The Hacker News 网站披露，谷歌与美国印第安纳州和华盛顿特区监管机构达成了和解协议，同意支付总计 2950 万美元，以了结两起与追踪用户位置相关的诉讼。 从和解协议内容来看，谷歌分别向华盛顿特区、印第安纳州支付 950 万美元和 2000 万美元。上月，谷歌已经因类似指控同意向 40 个州支付总计 3.915 亿美元。值得一提的是，除上述诉讼案外，谷歌还面临德克萨斯州和华盛顿州另外两起追踪用户位置的诉讼案。 Google 长时间追踪用户位置信息 印第安纳州在上周一份新闻稿中表示，谷歌使用从该州消费者处收集的位置数据，建立了详细用户档案，至少从 2014 年开始，就一直在欺骗和误导用户。 据悉，2018 年，媒体披露谷歌大范围追踪用户位置信息后，多个州对其发起诉讼，谷歌虽然在事后关闭了“位置历史”的选项，但仍通过一个名为 “Web 和 APP 活动 ”的设置，在安卓和 iOS 上跟踪用户的位置信息。 和解协议的结果显示，Google 被勒令必须告知开启了“位置历史 ”和 Web&App 活动的用户是否正在收集其位置数据，以及用户可以采取那些措施，避免信息泄露。谷歌还被要求维护一个网页，披露其收集的所有类型和来源的位置数据，并避免在未经用户明确同意的情况下与第三方广告商分享这些精确的位置信息。此外，Google 还需要在 30 天内自动删除从用户设备或 Web&APP 中获得的位置数据。 Google 加强了用户位置隐私保护 目前，Google 已经推出了一些用户隐私保护措施，例如允许用户自动删除与其账户绑定的位置数据。Google 进一步表示，将提供有关 Web&App 活动中的更多 “详细 ”信息，后续将推出了一个信息中心和新的切换按钮，以方便用户“处置”自己的位置信息。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354106.html 封面来源于网络，如有侵权请联系删除

法国国家技术和自由委员会（Commission Nationale de l’Informatique et des Libertes，简称CNIL）对微软通过必应搜索引擎强迫客户使用Cookies的行为罚款6000万欧元。这笔罚款是对微软爱尔兰公司开出的，那里是该这一软件巨头的欧洲基地。 微软今年有不同的问题需要解决。除了目前与GitHub Copilot、Teams有关的问题，以及与拟议的690亿美元动视合并交易有关的不同诉讼之外，在CNIL的调查发现微软在Bing上的催促性Cookie接受系统存在不合规之后，公司现在需要支付高达6400万美元的罚款。 法国的隐私监督机构周四解释说，”当用户访问该网站时，未经他们同意，Cookies被存放在他们的终端上，而这些Cookies被用于广告等目的”。它补充说，还”观察到没有任何按钮可以像接受它一样方便地拒绝存放Cookies”。 CNIL特别提到了微软是如何不对等地设置接受和拒绝Cookies的选项的，只用一个按钮就可以接受，但点击两次才可以拒绝请求。此外，调查还阐述了Bing在没有通知用户的情况下在用户的浏览器上放置广告Cookies，这直接违反了法国数据保护法中详细规定的互联网用户的同意原则。 这一数额被认为是监督机构施加的最大罚款，但它解释说，考虑到该软件巨头从Cookies中获得的利润，这是合理的。此外，如果该公司未能在CNIL给出的三个月期限内解决这个问题，它可能会每天额外支付6万欧元的逾期罚款。 尽管如此，微软在最近的一份声明中说，它已经”在这项调查开始之前就对我们的Cookies做法进行了关键的改变”。它补充说，它继续”恭敬地关注CNIL对广告欺诈的立场”，并强调CNIL的”立场将损害法国个人和企业”。 同样的情况在欧洲并不新鲜，特别是在欧盟通过了科技公司必须遵守的2018年个人数据同意法之后。微软也不是第一个陷入这种制裁的企业。Google和Facebook由于Cookies相关事宜分别被CNIL罚款1.5亿和6000万欧元。此外，由于将欧盟居民的个人数据发送到美国的服务器的问题，这两家公司正在接受调查。欧洲数据保护监督员还对Meta公司关于使用数据进行定向广告的补充案件作出了具有约束力的决定。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7180235314651857445/ 封面来源于网络，如有侵权请联系删除

当地时间12月13日，谷歌宣布开源OSV-Scanner，该开源漏洞扫描仪可访问各种项目的漏洞信息，加强软件供应链安全。 谷歌软件工程师Rex Pan向媒体介绍，该工具基Go语言编写，由开源漏洞（OSV）数据库提供支持，可以生成可靠和高质量的漏洞信息，填补了开发人员的软件包清单与漏洞数据库信息之间的空白。 扫描仪的原理是利用从OSV.dev数据库中提取的数据，来识别一个项目的所有横向依赖关系同时突出相关的漏洞。 OSV.dev数据库拥有3.8万个共建者，支持16个生态系统，包括所有主要语言、Linux发行版（Debian和Alpine）、安卓、Linux内核和OSS-Fuzz。安全告警数量比一年前的1.5个多，其中Linux（27.4%）、Debian（23.2%）、PyPI（9.5%）、Alpine（7.9%）和npm（7.1%）占据告警量前五。 下一步，谷歌计划建立一个“高质量数据库”来支持C/C++漏洞，包括向CVEs添加 “精确的提交级元数据”。 10月20日，谷歌还推出了开源计划GUAC（Graph for Understanding Artifact CompositionGUAC），加强软件供应链安全。 GUAC收集并综合执行此类分析所需的源自不同来源的所有信息，如软件物料清单 （SBOM）、已知漏洞信息和关于某特定软件如何构建的签名证明书等。用户将能够从GUAC查询其软件中最常使用的关键组件信息、相关依赖信息和任意潜在弱点和漏洞信息。 上周，谷歌还发布了一份《安全展望》报告，呼吁组织开发和部署一个通用的SLSA框架，以防止篡改，提高完整性，并保护软件包免受潜在威胁。 该公司提出的其他建议包括承担额外的开源安全责任，并采用更全面的方法来解决近年来Log4j漏洞和SolarWinds事件等风险。 谷歌表示，“软件供应链攻击通常需要强大的技术才能和长期的承诺才能实现。复杂的行为者更有可能具有进行这些类型攻击的意图和能力。大多数组织都很容易受到软件供应链攻击，因为攻击者会花时间瞄准与客户网络有可信连接的第三方提供商。然后，他们利用这种信任更深入地挖掘最终目标的网络。”   转自 Freebuf，原文链接：https://www.freebuf.com/news/352442.html 封面来源于网络，如有侵权请联系删除

现代化的设施伴随着现代化的问题。每一个新的物联网门铃、联网车辆或在线服务都会给具有恶意的黑客带来可能的攻击媒介。当涉及到用户数据、企业机密，甚至是在线服务的完整性时，原本安全的网络中的一个小漏洞会导致各种大问题。随着软件和在线安全最终得到更多的公众关注，数据泄露变得越来越引人注目，企业越来越关注潜在的漏洞，并转向道德黑客和漏洞赏金来协助解决问题。 企业和道德黑客可以通过一些不同的方式来识别漏洞，其中有两个流行的选择，即通过网络安全公司进行漏洞悬赏和安全管理及审计。科技行业的一些大公司都有公开的漏洞悬赏，独立的道德黑客通过识别和记录漏洞并将其提交给安全团队而获得报酬。 例如，苹果公司通过其苹果安全悬赏计划在推出后的两年半时间里支付了2000万美元，这一点非常有名。据报道，微软每年支付超过1300万美元的漏洞赏金，而索尼有一个由HackerOne管理的PlayStation的漏洞赏金计划。HackerOne是一个抵抗攻击的管理组织，与从PayPal到任天堂，以及通用汽车等所有人合作，帮助调查和缓解攻击载体。2022年12月12日，HackerOne发布了《2022年黑客驱动的安全报告》，其中揭示了一些令人震惊的统计数据和趋势。 根据HackerOne的报告，该组织及其在线黑客社区在2022年发现了超过65000个新的软件漏洞，这比2021年增加了21%。该组织报告说，这些新的漏洞中有许多来自数字化转型项目，企业正在转向更加数字优先或在家工作的结构。 该黑客组织的客户投资上升了45%，这表明企业正在意识到网络安全的重要性。HackerOne报告称，投资的增加是由汽车项目的四倍增长以及电信和区块链增长的巨大飞跃造成的。虽然大多数行业在道德黑客方面的投资有所增加，但计算机硬件和外围设备、消费品以及旅游和酒店业的投资却有所减少。 报告还指出，企业通过HackerOne赏金计划支付了约2.3亿美元，对其黑客的调查显示，该平台上65%的黑客根据提供的赏金选择目标，而46%的人将根据赏金拒绝目标。这一信息显示，如果公司认真对待漏洞赏金计划，他们需要在黑客愿意调查之前向赏金投入现金。根据该报告，该计划中一半的黑客发现了一个漏洞，但拒绝报告，原因是这样做没有赏金，也有可能是惧怕与黑客行为有关的潜在法律责任。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7176372352119374392/ 封面来源于网络，如有侵权请联系删除

Censys的研究人员警告说，超过4000台易受攻击的Pulse Connect Secure暴露在互联网上。 Pulse Connect Secure（简称PCS，前称Juniper Junos Pulse）是美国Pulse Secure公司的一套是为远程和移动用户广泛部署的SSL VPN解决方案。因此，它是多个威胁参与者攻击的目标。 多年来，研究人员披露了服务器软件中的几个严重漏洞。在2021年4月，CISA发布了一份报告关于利用PCS漏洞的警告。现在，Censys的研究人员发现，30266个安装了PCS的安全主机中有4460个没有安全补丁。 “总体而言，Censys发现了30266台运行在互联网上的PCS主机。”Censys发布一篇帖子中提到，“使用Censys查找这些运行的最简单的方法之一是搜索可以在Pulse Connect安全web服务的HTTP响应主体中找到的特定URI。在这些暴露的主机中，4460台主机已被确定运行的软件版本易受我们审查的七项安全警告中的一项或多项攻击。” 互联网上大多数易受攻击的由供应商于2021年8月发布，以解决以下问题的3528台主机都没有补丁(SA44858)。    Censys还发现了供应商于2021年4月发布1841个易受攻击的主机，这些主机还有四个问题需要修补(SA44784标准)： 专家们还发现了28个暴露在网上的主机尚未解决一个严重的漏洞，追踪CVE-2018-5299，于2018年初披露，并由供应商在发布SA43604. 该报告还提供了按国家（前20名）分列的数据，美国拥有8575台主机的PCS安装总数最多，但只有12%缺少安全补丁。 同时法国的状况更令人担忧，它在互联网上只有1422个PCS设备，但其中超过30%的设备运行的是易受攻击的版本。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/QtH1Y0igPZwUjIJ77nF5RA 封面来源于网络，如有侵权请联系删除

想象一个场景：你正躺在手术台上，医生和护士们都已经消完毒，换好无菌手术服准备进行手术，此时医院的数字化系统遭到勒索组织的攻击，关键的数字化系统已经被加密，不少手术设备直接无法再使用。此时，勒索攻击者开出了解密系统的赎金，医院可以选择不支付赎金。但对于急需手术的病人来说，无异于是一场“谋杀”。 在数字化道路上狂奔了十年的医疗行业，也许正在成为勒索组织眼中一个装满黄金的保险箱。Obrela最近的一项调查发现，81%的英国医疗组织在2021年遭受了勒索软件攻击。此前某医疗机构CEO就曾表示，“除了自然灾害外，网络安全是诊所面临的头号风险。”2021年，爱尔兰全国卫生系统遭受勒索软件攻击，其相关负责人表示恢复成本可能超过6亿美元。而《医疗行业勒索病毒专题报告》的数据显示，我国有247家三甲医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。 在2022年最后的一个月，我们观察到勒索组织对于医疗机构的攻击变的更加频繁起来，对于病人的影响也越来越明显，甚至会导致医院关闭，手术暂停的严重后果。 美国第二大医疗机构遭攻击，泄露62万用户数据 当地时间12月1日，美国美国第二大卫生系统CommonSpirit Health 对安全事件的最新内部调查结果，承认在10月份发生的勒索软件攻击中，不仅当时医疗机构的IT系统被瘫痪，还有超过62万患者的敏感数据被窃取。 据悉该机构在21个州运营着140家医院和1000多个护理点，因此其运营中的任何中断都具有广泛的影响潜力。泄露的患者信息包括姓名、家庭住址、电话号码、出生日期以及在该医院内使用的ID号码。 CommonSpirit Health 尚未透露进行此次攻击的勒索软件组织，也没有任何犯罪活动声称对此负责。事件发生后，该医疗机构承诺会将数据泄露通知给每一位用户，但当时没有透露受影响患者的人数。 毫无疑问，如此敏感的数据被攻击者窃取，不论这些信息是在暗网上兜售，还是以此为基础进行大范围的欺诈，患者本人及其亲属大概率面临严峻的钓鱼邮件攻击或者电信欺诈，这样的操作在历次的信息泄露事件中已经十分常见。而调查结果显示，一份包含保险文件、医疗文凭、医生执照和DEA许可证的医疗信息在暗网上售价约500美元，丰厚的利润让攻击者动力十足。 因遭受勒索攻击攻击，病人等待12小时才能看病 个人敏感信息泄露还只是医疗机构被勒索攻击影响较小的一种，更严重的是，勒索攻击往往会加密医院的数字化系统，直接导致医院陷入瘫痪状态，大大降低了医生看病问诊的时间，无数亟待救治的病人将因此无法得到及时的治疗，将直接引起更加可怕的“灾难”。 11月底，跨国医疗保健机构Keralty 跨国医疗保健遭受了 RansomHouse 勒索软件攻击，扰乱了该公司及其子公司的网站和运营。随后，勒索组织向Keralty公布了赎金，但是该医疗机构并未支付，因此只能被动承受勒索攻击带来了巨大影响。 Keralty 是哥伦比亚的一家医疗保健提供商，在拉丁美洲、西班牙、美国和亚洲运营着一个由 12 家医院和 371 个医疗中心组成的国际网络。该集团拥有 24000 名员工和 10000 名医生，为超过 600 万患者提供医疗服务。 在遭遇勒索攻击后，Keralty 及其子公司 EPS Sanitas 和 Colsanitas 的 IT 运营、医疗预约安排及其网站都受到了干扰。而最严重的当属IT系统中断带来的恶劣影响，不少患者甚至排队就医时间甚至已经超过12小时，一些患者因缺乏医疗护理而晕倒，极大地影响了患者就医秩序和危重病人的救治时间。 法国一家医院因勒索攻击关闭，重症患者紧急被转移 如果说Keralty及其子公司遭遇勒索攻击只是增加了患者的排队时间，那么法国这家医院真正因为勒索攻击而导致已经安排好的患者手术不得不临时取消，并将患者紧急转移至其他医院进行治疗。 12月初，法国卫生部宣布凡尔赛医院中心在周末遭到网络攻击，包括 Andre-Mignot 医院、Richaud 医院和 Despagne 养老院在内的凡尔赛医院中心关闭了医院，取消了部分需要进行的手术，并转移了患者，其中三名在重症监护室，三名来自新生儿病房。 根据 RFI 的网站，医院的计算机感染了勒索软件，攻击背后的勒索组织者要求赎金。但是该医疗机构公开表示，目前确实收到赎金要求，但是我们并不打算支付。警方对敲诈勒索未遂展开调查，医院方面也提出了正式投诉。 法国卫生部长Francois Braun在法新社的采访中指出，这并不是第一次袭击法国医疗保健行业的黑客攻击，“医疗系统每天都在遭受攻击”，而且“绝大多数此类攻击都被阻止了”。 在2022年8 月，巴黎东南部的一家医院 Centre Hospitalier Sud Francilien (CHSF) 在周末遭受了勒索软件攻击。这次袭击扰乱了紧急服务和手术，迫使医院将病人转诊到其他机构。据当地媒体报道，威胁行为者要求 1000 万美元的赎金，以提供解密密钥以恢复加密数据。 结语 卡巴斯基全球研究和分析团队亚太区总监Vitaly Kamluk指出，医疗机构并没有为网络安全环境的变化做好准备，他们更渴望投资新设备，而不是投资保护旧设备。不少医疗设备价格很好、质量很好，能够保证运行十年以上，但是同时意味着软件更新也很慢。 这也是勒索组织针对医疗机构频频发起攻击的原因，低门槛高回报让这些利益团队蠢蠢欲动，因此不少安全专家认为，医疗机构应该建设更加具有针对性的安全框架，以此保护IT系统和敏感数据安全，同时也要加大对网络安全的投入，积极培养员工网络安全意识，全面提升整体安全防护能力。 毕竟，这不仅仅是一个网络安全问题，更是一个事关病人就诊甚至是生命安全。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352094.html 封面来源于网络，如有侵权请联系删除

2023财年《国防授权法案》已在本周二公布。未来几天，美国国会准备就总预算8580亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。 以下是2023财年《国防授权法案》中涉及网络元素的重要内容，以及这份最新法案中一些值得注意的“遗漏”点。 积极推动前出狩猎、政务云安全、间谍软件管理等 首先，美国国会计划向网络司令部拨款4400万美元，用以加强“前出狩猎”（hunt forward）行动，这是网络司令部“持续交战”战略的组成部分。所谓“前出狩猎”，是指在网络空间与对手持续开展快速互动。网络司令部报告称，其前出狩猎行动已在全球至少35个国家50多个外国网络展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。 此次立法还要求，在国防部设立一名负责网络政策的助理部长，并且国防部长每年须向国会介绍网络司令部和国家安全局之间的合作情况。 如果总统确定有“外国势力在网络空间”针对美国政府或关键基础设施“发动积极的、系统的、持续的攻击活动”，该法案授权网络司令部可在总统批准的情况下在“外国网络空间”内开展行动。 拜登政府最近刚刚结束对“双帽”领导结构的评估。在这一架构下，国家安全局和网络司令部将由同一个人负责。虽然评估已经完成，但政府尚未对是否结束这种架构给出正式建议。 法案提出，在国务院内设立了新的网络空间和数字政策局，目前由前外交官Nate Fick负责领导。 新版《国防授权法案》还要求到2032年选举期之前，每两年发布一份非机密报告，用于介绍网络司令部在选举安全方面所做的工作。此外，法案要求由网络安全与基础设施安全局（CISA）设计并组织免费的网络安全培训。 法案还要求改革联邦风险和授权管理计划（FedRAMP），特别是其中涉及云服务商的网络安全授权制度。 法案同样关注到隐私问题，要求对美国情报部门如何使用商业间谍软件设置护栏条款。其中要求包括FBI、CIA和国家安全局（NSA）在内的各情报机构在90天内向国会提交报告，评估间谍软件对美国构成的威胁。 此次立法还扩大了国家情报总监的权力，其可以指导各情报机构如何使用间谍软件，包括禁止情报界采购或批准使用间谍软件的权力（但豁免情形可能仍然有效）。法案要求国家情报总监发布最佳实践，指导各情报机构预防间谍软件入侵。 预计白宫将在明年初发布行政令，就如何限制联邦机构使用可能构成国家安全风险的间谍软件做出指导。 两项提议未能推进 准备交付国会的法案最终版本中，也有一些例外情况。 《国防授权法案》去掉了一项修正案，即在联邦采购流程中强制提供软件材料清单（SBOM）的要求。之所以将其删除，是因为软件行业对此展开了激烈批评。 法案最初要求“一切当前合同持有人，以及响应美国国土安全部提案请求的各方，应提供材料清单并证明清单中的各项目不存在漏洞或缺陷。” 此外，直到最终表决阶段，法案仍未对“具有系统性重要意义的实体”或者重要关键基础设施的具体定义做出确切解释。这是因为一旦解释明确，则某些关键基础设施运营商将被迫接受更严格的数字安全标准。 网络空间日光浴室委员会前执行主任Mark Montgomery表示，法案中网络安全标准的退让“令人失望”。很明显，无论是Montgomery自己的呼吁，还是国土安全部长Alejandro Mayorkas对于“此类基础设施的优先级次序”的强调，都未能推动立法层面的实质性变革。   转自 安全内参，原文链接：https://www.secrss.com/articles/49855 封面来源于网络，如有侵权请联系删除

苹果公司新的iOS和iCloud安全倡议包括一种新的方式，让iMessage用户验证他们是否在与他们认为的人交谈。该公司声称，新的iMessage联系人密钥验证将让那些”面临特殊数字威胁”的人，如记者、活动家或政治家，确保他们的对话不会被劫持或窥探。 根据周三的一份新闻稿，如果iMessage对话中的两个人都启用了该功能，那么如果”一个特别先进的对手，例如国家支持的攻击者，曾经成功突破云服务器并插入他们自己的设备来窃听这些加密的通信”，他们就会收到警报。 他们还能够通过其他方式如安全电话或亲自会面来比较联系密钥，以确保他们实际上是在与对方而不是未知的第三方进行对话。这类事情长期以来一直是安全方面的最佳做法，无论你是验证下载的软件是否合法，还是为电子邮件对话设置PGP加密。 一个记者或政治家收到这个通知很可能是一个非常不好的信号，但总比不知道发生了这种情况要好。 苹果公司承认，iMessage已经成为一些国家安全机构的目标，虽然iMessage长期以来一直是端对端加密的，但也有一些注意事项和事件可能促使该平台最敏感的用户去寻找其他安全的信息应用，如Signal或WhatsApp。记者们的手机被国家层面的间谍软件盯上，可能是为了读取他们的信息。 正如批评者（包括马克-扎克伯格）所指出的，发送和接收的信息也可能包括在iCloud备份中，这取决于你或与你交谈的人的某些设置。到目前为止，这些信息并不是完全端对端加密的，所以如果苹果真的需要的话（例如法院传票要求），它可以得到你的信息。 苹果正在以其他方式解决这个问题–周三的公告还包括iCloud的高级数据保护，它为那些iCloud备份增加了端对端加密。 虽然不完全清楚iMessage联系人密钥验证是否能够帮助你的手机被高级间谍软件完全占领（尽管苹果最近推出了一个极端的锁定模式，以帮助那些可能被这些东西盯上的人），但对于希望使用iMessage进行最敏感对话的人来说，这绝对是一个进步。 然而，值得注意的是，在这一点上，iMessage仍然是一个使用苹果设备与其他使用苹果设备的人交谈的平台，许多批评者说这是该公司平台锁定战略的一部分（也是跨平台支持的其他安全信息应用如此受欢迎的部分原因）。有迹象表明，监管机构可能希望迫使苹果公司开放iMessage，该公司在理论上可以辩称，这样做会破坏对一些最脆弱用户的重要安全保护。 那么问题来了，如果你依靠iMessage来保证你的安全，那么你转而使用其他手机的可能性有多大？   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174503859681919488/ 封面来源于网络，如有侵权请联系删除

俄罗斯第二大金融机构VTB银行表示，在其网站和移动应用程序因持续的DDoS（分布式拒绝服务）攻击而下线后，他们正面临着其历史上最严重的网络攻击。 VTB发言人向塔斯社表示：”目前，VTB的技术基础设施正受到来自国外前所未有的网络攻击”。”这不仅是今年记录的最大的网络攻击，而且是银行整个历史上最大的网络攻击”。 该银行表示，其内部分析表明，此次DDoS攻击是有计划的，其具体目的是通过扰乱银行服务给客户带来不便。 目前，VTB的在线门户网站处于离线状态，但该机构表示，所有的核心银行服务都运作正常。 此外，VTB还表示客户数据目前处于受到保护状态，因为这些数据存储在其基础设施的内部边界，而攻击者并没有攻破这些边界。 该银行表示，他们已经确定大多数恶意的DDoS请求来自国外。然而，也有几个俄罗斯IP地址参与了攻击。 这意味着外国行为者要么使用当地代理进行攻击，要么设法招募当地黑客参与到其DDoS攻击活动中。 有关这些IP地址的信息已被转给俄罗斯执法部门进行刑事调查。 VTB中，国有股份占比61%，财政部和经济发展部在该集团都有股份，所以这些攻击有政治目的，是对俄罗斯政府的间接打击。 “乌克兰 IT 军”声称发动袭击 亲乌克兰的黑客组织 “乌克兰IT军 “声称对此次网络攻击负责，并在11月底在Telegram上宣布了这一活动。 这个特殊的黑客组织是在2022年2月得到乌克兰政府的正式批准成立的，意在加强该国的网络战能力。 由 “乌克兰IT军 “造成的引人注目的网络攻击包括伏特加酒生产商和经销商使用的门户网站的中断，以及俄罗斯领先的航空航天和国防集团Rostec网站的瘫痪。 亲乌克兰的黑客在11月非常活跃，针对900多个俄罗斯实体，包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。 （展示后续VTB中断） 2022年12月1日，VTB受到第一个漏洞攻击，当时黑客分子在社交媒体上发布了客户对VTB的投诉，银行试图淡化这些投诉。但是，随着银行的服务中断现在更加明显，因为网站和移动应用程序不再可用，VTB不得不公开承认它正在受到大规模网络攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351762.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国Megatrends（AMI）MegaRAC基板管理控制器（BMC）软件中披露了三种不同的安全漏洞，可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示：“利用这些漏洞的影响包括远程控制受感染的服务器，远程部署恶意软件、勒索软件和固件植入物，以及服务器物理损坏（砖砌）。” BMC是服务器中的特权独立系统，用于控制低级硬件设置和管理主机操作系统，即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标，他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C，攻击者可以访问Redfish等远程管理界面（IPMI），从而利用这些漏洞，可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259（CVSS评分：9.9），这是一种通过Redfish API执行任意代码的情况，要求攻击者在设备上拥有最低级别的访问权限（回调权限或更高）。 CVE-2022-40242（CVSS评分：8.3）与系统管理员用户的哈希有关，可以破解和滥用该哈希值以获得管理shell访问权限，而CVE-2022-2827（CVSS 评分：7.5）是密码重置功能中的一个漏洞，可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说：“[CVE-2022-2827]允许精确定位预先存在的用户，并且不会导致进入shell，但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示：“由于数据中心倾向于在特定硬件平台上实现标准化，任何BMC级别的漏洞都很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞，这些漏洞可能导致早期启动阶段（即EFI前环境）内存损坏和任意代码执行。 今年5月早些时候，Eclypsium还发现了影响Quanta Cloud Technology（QCT）服务器的所谓“Pantsdown”BMC漏洞，成功利用该漏洞可以让攻击者完全控制设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文