1月4日，全球巨头谷歌开始计划全面禁用第三方Cookie，目前已经对1%的用户进行小范围测试，预计将在今年年底扩展到全部Chrome浏览器用户。这将对互联网广告行业带来巨大冲击，也将成为用户个人隐私保护的标志性事件。 Cookie，通俗来说就是指用户访问网站的缓存数据，包括用户名、密码、注册账户、手机号等公民个人信息。 当我们浏览网页时，网络服务器会创建一个小型的文本文件，并将其暂时或永久存储在用户的电脑中。当我们再次访问网页时，即可快速识别是否已经访问过该网站，并提供已存储的文本文件。 举个例子，我们使用浏览器登录一些账户时，浏览器会弹出一个提示“你是否要记住密码”如果选择是，下次访问可以不输入账号密码直接登录，这是Cookie的功能之一。 由于具有“记住和跟踪”用户网页浏览记录的神奇功能，Cookie很快就被应用至网络购物平台，并很快成为个性化广告的利器。当你浏览或搜索了某类商品后，第三方cookie就会把你的喜好记录下来，并在其他网站投放相应的广告。当你再次访问网站时，Cookie识别出你，并把你曾经浏览的商品进行推荐。 这也是为什么，越来越多的网友反馈，购物平台为什么知道我看过什么，喜欢什么。其中的原因之一就是Cookie。 Cookie侵犯隐私的争议由来已久。在互联网发展的早期，网站并不会通知用户Cookie的存在，直到1996年有媒体曝光Cookie的使用，它才开始为大众所知，潜在的隐私问题也引起监管机构介入。在欧美，有许多限制Cookie使用的法律规范。多家机构及公司都曾对Cookie的使用进行整治，例如苹果就禁止iPhone和iPad用户使用第三方Cookie。 谷歌本次的Cookie禁令，所针对的是第三方Cookie，即在线广告行业在网站上放置的用于跟踪用户、投放相关广告的Cookie，不会影响网站用来存储登录信息等基本内容的Cookie，对于用户个人隐私信息保护来说或许也将是个好的开始。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388806.html 封面来源于网络，如有侵权请联系删除

安全研究实验室 (SRLabs) 创建了一个解密器，该解密器利用 Black Basta 勒索软件加密算法中的漏洞，让受害者免费恢复其文件。 Black Basta Buster 解密器的特殊功能是能够恢复 2022 年 11 月至今加密的文件。然而，Black Basta 开发人员大约一周前已经修复了该漏洞，这使得该解密技术无法对新的漏洞使用。 该漏洞的本质是利用标准XChaCha20密码来加密文件。Black Basta 开发人员的错误是在加密过程中重复使用相同的密钥流，导致所有仅包含零的 64 字节数据被转换为 64 字节对称密钥，从而允许专家提取密钥并使用它来解密整个文件。 Black Basta Buster 解密器由一组Python脚本组成，可帮助在各种场景下解密文件。但需要注意的是，该解密器仅适用于 2022 年 11 月至今使用 Black Basta 版本加密的文件。此外，该工具无法解密向加密文件添加“.basta”扩展名的程序版本。 Black Basta Buster 被官方证明是有效的，但尽管它成功地恢复了一些文件，但解密器一次只能对一个文件起作用，这使得大量数据的恢复过程变得十分困难。 如果知道 64 个加密字节的明文，就可以恢复文件。完全或部分恢复文件的可能性取决于文件的大小。小于 5,000 字节的文件无法恢复。对于大小从 5,000 字节到 1 GB 的文件，可以完全恢复。对于大于 1 GB 的文件，前 5,000 字节将丢失，但其余部分可以恢复。 虽然较小的文件可能无法解密，但较大的文件（例如虚拟机磁盘）通常可以解密，因为它们包含大量“空”分区。 这一发现对于勒索软件受害者来说尤其重要，他们以前想要恢复数据就必须支付赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292324 封面来源于网络，如有侵权请联系删除

  2023年对网络安全领域来说是充满发展和变化的一年。黑客攻击、勒索软件肆虐，大型企业和个人隐私备受威胁。 LockBit、BlackCat等勒索软件家族频频现身，不仅对全球知名企业实施攻击，也直接威胁到个人隐私安全。从全球范围内的网络冲突到个人数据泄露，网络安全风险日益凸显。 考虑到当前全球经济形势的不确定性，预计在未来一年中，黑客攻击和勒索事件可能会更加猖獗，这将为网络安全带治理来更加严峻的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2023年备受关注的网络安全热点事件，排名不分先后。   01 LockBit 勒索软件家族席卷全球，对各个行业发起攻击 LockBit 勒索软件家族，一种高度活跃和危险的恶意软件，其于 2019 年 9 月被首次发现，该组织通常通过利用网络安全漏洞、分布式拒绝服务攻击（DDoS）和双重勒索策略等技术手段，对目标组织发起攻击。它们会加密受害者的数据并要求赎金，否则就威胁公开或销毁数据。 2023 年，该组织发起了多次攻击活动，对在全球范围内的各种组织构成了严重的威胁。 其中 5 月，LockBit 3.0 勒索软件集团在其数据泄露网站上将富勒顿印度公司列为受害者，称其窃取了 600GB 的 “个人和合法公司的贷款协议”。 7 月，一个名为 Bassterlord 的 Lockbit 关联公司通过 Twitter 宣布了对台积电的黑客攻击，分享了与该公司相关信息的截图作为证据，并对其索要 7000 万美元赎金。 11 月，中国工商银行美国子公司在遭受攻击后疑似已支付赎金。而同样是面对勒索，在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。月中，正利用 Citrix Bleed 已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件，1 万台服务器遭暴露。 11 月底，LockBit 勒索软件组织在其暗网门户上发布了印度国家航空航天实验室 8 份据称被盗的文件，其中包括机密信件、员工护照和内部文件。 事件详情： https://hackernews.cc/archives/43893 https://hackernews.cc/archives/44372 https://hackernews.cc/archives/46929 https://hackernews.cc/archives/46897 https://hackernews.cc/archives/46959 https://hackernews.cc/archives/4742 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞: 盘点 2023 年造成实际破坏的十大漏洞   02 BlackCat 勒索软件袭击全球千名受害者，狂“薅”超 3 亿美元赎金 BlackCat 勒索软件家族，也被称为 ALPHV， 于 2021 年 11 月被首次观察到，是最早用 Rust 编程语言编写的勒索软件之一。BlackCat 常用的手段之一是双重敲诈，除了加密受害者的数据并要求赎金外，它还威胁要公开或销售被盗数据，以迫使受害者支付。 2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动。 其中6 月，BlackCat 勒索软件声称从 Reddit 窃取了 80GB 的数据，并提出了450 万美元的赎金需求。 10 月，美高梅度假村透露，因遭受网络攻击影响，损失高达 1 亿美元，美高梅酒店和赌场的网络系统陷入瘫痪。 次月，美国医疗保健公司 Henry Schein  报告称再次遭受 BlackCat 网络攻击，公司的应用程序和电子商务平台再次被关闭，35TB 数据被窃。 12 月， BlackCat 将台湾中国石化添加到其Tor泄露网站的受害者名单中，泄露数据41.9GB。美国联邦调查局（FBI）宣称，截至 2023 年 9 月，BlackCat 勒索软件团伙就已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金。 事件详情： https://hackernews.cc/archives/44204 https://hackernews.cc/archives/45957 https://hackernews.cc/archives/47309 https://hackernews.cc/archives/47360   03 俄乌网络空间攻击战火力全开 2023年，俄乌网络战全面升级，双方的网络攻击火力全开。网络攻击、信息战和网络钓鱼活动成为战争的关键组成部分，对乌克兰及俄罗斯的基础设施、政府机构和民众产生了深远影响。 其中，2 月，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议。 4月，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 6月，Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击，导致俄罗斯电信提供商 Infotel JSC 瘫痪。 8月，乌克兰独立日遭俄罗斯黑客组织袭击，致200 多家加油站深夜瘫痪。 9月，乌克兰黑客声称已侵入俄罗斯公司 Sirena-Travel 的数据库，超 41 亿条乘客信息被窃取（包括航班号码、路线、票价、机票价格等）。 11月，乌克兰情报机构成功入侵俄罗斯航空局，窃取的情报显示，俄民航几近崩溃。 12月，乌克兰军事情报部门入侵了俄罗斯联邦税务局，还中断了俄罗斯联邦税务局中央办公室与 2300 个地区办公室之间的通信。 事件详情： https://hackernews.cc/archives/43353 https://hackernews.cc/archives/43745 https://hackernews.cc/archives/44141 https://hackernews.cc/archives/45336 https://hackernews.cc/archives/45838 https://hackernews.cc/archives/47292   04 巴以冲突进入白热化阶段 与俄乌冲突类似，巴以冲突中也伴随了针对双方关键信息基础设施的网络攻击行为。这场战争不仅在物理世界中展开，也深入到了网络空间，涉及网络攻击、信息战、社交工程和AI技术的使用，甚至国家级网络部队和非国家级黑客组织开始“选边站”，更加体现了该事件的复杂程度。 2 月，巴勒斯坦黑客喊话以色列化学公司，并威胁雇员生命。 10月，哈马斯与以色列爆发武装冲突、多国黑客组织进入网络战场参加战斗。该月底，以色列空军基地的计算机系统遭到破坏，一种名为 BiBi-Linux 的新型恶意软件擦除器来销毁针对以色列公司 Linux 系统的攻击中的数据，亲哈马斯的黑客组织使用 Wiper 来摧毁以色列公司的基础设施。 11月，伊朗黑客组织 Imperial Kitten 对以色列运输、物流和技术公司发起新一轮网络攻击。并入侵了以色列航空公司，在网上泄露了该公司的内部机密文件。 事件详情： https://hackernews.cc/archives/43160 https://hackernews.cc/archives/46027 https://hackernews.cc/archives/46472 https://hackernews.cc/archives/46643 https://hackernews.cc/archives/46908 https://hackernews.cc/archives/47002   05 Twitter 2 亿用户数据遭泄露，后回复并非通过系统漏洞流出 1月初，一个包含超过 2 亿 Twitter 用户数据的文件在黑客论坛上发布，数据包括电子邮件地址、姓名、网名、关注人数和账户创建日期，价格约为 2 美元。 一周后，Twitter 回复称没有证据表明泄露的用户数据是利用系统漏洞进行获取，安全研究人员认为这些数据很可能是在网上公开的数据集。 事件详情： https://hackernews.cc/archives/43005 https://hackernews.cc/archives/43080   06 黑客论坛上“在售”宏碁 160 GB 敏感数据 3 月，中国台湾电脑巨头宏碁证实，在黑客成功入侵一台存有维修技术人员私人文件的服务器后，公司 160 GB 敏感数据遭泄露。化名为“Kernelware”的黑客声称对此次重大数据泄露事件负责。 从黑客说法来看，被盗数据主要包含宏碁公司的技术手册、软件工具、后台基础设施细节、手机、平板电脑和笔记本电脑的产品型号文档、BIOS 图像、ROM 文件、ISO 文件和替换数字产品密钥（RDPK）等。为证实数据的真实性，黑客还分享了宏碁 V206HQL 显示器技术原理图、文件、BIOS 定义和机密文件的截图。 事件详情： https://hackernews.cc/archives/43434   07 超过 10 万个 ChatGPT 账户被恶意软件窃取 6月， Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。 许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 事件详情： https://hackernews.cc/archives/44221   08 卡巴斯基曝光史上最复杂苹果系列 APT 攻击——三角测量行动 6 月，卡巴斯基披露了一起 APT 攻击——“三角测量行动”， iOS 已成为利用 iMessage 平台的零点击漏洞武器化，使攻击者可秘密从受感染设备中窃取敏感信息。 10 月，卡巴斯基再次披露其主要同时利用了 4 个 0 day 漏洞以及 1 个PAC bypass 的 1day 漏洞。这些漏洞链接在一起，形成零点击攻击，允许黑客提升权限并执行远程代码。 在该次攻击中，关键的攻击组件是一个名为 TriangleDB 的后门，该程序由至少四个模块组成，功能包括录制麦克风、提取 iCloud 钥匙串、从各种应用程序所使用的 SQLite 数据库中窃取数据，以及估算受害者的位置。 此外，在 12 月，卡巴斯基还进一步披露了该攻击软件攻击的技术细节。这些漏洞不仅影响 iPhone，还波及到了 Mac、iPod、iPad、Apple TV 和 Apple Watch 等设备。 事件详情： https://hackernews.cc/archives/44125 https://hackernews.cc/archives/46431 https://hackernews.cc/archives/48616 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞： 盘点 2023 年造成实际破坏的十大漏洞   09 超 2000 家美国公司凭据遭到泄露！特斯拉、FBI、五角大楼无一幸免 8 月，美国国家安全委员会(NSC)泄露了近 1 万名会员的电子邮件和密码，包括政府机关和大企业在内的 2000 多家企业被曝光，NASA、特斯拉、FBI、五角大楼无一幸免。 该漏洞不仅对 NSC 系统构成了风险，而且对使用 NSC 服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如 VPN 门户、人力资源管理平台或公司电子邮件。此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。 事件详情： https://hackernews.cc/archives/45421   10 美国金融机构遭遇史上最大规模 DDoS 攻击 9 月，Akamai 近日透露，已经挫败了针对一家美国银行的大规模 DDoS 攻击，攻击峰值高达每秒 5510 万个数据包，攻击流量达到了每秒 633.7GB。这也是 Akamai 挫败的第三大规模的 DDoS 攻击。 事件详情： https://hackernews.cc/archives/45681   11 勒索组织 Cl0p 利用 MOVEit 发起漏洞攻击 9 月，勒索组织 Cl0p 利用 MOVEit 漏洞攻击的组织数量已超过 2000 个，受影响的人数超过 6000 万。 在今年 5 月，该组织还利用流行的 MOVEit 文件传输解决方案中的 SQL 注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 事件详情： https://hackernews.cc/archives/45873   12 中国台湾大江生医集团 236.3GB 数据于暗网泄露 11月，据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。 此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。 事件详情： https://hackernews.cc/archives/47123   13 8 亿印度人遭遇大规模数据泄露 11 月，据美国一家安全公司称，超过 8 亿印度人的高度敏感个人信息正在网上以 8 万美元的价格出售。 网上提供的个人数据包括 Aadhaar 生物识别身份证和护照信息，以及姓名、电话号码和地址。据有关媒体报道，今年 10 月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。 事件详情： https://hackernews.cc/archives/46590   14 GE 疑遭黑客攻击，大量军事机密泄露 11月，GE（通用电气）疑遭黑客攻击，黑客还公布了 GE 被盗数据的屏幕截图，数据样本包括 GE Aviations 的一个 SQL 数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。 事件详情： https://hackernews.cc/archives/47286   15 基因检测公司 690 万名会员信息遭泄露 12 月，基因检测公司 23andMe 证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 事件详情： https://hackernews.cc/archives/47586     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

Hackernews 编译，转载请注明出处： 微软关闭了一项旨在简化应用程序安装的功能，有黑客组织利用该功能传播恶意软件。 这项名为 ms-appinstaller 协议的功能基本上允许人们在向设备添加 Windows 应用程序时跳过一两个步骤。微软在一篇文章中说，网络犯罪分子发现它还提供了一种安装加载恶意软件的方法。 微软表示：“攻击者之所以选择 ms-appinstaller 协议处理程序，可能是因为它可以绕过旨在保护用户免受恶意软件攻击的机制，比如 Microsoft Defender SmartScreen 和内置的浏览器下载可执行文件格式警告。” 禁用该协议意味着 Windows 应用程序不能直接从服务器安装到设备上。相反，用户必须先下载软件包，然后运行应用安装程序。 微软将这些活动归因于他们追踪的 Storm-0569、Storm-1113、Storm-1674和Sangria Tempest。“Storm”这个标签指的是一个来历不明的团体。长期存在的网络犯罪组织 Sangria Tempest 也被网络安全研究人员追踪为 FIN7，并与 Clop 等勒索软件组织有关联。 微软表示，这些组织在11月和12月被发现“欺骗合法应用程序，引诱用户安装冒充合法应用程序的恶意MSIX软件包，并逃避初始安装文件的检测”。 网络犯罪分子的目标是安装允许进一步感染的加载器恶意软件，包括常见的数据泄露工具比如 IcedID，或勒索软件比如 Black Basta。 该公司对每个 Storm 小组活动的总结： Storm-0569 是一个访问代理，专注于通过恶意广告和包含恶意下载网站链接的网络钓鱼邮件下载被入侵后的有效载荷，比如 BATLOADER。 Storm-1113 是一个威胁行为者，它既是一个通过搜索广告传播恶意软件的访问代理，也是一个提供恶意安装程序和登陆页面框架的‘即服务’实体。 Storm-1674 是一个访问代理，以使用基于公开可用的 TeamsPhisher 工具来分发 DarkGate 恶意软件而闻名。 与此同时，Sangria Tempest 被发现投放了 Carbanak，“这是该演员自2014年以来使用的一个后门，反过来又提供了 Gracewire 恶意软件。”微软此前曾在5月份报道过该组织。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

美国国家航空航天局（NASA）近日发布了首版太空安全最佳实践指南，旨在加强公共部门和私营部门太空活动的网络安全。 在太空任务与技术日益联系紧密的背景下，NASA发布的指南将成为一个重要里程碑，该指南旨在为各类规模的任务、项目或计划提供安全指导，体现了该机构致力于维护太空任务的长期性和弹性作出的努力，这份指南将作为NASA提升安全性和可靠性的参考。 太空安全最佳实践指南提供了安全实施任务的指导性原则和控制措施，适用于航天器和地面段。指南采用美国国家标准与技术研究院NIST SP 800-53文件中“安全控制”的定义，并充当 NIST 术语与NASA飞行项目术语之间的翻译桥梁。 该指南的原则易于实施，注重采用基于风险的方法，以减少可能妨碍任务成功的薄弱环节。这些原则的确立成为了任务关键实施步骤的起点。基础安全原则和相关控制措施是通过反复讨论确定的，旨在应对当今网络攻击者试图破坏任务所使用的战术、技术和程序（TTPs）。该指南将作为一个初始起点，以减少任何试图拒绝、降级、干扰、欺骗或破坏用于完成 NASA 成功任务的信息和技术的行为。 该指南适用于各种规模、范围和性质（国际、公司、大学）所有等级的任务、项目和计划，NASA鼓励任务、项目和计划将其作为太空安全原则的基准。虽然该指南只是一份指导性文件，但其中的原则和控制措施将会被评估，或纳入NASA的主要机构标准和要求之中。各项任务、项目和计划需要向企业保护计划（EPP）和首席信息官办公室（OCIO）提供关于指南效用和实施情况的反馈意见。 NASA企业保护副首席顾问 Misty Finical 表示：“NASA 认识到保护我们的太空任务免受潜在威胁和漏洞的重要性。这份指南代表了众人努力的成果，旨在确立一套原则，使我们能够识别并减轻风险，确保我们的任务在地球轨道及太空取得持续成功。” 包括信息系统和运营技术（OT）在内，太空系统的集成度和互联度不断提升。NASA 等组织在太空工作、通信和数据收集方面拥有前所未有的新机遇。但是，新的复杂系统也可能存在漏洞。 通过这份新指南，NASA 旨在提供应对这些新挑战和实施安全措施的最佳方法。NASA 表示将收集太空社区的反馈意见，并将其纳入指南未来版本。 转自安全内参，原文链接：https://www.secrss.com/articles/62220 封面来源于网络，如有侵权请联系删除

Zscaler 报告发现：与 2022 年相比， HTTPS威胁增加了 24% ，凸显了网络犯罪分子针对加密通道的策略的复杂性。制造业仍然是最容易受到攻击的行业，与去年相比，教育和政府组织遭受的攻击增幅最大。 只有 86% 的网络威胁（包括恶意软件、勒索软件和网络钓鱼）是通过加密渠道传播的。Zscaler 安全副总监 Dipen Desai 强调：“近 95% 的网络流量通过 HTTPS，86% 的高级威胁是通过加密通道传递的。任何未经中间分析的 HTTPS 流量都是网络犯罪分子不断利用的重大盲点”。 恶意软件仍然是第一大加密威胁，在 2022 年 10 月至 2023 年 9 月期间发出了 230 亿个加密请求，占所有网络攻击尝试的 78%。2023 年一些最常见的恶意软件系列包括ChromeLoader、MedusaLocker 和 Redline Stealer。 制造业处理超过 21 亿笔涉及人工智能和机器学习的交易，使其最容易受到加密攻击。智能工厂和物联网的日益普及正在扩大攻击面，增加安全风险。此外，在连接设备上使用流行的生成式人工智能应用程序（例如 ChatGPT）会增加敏感数据泄露的风险。 教育部门和政府组织的加密攻击显着增加，分别增加了 276% 和 185%。由于转向更加远程和互联的学习，教育部门面临着扩大的攻击面，而公共部门继续引起关注，特别是来自国家支持的网络犯罪分子的关注。 为了抵御不断变化的加密威胁，企业需要通过采用更全面的零信任架构来重新思考传统的安全和网络方法。 防止加密攻击的最佳实践包括： 使用基于代理的云架构来 解密、检测和防止所有加密流量中的威胁； 使用 SSL 检查进行定期流量检查，以检测使用 SSL/TLS 通信的恶意负载、网络钓鱼和 C2 活动； 使用沙箱来隔离攻击并防止传播可能通过 TLS 发送的初始有效负载； 对组织的攻击面进行评估，以量化风险并防范威胁； 采用零信任（ Zero Trust ）原则确保各类连接的安全； 使用用户应用程序分段来确保最小权限访问，即使对于经过身份验证的用户也是如此。 Zscaler 报告强调，需要在不断变化的网络威胁环境中更好地理解和应用现代网络安全实践，特别是在制造、教育和政府领域。   转自安全客，原文链接：https://www.anquanke.com/post/id/292141 封面来源于网络，如有侵权请联系删除

波鸿鲁尔大学的一组研究人员开发了一种名为“Terrapin”的新攻击向量，它基于握手过程中对数字序列的操纵。 使用流行的加密模式时，Terrapin攻击可能会损害SSH通道的完整性。使用这种方法，黑客可以删除或修改通道中的消息，这会降低用户身份验证中涉及的公钥算法的安全性，并禁用针对基于击键的攻击的保护，这对OpenSSH 9.5构成威胁。 大学专家指出，Terrapin攻击利用了SSH协议中的漏洞以及十多年前OpenSSH中引入的加密算法和加密模式。 上述与新攻击向量相关的漏洞被确定为CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。 要进行Terrapin攻击，攻击者必须处于中间人(MiTM)位置，并且必须通过ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC来保护连接。   许多制造商已经采取措施降低与操作 Terrapin 相关的风险。使用严格的密钥交换可以防止连接建立期间的数据包注入，是应对这种威胁的一种方法。专家强调，为了实现最大程度的保护，必须在客户端和服务器端都采取措施，这将需要额外的时间。 研究人员开发了一种名为 Terrapin 的专用漏洞扫描程序（可在GitHub上获取），帮助确定SSH客户端或服务器是否容易受到给定漏洞的攻击。鲁尔大学专家编写的技术报告中详细描述了此次攻击，并提出了防范建议。 转自安全客，原文链接：https://www.anquanke.com/post/id/292059 封面来源于网络，如有侵权请联系删除

Web 应用程序漏洞测试 公司VulnCheck 的一项新研究发现， GitHub上 有超过 15,000 个Go模块存储库容易受到存储库劫持或“RepoJacking”攻击。 这种类型的攻击允许黑客恶意利用其合法所有者执行的名称更改或完全删除 GitHub 帐户。为此，攻击者创建一个与旧存储库同名的全新存储库，然后利用其与软件供应链其他部分的连接来分发恶意代码。 据 VulnCheck 称，已在超过 15,000 个 Go 模块存储库中发现了此类攻击的漏洞。“由于 GitHub 用户名更改，超过 9,000 个存储库容易受到攻击。另有 6,000 多个账户因账户删除而被删除，”该公司首席技术官 Jacob Baines 对结果评论道。 这些存储库总共包含至少 80 万个版本的 Go 模块，供世界各地的开发人员使用。因此，即使捕获这些存储库的一部分，也可能对许多软件产品的网络安全造成严重后果。 用 Go 编程语言编写的模块构成了特殊的威胁。与npm或PyPI等具有集中存储库的其他解决方案不同，Go 模块是在 GitHub 或Bitbucket等平台上分散发布的。 “任何人都可以指示 Go 模块镜像和 pkg.go.dev 绕过存储库来缓存模块详细信息，”Baines 指出。因此，攻击者只需要捕获旧用户的名称和流行存储库的名称，而无需直接与 GitHub 交互。 GitHub 正试图通过阻止使用先前删除的流行名称创建存储库来对抗此类攻击。但这对于 Go 模块来说并不有效，这些模块是绕过主存储库进行缓存的。 “不幸的是，缓解所有这些潜在的存储库接管对于 Go 或 GitHub 公司来说是一个挑战。第三方无法合理注册 15,000 个安全账户，”Baines 表示。他鼓励 Go 开发人员保持警惕并仔细监控他们使用的模块和存储库的状态。 因此，存储库劫持攻击的威胁对于 GitHub 生态系统来说非常严重，可能对整个网络安全造成重大损害。GitHub 和 Go 应迅速制定有效的对策来保护模块和存储库免受此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/291683 封面来源于网络，如有侵权请联系删除

谷歌周一宣布，2023 年 12 月的 Android 安全更新针对 94 个漏洞提供了补丁。 更新的第一部分—— 2023年12月1日安全补丁级别——解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”。 谷歌在其公告中指出：“这些问题中最严重的是系统组件中的一个关键安全漏洞，可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。 ” 这家互联网巨头解释说，该 RCE 缺陷被追踪为 CVE-2023-40088，影响 Android 11、12、12L、13 和 14，并且不需要用户交互即可成功利用。 最新的 Android 更新还解决了系统组件中的 15 个其他问题，即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。 该更新还修复了 Framework 组件中的 17 个漏洞，其中包括两个导致特权提升和信息泄露的严重错误。 本月 Android 更新的第二部分（ 2023 年 12 月 5 日安全补丁级别）总共解决了 61 个问题，其中包括两个严重缺陷。 这些错误影响 System、Arm、Imagination Technologies、MediaTek、Misc OEM、Unisoc 和 Qualcomm 组件。 2023-12-05 安全补丁级别解决了 2023-12-01 安全补丁级别中解决的所有 61 个问题和漏洞。 周一，谷歌还宣布，2023 年 12 月的 Wear OS 安全更新中包含了针对权限提升漏洞 (CVE-2023-40094) 的补丁。2023 年 12 月 Android Automotive 安全公告中未提及 CVE。 该公司尚未发布安全公告来描述本月 Pixel 设备的更新。谷歌没有提及本月解决的任何漏洞正在被利用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291694 封面来源于网络，如有侵权请联系删除

ENISA发布了 ENISA DoS 攻击威胁态势报告，为 DoS 威胁态势带来了新的见解。 拒绝服务 (DoS) 攻击给组织带来了持续且重大的安全风险。在过去几年中，黑客越来越多地获得具有成本效益且高效的手段和服务来实施此类攻击。持续不断的全球冲突助长了 DoS 攻击浪潮，新兴威胁组织有选择地针对不同实体。 ENISA DoS 攻击威胁态势报告旨在提供有关 DoS 威胁态势的宝贵见解。它分析了 DoS 攻击的动机和影响，还旨在支持组织在发生攻击时增强防御能力。 本文提出的见解是对 2022 年 1 月至 2023 年 8 月期间 DoS 事件进行彻底映射和分析的结果。 DoS 攻击影响所有部门，其中政府服务始终是最有针对性的。这些部门似乎多次被选为 DoS 攻击的主要焦点，主要是出于对政治行动和言论的报复动机。 以下是该报告的主要亮点： 一种新颖的分类方案，可根据有关攻击和目标的信息对 DoS 攻击进行分类，从而实现更系统的分析方法。 作为拟议分类的一部分，对 DoS 攻击的动机和目标进行分析，不仅可以分析攻击的技术演变，还可以分析最初触发攻击的根源的变化。 对 2022 年 1 月至 2023 年 8 月期间总共 310 起经验证的 DoS 事件的分析。但这并不是该期间的事件总数。 受影响最严重的部门是公共管理部门，受到 46% 的攻击。 据估计，66% 的攻击是出于政治原因或激进议程。 总体而言，50%的事件被发现与俄罗斯侵略乌克兰的战争有关。 研究表明，56.8% 的攻击对目标造成了彻底破坏。 该报告还强调了网络作为战争中力量倍增器或支持载体的重要性、网络给形势带来的变化，以及组织制定预防和补救策略至关重要。此外，该报告还提高了人们对 DoS 攻击报告不够成熟的认识，DoS 攻击尚未达到与其他类型的网络安全威胁相同的水平。   转自安全客，原文链接：https://www.anquanke.com/post/id/291698 封面来源于网络，如有侵权请联系删除