近日，研究人员发现了一个服务器端请求伪造（SSRF）漏洞（CVE-2024-38109），利用该漏洞可访问服务内的跨租户资源，有可能导致横向移动。 Azure 健康机器人服务（Azure Health Bot Service）是一个专为医疗机构创建和部署人工智能驱动的虚拟健康助手而设计的云平台，最近被发现存在多个权限升级漏洞。 Azure 健康机器人服务中的权限升级漏洞 Azure 健康机器人服务使医疗保健提供商能够创建面向患者的聊天机器人，与患者信息门户或医学参考数据库等外部数据源交互。Tenable 研究人员发现，旨在允许机器人与外部数据源交互的 “数据连接 “功能可通过服务器端请求伪造（SSRF）攻击被利用。 来源：tenable官网 通过利用数据连接和第三方请求 API，研究人员执行了各种测试连接，发现 Azure 的内部元数据服务 (IMDS) 等常见端点最初无法访问。 然而，通过将数据连接配置到自己控制的外部主机，并利用重定向响应（301/302 状态代码），研究人员得以绕过服务器端缓解措施，访问 Azure 的内部元数据服务 (IMDS)。 通过有效的元数据响应，研究人员获得了 management.azure.com 的访问令牌，随后通过 API 调用列出了他们可以访问的订阅。这导致列出了属于其他客户的数百个资源，显示了跨租户信息。 在向微软安全响应中心（MSRC）报告了初步发现后，研究人员确认该问题已经解决。 微软的 MSRC 确认了该报告以及研究人员的发现，并于 2024 年 6 月 17 日开始调查该问题，并在一周内发布了修复程序。截至7 月 2 日，MSRC 证实所有受影响的环境都已打上了补丁。根据微软针对 CVE-2024-38109 漏洞的安全更新指南，此 CVE 所记录的漏洞无需客户采取行动即可解决。 研究人员重新测试了最初的概念验证，发现修复方法只是拒绝数据连接端点的重定向状态代码，从而消除了攻击载体。 然而，在测试过程中，FHIR（快速医疗互操作性资源）端点的验证机制中又发现了第二个漏洞。虽然这个问题的影响有限，但研究人员立即停止了调查，并向微软报告了这一发现，选择尊重 MSRC 关于访问跨租户资源的指导意见。该问题的修复程序已于 7 月 12 日前完成。 研究人员澄清说，他们发现的漏洞涉及人工智能聊天机器人服务底层架构中的弱点，而不是人工智能模型本身。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 8 月补丁日，本次升级针对 89 个漏洞的安全更新，其中包括六个被积极利用的漏洞和三个公开披露的0day漏洞。微软仍在努力为第十个公开披露的0day漏洞开发补丁。 本次补丁日修复了八个严重漏洞，这些漏洞涉及权限提升、远程代码执行和信息泄露。 各个漏洞类别的漏洞数量如下： 36 个特权提升漏洞 4 个安全功能绕过漏洞 28 个远程代码执行漏洞 8 个信息泄露漏洞 6 个拒绝服务漏洞 7 个欺骗漏洞 上面列出的漏洞数量并不包括本月早些时候披露的 Microsoft Edge 漏洞。 本月补丁日修复了六个被积极利用的0day漏洞和另外三个公开披露的0day漏洞。目前，另一个公开披露的0day漏洞仍未修复，但微软正在开发更新。 以下是六个新修补的0day漏洞： CVE-2024-38178— Windows 脚本引擎中的内存损坏漏洞允许远程代码执行攻击，如果经过身份验证的客户端被诱骗点击链接，未经身份验证的攻击者便可发起远程代码执行。据 Microsoft 称，要成功利用此漏洞，攻击者需要先准备目标，使其在 Internet Explorer 模式下使用 Edge。CVSS 7.5/10。 Ahn 实验室和韩国国家网络安全中心报告了这一0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。 CVE-2024-38189— Microsoft Project 中存在一个远程代码执行漏洞，攻击者可通过恶意操纵的 Microsoft Office Project 文件利用此漏洞，在禁用“通过 Internet 策略阻止宏在 Office 文件中运行”且未启用“VBA 宏通知设置”的系统上执行远程代码执行。CVSS 8.8/10。 微软表示，攻击者需要诱骗用户打开恶意文件，例如通过网络钓鱼攻击或引诱用户访问托管该文件的网站。 CVE-2024-38107 — Windows 电源依赖性协调器中的权限提升漏洞被评为“重要”，CVSS 严重性评分为 7.8/10。“成功利用此漏洞的攻击者可以获得系统权限.”微软表示，但没有提供任何 IOC 或其他漏洞利用遥测数据。 CVE-2024-38106 – 已检测到针对此 Windows 内核特权提升漏洞的攻击，该漏洞的 CVSS 严重性评分为 7.0/10。“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得系统权限。”此0day漏洞已匿名报告给 Microsoft。 CVE-2024-38213— 微软将其描述为 Windows Mark of the Web 安全功能绕过，在主动攻击中被利用。“成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。” CVE-2024-38193– Windows 辅助功能驱动程序中 WinSock 的权限提升安全缺陷正在被广泛利用。目前尚不清楚技术细节和 IOC。成功利用此漏洞的攻击者可以获得系统权限。 微软还敦促 Windows 系统管理员紧急关注一批严重漏洞，这些问题使用户面临远程代码执行、权限提升、跨站点脚本和安全功能绕过攻击。 其中包括Windows 可靠多播传输驱动程序(RMCAST)中的一个主要缺陷，该漏洞会带来远程代码执行风险 (CVSS 9.8/10)；Windows TCP/IP 远程代码执行严重缺陷，CVSS 严重性评分为 9.8/10；Windows 网络虚拟化中两个独立的远程代码执行问题；以及Azure Health Bot中的信息泄露漏洞(CVSS 9.1)。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p6babzoONUHIA413JpVQyA 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员在 Amazon Web Services （AWS） 产品中发现了多个严重漏洞，如果成功利用这些漏洞，可能会导致严重后果。 根据云安全公司Aqua在与The Hacker News分享的一份详细报告，这些漏洞的影响范围包括远程代码执行（RCE）、全方位服务用户接管（可能提供强大的管理访问权限）、操纵人工智能模块、暴露敏感数据、数据泄露和拒绝服务攻击。 其中，研究人员发现最核心的问题是一种被称为“桶垄断（Bucket Monopoly）的影子资源攻击载体，能在使用 CloudFormation、Glue、EMR、SageMaker、ServiceCatalog 和 CodeStar 等服务时自动创建 AWS S3 存储桶。 由于以该方式创建的 S3 存储桶名称具有唯一性，又遵循预定义的命名规则，攻击者可利用此行为在未使用的 AWS 区域中设置存储桶，并等待合法的 AWS 客户使用上述易受攻击的服务之一来秘密访问 S3 存储桶的内容。 根据攻击者控制的S3存储桶权限，该攻击方法可用于升级以触发 DoS 条件，或执行代码、操纵或窃取数据，甚至在受害者不知情的情况下完全控制其账户。 不过，攻击者必须等到受害者首次在新区域部署新的 CloudFormation 堆栈才能成功发起攻击。而修改 S3 存储桶中的 CloudFormation 模板文件以创建恶意管理员用户还取决于受害者账户是否具有管理 IAM 角色的权限。 Aqua 表示，这种攻击方式不仅影响 AWS 服务，还影响企业组织在AWS 环境中部署的许多开源项目。Aqua还发现其他五项 AWS 服务依赖于类似的 S3 存储桶命名方法，从而容易遭受影子资源攻击： AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} 这些漏洞于2024年2月首次得到披露，亚马逊在3月—6月期间对这些漏洞进行了修复，相关研究成果已在近期举行的2024美国黑帽大会上进行了公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/408363.html 封面来源于网络，如有侵权请联系删除

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亨利·施恩公司在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿，并泄露了大量用户数据。 安全内参8月8日消息，美国医疗保健分销商、财富500强企业亨利·施恩（Henry Schein）日前下调了其年度利润预期。这家牙科和医疗设备分销商警告称，从去年10月披露的网络攻击中恢复正常的速度较慢。 该公司股价在盘前交易中下跌至64.50美元，跌幅达7.3%。 在网络安全漏洞发生后，亨利·施恩将一些系统下线，通知了当局并聘请了专家，事件还扰乱了其制造和分销业务。 伦敦证券交易所数据显示，该事件对公司今年的财务表现产生了持续影响，第二季度收入为31.4亿美元，低于分析师预估的32.7亿美元。 首席执行官Stanley Bergman表示：“我们在分销业务中的销售趋势正在改善，但自去年年底的网络事件以来，这些业务的恢复速度比预期的要慢。” 勒索攻击造成重大损失 亨利·施恩最初在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿。BlackCat组织声称，泄露了包括DEA号码、个人身份信息（PII）数据和供应商银行账户在内的敏感数据。 尽管公司努力恢复，网络攻击者在去年11月14日再次发动攻击。威胁行为者声称，此次造成超过5亿美元的损失。 值得注意的是，ALPHV/BlackCat组织声称对亨利·施恩进行了两次重新加密，并预告了第三次攻击。然而，几天后，BlackCat从其泄露网站上移除了亨利·施恩，这表明公司可能支付了赎金，但没有官方声明证实这一点。 黑客组织在去年12月再次通过其暗网频道更新了亨利·施恩数据泄露的情况。同月，亨利·施恩公司向美国缅因州总检察长报告称，数据泄露影响了超过2.9万人的个人信息。 公司下调营收预期 亨利·施恩将其年度利润预期从此前的每股5美元至5.16美元下调至每股4.70美元至4.82美元。分析师预计利润为每股5.06美元。 公司表示，现在预计全年销售额将增长4%至6%，而此前的预测为增长8%至10%。按照公司2023财年总营收123.39亿美元计算，2024财年总营收预期下调了4.93亿美元（约合人民币35.4亿元）。 亨利·施恩的牙科部门第二季度销售额下降了1.7%，至19.2亿美元，低于预期的19.9亿美元。 其医疗部门的销售额也下降了5%，至9.98亿美元，低于预期的10.7亿美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68973 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）已经结束了对 Progress 软件公司处理 MOVEit Transfer 的0day漏洞被广泛利用、导致 9500 多万人数据泄露事件的调查。 Progress Software 在提交给美国证券交易委员会的最新 FORM 8-K 文件中表示，美国证券交易委员会执法部将不建议对这起安全事件采取任何执法行动。 美国证券交易委员会周四晚间提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” “如前所述，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞有关的各种文件和信息。” 美国证券交易委员会（SEC）正在对 Progress Software 公司在应对通过 MOVEit Transfer 软件存在的0day漏洞引发的大规模数据盗窃攻击过程中所采取的措施进行调查。 据BleepingComputer首次报道，在 2023 年烈士纪念日假期期间，Clop 勒索软件团伙利用0day漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的Emsisoft称，超过 2,770 家公司和 9500 万人的数据通过0day漏洞被窃取。 由于攻击影响广泛，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金，攻击对象包括政府机构、金融公司、医疗保健机构、航空公司和教育机构。 尽管美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然面临马萨诸塞州联邦法院的数百起集体诉讼 。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除