Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息，因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击（CVE-2022-40139）。我们建议尽快更新到最新版本。” 该公司指出，只有有权访问身份验证数据的攻击者才能利用该漏洞。 趋势科技没有分享利用此漏洞进行攻击的详细信息。 以下是安全公司解决的漏洞列表： 适用漏洞 产品/组件/工具 CVSS3.0 严重性 评分 CVE-2022-40139 Apex One 7.2  高 CVE-2022-40140 5.5 中 CVE-2022-40141 Apex One SaaS 5.6 中 CVE-2022-40142 7.8 高 CVE-2022-40143 7.3 高 CVE-2022-40144 8.2 高   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示，近6年来黑客企图入侵韩国政府网络系统近56万次。 这份来自行政安全部的统计资料显示，近5年零7个月（2017年到2022年7月）期间，黑客共55.8674万次企图入侵政府网络系统。按年度看，2017年为6.2532万次，2018年为9.498万次，2019年为12.4754万次，2020年为10.881万次，2021年为10.1123万次，整体呈逐年递增趋势。今年1月至7月共6.6475万次。 追踪网络层协议（IP）地址的结果显示，来自中国的攻击试图最多，共有12.7908万次（22.9%），其次是来自美国的11.3086万次（20.2%），韩国的4.7725万次（8.5%），俄罗斯的2.6261万次（4.7%），德国的1.5539万次（2.8%），巴西的1.3591万次（2.4%）等。按攻击类型来看，泄露信息（40.9%）最多，其次是收集信息（16.5%）、篡改网页（15.7%）、获取系统权限（14.2%）等。 李海植表示，试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁，有必要从政府层面制定全面的网络安全防范对策。 转自 安全内参，原文链接：https://www.secrss.com/articles/46841 封面来源于网络，如有侵权请联系删除

一位公司高管在CNN获得的一份内部备忘录中警告说，加州极端高温使Twitter失去了一个关键数据中心，，其他地方的另一次故障可能导致部分用户服务进入黑暗。 Twitte和所有主要的社交媒体平台一样，依赖于数据中心，这些中心基本上是装满计算机的巨大仓库，包括服务器和存储系统。控制这些中心的温度对于确保计算机不会过热和发生故障至关重要。为了节省冷却成本，一些科技公司越来越多地将其数据中心放在气候较冷的地方；例如，Google于2011年在芬兰开设了一个数据中心，而美达公司自2013年起在瑞典北部有一个数据中心。 9月5日，由于极端天气，Twitter经历了其萨克拉门托（SMF）数据中心区域的损失。这一前所未有的事件导致SMF的物理设备完全关闭。大型科技公司通常有多个数据中心，部分原因是为了确保在一个中心发生故障时他们的服务可以保持在线，这被称为冗余。 根据费尔南德斯周五的备忘录，由于萨克拉门托的故障，Twitter正处于”非冗余状态”。她解释说，Twitter在亚特兰大和波特兰的数据中心仍在运行，但Twitter警告说如果失去了这些剩余的数据中心之一，Twitter可能无法为Twitter的所有用户提供流量。 该备忘录继续禁止对Twitter的产品进行非关键性的更新，直到该公司能够完全恢复其萨克拉门托数据中心服务。所有的生产变更，包括移动平台的部署和发布，都被阻止了，但解决服务连续性或其他紧急运营需求所需的变更除外。 这些限制凸显了Twitter一些最基本系统的明显脆弱性，Twitter前安全主管Peiter Zatko在7月发给立法者和政府机构的一份披露中提出了这个问题。在CNN和《华盛顿邮报》首次报道的他的举报信息中，Zatko警告说，Twitter的数据中心冗余不足，引发了短暂服务中断的风险，甚至是Twitter永远离线的情况。 根据扎特科的举报披露，即使是少数数据中发生临时但重叠的故障，也可能导致服务在数周、数月或永久关闭。Twitter批评了Zatko，并对这些指控进行了辩护，称她对该公司进行了错误描述。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315719.htm 封面来源于网络，如有侵权请联系删除

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。 今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。 Google云首席执行官Thomas Kurian在一篇博文中写道：”我们将保留Mandiant品牌，并继续Mandiant的使命，即让每个组织免受网络威胁并对他们的准备工作充满信心。” Mandiant仪表板 作为与亚马逊和微软并列的所谓”三大”公共云供应商之一，Google对潜在客户的重大承诺是，它将保持他们所有数据和基础设施的安全。这意味着不断推出新产品以应对不断变化的威胁，有时也意味着收购具有专业知识的老牌企业，以加强Google的安全主张。 而这正是Google通过Mandiant得到的东西，它在安全数据收集能力方面得到了很大的提升，更不用说接触到数百名安全人员了。 Kurian说：”将Google云现有的安全组合与Mandiant领先的网络威胁情报相结合，将使我们能够提供一个安全运营套件，帮助全球企业在安全生命周期的每个阶段保持保护。凭借Google的数据处理规模、人工智能和机器学习的新颖分析方法以及对消除整类威胁的关注，Google Cloud和Mandiant将帮助企业重塑安全，以满足我们快速变化的世界的要求。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46820 封面来源于网络，如有侵权请联系删除

据《澳大利亚金融评论报》网站12日报道，在过去的一年里，由于黑客袭击增多和索赔激增，澳大利亚的网络安全保费出现大幅上涨。据全球保险经纪公司达信保险经纪有限公司说，过去3年来，平均每年用于网络安全的保费翻了一番。另一家经纪公司霍南集团指出，保费在过去12个月里上涨了80%，而前两年每年的涨幅均为20%。 报道称，保费涨价的主要原因是：与勒索软件相关的索赔数量和金额有所增加。犯罪分子利用恶意软件禁止人们访问某个组织的计算机系统，直到对方支付赎金。 报道指出，过去几年，澳大利亚的网络攻击数量也急剧增加。 澳大利亚网络安全中心去年收到了逾67500份网络犯罪报告，同比增加约13%。据信网络攻击的真实数量还要多得多。在这其中，约有一半被归为重大事故。 报道称，考虑到公司声誉问题，企业通常不愿公开承认其支付赎金以重新拿回网络控制权。但一项调查发现，80%的受访企业领袖说，如果遭到后果极其严重的网络攻击，他们愿意支付赎金。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315153.htm 封面来源于网络，如有侵权请联系删除

安全内参9月8日消息，美国国防部负责网络安全的副CIO David McKeown表示，五角大楼即将发布新的零信任战略。与以往框架不同，新战略将概述国防部实现“针对性”零信任所需要的几十种能力要求。 McKeown在比灵顿网络安全峰会上表示，这项战略预计将在本月内发布。文件提出了“经过明确定义、用于实现针对性零信任的90项能力要求。还定义了检查条款，以及实现特定能力时需要的条件。这90项能力将成为国防部达成针对性零信任的基石。” 他补充称，该战略还定义了另外62项能力，一旦达成将助力五角大楼实现“更先进的零信任”，足以支撑国家安全系统或者其他“极为重要的”系统。 进一步落实联邦零信任战略 作为五角大楼日益关注的重要框架，零信任的基本思路是假设网络将始终面临威胁风险，并要求所有用户均接受身份验证和授权。今年1月19日，拜登政府发布了一份关于改善国防部、情报界及国家安全系统网络安全水平的备忘录，为各机构的零信任框架实施规划提出了具体指导方针。 在1月26日发布的另一份备忘录中，白宫管理办公室制定了一项联邦政府零信任战略，要求各级部门在2024财年底达成特定网络安全标准。 这份备忘录提到，“零信任架构的一大关键原则，就是不对任何网络做默认可信的假设。这一原则，可能与各级部门的现行网络及相关系统保护方法有所冲突。一切流量都必须尽快接受加密和验证。” McKeown还强调，与此前公布的零信任框架不同，国防部此次即将出台的新战略明确定义了七大“支柱”及相应的发展成熟级别。 将极大提升敏感系统安全性 美国国防部首席信息官John Sherman曾在今年8月表示，新战略将定义国防部“主体控制”与各敏感系统之间的零信任实施办法。 Sherman的目标之一，是在未来五年内为大部分国防部单位系统推行零信任架构，并表示“我们对手的网络能力让我们别无选择，只能以这种速度加快推进。” 在此次发言中，McKeown重申了Sherman的观点，并表示国防部正在为各军事部门和国防部单位制定实施计划。 该计划囊括了国防部实现针对性零信任目标的三种方法，包括提升每个服务和机构的当前环境以满足针对性零信任的90种能力，以及实施满足最高零信任要求的零信任云。 McKeown表示，“我们还一直与多家云服务商保持合作，邀请他们检查当前的FedRAMP云产品，特别是其中已经使用多年的部分。在全部三种云产品中，两种产品的针对性零信任能力达成率已经达到90%，这无疑令人信心振奋。延续部门的整体安全战略，我们选择使用云服务、提高云利用率，并将继续推进联邦政府的整体云利用率水平。” 零信任帮助美国空军简化作战环境 美国空军首席信息官Lauren Knausenberger也在8月29日表示，零信任框架有助于空军简化其作战环境。 她在空军信息技术与网络力量大会上指出，“如果我们能够知晓访问者身份、完成数据标记，就能建立起多层次安全体系，避免空军指挥官通过多台设备、多种网络发布指令。如此一来，作战行动也将得以简化。” 美国空军已经在8月26日发布的最新临时战略草案中，定义了未来六年的零信任发展愿景。这份草案延伸至2028财年，用于指导期间美国空军应把时间与精力投入哪些安全举措。 空军目前已经在为零信任架构的实施做准备，将根据新战略“以一种有凝聚力的方式保护不同分类、不同层次的数据”，包括根据受保护资源的敏感性，利用各种基础身份（ICAM）要素管理用户、凭证以及访问风险。 参考资料：breakingdefense.com 转自 安全内参，原文链接：https://www.secrss.com/articles/46722 封面来源于网络，如有侵权请联系删除

据Security affairs 9月7日消息，AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。 Shikitega操作流程 该恶意软件的主要释放器是一个非常小的 ELF 文件，其总大小仅为 370 字节左右，而其实际代码大小约为 300 字节。专家报告称，Shikitega 能够从 C2 服务器下载下一阶段的有效载荷并直接在内存中执行。通过利用 Metasploit 中最流行的编码器Shikata Ga Nai ，恶意软件会运行多个解码循环，每一个循环解码下一层，直到最终的 shellcode 有效负载被解码并执行。 Shikitega 利用 CVE-2021-4034（又名 PwnKit）和 CVE-2021-3493漏洞来提升权限，并在 root 权限执行的最后阶段保持持久性。 由于Shikitega使用多态编码器来逐步实现有效负载，其中每个步骤仅显示总有效负载的一部分。这一“低调”操作让Shikitega避免被反病毒引擎检测到。 除了Shikitega，近来在野外发现的 Linux 恶意软件正越发多样，包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344056.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一项国际执法行动导致WT1SHOP被拆除，这是一个专门销售被盗登录凭据和其他个人信息的在线犯罪市场。 此次查封是由葡萄牙当局策划的，美国官员控制了该网站使用的四个域名：”wt1shop[.]net,” “wt1store[.]cc,” “wt1store[.]com,” 和”wt1store[.]net.”。 美国司法部 (DoJ)表示，该网站兜售了超过585万条个人身份信息 (PII) 记录，其中包括大约25000份扫描的驾照/护照、170万份各种网上商店的登录凭据、108000个银行账户、21800张信用卡。 美国司法部还公布了对Nicolai Colesnicov的刑事诉讼，指控这名来自摩尔多瓦共和国的36岁男子经营市场。Colesnicov被指控共谋和贩卖未经授权的访问设备。 根据未密封的法庭文件，WT1SHOP提供了一种支付机制，为使用比特币贩运被盗个人信息提供了便利。截至2021年12月，该账户商店拥有106273名注册用户和94名卖家，可供出售的凭证总数约为585万张。 登录凭据包括属于零售商和金融机构的凭据、电子邮件帐户、PayPal帐户和身份证，以及未经授权远程访问和操作计算机、服务器和网络设备的凭据。 美国司法部还表示，执法部门能够将WT1SHOP上的比特币交易以及这些账户的电子邮件地址和登录信息追踪到Colesnicov，从而使当局能够确定他作为非法市场管理员的角色。 如果罪名成立，Colesnicov将面临最高10年的联邦监禁。 一年前，来自美国、德国、荷兰和罗马尼亚的执法机构破坏并拆除了一个名为Slilpp的地下市场的基础设施，该市场专门用于交易被盗登录凭据。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

根据 Statista 发布的预估报告，全球游戏市场在 2025 年预估会达到 2688 亿美元。这也让游戏行业成为黑客重点攻击的目标，让数十亿玩家处于他们的阴影中。作为最畅销的视频游戏之一，Minecraft 自然成为了不少恶意黑客执行攻击的诱饵。 根据端点安全供应商和消费者 IT 安全软件公司卡巴斯基的一份新报告，Mojang Studios 开发的热门沙盒游戏《我的世界》（Minecraft）在黑客使用最多的游戏。 《我的世界》经常被黑客用来向全球不同用户投放恶意软件。具体来说，该公司表示，从 2021 年 7 月到 2022 年 6 月，共计发现了存在恶意诱饵的 23239 个游戏文件，影响了 131005 名用户。卡巴斯基指出，虽然在手游领域使用《我的世界》作为诱饵的恶意文件数量有所下降，但它仍然排在首位，分发了 2406 个。 卡巴斯基在 Minecraft 之后列出了另外 9 款游戏，这些游戏在分发的相关恶意文件数量方面：FIFA (10,776), Roblox (8,903), Far Cry (8,736), Call of Duty (8,319), Need for Speed (7,569), Grand Theft Auto (7,125), Valorant (5,426), The Sims (5,005)以及CS:GO (4,790). 根据卡巴斯基安全解决方案，根据他们从这些游戏中观察到的文件，下载程序是分发的第一大恶意软件和不需要的软件，在研究期间占案例的 88.56%。这确实是一个巨大的数字，尽管安全公司表示“这种类型的未经请求的软件本身可能并不危险……它可用于将其他威胁加载到设备上”。 使用热门游戏传播的其他类型威胁包括非病毒：AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar (0.47%), not-a-virus:RiskTool (0.45%), Exploit (0.34%) 和 Trojan-Spy (0.29%)。尽管这类威胁的比例很小，但对于受影响的人来说，捕捉它们可能是一个巨大的问题。例如，特洛伊木马威胁可能会破坏、窃取或对个人数据或网络造成其他有害行为。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313435.htm 封面来源于网络，如有侵权请联系删除

在为其硬接线和插入式设备增加了端对端加密选项一年多后，Ring现在为其电池供电的视频门铃和安全摄像机提供了端对端加密。 端对端加密使该公司视频摄像头的用户能够锁定他们的录像，使其只能在他们注册的iOS或Android设备上访问。另外，当用户出售或处理Ring设备时，也会更容易保存录制的视频。在启用端对端加密后，除了相机的主人，没有人可以访问录制的录像。即使执法部门向Ring或其母公司亚马逊索取视频，他们也无法提供。只有注册的移动设备才能解锁视频。 默认情况下，当视频和音频记录被上传到云端并存储在Ring的服务器上时，Ring会对它们进行加密。端对端加密提高了安全级别，只允许设备所有者通过一个指定的设备和只有他们才有的密码来访问和控制他们的录像。 当Ring在2021年1月首次预览视频端对端加密时，Ring Pro 2和Ring Elite是唯一适用于视频门铃的产品，而将其最受欢迎的电池供电设备如Ring 4、Ring Video门铃排除在隐私保护之外。它也是其所有有线和插入式摄像机的一个选项，包括Ring Floodlight cam，但不是电池供电产品的选项，如Ring Stick Up Cam。 现在，所有Ring公司目前销售的摄像头和门铃都可以进行端对端加密，唯一的例外是Ring视频门铃Wired。但增加的隐私保护是有注意事项的。打开端对端加密后，用户将失去在Ring应用的事件时间线视图和丰富的通知中预览视频的能力，这些通知在打开应用前会显示通知中的行动快照。 另外，Ring设备的共享用户无法看到其设备上的视频，任何用户都无法从Ring应用中分享视频，也无法在Echo Show设备或任何第三方应用中查看录像。端对端加密还使Alexa问候语和快速回复失效，鸟瞰图也无法使用，在一些Ring摄像头上有一个选项，可以显示访客到达门铃或摄像头的路径。禁用端到端加密可以恢复所有这些功能。对于许多用户来说，增加的隐私保护将失去一些便利功能。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313635.htm 封面来源于网络，如有侵权请联系删除