现代化的设施伴随着现代化的问题。每一个新的物联网门铃、联网车辆或在线服务都会给具有恶意的黑客带来可能的攻击媒介。当涉及到用户数据、企业机密，甚至是在线服务的完整性时，原本安全的网络中的一个小漏洞会导致各种大问题。随着软件和在线安全最终得到更多的公众关注，数据泄露变得越来越引人注目，企业越来越关注潜在的漏洞，并转向道德黑客和漏洞赏金来协助解决问题。 企业和道德黑客可以通过一些不同的方式来识别漏洞，其中有两个流行的选择，即通过网络安全公司进行漏洞悬赏和安全管理及审计。科技行业的一些大公司都有公开的漏洞悬赏，独立的道德黑客通过识别和记录漏洞并将其提交给安全团队而获得报酬。 例如，苹果公司通过其苹果安全悬赏计划在推出后的两年半时间里支付了2000万美元，这一点非常有名。据报道，微软每年支付超过1300万美元的漏洞赏金，而索尼有一个由HackerOne管理的PlayStation的漏洞赏金计划。HackerOne是一个抵抗攻击的管理组织，与从PayPal到任天堂，以及通用汽车等所有人合作，帮助调查和缓解攻击载体。2022年12月12日，HackerOne发布了《2022年黑客驱动的安全报告》，其中揭示了一些令人震惊的统计数据和趋势。 根据HackerOne的报告，该组织及其在线黑客社区在2022年发现了超过65000个新的软件漏洞，这比2021年增加了21%。该组织报告说，这些新的漏洞中有许多来自数字化转型项目，企业正在转向更加数字优先或在家工作的结构。 该黑客组织的客户投资上升了45%，这表明企业正在意识到网络安全的重要性。HackerOne报告称，投资的增加是由汽车项目的四倍增长以及电信和区块链增长的巨大飞跃造成的。虽然大多数行业在道德黑客方面的投资有所增加，但计算机硬件和外围设备、消费品以及旅游和酒店业的投资却有所减少。 报告还指出，企业通过HackerOne赏金计划支付了约2.3亿美元，对其黑客的调查显示，该平台上65%的黑客根据提供的赏金选择目标，而46%的人将根据赏金拒绝目标。这一信息显示，如果公司认真对待漏洞赏金计划，他们需要在黑客愿意调查之前向赏金投入现金。根据该报告，该计划中一半的黑客发现了一个漏洞，但拒绝报告，原因是这样做没有赏金，也有可能是惧怕与黑客行为有关的潜在法律责任。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7176372352119374392/ 封面来源于网络，如有侵权请联系删除

Censys的研究人员警告说，超过4000台易受攻击的Pulse Connect Secure暴露在互联网上。 Pulse Connect Secure（简称PCS，前称Juniper Junos Pulse）是美国Pulse Secure公司的一套是为远程和移动用户广泛部署的SSL VPN解决方案。因此，它是多个威胁参与者攻击的目标。 多年来，研究人员披露了服务器软件中的几个严重漏洞。在2021年4月，CISA发布了一份报告关于利用PCS漏洞的警告。现在，Censys的研究人员发现，30266个安装了PCS的安全主机中有4460个没有安全补丁。 “总体而言，Censys发现了30266台运行在互联网上的PCS主机。”Censys发布一篇帖子中提到，“使用Censys查找这些运行的最简单的方法之一是搜索可以在Pulse Connect安全web服务的HTTP响应主体中找到的特定URI。在这些暴露的主机中，4460台主机已被确定运行的软件版本易受我们审查的七项安全警告中的一项或多项攻击。” 互联网上大多数易受攻击的由供应商于2021年8月发布，以解决以下问题的3528台主机都没有补丁(SA44858)。    Censys还发现了供应商于2021年4月发布1841个易受攻击的主机，这些主机还有四个问题需要修补(SA44784标准)： 专家们还发现了28个暴露在网上的主机尚未解决一个严重的漏洞，追踪CVE-2018-5299，于2018年初披露，并由供应商在发布SA43604. 该报告还提供了按国家（前20名）分列的数据，美国拥有8575台主机的PCS安装总数最多，但只有12%缺少安全补丁。 同时法国的状况更令人担忧，它在互联网上只有1422个PCS设备，但其中超过30%的设备运行的是易受攻击的版本。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/QtH1Y0igPZwUjIJ77nF5RA 封面来源于网络，如有侵权请联系删除

想象一个场景：你正躺在手术台上，医生和护士们都已经消完毒，换好无菌手术服准备进行手术，此时医院的数字化系统遭到勒索组织的攻击，关键的数字化系统已经被加密，不少手术设备直接无法再使用。此时，勒索攻击者开出了解密系统的赎金，医院可以选择不支付赎金。但对于急需手术的病人来说，无异于是一场“谋杀”。 在数字化道路上狂奔了十年的医疗行业，也许正在成为勒索组织眼中一个装满黄金的保险箱。Obrela最近的一项调查发现，81%的英国医疗组织在2021年遭受了勒索软件攻击。此前某医疗机构CEO就曾表示，“除了自然灾害外，网络安全是诊所面临的头号风险。”2021年，爱尔兰全国卫生系统遭受勒索软件攻击，其相关负责人表示恢复成本可能超过6亿美元。而《医疗行业勒索病毒专题报告》的数据显示，我国有247家三甲医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。 在2022年最后的一个月，我们观察到勒索组织对于医疗机构的攻击变的更加频繁起来，对于病人的影响也越来越明显，甚至会导致医院关闭，手术暂停的严重后果。 美国第二大医疗机构遭攻击，泄露62万用户数据 当地时间12月1日，美国美国第二大卫生系统CommonSpirit Health 对安全事件的最新内部调查结果，承认在10月份发生的勒索软件攻击中，不仅当时医疗机构的IT系统被瘫痪，还有超过62万患者的敏感数据被窃取。 据悉该机构在21个州运营着140家医院和1000多个护理点，因此其运营中的任何中断都具有广泛的影响潜力。泄露的患者信息包括姓名、家庭住址、电话号码、出生日期以及在该医院内使用的ID号码。 CommonSpirit Health 尚未透露进行此次攻击的勒索软件组织，也没有任何犯罪活动声称对此负责。事件发生后，该医疗机构承诺会将数据泄露通知给每一位用户，但当时没有透露受影响患者的人数。 毫无疑问，如此敏感的数据被攻击者窃取，不论这些信息是在暗网上兜售，还是以此为基础进行大范围的欺诈，患者本人及其亲属大概率面临严峻的钓鱼邮件攻击或者电信欺诈，这样的操作在历次的信息泄露事件中已经十分常见。而调查结果显示，一份包含保险文件、医疗文凭、医生执照和DEA许可证的医疗信息在暗网上售价约500美元，丰厚的利润让攻击者动力十足。 因遭受勒索攻击攻击，病人等待12小时才能看病 个人敏感信息泄露还只是医疗机构被勒索攻击影响较小的一种，更严重的是，勒索攻击往往会加密医院的数字化系统，直接导致医院陷入瘫痪状态，大大降低了医生看病问诊的时间，无数亟待救治的病人将因此无法得到及时的治疗，将直接引起更加可怕的“灾难”。 11月底，跨国医疗保健机构Keralty 跨国医疗保健遭受了 RansomHouse 勒索软件攻击，扰乱了该公司及其子公司的网站和运营。随后，勒索组织向Keralty公布了赎金，但是该医疗机构并未支付，因此只能被动承受勒索攻击带来了巨大影响。 Keralty 是哥伦比亚的一家医疗保健提供商，在拉丁美洲、西班牙、美国和亚洲运营着一个由 12 家医院和 371 个医疗中心组成的国际网络。该集团拥有 24000 名员工和 10000 名医生，为超过 600 万患者提供医疗服务。 在遭遇勒索攻击后，Keralty 及其子公司 EPS Sanitas 和 Colsanitas 的 IT 运营、医疗预约安排及其网站都受到了干扰。而最严重的当属IT系统中断带来的恶劣影响，不少患者甚至排队就医时间甚至已经超过12小时，一些患者因缺乏医疗护理而晕倒，极大地影响了患者就医秩序和危重病人的救治时间。 法国一家医院因勒索攻击关闭，重症患者紧急被转移 如果说Keralty及其子公司遭遇勒索攻击只是增加了患者的排队时间，那么法国这家医院真正因为勒索攻击而导致已经安排好的患者手术不得不临时取消，并将患者紧急转移至其他医院进行治疗。 12月初，法国卫生部宣布凡尔赛医院中心在周末遭到网络攻击，包括 Andre-Mignot 医院、Richaud 医院和 Despagne 养老院在内的凡尔赛医院中心关闭了医院，取消了部分需要进行的手术，并转移了患者，其中三名在重症监护室，三名来自新生儿病房。 根据 RFI 的网站，医院的计算机感染了勒索软件，攻击背后的勒索组织者要求赎金。但是该医疗机构公开表示，目前确实收到赎金要求，但是我们并不打算支付。警方对敲诈勒索未遂展开调查，医院方面也提出了正式投诉。 法国卫生部长Francois Braun在法新社的采访中指出，这并不是第一次袭击法国医疗保健行业的黑客攻击，“医疗系统每天都在遭受攻击”，而且“绝大多数此类攻击都被阻止了”。 在2022年8 月，巴黎东南部的一家医院 Centre Hospitalier Sud Francilien (CHSF) 在周末遭受了勒索软件攻击。这次袭击扰乱了紧急服务和手术，迫使医院将病人转诊到其他机构。据当地媒体报道，威胁行为者要求 1000 万美元的赎金，以提供解密密钥以恢复加密数据。 结语 卡巴斯基全球研究和分析团队亚太区总监Vitaly Kamluk指出，医疗机构并没有为网络安全环境的变化做好准备，他们更渴望投资新设备，而不是投资保护旧设备。不少医疗设备价格很好、质量很好，能够保证运行十年以上，但是同时意味着软件更新也很慢。 这也是勒索组织针对医疗机构频频发起攻击的原因，低门槛高回报让这些利益团队蠢蠢欲动，因此不少安全专家认为，医疗机构应该建设更加具有针对性的安全框架，以此保护IT系统和敏感数据安全，同时也要加大对网络安全的投入，积极培养员工网络安全意识，全面提升整体安全防护能力。 毕竟，这不仅仅是一个网络安全问题，更是一个事关病人就诊甚至是生命安全。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352094.html 封面来源于网络，如有侵权请联系删除

2023财年《国防授权法案》已在本周二公布。未来几天，美国国会准备就总预算8580亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。 以下是2023财年《国防授权法案》中涉及网络元素的重要内容，以及这份最新法案中一些值得注意的“遗漏”点。 积极推动前出狩猎、政务云安全、间谍软件管理等 首先，美国国会计划向网络司令部拨款4400万美元，用以加强“前出狩猎”（hunt forward）行动，这是网络司令部“持续交战”战略的组成部分。所谓“前出狩猎”，是指在网络空间与对手持续开展快速互动。网络司令部报告称，其前出狩猎行动已在全球至少35个国家50多个外国网络展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。 此次立法还要求，在国防部设立一名负责网络政策的助理部长，并且国防部长每年须向国会介绍网络司令部和国家安全局之间的合作情况。 如果总统确定有“外国势力在网络空间”针对美国政府或关键基础设施“发动积极的、系统的、持续的攻击活动”，该法案授权网络司令部可在总统批准的情况下在“外国网络空间”内开展行动。 拜登政府最近刚刚结束对“双帽”领导结构的评估。在这一架构下，国家安全局和网络司令部将由同一个人负责。虽然评估已经完成，但政府尚未对是否结束这种架构给出正式建议。 法案提出，在国务院内设立了新的网络空间和数字政策局，目前由前外交官Nate Fick负责领导。 新版《国防授权法案》还要求到2032年选举期之前，每两年发布一份非机密报告，用于介绍网络司令部在选举安全方面所做的工作。此外，法案要求由网络安全与基础设施安全局（CISA）设计并组织免费的网络安全培训。 法案还要求改革联邦风险和授权管理计划（FedRAMP），特别是其中涉及云服务商的网络安全授权制度。 法案同样关注到隐私问题，要求对美国情报部门如何使用商业间谍软件设置护栏条款。其中要求包括FBI、CIA和国家安全局（NSA）在内的各情报机构在90天内向国会提交报告，评估间谍软件对美国构成的威胁。 此次立法还扩大了国家情报总监的权力，其可以指导各情报机构如何使用间谍软件，包括禁止情报界采购或批准使用间谍软件的权力（但豁免情形可能仍然有效）。法案要求国家情报总监发布最佳实践，指导各情报机构预防间谍软件入侵。 预计白宫将在明年初发布行政令，就如何限制联邦机构使用可能构成国家安全风险的间谍软件做出指导。 两项提议未能推进 准备交付国会的法案最终版本中，也有一些例外情况。 《国防授权法案》去掉了一项修正案，即在联邦采购流程中强制提供软件材料清单（SBOM）的要求。之所以将其删除，是因为软件行业对此展开了激烈批评。 法案最初要求“一切当前合同持有人，以及响应美国国土安全部提案请求的各方，应提供材料清单并证明清单中的各项目不存在漏洞或缺陷。” 此外，直到最终表决阶段，法案仍未对“具有系统性重要意义的实体”或者重要关键基础设施的具体定义做出确切解释。这是因为一旦解释明确，则某些关键基础设施运营商将被迫接受更严格的数字安全标准。 网络空间日光浴室委员会前执行主任Mark Montgomery表示，法案中网络安全标准的退让“令人失望”。很明显，无论是Montgomery自己的呼吁，还是国土安全部长Alejandro Mayorkas对于“此类基础设施的优先级次序”的强调，都未能推动立法层面的实质性变革。   转自 安全内参，原文链接：https://www.secrss.com/articles/49855 封面来源于网络，如有侵权请联系删除

苹果公司新的iOS和iCloud安全倡议包括一种新的方式，让iMessage用户验证他们是否在与他们认为的人交谈。该公司声称，新的iMessage联系人密钥验证将让那些”面临特殊数字威胁”的人，如记者、活动家或政治家，确保他们的对话不会被劫持或窥探。 根据周三的一份新闻稿，如果iMessage对话中的两个人都启用了该功能，那么如果”一个特别先进的对手，例如国家支持的攻击者，曾经成功突破云服务器并插入他们自己的设备来窃听这些加密的通信”，他们就会收到警报。 他们还能够通过其他方式如安全电话或亲自会面来比较联系密钥，以确保他们实际上是在与对方而不是未知的第三方进行对话。这类事情长期以来一直是安全方面的最佳做法，无论你是验证下载的软件是否合法，还是为电子邮件对话设置PGP加密。 一个记者或政治家收到这个通知很可能是一个非常不好的信号，但总比不知道发生了这种情况要好。 苹果公司承认，iMessage已经成为一些国家安全机构的目标，虽然iMessage长期以来一直是端对端加密的，但也有一些注意事项和事件可能促使该平台最敏感的用户去寻找其他安全的信息应用，如Signal或WhatsApp。记者们的手机被国家层面的间谍软件盯上，可能是为了读取他们的信息。 正如批评者（包括马克-扎克伯格）所指出的，发送和接收的信息也可能包括在iCloud备份中，这取决于你或与你交谈的人的某些设置。到目前为止，这些信息并不是完全端对端加密的，所以如果苹果真的需要的话（例如法院传票要求），它可以得到你的信息。 苹果正在以其他方式解决这个问题–周三的公告还包括iCloud的高级数据保护，它为那些iCloud备份增加了端对端加密。 虽然不完全清楚iMessage联系人密钥验证是否能够帮助你的手机被高级间谍软件完全占领（尽管苹果最近推出了一个极端的锁定模式，以帮助那些可能被这些东西盯上的人），但对于希望使用iMessage进行最敏感对话的人来说，这绝对是一个进步。 然而，值得注意的是，在这一点上，iMessage仍然是一个使用苹果设备与其他使用苹果设备的人交谈的平台，许多批评者说这是该公司平台锁定战略的一部分（也是跨平台支持的其他安全信息应用如此受欢迎的部分原因）。有迹象表明，监管机构可能希望迫使苹果公司开放iMessage，该公司在理论上可以辩称，这样做会破坏对一些最脆弱用户的重要安全保护。 那么问题来了，如果你依靠iMessage来保证你的安全，那么你转而使用其他手机的可能性有多大？   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174503859681919488/ 封面来源于网络，如有侵权请联系删除

俄罗斯第二大金融机构VTB银行表示，在其网站和移动应用程序因持续的DDoS（分布式拒绝服务）攻击而下线后，他们正面临着其历史上最严重的网络攻击。 VTB发言人向塔斯社表示：”目前，VTB的技术基础设施正受到来自国外前所未有的网络攻击”。”这不仅是今年记录的最大的网络攻击，而且是银行整个历史上最大的网络攻击”。 该银行表示，其内部分析表明，此次DDoS攻击是有计划的，其具体目的是通过扰乱银行服务给客户带来不便。 目前，VTB的在线门户网站处于离线状态，但该机构表示，所有的核心银行服务都运作正常。 此外，VTB还表示客户数据目前处于受到保护状态，因为这些数据存储在其基础设施的内部边界，而攻击者并没有攻破这些边界。 该银行表示，他们已经确定大多数恶意的DDoS请求来自国外。然而，也有几个俄罗斯IP地址参与了攻击。 这意味着外国行为者要么使用当地代理进行攻击，要么设法招募当地黑客参与到其DDoS攻击活动中。 有关这些IP地址的信息已被转给俄罗斯执法部门进行刑事调查。 VTB中，国有股份占比61%，财政部和经济发展部在该集团都有股份，所以这些攻击有政治目的，是对俄罗斯政府的间接打击。 “乌克兰 IT 军”声称发动袭击 亲乌克兰的黑客组织 “乌克兰IT军 “声称对此次网络攻击负责，并在11月底在Telegram上宣布了这一活动。 这个特殊的黑客组织是在2022年2月得到乌克兰政府的正式批准成立的，意在加强该国的网络战能力。 由 “乌克兰IT军 “造成的引人注目的网络攻击包括伏特加酒生产商和经销商使用的门户网站的中断，以及俄罗斯领先的航空航天和国防集团Rostec网站的瘫痪。 亲乌克兰的黑客在11月非常活跃，针对900多个俄罗斯实体，包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。 （展示后续VTB中断） 2022年12月1日，VTB受到第一个漏洞攻击，当时黑客分子在社交媒体上发布了客户对VTB的投诉，银行试图淡化这些投诉。但是，随着银行的服务中断现在更加明显，因为网站和移动应用程序不再可用，VTB不得不公开承认它正在受到大规模网络攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351762.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国Megatrends（AMI）MegaRAC基板管理控制器（BMC）软件中披露了三种不同的安全漏洞，可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示：“利用这些漏洞的影响包括远程控制受感染的服务器，远程部署恶意软件、勒索软件和固件植入物，以及服务器物理损坏（砖砌）。” BMC是服务器中的特权独立系统，用于控制低级硬件设置和管理主机操作系统，即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标，他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C，攻击者可以访问Redfish等远程管理界面（IPMI），从而利用这些漏洞，可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259（CVSS评分：9.9），这是一种通过Redfish API执行任意代码的情况，要求攻击者在设备上拥有最低级别的访问权限（回调权限或更高）。 CVE-2022-40242（CVSS评分：8.3）与系统管理员用户的哈希有关，可以破解和滥用该哈希值以获得管理shell访问权限，而CVE-2022-2827（CVSS 评分：7.5）是密码重置功能中的一个漏洞，可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说：“[CVE-2022-2827]允许精确定位预先存在的用户，并且不会导致进入shell，但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示：“由于数据中心倾向于在特定硬件平台上实现标准化，任何BMC级别的漏洞都很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞，这些漏洞可能导致早期启动阶段（即EFI前环境）内存损坏和任意代码执行。 今年5月早些时候，Eclypsium还发现了影响Quanta Cloud Technology（QCT）服务器的所谓“Pantsdown”BMC漏洞，成功利用该漏洞可以让攻击者完全控制设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2022年11月28日，总部位于波士顿的威胁情报公司Recorded Future宣布其年度经常性收入(ARR)已超过2.5亿美元，成为全球最成功的SaaS公司行列。这标志着该公司的一个重要里程碑，并巩固了其作为不断增长的市场领导者的地位，证明情报对于抵御融合的威胁至关重要。 “这一成绩使得Recorded Future成为全球最大的情报公司。”Recorded Future的CEO Christopher Ahlberg激动宣称，“我们的成功证明了不断增长的情报市场及其在安全方面发挥的重要作用。” ARR和威胁情报SaaS订阅 ARR（Annual Recurring Revenue）即年度经常性收入，是衡量SaaS企业经营优劣的基本指标，一般是指SaaS的订阅模式这部分收入。ARR的特别之处在于收入的「经常性」，也就是说如果没有特别情况，这个收入明年会继续有（且数额也不会有太大的波动），因此ARR也经常被用作评判未来SaaS收入可衡量和可预测性的核心指标。 威胁情报业务中，符合SaaS订阅模式收入的可以分为TI Feed和TI Lookup两种常见形态，Recorded Future两者均支持。 关于Insight Partners Recorded Future于2019年5月被美国知名私募基金Insight Partners以7.8亿美金并购。 Insight Partners专注于软件领域的投资与并购，拥有超过25年的运营和投资经验，截至2022年2月24日管理的资产超过900亿美元。InsightPartners对安全领域非常关注，有众多成功的投资、IPO和退出记录，迄今Portfolio中依然还有57个安全公司，许多都是新兴技术领域的明星厂商，如OneTrust、Wiz、INKY、Aqua、Island等等。 威胁情报SaaS订阅在国内 TI Feed和TI Lookup这两种SaaS订阅模式，也同样被国内许多威胁情报厂商所采用。近年国内兴起的TI Inside合作生态，是订阅模式逐步走向成熟的一个例证。 转自 安全内参，原文链接：https://www.secrss.com/articles/49706 封面来源于网络，如有侵权请联系删除

安全内参12月5日消息，日前，有安全研究人员详细介绍了一个新漏洞，据称攻击者可使用该漏洞，远程解锁全球任意位置的本田、日产等品牌汽车。 此次漏洞披露凸显出现代汽车联网系统的又一缺陷，特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上，这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度，希望借此从上万种不同车型中提取大量数据，比如密码、地理位置等。 汽车数据取证成执法人员办案利器 美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候，从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示，负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录，也确实从车载计算机中获得了大量有价值证据。与此同时，隐私倡导者则发出警告，称现代汽车堪称“车轮上的监控探头”。 “虽然我们还不知道海关及边境保护局（CBP）和移民海关执法局（ICE）具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击……” Eleni Manis, S.T.O.P.研究主任 在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中，一名巡逻警员写道，负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息，“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪，包括对所调查犯罪行为的了解、动机和自愿性”。 巡逻警员还提到，信息娱乐系统还会暴露用户密码，但没有提供具体细节。今年10月，密苏里州酒精、烟草、火器和爆炸物管理局（ATF）提交的一份搜查令中也做出类似的表述，但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据，但可以认定这种风险真实存在：之前曾有报道称，特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。 另外，ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”，并且“有望在无需访问手机本身的情况下，通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到，使用这种数字技术能够入侵多种主流车型，包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。” 黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实，只要在车身看一眼VIN码，就能查询到大量相关信息，这也凸显出VIN码公开的“可怕后果”。他补充道，“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目，全都可以用VIN码进行查询。” 美国执法机构采购汽车取证预算创历史纪录 为了从被扣押的汽车身上获取有用数据，美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算，供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据，供当地/联邦执法部门以及军事机构使用。 根据政府合同记录，今年8月，海关及边境保护局在iVe上的花费超过38万美元，几乎是过去两年来最大单笔采购金额（5万美元）的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务，今年9月更是在iVe身上花掉了50万美元，超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中，海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。 在警方深入调查现代汽车中的大量个人信息时，隐私保护组织们对此深感忧心。今年10月，监控技术监督项目（S.T.O.P.）发布一份报告，警告称“从汽车上收集到的数据比手机数据更详细，并且获取车载数据的法律和技术门槛反而更低。” S.T.O.P.研究主管Eleni Manis认为，海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。 她总结道，“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查，包括轻松访问汽车的历史位置记录、常去的地方，乘客的家人和社交联系人、彼此间的通话记录，甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击。” 截至本文发布时，海关及边境保护局与移民海关执法局均未回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/49723 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，IBM 近日修复一个影响其 PostgreSQL 云数据库（ICD）产品的高严重性安全漏洞（CVSS分数：8.8），该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。 云安全公司 Wiz 将该漏洞称为“Hell’s Keychain ”，一旦恶意攻击者成功利用该漏洞可能会在客户环境中远程执行代码，甚至读取或修改存储在 PostgreSQL 数据库中的数据。 Wiz 研究人员 Ronen Shustin 和 Shir Tamari 表示：该漏洞由三个暴露的秘密 Kubernetes 服务帐户令牌、私有容器注册密码、CI/CD 服务器凭据组成，再加上对内部构建服务器的过度许可网络访问。 Hell’s Keychain 始于 ICD 中的一个 SQL 注入漏洞，该漏洞可能授予攻击者超级用户（又称 “ibm”）权限，然后允许其在托管数据库实例的底层虚拟机上执行任意命令。 据悉，这个功能被武器化以期访问 Kubernetes API 令牌文件，从而允许更广泛的开发后工作，包括从 IBM 的私有容器注册表中提取容器图像，该注册表存储与用于PostgreSQL 的 ICD 相关的图像，并扫描这些图像以获取其他机密。 研究人员强调，容器图像通常包含公司知识产权的专有源代码和二进制工件，此外，它们还可以包含攻击者可以利用的信息，以发现其他漏洞并在服务的内部环境中执行横向移动。 Wiz 表示，它能够从图像清单文件中提取内部工件存储库和 FTP 凭证，有效地允许对受信任的存储库和 IBM 构建服务器进行不受限制的读写访问。 这种攻击能够覆盖到 PostgreSQL 映像构建过程中使用的任意文件，然后将这些文件安装在每个数据库实例上，因此可能会产生严重后果。 IBM 在一份独立的咨询报告中表示，所有用于 PostgreSQL 实例的 IBM 云数据库都可能受到该 漏洞的影响，但目前还没有发现恶意活动的迹象，修补措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自动应用于客户实例，无需进一步操作。 研究人员表示：作为广泛攻击链的一部分，这些漏洞可能被恶意攻击者利用，最终导致对平台的供应链攻击。 为了减轻此类威胁，建议组织监控其云环境中分散的凭据，强制实施网络控制以防止访问生产服务器，并防止容器注册表损坏。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351588.html 封面来源于网络，如有侵权请联系删除