Bleeping Computer 网站披露，OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786，主要影响 OpenSSL 3.0.0 及更高版本，现已在 OpenSSL 3.0.7 中得到解决。 据悉，CVE-2022-3602 是一个任意 4 字节堆栈缓冲区溢出漏洞，可能导致拒绝服务或远程代码执行。CVE-2022-3786 可以被攻击者通过恶意电子邮件地址利用，通过缓冲区溢出触发拒绝服务状态。 OpenSSL 团队表示，虽然目前没有证据表明这两个漏洞已经被利用，但鉴于其具有很高的危险性，希望受影响用户尽快安装更新升级补丁，以免遭受网络威胁。此外，OpenSSL 还提供了一些其它缓解措施，例如直到应用新补丁前，要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。 CVE-2022-3602 漏洞危险指数下降 值得一提的是，OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞，但之后鉴于 CVE-2022-3602 已被降级为高度严重，况且它只影响 OpenSSL 3.0 及更高版本，另外与 OpenSSL 密码库早期版本相比，最近发布的版本也尚未大量部署到生产中使用的软件上，因此造成的实际影响可能很有限， 尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞，但在Censys 在线发现的 1793000 多个主机中，只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本，Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。 此外，云安全公司 Wiz.io 也表示，在分析了主要云环境（AWS、GCP、Azure、OCI和阿里巴巴云）中的部署后，发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。 流行 CSP 中存在漏洞的 OpenSSL 实例 最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中，其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞，荷兰国家网络安全中心目前也正在确认一份受 CVE-2022-3602 漏洞影响的软件产品清单。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348558.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周二表示，它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞，该漏洞启用了完全读写访问权限。 这家科技巨头表示，该漏洞于2022年8月12日出现，并于2022年10月6日在全球范围内得到纠正，两天后，Orca Security披露了该漏洞，并将其称为CosMiss。 研究人员Lidor Ben Shitrit和Roee Sagi说：“如果攻击者知道笔记本的‘forwardingId’，即笔记本工作区的UUID，他们将拥有笔记本的完全权限，而无需进行身份验证，包括读写访问权限，以及修改运行笔记本的容器的文件系统的能力。” 此容器修改最终可以通过覆盖与Cosmos DB 资源管理器相关联的Python文件来生成反向 shell，从而为在笔记本容器中获取远程代码执行铺平道路。 然而，要想成功利用该漏洞，攻击者必须拥有唯一的128位forwardingId，并在一小时内使用该id，之后临时笔记本将自动删除。 Redmond说：“即使知道forwardingId，该漏洞也无法执行笔记本，无法自动将笔记本保存在受害者（可选）连接的GitHub存储库中，也无法访问Azure Cosmos DB帐户中的数据。” 微软在自己的公告中指出，它没有发现恶意活动的证据，并补充说客户不需要采取任何行动。它还将该问题描述为“难以利用”，因为128位forwadingID的随机性及其有限的使用寿命。 “不使用Jupyter Notebooks的客户（99.8%的Azure Cosmos DB客户不使用Jupyter Notebooks）不容易受到此漏洞的影响。”该公司进一步表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员透露，Fodcha分布式拒绝服务（DDoS）僵尸网络背后的威胁者以新功能重新出现。 根据奇虎360网络安全研究实验室在上周发表的一份报告中说，新的功能包括对其通信协议的修改和勒索加密货币付款以换取停止对目标的DDoS攻击的能力。 Fodcha在今年4月初首次曝光，该恶意软件通过安卓和物联网设备的已知漏洞以及薄弱的Telnet或SSH密码进行传播。 目前，Fodcha已经演变成一个大规模的僵尸网络，拥有超过6万个活跃节点、40个命令和控制（C2）域，可以 “轻松产生超过1 Tbps的流量”。 据说活动高峰发生在2022年10月11日，当时该恶意软件在一天内针对1396台设备。 自2022年6月底以来，该僵尸网络挑出的首要国家包括中国、美国、新加坡、日本、俄罗斯、德国、法国、英国、加拿大和荷兰。 目标范围从医疗机构和执法机构到知名的云服务商，他们被攻击的流量超过1 Tbps。 Fodcha的演变还伴随着新的隐蔽功能，这些功能可以加密与 C2 服务器的通信并嵌入赎金要求，使其成为更强大的威胁。 Fodcha重用了大量Mirai的攻击代码，并支持总共17种攻击方法。 这些发现是在Lumen Black Lotus实验室的一项新研究中指出，无连接轻量级目录访问协议（CLDAP）被日益滥用，以放大DDoS攻击的规模。 为此，已经发现了多达12142个开放的CLDAP反射器，其中大部分分布在美国和巴西，其次是德国、印度和墨西哥。 在一个实例中了解到，与北美一家未命名的区域零售企业相关的 CLDAP 服务将“有问题的流量”引导至广泛的目标超过 9 个月，发出高达 7.8 Gbps 的 CLDAP 流量。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348438.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司。 HENSOLDT France公司为法国和国外的航空、国防、能源和运输部门提供各种关键电子解决方案、产品和服务，无论是航空、海军还是陆地应用。 根据公司网站，HENSOLDT France公司提供任务管理系统、世界级传感器、嵌入式系统；测试与仿真；氢气和电力转换、命令与控制、机械解决方案、支持和咨询以及安全通信和网络安全。 该公司开发特定的电子解决方案，并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准，以及测试、集成和仿真解决方案，以确保关键系统的开发。 Snatch勒索软件组织将HENSOLDT France添加到其Tor泄密网站公布的受害者名单中。 该组织发布了被盗数据样本（94 MB）作为黑客攻击的证据。 Snatch勒索软件于2019年底首次被发现，Sophos研究人员发现了该勒索软件可以将感染的计算机重新启动到安全模式，以绕过常驻安全解决方案。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 三星设备的Galaxy Store应用程序中披露了一个现已修补的安全漏洞，该漏洞可能会导致受影响手机上的远程命令执行。 该漏洞影响Galaxy Store 4.5.32.4版本，与处理某些深层链接时发生的跨站点脚本（XSS）漏洞有关。 SSD Secure Disclosure在上周发布的一份公告中表示：“在这种情况下，由于没有安全检查深度链接，当用户从包含深度链接的网站访问链接时，攻击者可以在Galaxy Store应用程序的web视图上下文中执行JS代码。” XSS攻击允许攻击者在从浏览器或其他应用程序访问网站时注入并执行恶意JavaScript代码。 Galaxy Store应用程序中发现的漏洞与三星营销和内容服务（MCS）的深度链接配置有关，这可能导致注入MCS网站的任意代码执行。 然后，当访问该链接时，可以利用此功能在三星设备上下载和安装恶意软件应用程序。 研究人员指出：“为了能够成功利用受害者的服务器，有必要使用HTTPS和CORS绕过chrome。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一个新的开源工具”S3crets Scanner “扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 “秘密”。 亚马逊S3（简单存储服务）是一项云存储服务，通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶，从而导致存储的数据公开暴露在互联网上。 这种类型的错误配置已经造成了数据泄露，威胁者获得了员工或客户的详细资料、备份和其他类型的数据。除了应用程序数据外，S3桶中的源代码或配置文件也可能包含 “秘密”，即认证密钥、访问令牌和API密钥。如果这些秘密被威胁者暴露和访问，可能会对其他服务甚至公司的企业网络进行更大的访问。 扫描S3的秘密 在一次检查世嘉最近的资产暴露的演习中，安全研究员Eilon Harel发现没有扫描意外数据泄露的工具存在，所以他决定创建自己的自动扫描器，并将其作为开源工具发布在GitHub。 为了帮助及时发现公共S3桶上暴露的秘密，Harel创建了一个名为 “S3crets Scanner “的Python工具，自动执行以下操作。 使用CSPM来获取公共桶的列表 通过API查询列出桶的内容 检查是否有暴露的文本文件 下载相关的文本文件 扫描内容中的秘密 将结果转发给SIEM 扫描工具将只列出以下配置设置为 “False “的S3桶，这表示暴露可能是意外的。 “BlockPublicAcls” “BlockPublicPolicy” “IgnorePublicAcls” “RestrictPublicBuckets” 在为 “秘密扫描 “步骤下载文本文件之前，任何打算公开的桶都被从列表中过滤掉。 当扫描一个桶时，脚本将使用Trufflehog3工具检查文本文件的内容，这是一个基于Go的改进版秘密扫描器，可以检查GitHub、GitLab、文件系统和S3桶上的凭证和私钥。 Trufflehog3使用Harel设计的一套自定义规则扫描S3crets下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。 当定期用于扫描一个组织的资产时，研究人员认为 “S3crets扫描器 “可以帮助企业最大限度地减少因秘密暴露而导致的数据泄露或网络漏洞。 最后，该工具还可用于白帽行动，如扫描可公开访问的桶，并在攻击者发现秘密之前通知其所有人。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348371.html 封面来源于网络，如有侵权请联系删除

安全内参10月31日消息，德国铜生产商Aurubis（中文名为奥鲁比斯）宣布遭受网络攻击，被迫关闭IT系统以防止影响蔓延。 Aurubis是欧洲最大、世界第二的铜生产商，在全球拥有6900名员工，年产阴极铜100万吨。 Aurubis已经在官网上发布公告，称虽然各地IT系统已经关闭，但正常生产并未受到影响。 公告中指出，“冶炼厂的生产和环保设施正在运行，进出货物也已转入人工维护。” 目前，该公司仍在评估网络攻击引发的影响，并与政府当局密切合作以加快调查进度。 Aurubis的当务之急是将产量保持在正常水平，保证原材料供应和制成品的平稳交付。 为此，该公司已经将部分操作转为手动模式，希望能在计算机辅助自动化功能重新上线之前，尽量保持冶炼厂货物的正常进出。 Aurubis公司指出，暂时无法估算需要多长时间才能让全体系统恢复正常运行。 在全面复原之前，该公司计划建立过渡性解决方案，为自身及客户提供暂时沟通渠道。目前，联络Aurubis的唯一途径只剩下电话呼叫。 尽管种种迹象表明这似乎是一起勒索软件攻击，但Aurubis方面并未提供关于攻击细节的任何说明。 值得注意的是，Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。 外媒已经联系该公司，希望了解关于此次事件的更多消息，并将第一时间带回置评回复。 最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月，当时LockerGoga团伙实施攻击，迫使铝业巨头Norsk Hydro关闭了自家IT系统。 转自 安全内参，原文链接：https://www.secrss.com/articles/48497 封面来源于网络，如有侵权请联系删除

据《每日邮报》10月30日报道，英国前首相利兹·特拉斯（Liz Truss）的私人手机在夏季竞选时被俄罗斯间谍入侵。消息人士称，手机受到严重破坏，如今它被放置在政府部门的保险箱中。为了应对黑客攻击，特拉斯上任不久后更换了手机号码。 《每日邮报》称网络间谍已经获得了特拉斯与主要国际合作伙伴的机密交流信息、和英国保守党政治家夸西·科沃滕（Kwasi Kwarteng）的私人对话、对约翰逊的批评等，这些信息可能被用来勒索特拉斯。 专家还认为，被窃信息包括特拉斯与国际外交部长就乌克兰冲突进行的对话，可能与武器运输有关。 在特拉斯担任外交大臣并竞选保守党党魁期间，网络间谍入侵了特拉斯的手机。时任英国首相的鲍里斯·约翰逊（Boris Johnson）和内阁秘书西蒙·凯斯（Simon Case）决定对这次黑客攻击保密。 “如果外交大臣的手机可以如此轻易地被网络间谍入侵，这对情报部门来说不是一件好事。”《每日邮报》表示。这一事件引起了英国政府内部的担忧，议员们担心信息被窃取并泄露后造成的后果。 政府发言人试图淡化这一事件，解释称政府有强有力的措施来保护其基础设施免受网络威胁。“我们不评论个人的安全意识和措施。政府拥有强大的系统来防范网络威胁。我们为部长们定期提供安全简报和个人数据保护建议。”发言人补充。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348338.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，德国联邦刑事警察局（BKA）在巴伐利亚逮捕一名 22岁的学生，警方怀疑该名学生是德国最大暗网市场之一Deutschland im Deep Web’（DiDW）的管理员。 据悉，DiDW 平台已于 2022 年 3 月正式下线，一共积累了约 16000 名注册用户，28000 个帖子，售卖武器、毒品等违禁商品的72名卖家。 Deutschland im Deep Web 历史 DiDW 平台于 2013 首次推出，最初定位是一个讨论 IT 安全的论坛，经过不断发展，在 2017 年迎来了高峰期，当时注册用户达到 23000 人，每月点击量更是高达 600 万。 随后，部分网络犯罪分子盯上了 DiDW 平台，利用平台销售武器和毒品等非法物品，并使用托管系统进行支付，以保护成员免受欺诈性列表的影响，这种情况使 DiDW 实质上成为一个以论坛为幌子的暗网市场。 在 BKA 发布的逮捕公告中提到了一个例子，2016 年，一名慕尼黑枪手利用该平台采购了凶器和弹药，事件发生后不久，DiDW 平台于 2017 年被执法部门关闭，其背后经营者被逮捕并被判处七年监禁。 2018 年，DiDW 平台使用 “没有控制，一切允许”作为口号，在暗网上推出了两个新版本，暗示新的运营商不再关心掩盖网站的非法活动。值得一提的是，2019 年，在没有给出任何理由的情况下，第二个迭代的 DiDW 自行关闭了，仅仅十天后，第三个迭代版本作为暗网市场品牌的正式继承者开始在网上出现。 最终，经过五年调查，德国联邦刑事警察局成功确认了第三版 DiDW 的管理员，并于 2022 年 10 月 25 日将其逮捕，嫌疑人将面临经营非法交易平台的刑事指控，最高可能被判处十年监禁。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348356.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 新西兰航空公司遭遇安全漏洞，事件发生后，多名客户的账户被锁定，黑客试图通过实施撞库攻击攻击来访问客户的帐户。 什么是撞库？ “撞库是一种网络攻击，黑客利用自动化和泄露的用户名和密码列表来破坏身份验证和授权机制，最终目标是帐户接管（ATO）和/或数据泄露。换句话说，攻击者收集泄露的用户名和密码列表，并针对所需的登录名进行运行，直到找到一些有效的登录名。他们进入这些帐户的目的是滥用权限、窃取数据或两者兼而有之。” 新西兰航空公司首席数字官Nikhil Ravishankar指出，黑客没有入侵任何公司的系统，只有个人账户受到影响。 据Stuff.co.nz网站报道，“这个违规行为只发生在新西兰航空公司的少数客户身上，诈骗者没有访问任何欺诈交易或敏感信息。” 他说：“账户被锁定，并联系了客户，建议他们在再次使用Airpoints系统之前更改登录详细信息。” 该公司敦促客户在再次使用Airpoints系统之前更改密码，并更改使用相同“Air NZ”密码的所有帐户的密码。 Ravishankar补充道：“这是一个常见的问题，人们使用相同的电子邮件地址和密码进行多次在线登录，并且不定期更新密码或使用多因素身份验证等功能。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文