美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

将机要系统与任何联网系统完全隔离通常被认为是最安全的防御措施，但随着黑客技术的发展，这道坚不可摧的安全屏障已不再牢固，甚至有一家专门针对政府设施下手的APT组织已研发出了两套工具集，对已隔离系统展开了全方位攻势。 ESET 的研究人员近期详细披露了一个名为“GoldenJackal”的网络APT 组织，能够利用多种恶意工具组合对政府和外交实体进行攻击，包括使用特定工具成功针对气隙系统（即已隔离系统）的攻击。 GoldenJackal 简介 GoldenJackal于2023年5月被卡巴斯基首次披露，但该组织最早的活动可追溯至2019年8月至9月间针对白俄罗斯南亚大使馆的攻击，期间使用的恶意工具于2021年7月再度被检测到。 据称，GoldenJackal长期以欧洲、中东和南亚的政府实体为目标，但根据卡巴斯基的报告，2020年之后，针对中东和南亚政府和外交实体的攻击数量有所缓和。根据ESET近期的监测数据，从 2022 年 5 月到 2024 年 3 月，欧盟政府组织多次成为了该组织的目标。 目前，ESET和卡巴斯基都未明确将该组织与任何国家联系起来，但其中一款名为GoldenHowl 恶意软件的C&C 协议被称为 transport_http，与已知的 Turla和 MoustachedBouncer 通常使用的表达方式相同，可能表明 其背后的开发者是俄语使用者。 针对已隔离系统的攻击 为了最大限度地降低泄露风险，高度敏感的网络通常采用了完全隔离的系统，以保护那些最有价值的系统（如投票系统和运行电网的工业控制系统），这些网络通常正是攻击者最感兴趣的目标。相应的，破坏隔离系统比破坏一般互联网连接的系统要耗费更多资源，迄今为止此类攻击都是由 APT 组织专门开发的间谍活动。 而GoldenJackal在5年时间内构建和部署了两套独立的工具集来破坏已隔离系统，显示出该组织出色的技术实力。 针对白俄罗斯的攻击 在2019年针对白俄罗斯南亚大使馆的攻击中，研究人员观察到3个自定义工具集： GoldenDealer：通过 USB 监控将可执行文件植入到已隔离系统，可从 C&C 服务器下载可执行文件并将其隐藏在U盘中，或者从这些U盘中检索可执行文件并在没有连接的系统上执行 ； GoldenHowl：具有各种功能的模块化后门，包括从 JSON 文件解密并加载恶意软件的配置 、创建恶意软件使用的目录以及为每个模块启动一个线程 ； GoldenRobo：执行文件收集和渗透功能，执行 Robocopy 实用程序来暂存文件并将其发送到其 C&C 服务器。 在攻击链中，具体的初始攻击媒介未知，研究人员假设 GoldenDealer 和未知蠕虫组件已经存在于可以访问互联网的受感染 PC 上，每当插入U盘时，未知组件都会将自身和 GoldenDealer 组件复制到驱动器中。 研究人员将这个未知组件暂称为 JackalWorm，该组件很可能在U盘上找到最后修改的目录，将其隐藏，并使用该目录的名称将自身重命名。此外，该组件使用了文件夹图标，以诱使用户在将 U 盘插入已隔离系统时点击运行。 当驱动器再次插入连接到互联网的PC时，GoldenDealer会从U盘中获取关于已隔离系统的信息，并将其发送到C&C服务器。服务器回复一个或多个要在已隔离系统上运行的可执行文件。最后，当U盘再次插入已隔离系统时，GoldenDealer会从驱动器中获取可执行文件并运行。 针对已隔离系统的攻击链 针对欧洲政府的攻击 在近期针对欧洲政府机构的攻击中，GoldenJackal 转向了高度模块化的新工具集，这种模块化方法不仅适用于恶意工具的设计，还包括其具体的功能，如收集和处理信息，将文件、配置和命令分发到其他系统以及外泄文件。 2022 年 5 月，研究人员观察到GoldenJackal 在针对欧洲的一家政府组织时使用了新工具集，这些工具中的大多数都是用 Go 编写的，并提供了多种功能，例如从U盘收集文件、通过U盘 在网络中传播有效载荷、泄露文件以及使用网络中的一些 PC 作为服务器将各种文件传送到其他系统。此外，研究人员还看到攻击者使用 Impacket 在网络中横向移动。 GoldenJackal 最新工具集中的组件 在观察到的攻击中，GoldenJackal 通过高度模块化的工具，使用各种组件来执行不同的任务。一些主机被滥用以泄露文件，另一些主机被用作本地服务器来接收和分发暂存文件或配置文件，而另一些主机则被认为用于间谍目的。一些典型工具包括： GoldenUsbCopy：监视U盘的插入，并将目标文件复制到存储在磁盘上的加密容器中，以供其他组件泄露； GoldenAce：属分发工具，用于传播其他恶意可执行文件并通过U盘检索暂存文件； GoldenBlacklist：从本地服务器下载加密存档，并处理其中包含的电子邮件，以仅保留目标内容。并为其他组件生成一个新的存档以进行外泄； GoldenMailer：通过向攻击者控制的帐户发送带有附件的电子邮件来泄露文件； GoldenDrive：与 GoldenMailer 相反，此组件通过将文件上传到 Google Drive 来泄露文件。 目前尚不清楚 GoldenJackal 如何设法获得初始妥协以破坏目标环境。但是，卡巴斯基此前曾暗示过木马化 Skype 安装程序和恶意 Microsoft Word 文档作为入口点的可能性。 上述两起典型攻击表明，即便是安全保障严格的隔离系统，仍然存在被一些有实力的黑客组织通过研发复杂工具来成功实施攻击。但研究人员强调，这些工具并非没有缺陷，仍可通过观察其战术来更好地准备应对未来的攻击。研究人员已在 GitHub 上分享了一份公开的 IOC 列表，供防御者进行监控。 参考来源：Mind the (air) gap: GoldenJackal gooses government guardrails     转自Freebuf，原文链接：https://www.freebuf.com/news/412316.html 封面来源于网络，如有侵权请联系删除

一位研究人员声称发现了一个十年前的漏洞，评级为 9.9，该漏洞影响了所有 GNU/Linux 系统，使攻击者能够控制易受攻击的设备。该漏洞正在调查中，预计将于下周全面披露。 网络安全研究员和 Linux 开发人员 Simone Margaritelli 发现了一个关键的 Linux 漏洞，该漏洞可能允许攻击者完全控制易受攻击的系统。此 Linux 漏洞会影响 GNU/Linux 系统，特别是针对 Linux 远程代码执行。如果得到证实，它可能是历史上最严重的漏洞之一。 十年前的缺陷： 据报道，该漏洞已经存在了十多年，影响了所有 GNU/Linux 系统。虽然具体细节仍处于保密状态，但 Canonical 和 Red Hat 等主要 Linux 分销商确认的严重性评分为 9.9 分（满分 10 分），这表明如果被利用，可能会造成巨大的损害。 争议： 尽管问题严重，但尚未分配通用漏洞和披露 （CVE） 标识符，开发人员仍在争论漏洞的某些方面是否构成安全风险。这种分歧导致延迟解决问题，并导致安全研究人员感到沮丧。 Margaritelli 公开表达了他对披露处理方式的失望。他声称已经提供了概念验证漏洞，但开发人员更专注于讨论漏洞的影响，而不是努力寻找解决方案。 因此，他决定不进行负责任的披露，而是完全披露缺陷。虽然他的决定可能会加速修复竞赛，但如果不采取迅速的对策，也会使数百万个 Linux 系统面临恶意攻击。 供您参考，Simone Margaritelli，又名 evilsocket，是一位著名的网络安全专家，他为世界各地的专业人士和研究人员创造了许多工具。他最显着的贡献之一是 Bettercap，这是一个专为中间人 （MITM） 黑客攻击和网络渗透测试而设计的开源工具。 该漏洞可能会影响已知暴露的服务（如 OpenSSH）和可能的过滤服务（如 Net Filter），尽管没有迹象表明哪些服务可能会受到影响，这些只是假设。 根据最新更新，该漏洞最初将于 9 月 30 日披露到 Openwall 安全邮件列表，然后在 10 月 6 日完全公开披露。建议 Linux 用户在补丁可用时立即了解官方更新和补丁系统。 * 未经身份验证的 RCE 与 3 周前披露的所有 GNU/Linux 系统（以及其他系统）的对比。 * 在 2 周内完成完全披露（与开发人员达成协议）。 * 仍然没有分配 CVE（至少应该有 3 个，可能是 4 个，最好是 6 个）。 * 仍然没有有效的修复。 * Canonical、RedHat 和…pic.twitter.com/N2d1rm2VeR — 西蒙娜·玛格丽特利 （@evilsocket） September 23， 2024 软件安全平台 Sonatype 的首席技术官兼开源安全基金会管理委员会成员 Brian Fox 发现，此漏洞与 Log4j/Log4Shell 漏洞 （CVE-2021-44228） 之间存在相似之处。Fox 正在与 Sonatype 的研究团队和开源安全社区密切合作，以了解问题的严重性和可能的缓解方法。 “虽然我们还没有技术细节，但 9.9 CVSS 的漏洞表明利用的复杂性较低，并且有迹象表明系统核心存在缺陷。考虑到这是 Linux，这个漏洞的范围很广，成功利用可能是毁灭性的——从 wifi 路由器到保持灯亮的网格，一切都在 Linux 上运行，“Brain 解释说。 “他进一步补充道：”这种低复杂性和高使用率的组合让人想起 Log4Shell，尽管这里的使用规模要大得多。我理解逐步取消披露的逻辑，因为这个漏洞需要时间来发现和修复，但是，我们也应该预料到威胁行为者会仔细检查提交历史并寻找可以利用的线索。 “在我们等待更多细节公布的同时，企业安全团队必须搜索他们的环境和 SBOM，以了解他们可能容易受到攻击的地方并准备好修补。取消你的假期，因为在 10 月 6 日，这可能是一场与攻击者的赛跑，“Brian 强调说。       转自安全客，原文链接：https://www.anquanke.com/post/id/300491 封面来源于网络，如有侵权请联系删除

一项新的内部审计建议，美国司法部和联邦调查局需要重新定义打击勒索软件获得成功的指标。 这份长达26页的审计报告于9月17日发布。美国司法部监察长Michael Horowitz在报告中详细阐述了该部门从2021年4月到2023年9月期间与勒索软件相关的行动，报告还涵盖了计划于2024年初对LockBit的打击行动。 调查发现，美国司法部和联邦调查局在更有效地打击勒索软件方面有三个需要改进的领域。 应改进衡量打击勒索软件成功的指标 司法部需要一种更好的方式“来确定哪些勒索软件威胁的指标（包括打击勒索软件行动的衡量指标）最为重要，且能够展示其打击勒索软件威胁行动的有效性。” 调查人员查阅的文件显示，司法部目前将与勒索软件相关的“成功”定义为：在报告的勒索软件事件中，“案件在72小时内立案、并入现有案件、解决或采取行动的比例提高到65%”。 联邦调查局表示，2023年，针对47%的勒索软件事件，在72小时内采取了行动，这一数字较2022年的39%有所上升。 此外，联邦调查局和司法部还设定目标，希望在2022年和2023年将与勒索软件相关的查封或没收案件数量增加10%。 调查人员指出：“我们认为，司法部现有的勒索软件指标并未真正反映其打击恶意行为者行动的有效性。” “无论司法部是否继续将勒索软件作为优先任务，都应确定哪些指标最具影响力，以确保能够准确衡量其打击行动的效果。” 报告肯定了司法部和联邦调查局多项基础设施破坏行动的成效，尤其针对LockBit、Hive和AlphV等勒索软件团伙的行动。通过这些行动，两家机构向当前和过去的受害者提供了数百个解密密钥。联邦调查局特别制定了一项战略，专门针对那些构成并推动勒索软件生态系统的行为者、基础设施和资金来源。 调查人员表示，他们认为司法部应该进一步追踪破坏勒索软件行动的成效，将破坏次数和向受害者提供的解密密钥数量作为衡量成功的重要指标。 应加强推进机构间协调和信息共享 审计报告指出，司法部尚未为未来两年制定关于勒索软件的行动计划，也未按要求在过去两个财年通过performance.gov报告任何进展。 Horowitz及其团队还发现，一些勒索软件调查因不同执法机构之间的内部矛盾而受阻，这些机构往往拒绝共享信息。 他们表示：“协调失败和冲突未能化解，损害了调查、起诉以及执法间的关键合作关系，也浪费了资源，破坏了公众对司法部的安全感、国家安全以及对政府的信任。” 联邦调查局的官员告诉调查人员，曾有两起相关勒索软件案件分别由不同联邦检察官监督，但“他们未按要求根据解除冲突政策共享信息。” 一位刑事部门官员还透露，全国各地的检察官办公室对这一政策的了解和执行情况存在差异。 应重新审视并制定NCIJTF机构的使命和职能 审计报告还指出，联邦调查局需要为其领导的国家网络调查联合工作组（NCIJTF）的刑事任务中心制定更加明确和具体的使命。 NCIJTF负责协调2021年和2022年整个政府的勒索软件行动计划，但在国会于2022年成立了新的多机构联合勒索软件工作组（JRTF）后，NCIJTF的职能陷入不确定的状态。 报告发现，NCIJTF“在打击勒索软件方面未产生任何有意义的成果”，自新的工作组成立以来，其作用变得模糊不清。 Horowitz表示：“我们发现，联合勒索软件工作组的成立削弱了刑事任务中心的作用，导致其在打击勒索软件方面的角色不再明确。” 美国司法部副助理检察长Bradley Weinsheimer在回复审计报告的信中表示，他认同调查结果，并承诺将致力于解决这些问题。 联邦调查局网络部门助理主任Bryan Vorndran也对相关建议表示赞同，并承诺联邦调查局将更明确地界定NCIJTF的角色。     转自安全内参，原文链接：https://www.secrss.com/articles/70544 封面来源于网络，如有侵权请联系删除

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。 此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了 6(b) 命令。 这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。 联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。 她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。 FTC指出，这些平台收集了大量数据，并且大部分数据被无限期保留。一些公司在数据共享方面过于宽泛，往往缺乏必要的监管，即使用户要求删除数据，这些公司也未能完全遵守。此外，这些公司的商业模式鼓励他们大量收集用户数据，以推动针对性广告的投放，这为他们带来了大部分收入。报告指出，这种做法直接侵犯了用户隐私，并增加了个人信息被滥用的风险。 社交媒体公司收集的用户数据 此报告还突出强调了社交媒体和视频流平台如何将用户及非用户数据输入算法和人工智能系统，并且往往不提供用户退出的选项，这增加了对透明度、监管和潜在消费者伤害的担忧。 报告最显著的发现之一是这些平台上缺乏对儿童和青少年的保护措施，许多公司声称他们的服务不是针对儿童的，以此试图规避遵守《儿童在线隐私保护法》（COPPA）。 但是联邦贸易委员会的报告中指出，青少年在这些平台上通常与成人受到相同的对待，很少或根本没有额外的保护措施。 联邦贸易委员会的报告呼吁政策制定者采取行动，要求国会通过全面的联邦隐私法案，包括限制数据收集、实施更严格的数据最小化和保留政策，以及制定更透明、更有利于消费者理解的隐私政策。 报告还要求公司增强其平台上对青少年和儿童的保护措施，将COPPA作为最低标准，并提供额外的安全和隐私保护措施。 Khan 补充称，此报告的发现非常及时，尤其是在州和联邦政策制定者考虑通过立法来保护人们免受滥用数据行为影响的时候。   转自Freebuf，原文链接：https://www.freebuf.com/news/411354.html 封面来源于网络，如有侵权请联系删除

近日，Discord 推出了 DAVE 协议，这是一个定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。 DAVE 是在 Trail of Bits 网络安全专家的帮助下创建的，该专家还对 E2EE 系统的代码和实施进行了审核。 新系统将涵盖用户在私人频道中的一对一音频和视频通话、小型群组聊天中的音频和视频通话、用于大型群组对话的基于服务器的语音频道以及实时流媒体。 Discord 在公告中写道： 他们将开始将 DM、群组 DM、语音频道和 Go Live 流中的语音和视频迁移至使用 E2EE。用户将能够确认通话何时进行了端到端加密，并对这些通话中的其他成员进行验证。 Discord 最初是为游戏玩家在游戏过程中进行交流而建立的，现在已发展成为世界上最流行的交流平台之一，满足了具有共同兴趣爱好的群体、创作者、企业和各种社区的需求。 DAVE 的推出是该平台加强数据安全和隐私保护的重要举措，该平台的使用人数已超过 2 亿。 最重要的是，Discord 决定将协议及其支持库开源，以便安全研究人员进行审查。此外，还发布了一份包含完整技术信息的白皮书，以确保对社区的透明度。 DAVE 技术概述 DAVE 使用 WebRTC 编码转换 API，允许在媒体帧（音频和视频）编码后和打包传输前对其进行加密。接收端对帧进行解密，然后解码。 只有特殊的编解码器元数据（如标题和保留序列）未加密。 DAVE 的运行概况 在密钥管理方面，信息层安全（MLS）协议用于安全和可扩展的群组密钥交换，每个参与者都有一个按发送者计算的对称媒体加密密钥。椭圆曲线数字签名算法（ECDSA）则用于生成身份密钥对。 当一个群组的组成发生变化时，比如一个成员离开或一个新成员加入，这时候群组的加密状态会通过生成新密钥，这个过程应该在不会对参与者造成明显干扰的情况下完成。 Discord 表示，MLS 会增加密钥交换的延迟，但 DAVE 的设计能将延迟控制在几百毫秒以内，即使在大型群组通话中也是如此。 最后，在用户验证方面，有一些带外方法，如比较从群组的 MLS 时序状态得出的验证码（称为 “语音隐私码”）。 由于每次通话都会为用户分配一个新的密钥，因此通过使用短暂的身份密钥可以防止持续跟踪。 语音隐私代码屏幕 分阶段推出 Discord 现已开始将所有符合条件的频道迁移到 DAVE，用户可以通过查看界面上的相应指示器来确认他们的通话是否经过端到端加密。 预计还需要一段时间，所有用户才能在所有设备和频道上完全访问新的 E2EE 系统。 用户除了升级到最新的客户端应用程序外无需做任何其他操作，老版本的客户端将仅限于传输加密。最初推出的版本将涵盖 Discord 的桌面和移动应用程序，网络客户端后续也将面世。   转自Freebuf，原文链接：https://www.freebuf.com/news/411234.html 封面来源于网络，如有侵权请联系删除

继9月17日黎巴嫩发生针对真主党的寻呼机爆炸事件后，首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。 以色列新闻媒体称，贝鲁特的一家移动维修店和葬礼游行现场发生了爆炸。据黎巴嫩官方通讯社报道，贝鲁特和该国南部多个地区的房屋中还发生了太阳能系统爆炸，造成至少一名女孩受伤。 据CNN报道，黎巴嫩卫生部称，此次对讲机爆炸目前已造成至少20人死亡，其中包括一名16岁男孩，另有450多人受伤。 黎巴嫩通信部称，发生爆炸的ICOM V82型对讲机由日本公司ICOM生产，且该产品不是由公认的代理商提供，没有官方许可，也没有经过安全部门的审查。对此，ICOM表示目前正在调查有关此事的事实。该公司网站称 IC-V82 已停产，目前流通的几乎所有型号都是假冒的。   爆炸的对讲机型号 根据《纽约时报》对现有视觉证据的分析，此次爆炸的对讲机比前一天在全国各地爆炸的寻呼机更大、更重，虽然爆炸发生地没有之前那么广泛，但在某些情况下还会引发更大的火灾，表明其中可能包含更多的爆炸物。 关于寻呼机、对讲机如何被引爆，目前说法不一。据央视新闻报道，有说法认为爆炸部件在制造或供应过程中被植入设备，也有人称操控者通过网络攻击导致设备电池过热爆炸。 英国南安普敦大学安全电子学副教授巴塞尔·豪拉克表示，约几厘米的小型爆炸雷管理论上可以放置于寻呼机等无线通信设备之中。 据悉，黎巴嫩真主党所使用的寻呼机和对讲机采购于海外企业。黎巴嫩安全部门官员表示，以色列有关部门在这批寻呼机的“生产层面”实施改装，其中植入的炸药用扫描仪或其他设备“非常难以探测”。另一名消息人士称，新购寻呼机内藏炸药至多3克，真主党人员几个月来毫无察觉。 曾在以军从事情报工作的以色列分析人士表示，黎巴嫩的寻呼机爆炸事件严重阻碍了黎巴嫩真主党武装的通讯，并可能破坏其在黎巴嫩南部针对以色列的行动。 联合国安理会将在当地时间20日就近期黎巴嫩多地发生的通信设备爆炸事件举行紧急会议，此前，联合国秘书长古特雷斯发表声明，对9月18日黎巴嫩多地发生的大量通信设备爆炸事件深感震惊，呼吁各方保持最大克制，以避免事态进一步升级。   转自Freebuf，原文链接：https://www.freebuf.com/news/411247.html 封面来源于网络，如有侵权请联系删除

真主党成员为了规避以色列对电话的追踪和监控，近几个月改用寻呼机进行通讯；多方消息显示，可能是某批次寻呼机被以色列截获篡改，植入炸药后真主党未发现继续分发使用；纽约时报称，这些寻呼机在昨天下午同时收到一条看似来自真主党领导层的消息，发出振动/蜂鸣声几秒后发生爆炸，尚不确定引爆指令是这条消息还是其他信号。 安全内参9月18日消息，黎巴嫩周二（17日）发生了一场疑似前所未有的袭击事件，真主党成员及其他人士使用的大量电子寻呼机突然神秘爆炸，导致全境约3000人受伤，其中至少9人死亡。 黎巴嫩国家新闻社将此事件形容为“一起前所未有的安全事故”，并指出爆炸发生在该国首都贝鲁特南部真主党控制的郊区及其他多个地区。 黎巴嫩代理卫生部长菲拉斯·阿比亚德（Firass Abiad）表示，超过2750人受伤，其中180人伤势危重。阿比亚德说，大多数伤者的伤情集中在脸部、手部和腹部，都是寻呼机通常放置的部位。 真主党指责以色列发起了此次袭击，大量寻呼机同时爆炸 真主党指责以色列发动了此次袭击。这一激进组织在周二的一份声明中表示：“我们完全指责以色列敌人对此次犯罪行径负责。” 以色列官员和军方对周二发生的寻呼机爆炸事件未作任何评论。以色列过去曾展示其具备发动复杂远程袭击的能力。 真主党表示，下午3点30分左右，其成员、工作人员和行动人员使用的寻呼机发生了爆炸。声明中还提到，死者中包括一名儿童和该组织的两名成员。伊朗驻黎巴嫩大使馆证实，伊朗大使也在此次袭击中受伤。 真主党在声明中表示：“真主党的专业部门目前正在展开大规模的安全和科学调查，以查明导致这些爆炸同时发生的原因。” 这起离奇且前所未有的袭击发生的数小时前，以色列曾暗示其正在考虑升级与真主党之间的军事对抗。真主党是伊朗支持的黎巴嫩什叶派激进组织，同时也是黎巴嫩最具影响力的政党之一。 猜测某批寻呼机被以色列截获篡改，植入炸药后远程引爆 自去年10月以来，真主党与以色列一直处于相互攻击的局面。为了规避以色列对电话的追踪和监控，真主党成员在过去几个月里改用寻呼机进行通讯。 路透社报道称，被毁坏的寻呼机照片显示，其格式和背面的贴纸与中国台湾企业金阿波罗公司生产的AP924型号寻呼机一致，该机型采用的是可拆卸锂电池。 爆炸的具体原因尚未确定。 总部位于贝鲁特的互联网监督组织SMEX的技术专家推测，可能有一批寻呼机被截获，并被植入了少量炸药，这些炸药可以通过定时器或预设信号引爆。 一位接受卡塔尔半岛电视台采访的安全专家表示，这些寻呼机似乎被植入了大约一盎司的炸药。据称，这些寻呼机是由真主党进口的约5000台设备中的一部分。 另一种可能性是，以色列可能研发出了一种技术，能够让寻呼机的电池过热。专家指出，现代寻呼机使用的是锂离子电池，这类电池在过热的情况下可能起火并爆炸。 欧盟高级政治风险分析师伊莱贾·马格尼尔接受美联社采访称，他曾与真主党成员交谈过，他们检查过未爆炸的寻呼机，引发爆炸的原因似乎是将一条错误消息发送目标寻呼机，引发寻呼机振动，迫使用户点击按钮来停止振动。这种远程操作在引爆炸药的同时，确保了爆炸发生时用户在场。 爆炸事件造成严重人身伤害，当地医院被挤满 数百名伤者被送往位于贝鲁特市中心的美国大学医院，其中一位身穿绿色衬衫、满身是血的壮汉穆罕默德·萨尔哈布（Mohammad Salhab）正在等待他朋友的消息。 萨尔哈布说：“他当时手里拿着寻呼机，医生不得不为他截肢，无法保住他的手。” 此次袭击的消息在有真主党官员和行动人员活动的社区引发了恐慌，人们纷纷打电话通知家人，要求他们断开路由器及其他可能易受攻击的设备。 爆炸发生时，途经贝鲁特南部郊区的目击者看到一名血迹斑斑的男子躺在地上，周围聚集了不少人。 社交媒体上发布的图片声称是此次袭击的画面，其中一张照片显示，一名购物者站在水果市场的摊位附近时，他的袋子突然爆炸。另一张照片则显示一名男子在店内手持寻呼机，正要放在桌子上时发生了爆炸，将他震飞。 《洛杉矶时报》尚未能独立验证这些视频或照片的真实性。 数十辆救护车在贝鲁特拥堵的街道上穿梭，运送伤者，而黎巴嫩南部的医院已经被大量伤员挤满。 与此同时，黎巴嫩卫生部要求所有医院进入紧急状态，并呼吁全国医务人员立即返回医院工作。 以色列尚未回应，但声称挫败了一起真主党远程暗杀计划 周一晚间，以色列总理本雅明·内塔尼亚胡表示，政府在与加沙地带哈马斯激进分子的战争中的目标，现在将包括确保北部以色列居民能够安全返回家园。 自2023年10月8日以来，约6万名北部以色列居民因真主党为声援哈马斯向以色列发射火箭弹而被迫流离失所。 分析人士指出，尽管以色列尚未承认对此次寻呼机爆炸负责，但事件加剧了全面战争爆发的风险。 特拉维夫国家安全研究所高级研究员奥尔娜·米兹拉希（Orna Mizrahi）表示：“与之前相比，现在我们距离全面战争的可能性更近了。” 同样在周二，以色列国内情报机构辛贝特宣布，成功挫败了真主党试图使用远程设备暗杀一名前以色列高级安全官员的计划。辛贝特表示，此次袭击计划原本将在未来几天内实施。 包括参谋长赫尔齐·哈莱维（Herzi Halevi）中将在内，以色列高级指挥官周二晚上召开会议，讨论“在所有战线上做好攻击和防御的准备”。以色列军方在一份简短声明中提到此次会议，但未提及寻呼机爆炸事件。 联合国称，周二的事态发展“极为令人担忧”，特别是在以色列和真主党持续敌对的动荡背景下。联合国秘书长安东尼奥·古特雷斯的发言人斯特凡·杜加里克（Stephane Dujarric）表示，联合国“再怎么强调黎巴嫩及该地区局势升级的风险也不为过。”   转自安全内参 ，原文链接：https://www.secrss.com/articles/70336 封面来源于网络，如有侵权请联系删除

大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥，导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。 该供应链攻击被称为“PKfail”，漏洞编号为CVE-2024-8105，是由测试安全启动主密钥（平台密钥“PK”）引起的，计算机供应商应该用自己安全生成的密钥替换该密钥。 尽管这些密钥被标记为“不信任”，但它们仍然被众多计算机制造商使用，包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。 该问题是由 Binarly于 2024 年 7 月下旬发现的，它警告称，超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用，其中许多密钥已经在 GitHub 和其他地方泄露。 PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件，使用户无法防御，也无法发现入侵。 PKfail 影响和响应 作为研究的一部分，Binarly 发布了“PKfail 扫描仪”，供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。 根据最新指标，自发布以来，扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。 Binarly 在新报告中指出：“根据我们的数据，我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。” 大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.)，其次是 Insyde (61)、Phoenix (4)，以及 Supermicro 的一个提交。 对于 2011 年生成的 Insyde 密钥，Binarly 表示，固件映像提交显示它们仍在现代设备中使用。此前，人们认为它们只能在旧系统中找到。 社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备，因此该漏洞的影响比最初预估的要广泛。 Binarly 评论称，尽管并非所有厂商都迅速发布了有关安全风险的公告，但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前，戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。 一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们，用户可以通过更新 BIOS 来获取这些补丁或固件更新。 如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新，建议限制对它的物理访问并将其与网络中更关键的部分隔离。 技术报告：https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

2024年9月12日，金融服务巨头MasterCard（NYSE:MA）宣布计划花费26.5亿美元（约188.7亿人民币）收购Recorded Future，此交易将为其企业投资组合增加威胁情报和网络安全技术。 MasterCard将此次交易视为其网络安全服务的扩展，并表示这将增强用于保护其金融服务生态系统的洞察力和情报。 Recorded Future，总部位于马萨诸塞州，曾于2019年被私募股权公司Insight Partners以7.8亿美元收购。它被认为是全球最大的威胁情报公司，客户遍及75个国家，包括45个国家的政府。 Recorded Future首席执行官Chris Ahlberg表示，该公司将继续作为一个独立和开放的情报平台，作为MasterCard的一个独立子公司运营。 “我们将继续这一使命，”Ahlberg在X上写道。“公司不变，新老板，规模放大。Recorded Future将继续在全球范围内生成情报，利用最先进的AI方法将其转化为金矿，使我们的分析师和客户能够进行最精致的分析。” MasterCard与Recorded Future已经合作推出了一项AI支持的服务，当卡片可能被泄露时会提醒金融机构。自今年早些时候推出以来，MasterCard表示，该服务识别被泄露卡片的速度比去年同期翻了一番。 当收购完成时（预计在2025年第一季度），MasterCard预计将加大对人工智能的使用，以识别和防止其平台上的欺诈行为。 “MasterCard和Recorded Future都利用人工智能分析数十亿个数据点，以识别潜在威胁，帮助保护个人和企业。将这些团队、技术和专业知识结合在一起，将能够开发出更强大的实践，并推动网络安全和情报领域的更大协同，强化MasterCard品牌作为信任标志，”公司在一份声明中表示。 MasterCard多年来进行了多项以网络安全为重点的收购。2021年，它以未披露的金额收购了加密货币情报和区块链分析公司CipherTrace，此前在年初宣布以8.5亿美元收购了数字身份验证公司Ekata。 在2020年初，MasterCard收购了第三方风险管理公司RiskRecon，并在2019年收购了Ethoca，这是一家帮助商家和发卡机构识别和解决数字欺诈（如虚假退单）的公司。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/vNsQcfUoMobj9SW0aqHnEw 封面来源于网络，如有侵权请联系删除