏洞；CISA 和 FBI 还发布了 2016 年至 2019 年被利用最多的十大安全漏洞汇编。 最后，美国国家安全局网络安全局技术总监尼尔-齐林（Neal Ziring）一再警告如果各实体组织继续使用未打补丁的软件和系统，就会给网络威胁攻击者留下容易被利用的漏洞，较早的漏洞更是为网络攻击者“访问”实体组织的敏感数据提供了便利。     转自Freebuf，原文链接:https://www.freebuf.com/news/373882.html 封面来源于网络，如有侵权请联系删除

与俄罗斯有联系的BlueBravo被发现通过GraphicalProton后门瞄准东欧的外交实体。据观察，该组织正在进行鱼叉式网络钓鱼活动，最终目标是用一个名为GraphicalProton的新后门感染收件人。 该活动是在2023年3月至5月期间观察到的，黑客利用合法互联网服务（LIS）进行指挥控制，扩大了滥用的服务范围。 早在2023年1月，Insikt的研究人员就观察到BlueBravo使用一种名为GraphicalNeutrino的主题诱饵来传递恶意软件。GraphicalProton是该组织武器库中的另一个恶意软件，与GraphicalNeutrino不同的是，它使用微软的OneDrive或Dropbox进行C2通信。 Recorded Future表示：“该组织滥用LIS是一种持续的策略，因为他们使用了Trello、Firebase和Dropbox等各种在线服务来逃避检测。BlueBravo似乎优先进行针对欧洲政府部门的网络间谍活动，这可能是因为俄罗斯政府在乌克兰战争期间对战略数据感兴趣。” GraphicalNeutrino和GraphicalProton都被用作加载程序，后者被放置在钓鱼电子邮件传递的ISO或ZIP文件中。 2023年5月，Insikt Group首次为客户端描述了GraphicalProton恶意软件。Graphical质子充当加载程序，与之前描述的GraphicalNeutrino样本非常相似，它在ISO或ZIP文件中暂存，并依赖于新识别的受损域来传递到目标主机。与之前使用Notion进行C2的GraphicalNeutrino的一些分析样本不同，观察到  新确定的GraphiicalProton样本使用了Microsoft OneDrive。 攻击中使用的ISO文件包含LNK文件，这些文件伪装成要出售的宝马汽车的PNG图像。单击该文件后，它将启动GraphicalProton感染链。黑客将Microsoft OneDrive用作C2，并定期轮询存储服务中的文件夹以获取额外的有效载荷。 报告总结道：“随着乌克兰战争的持续，几乎可以肯定的是，在可预见的未来，BlueBravo将继续以政府和外交机构为高价值目标。BlueBravo以及依赖BlueBravo提供数据的俄罗斯情报消费者，很可能认为这些机构为与乌克兰结盟的政府的决策过程提供了战略洞察力。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/bKXmmcd1CgTxG_D38v2YNA 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）发布了一份新声明，解释了其正在通过的关于上市公司报告网络安全事件的新规则。这些规则将要求上市公司在”确定网络安全事件是重大事件”后的四个工作日内报告网络安全事件。 SEC 表示，上市公司必须在 Form 8-K 的新项目 1.05 中披露任何网络安全事件。这些公司还必须每年披露有关其网络安全风险管理、战略和治理的重要信息。 除上市公司外，美国证券交易委员会还表示，这些规则将要求外国私人发行人披露类似信息。它们必须使用 Form 6-K 表格披露重大网络安全事件，使用 Form 20-F 表格披露网络安全风险管理、战略和治理。 美国证券交易委员会（SEC）主席加里-根斯勒（Gary Gensler）在评论新规则时说：”无论一家公司在美国的一个小村庄发生火灾，还是在另一个小村庄发生火灾：无论公司是在火灾中损失了一座工厂，还是在网络安全事件中损失了数百万个文件，对投资者来说都可能是重大的。目前，许多上市公司都向投资者披露了网络安全信息。 但我认为，如果能以更一致、更可比、更有助于决策的方式披露信息，公司和投资者都将受益匪浅。通过帮助确保公司披露重要的网络安全信息，今天的规则将使投资者、公司和连接它们的市场受益。” 美国证券交易委员会列出了这些规则生效的不同日期，但总体看来，上市公司必须在 12 月中旬开始报告遭遇的任何安全事件。 随着这些新规则的实施，这可能意味着我们会比以前更早地听到账户被入侵的消息。这将使用户能够更快地应对黑客攻击，并在必要时更改他们使用的其他服务的密码，从而有可能使那些想通过出售消费者的账户信息来赚钱的黑客失去很多能力。     转自cnBeta，原文链接:https://www.toutiao.com/article/7260333598190912039/?log_from=b23ae1cd85254_1690439361906 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，可疑文件和病毒在线检测平台 VirusTotal 曝出数据泄露事故，一名员工无意中将部分 VirusTotal 注册客户的姓名、电子邮件地址等敏感数据信息上传到了恶意软件扫描平台，此举导致约 5600 名用户数据泄露。 据悉，泄露的数据中包含美国网络司令部、司法部、联邦调查局（FBI）和国家安全局（NSA）等美国官方机构有关的账户信息，以及一些属于德国、荷兰、中国台湾和英国的政府机构帐户。 VirusTotal 已紧急处理数据泄漏事件 2004 年，VirusTotal 首次推出，它使用防病毒引擎和网站扫描仪分析可疑文件和 URL，以检测恶意软件和恶意内容的类型，很快便在业内打开知名度。2012 年，谷歌收购 Virus Total 并于 2018 年将其划为谷歌云 Chronicle 部门的子公司。 数据泄露事件发生后，The Hacker News 联系到谷歌方面工作人员，谷歌承认遭遇数据泄露事件并表示已采取了措施，删除了这些数据。 此外，谷歌云发言人还告诉 The Hacker News，经过调查，公司内部已经发现是一名员工在 VirusTotal 平台上无意分发一小部分客户群管理员电子邮件和组织名称，察觉到数据泄露事件一小时后，VirusTotal 已经将泄露的名单从平台上删除。最后，VirusTotal 发言人指出内部正在优化流程和技术控制，以期改善未来的运营模式。 值得一提的是，德国联邦信息安全办公室（BSI）在 2022 年一再警告组织机构不要自动上传可疑电子邮件附件，并指出此举可能导致敏感信息暴露。     转自Freebuf，原文链接:https://www.freebuf.com/news/372449.html 封面来源于网络，如有侵权请联系删除

根据SpyCloud的最新报告，大多数企业安全主管对利用恶意软件窃取身份验证数据的攻击表示担忧。有53%的受访者表示极度担忧，只有不到1%的人表示根本不担心。 虽然企业普遍关注SSO和云应用程序的被盗身份数据的可见性，但调查显示人员行为仍然困扰着IT安全团队。最容易被忽视的恶意软件人员入口点包括： 57%的企业允许员工在个人和公司设备之间同步浏览器数据，从而使攻击者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据，同时保持不被发现。 54%的企业正与影子IT（员工未经批准使用应用程序和系统）作斗争，这不仅在可见性方面造成了差距，而且在基本安全控制和公司政策方面也造成了差距。 36%的企业允许不受管理的个人或共享设备访问业务应用程序和系统，这为缺乏严格安全措施的设备访问敏感数据和资源打开了大门，并极大削弱了安全团队的“可见性”。 上述看似无害的行为可能会无意中使企业遭受恶意软件和后续攻击，包括勒索软件攻击。根据研究，企业每次感染平均会暴露26个业务应用程序的访问权限。 快速检测漏洞并采取行动对于阻止和减少攻击损失至关重要。然而，调查显示，许多企业应对恶意软件感染的常规响应并不充分：27%的企业不会定期检查其应用程序日志是否有泄露迹象，36%的企业不会为可能暴露的应用程序重置密码，39%的企业在发现暴露迹象时没有终止会话cookie。 研究表明，攻击驻留时间一直在增长，攻击者有着更加充足的时间来操作恶意软件窃取数据。而安全团队的可见性有限会影响其平均发现时间(MTTD)和平均修复时间(MTTR)，从而增加业务风险并耗尽资源。 研究人员发现，2023年上半年，在所有恶意软件日志中，有20%成功执行的恶意软件突破了防病毒程序。这些防病毒解决方案不仅不能阻止攻击，而且还缺乏自动化能力来防御被盗数据的滥用。 报告最后指出：在这场可见性和全面响应的斗争中，安全团队需要实施更强大、以身份为中心的感染后补救方法，以阻止犯罪分子利用恶意软件渗透的数据进一步损害业务。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DIXttt6Rj_cdqoKqjAGmzg 封面来源于网络，如有侵权请联系删除

近日，谷歌开始针对Google Play上不断入侵的恶意软件采取反制措施，要求所有以机构名义注册的新开发者账户在提交应用程序之前提供一个有效的D-U-N-S号码。 这项新措施能有效提高平台的安全性和可信度，同时也能够有效遏制新账户提交恶意软件的行为。 通常情况下，Google Play上的恶意软件在提交审核时不包含危险代码或有效载荷，这些代码或有效载荷会在安装后通过更新获取。 虽然违规应用被举报后会从Play Store下架，其开发者也会被封杀。但对于他们来说，想再创建一个新帐户并以新的名称和主题提交相同的危险应用程序非常容易。 为了解决这个漏洞，从2023年8月31日开始，谷歌将要求所有创建新Play Console帐户的开发者必须提供有效的D-U-N-S号码。 D-U-N-S(数据通用编号系统)是由商业数据和商业分析公司Dun & Bradstreet分配给各企业的九位标识符，每个号码都是独一无二的。 向Dun & Bradstreet申请D-U-N-S号码的组织必须提交几份文件来完成验证信息，这个过程可能需要长达30天的时间才能完成。 D-U-N-S是全球公认的专有标准数据通用编号系统。同时，美国政府、欧盟委员会、联合国和苹果公司等均在使用该系统，其市场认可度极高，被认为是十分值得信赖的。 通过要求软件开发商提供D-U-N-S编号，谷歌还将加大恶意应用发行商在应用商店重新注册的难度，一旦被判定为恶意软件被驳回，再想要入驻该平台需重新成立一家新公司。 除上述内容外，谷歌还将更改Play Store应用条目的 “联系方式 “部分，将其更名为 “应用支持”，并增加更多有关开发者的信息。 以前这部分内容仅包含开发者的姓名、电子邮件和所在地，现在还将包括公司名称、完整的办公地址、网站URL和电话号码。 新“应用程序支持”部分的模型，图源：谷歌 这一变化将提高Goole Play服务的透明度，让用户能够更清楚地了解负责每个应用程序的公司。谷歌方面表示，他们将定期核实应用程序开发者提供的信息，以便将其纳入该部分。 如果他们发现任何不一致之处，他们将暂停该帐户在Play Store上发布应用的能力，最终在指定时间后删除现有应用。     转自Freebuf，原文链接:https://www.freebuf.com/news/372077.html 封面来源于网络，如有侵权请联系删除

以确定攻击者能从计算机程序中窃取多少秘密信息。精明的黑客可以通过观察计算机程序的行为（如程序访问计算机内存的时间）来获取密码等秘密信息。完全阻止这些”侧信道攻击”的安全方法在计算上非常昂贵，因此对许多现实世界的系统来说并不可行。取而代之的是，工程师们通常采用所谓的混淆方案，试图限制而非消除攻击者获取秘密信息的能力。 为了帮助工程师和科学家更好地了解不同混淆方案的有效性，麻省理工学院的研究人员创建了一个安全框架，用于定量评估攻击者能够从采用混淆方案的受害程序中获知多少信息。 名为Metior的框架允许用户研究不同的受害者程序、攻击者策略和混淆方案配置如何影响敏感信息的泄露量。开发微处理器的工程师可利用该框架评估多种安全方案的有效性，并在芯片设计早期确定哪种架构最有前途。 “Metior帮助我们认识到，我们不应该孤立地看待这些安全方案。分析混淆方案对某一特定受害者的有效性非常诱人，但这无助于我们理解这些攻击为何有效。从更高的层次看问题，我们就能更全面地了解实际情况，”研究生、Metior公开论文的主要作者Peter Deutsch说。 Deutsch的合著者包括麻省理工学院电气工程与计算机科学研究生Weon Taek Na、瑞士联邦理工学院（EPFL）助理教授Thomas Bourgeat博士（23岁）、麻省理工学院计算机科学与电气工程实践教授Joel Emer，以及资深作者、麻省理工学院电气工程与计算机科学（EECS）Homer A. Burnell职业发展助理教授、计算机科学与人工智能实验室（CSAIL）成员严孟嘉。这项研究上周在国际计算机体系结构研讨会上发表。 揭示混淆 安全行业内存在许多混淆方案，但流行的方法通常是通过在受害者的行为中添加一些随机化因素来使攻击者更难获取机密。例如，混淆方案可能涉及程序访问计算机内存的其他区域，而不是只访问需要访问的区域，以迷惑攻击者。还有一些方法会调整受害者访问内存或其他共享资源的频率，使攻击者难以发现清晰的模式。 但是，尽管这些方法使攻击者更难得手，但受害者的一些信息仍会”泄露”出去。Yan和她的团队想知道泄漏了多少。 他们之前开发了CaSA，这是一种量化特定类型混淆方案所泄露信息量的工具。但对于Metior，他们有更远大的目标。该团队希望推导出一个统一的模型，用于分析任何混淆方案，甚至是尚未开发的方案。 为了实现这一目标，他们设计了Metior，将通过混淆方案的信息流映射为随机变量。例如，该模型将受害者和攻击者访问计算机芯片上的共享结构（如内存）的方式映射成数学公式。 在Metior得出该数学表述后，该框架利用信息论的技术来理解攻击者如何从受害者那里获取信息。有了这些碎片，Metior就可以量化攻击者成功猜测受害者秘密信息的可能性。 “我们将这种微架构侧通道的所有细枝末节都映射成数学问题。”Deutsch说：”一旦我们做到了这一点，我们就可以探索许多不同的策略，更好地理解如何通过微小的调整来帮助您抵御信息泄露。” 令人惊讶的见解 他们在三个案例研究中应用了Metior，以比较攻击策略并分析最先进的混淆方案造成的信息泄露。通过评估，他们看到了Metior如何识别以前尚未完全理解的有趣行为。 例如，先前的分析确定了某种类型的侧信道攻击（称为概率素数和探测）是成功的，因为这种复杂的攻击包括一个初步步骤，即对受害者系统进行剖析，以了解其防御能力。 他们利用Metior表明，这种高级攻击实际上并不比简单、普通的攻击更有效，而且它利用的受害者行为与研究人员之前想象的不同。 展望未来，研究人员希望继续增强Metior，以便该框架能够以更有效的方式分析非常复杂的混淆方案。他们还希望研究更多的混淆方案和受害者程序类型，并对最流行的防御措施进行更详细的分析。 最终，研究人员希望这项工作能激励其他人研究微架构安全评估方法，以便在芯片设计过程中尽早应用。 “任何一种微处理器的开发都异常昂贵和复杂，而且设计资源极其稀缺。在公司投入微处理器开发之前，有一种评估安全功能价值的方法极为重要。”Emer说：”这正是Metior允许他们以非常普遍的方式做到的。”     转自cnBeta，原文链接:https://www.toutiao.com/article/7255192298588504615/?log_from=a9e7a42a51fc2_1689239958844&wid=1689239987335 封面来源于网络，如有侵权请联系删除

Cybernews 研究团队发现，哈佛大学课程网站上存在一个 WebLogic Server 漏洞，严重程度高达9.8 分。 WebLogic Server是美国跨国计算机技术公司Oracle公司开发的基于Java的应用服务器。该漏洞发现于 2020 年，编号为 CVE-2020-2551，允许攻击者无需身份验证即可在易受攻击的服务器上远程执行代码。 由于受影响的哈弗网站ourse.my.harvard.edu 要求用户登录，意味着成功的远程代码执行攻击（RCE）攻击可能允许攻击者获取用户登录数据。 对哈佛大学有何影响 研究人员在哈佛大学的子域中发现的 WebLogic Server 漏洞允许在未经身份验证的情况下执行任意代码。换句话说，大门向任何愿意进来的人敞开。 研究人员表示，如果攻击者利用此漏洞，他们就可以访问存储在易受攻击的系统上的敏感数据。这可能包括机密的客户信息、财务数据和知识产权。 此外，攻击者还可以窃取并加密被盗数据，或根据学校 IT 系统的架构对整个系统进行加密。 但Oracle早在3年前，也就是该漏洞被发现后不久就进行了修复，目前还不清楚为何在哈弗的网站中还存在该漏洞。 Cybernews已联系哈佛大学问询，但目前还没有收到回复。     转自Freebuf，原文链接:https://www.freebuf.com/news/371819.html 封面来源于网络，如有侵权请联系删除

随着ChatGPT风靡全球，其开发商OpenAI就接连不断地面临着越来越多的质疑与批评。近日，OpenAI就陷入了接连“吃官司”的状态之中。 6月29日，有16 名匿名人士向美国加利福尼亚州旧金山联邦法院提起诉讼，称 ChatGPT 在没有充分通知用户或获得同意的情况下收集和泄露了他们的个人信息，据此他们要求微软和 OpenAI 索赔 30 亿美元。 诉讼中指出，尽管制定了购买和使用个人信息的协议，但是OpenAI和微软系统性地从互联网中窃取了3000亿个单词，包括数百万未经同意获取的个人信息。 原告指控两家公司通过其 AI 产品“收集、存储、跟踪、共享和披露”数百万人的个人信息，包括产品详细信息、账户信息、姓名、联系方式、登录凭据、电子邮件、支付信息、交易记录、浏览器数据、社交媒体信息、聊天日志、cookie、搜索记录和其他在线活动。 诉状还称：就个人身份信息而言，被告未能充分地将其从学习模型中过滤掉，使数百万人面临着个人信息立即或以其他方式向世界各地的陌生人披露的风险。 诉讼还指控OpenAI违背了其初心，即以“最有可能造福整个人类的方式推进人工智能”。截至目前，不论是OpenAI官方还是微软官方都还未对该指控进行回复。 不过，该诉讼已经在全球引起了广泛关注，同时引发了广大网友对隐私、人工智能伦理和企业处理个人信息的担忧。 随后，在短短的一周内，OpenAI又接到两位作家Paul Tremblay和Mona Awad提起的诉讼，指控他们的受版权保护的著作被用来训练ChatGPT。 Paul Tremblay和Mona Awad称，ChatGPT 能为他们的书生成“非常准确”的摘要。所以他们坚称，只有在ChatGPT接受了他们著作的训练后，才有可能出现这么准确的摘要，而这个操作显然违反了版权法。 起诉书中预估，OpenAI 的训练数据中至少包含 30 万本书，其中很多来自侵权网站。 比如 OpenAI 在披露 GPT-3 训练数据情况时，就表示其中包含两个互联网图书语料库，大概占比为 15%。起诉作者认为这些数据就是来自影子图书馆网站的，比如 Library Genesis、Sci-Hub 等。 OpenAI已多次陷入数据风波 虽然目前的这些指控仍是原告方的“一面之词”。但这已经不是这家公司第一次陷入数据安全、个人信息泄露相关的指控了。 去年6月下旬，微软发布了一种可以自动生成计算机代码的新型人工智能技术。 该工具名为 Copilot，旨在让专业程序员更快地工作。当他们工作时，Copilot会给出代码建议，程序员可以直接将copilot展示的建议的代码块直接添加到自己的代码中，快速完成工作，这一工具也因此被很多媒体誉为“让程序员早下班的工具”。 然后去年 11 月，这款名为Copilot的代码助手，就被程序员们告上了法庭。 原告们认为Copilot嫌违反开源许可，使用他们贡献的代码训练 GitHub Copilot 和 OpenAI 的 Codex 机器学习模型，侵犯了众多原创代码作者的版权，同时还泄露了用户隐私，因此向法院提起诉讼，索赔达90亿美元。 这些案例无疑为隐私安全敲响了警钟，不仅是OpenAI，全球公司都必须对数据收集和使用持有负责任的态度。 如今，人工智能技术的快速发展让个人隐私问题面临着更加艰深的挑战，特别是在数据收集和使用方面。随着越来越多的个人数据被用于训练AI模型，如何切实做到确保数据的合法和透明使用变得至关重要。 企业在保护个人隐私方面扮演着关键角色。因此各企业在收集和使用个人数据时，都必须遵守隐私法规，并提供透明的数据使用方式，以确保人工智能技术的发展与个人权益的保护相平衡。     转自Freebuf，原文链接:https://www.freebuf.com/news/371689.html 封面来源于网络，如有侵权请联系删除

今年6月，文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞，能让远程攻击者访问其数据库并执行任意代码。最近，MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞有关。 SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点，从而更改或暴露数据库中的敏感数据。 这其中最为严重的漏洞为CVE-2023-36934，能够无需登录即被利用，意味着即使没有有效凭证的攻击者也有可能利用该漏洞，但到目前为止，还没有关于攻击者积极利用此漏洞的报告。 而CVE-2023-36932能让登录的攻击者利用该漏洞来获得对 MOVEit Transfer 数据库的未经授权的访问；CVE-2023-36933 则是一个允许攻击者意外关闭 MOVEit Transfer 程序的漏洞。 MOVEit于今年6月披露的漏洞显示它们已经被Clop 勒索软件组织利用，数千家使用该服务的企业组织受到影响。一直在跟踪局势的 Emsisoft 威胁分析师布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美国学校和超过 1750 万人的信息受到影响。 其他企业，石油巨头壳牌曾在6月15日证实自己受到了MOVEit漏洞的影响，英国广播公司BBC 和英国航空公司 (BA) 、南非零售巨头Clicks等企业也表示自己是受害者。 此次新批露的漏洞影响多个 MOVEit Transfer 版本，但目前均已被MOVEit Transfer修复。Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新，强烈建议用户更新到 MOVEit Transfer 的最新版本，以降低这些漏洞带来的风险。     转自Freebuf，原文链接：https://www.freebuf.com/news/371525.html 封面来源于网络，如有侵权请联系删除