网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

日前，Gartner 发布了最新的安全运营成熟度曲线报告（Gartner Hype Cycle for Security Operations, 2024），报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分，为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。 此次报告出现了像对抗性暴露面验证，暴露面评估平台这些新的技术热点，也有过去被认为大热的技术比如 SOAR，在达到成熟大面积应用之前就已过时。 Gartner Hype Cycle for Security Operations, 2024： 面对不断变化的威胁态势，企业率先采用新兴技术可能获得巨大收益，另一方面也可能承担更大的风险，因此识别技术投入的优先级变得尤为重要。 Gartner 根据对企业产生的价值以及技术的目标市场覆盖度，对这些技术进行了应用优先级评估，从而帮助企业安全或信息负责人制定安全战略路线，在恰当时间做出更明智的投资决策。 Gartner Hype Cycle for Security Operations, 2024： 优先级矩阵 新出的这份报告，有几点关键洞察值得关注： TEM、CPS 安全、CAASM 进入期望膨胀期（Peak of Inflated Expectations），需谨慎 Gartner 认为全球企业对于攻击面的关注达到了顶峰，企业利用威胁暴露面管理（TEM）、网络资产攻击面管理（CAASM）、网络物理系统安全（CPS），以及渗透测试即服务（Penetration Testing as a Service）等不同的技术，来提升对于不断扩大的攻击面的可见性，或者验证网络的弹性。 但是，对于这些正处在期望膨胀期的安全技术，Gartner 的建议是企业内部需要提前考虑清楚自身的需求，再开始寻找供应商，或向安全厂商提具体的需求，不然最后很可能受到对当前技术过高的期待影响，而产生一些不切实际的期待。 MDR、NDR、TI 及 CO-MMS 市场价值显著，稳步爬升 对于托管检测和响应服务（MDR）、网络检测和响应（NDR）、威胁情报（Threat Intelligence）以及共管监控服务（Co-Managed Monitoring Services）这几项技术，早期的采用者已经克服了此前的各种障碍，2024年开始为企业带来显著的价值和收益，焕发了新的生机。 例如，像威胁情报技术对企业属于高收益，目标用户市场渗透率已达到20%-50%，当前已进入成熟主流阶段。对于处在该阶段的安全技术，Gartner建议重点进行评估及应用，弥补企业自身在威胁检测以及情报应用上成熟度的不足。 XDR、SOAR 等进入泡沫破裂低谷期（Trough of Disillusionment），需重新评估 2024 年，安全负责人需要对这几项技术进行重新评估，例如数字取证与事件响应（Digital Forensics and Incident Response)，应用过这些技术的大多数企业都出现过被过度承诺结果的情况。 再比如外部攻击面管理（External Attack Surface Management)，身份威胁检测和响应（Identity Threat Detection and Response），在实际应用的过程中，甲方企业对这些技术进行消费和运营业务输出时，准备不足。 对于安全编排自动化响应（SOAR）以扩展检测和响应 (XDR)，面临的问题主要是采用的这些技术跟不上持续变化的需求。 Gartner 建议，企业既需要重新评估这些技术，也需要提升对预算分配与规划的合理性。 EDR、SIEM 进入生产成熟期（Plateau of Productivity） 报告指出，终端检测与响应（EDR）、安全信息与事件管理（SIEM)两项技术目前均已达到成熟阶段，其中 EDR 对于企业而言收益高，且目标用户市场渗透率达到了 50%；而SIEM目前的目标用户市场渗透率达到 20%-50%。 Gartner 认为处于这个阶段的技术已得到广泛应用，而且技术价值和优势也得到了充分证明，建议安全风险部门负责人充分利用该阶段技术降低风险，并将其功能整合应用到更大范围的安全运用生态体系中。 尽管这份报告可以看作是全球安全运营技术的风向标，但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”，并不完全同频。 例如国内终端安全管理平台更多以杀软、桌管包装成 EDR，真正的 EDR 技术在国内尚处于起步阶段，只有少数厂商聚焦在高精准度的 EDR 能力上；国内安全服务市场，更多以 MSS 安全托管服务为主，MDR 发展相对较为早期，企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。   转自Freebuf，原文链接：https://www.freebuf.com/news/407888.html 封面来源于网络，如有侵权请联系删除

近日，达美航空的首席执行官Ed Bastian公开表示，由于CrowdStrike的技术故障，导致该航空公司遭受了高达5亿美元的损失，达美航空已经向CrowdStrike和微软发出了诉讼准备通知。 在7月19日CrowdStrike错误更新引发的全球IT系统崩溃中，美国主要航空公司包括达美航空、联合航空和美国航空都于上周五当日上午短暂停飞。 联合航空和美国航空在周末迅速恢复了运营，而达美航空却花费了比其他航空公司更长的时间恢复运营，其航班中断持续到了接下来的一周，累积取消了超过6000个航班，严重影响了业务正常运行。此外，由于运营混乱期间客户服务质量低下，达美航空还引来了美国运输部的调查。 据报道，达美航空已经聘请了知名律师David Boies，向CrowdStrike和微软发出了诉讼准备通知。Bastian在接受CNBC采访时强调，达美航空别无选择，只能寻求让CrowdStrike赔偿（5亿美元）损失。他指出，除了收入损失外，达美航空还承担了（因航班中断和延误导致的）数千万美元的赔偿和酒店费用。 然而，CrowdStrike坚决否认对此次事故负有全部责任，并指责达美航空试图“甩锅”。 在一封回应达美航空的公开信中，CrowdStrike表示，达美航空对事故的描述带有误导性。 CrowdStrike的律师Michael Carlinsky在上周日的一封信中表示，达美航空编造了一种“误导性的说法”，称CrowdStrike在这次事故中“严重疏忽”，导致达美航空在这次事故中损失了5亿美元。 根据GoUpSec此前的报道，CrowdStrike始终否认该事件是“安全事件”，同时否认自身存在严重过失。 虽然上周三CrowdStrike发布的初步事件调查报告（PIR）的结果显示其更新工具和测试流程存在严重漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。相反，CrowdStrike认为自己在事件响应中的表现堪称行业楷模，业务严重中断是达美航空自身问题。 CrowdStrike的律师指出，如果采取法律行动，达美航空将不得不解释为何其竞争对手能够更快地恢复运营。他还警告达美航空：“如果达美航空选择这条路，它就必须向公众、股东以及最终的陪审团解释，为什么CrowdStrike能够积极对其行为承担责任，而且是迅速、透明和建设性的，而达美航空却没有。” 面对达美航空的巨额索赔，CrowdStrike还强调，其合同责任上限在“数百万美元”范围内，而非达美航空所声称的5亿美元。 CrowdStrike进一步表示，在事件发生后，他们曾向达美航空提供现场支持，但被告知不需要。同时，CrowdStrike要求达美航空保留与此次事件以及过去五年内其他IT问题相关的所有文件和记录。 目前，达美航空仍在进行内部分析，以汲取此次事件的教训。有业内人士指出，达美航空的遭遇不仅暴露了关键信息基础设施和企业IT系统的脆弱性，也凸显了关键业务过于依赖技术合作伙伴的风险。 达美航空首席执行官Bastian也坦承，达美航空过于依赖微软和CrowdStrike，是该公司遭受如此严重损失的主要原因。他在上周致员工的信中写道，达美航空的IT、运营和客户服务团队正在对此次事件进行深入分析，以期从中吸取教训。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FAoPVv7LRhO8gbsisW1SMQ 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员发现了一种之前从未见过的间谍软件，这种被称为 LianSpy 的恶意软件至少自 2021 年以来就一直活跃，但由于其“复杂的规避技术”，直到今年春天才被发现和分析。该软件针对俄罗斯的 Android 用户，并且可能会部署到其他地区。 卡巴斯基称，他们在俄罗斯发现了 10 个间谍软件目标，但拒绝透露受害者是谁。研究人员表示，这不是大规模间谍活动，而是间谍软件操作员感染了特定目标。 该工具的开发者和购买者目前仍不得而知。卡巴斯基称，攻击者只使用公共服务（例如俄罗斯 Yandex Disk 云服务）而不是私人基础设施来窃取被盗数据和存储配置命令，因此很难“确定哪个黑客组织是这些攻击的幕后黑手”。 研究人员在周一发布的报告中表示：“LianSpy 背后的黑客采用了多种规避策略，例如利用俄罗斯云服务 Yandex Disk 进行 C2 通信。他们避免使用专用基础设施，并使用许多其他功能来防止间谍软件被发现。其中一些功能表明 LianSpy 很可能是通过未知漏洞或直接物理访问目标手机来部署的。” LianSpy 的功能 LianSpy 会伪装成系统应用程序或金融服务，例如支付宝数字支付应用程序。 如果间谍软件作为系统应用程序运行，它会自动获得进一步利用所需的权限；否则，它会请求屏幕覆盖、通知、后台活动、联系人和通话记录的权限。 一旦激活，该间谍软件会将其图标隐藏在主屏幕上，并使用管理员权限在后台运行。该间谍软件通过拦截通话记录、向攻击者的服务器发送已安装应用程序列表以及记录智能手机屏幕（主要是在 Messenger 活动期间）来悄无声息地秘密监视用户活动。 卡巴斯基表示，LianSpy 是一种后利用恶意软件，这意味着攻击者要么利用 Android 设备中未知的漏洞，要么通过获取受害者智能手机的物理访问权限来修改固件。 目前尚不清楚黑客如何使用他们获得的数据，但他们确保将这些数据安全地存储在他们的服务器上。为此，他们使用了一种加密方案，只有攻击者才能解密被盗信息。 由于用于过滤通知的关键短语部分为俄语，并且 LianSpy 的一些默认配置包括俄罗斯流行的消息应用程序的软件包名称，因此研究人员将这款间谍软件引向了俄罗斯。然而，“这款间谍软件采用的非常规方法也可能适用于其他地区。” 去年 6 月，卡巴斯基发现了另一起间谍活动，名为“三角测量行动”，该活动利用了 Apple 设备中的两个漏洞。该活动自 2019 年以来一直活跃，通过发送带有恶意附件的 iMessage 来攻击目标。 俄罗斯政府将“三角测量行动”行动归咎于美国，声称美国入侵了“数千部苹果手机”，以监视俄罗斯外交官。苹果否认了这些说法，卡巴斯基也没有将“三角测量行动”归咎于任何政府或已知的黑客组织。 卡巴斯基首席执行官尤金·卡巴斯基将之前的攻击活动描述为“一次极其复杂、专业针对性的网络攻击”，影响了“公司高层和中层管理人员等数十名员工的 iPhone”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/au1SPmbe1WU7_rfWxWzTmA 封面来源于网络，如有侵权请联系删除

5 月 6 日美国知名电子制造服务公司Keytronic 披露了一次数据泄露事件，称一勒索软件团伙从其网络内窃取了信息，导致该公司的美国和墨西哥的业务暂停了两周。该公司还指出由于此次网络攻击，其已向外部网络安全专家支付了约 60 万美元，并且生产中断以及与恢复和补救工作相关的费用可能会对其第四季度财务业绩产生重大影响。 近期，Keytronic 透露，最近的勒索软件攻击造成的额外费用和收入损失总计超过 1700 万美元。 该公司在2024财年第四季度的初步财务报告中披露了与该事件相关的成本。 Keytronic 表示：“由于这一事件，公司产生了约 230 万美元的额外费用，并认为第四季度损失了约 1500 万美元的收入。”但该公司补充道，“这些订单大部分都是可以收回的，预计将在 2025 财年完成。本季度的 70 万美元的保险收益可以抵消部分额外费用。” 虽然Keytronic并未透露是哪一组织造成了有关数据泄露，但勒索软件组织Black Basta在泄密网站上公布了从该公司窃取超过 500 GB 的数据后，该事件就被披露了。 Black Basta 声称对 Keytronic 发起攻击，并窃取了超过 500 GB 的数据，包括财务文件、工程文件、人力资源信息和其他类型的公司数据。 Keytronic 专注于精密塑料成型、精密金属加工和装配服务，为计算机、电信、医疗、工业、汽车和航空航天领域制造精密零件。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员发现了一个以前未记录的 Windows 后门，它利用名为后台智能传输服务 ( BITS )的内置功能作为命令和控制 (C2) 机制。 Elastic Security Labs 于 2024 年 6 月 25 日发现了这一新发现的恶意软件，该恶意软件与针对南美某政府外交部的网络攻击有关。该活动集群被标记为 REF8747 。 安全研究人员 Seth Goodwin 和 Daniel Stepanic表示：“本文发布时，后门的最新版本具有 35 种处理程序功能，包括键盘记录和屏幕捕获功能。此外，BITSLOTH 还包含许多用于发现、枚举和命令行执行的不同功能。” 据评估，该工具自 2021 年 12 月开始开发，被攻击者用于数据收集目的，目前尚不清楚幕后黑手是谁。 攻击者使用了名为RingQ的开源工具。RingQ 用于加密恶意软件并防止被安全软件检测，然后解密并直接在内存中执行。 2024 年 6 月，安实验室安全情报中心 (ASEC)透露，存在漏洞的 Web 服务器被利用来投放 Web Shell，然后利用这些 Web Shell 通过 RingQ 投递其他有效载荷，包括加密货币挖矿机。 此次攻击还因使用 STOWAWAY 通过 HTTP 代理加密的 C2 流量和名为 iox 的端口转发实用程序而引人注目，后者此前曾被名为Bronze Starlight（又名 Emperor Dragonfly）的网络间谍组织在 Cheerscrypt 勒索软件攻击中利用。 BITSLOTH 采用 DLL 文件（“flengine.dll”）的形式，通过使用与 Image-Line 关联的合法可执行文件（称为FL Studio（“fl.exe”），使用 DLL 侧加载技术进行加载。 研究人员表示：“在最新版本中，开发人员添加了一个新的调度组件，以控制 BITSLOTH 在受害者环境中运行的具体时间。这是我们在其他现代恶意软件家族（如EAGERBEE ）中观察到的功能。” BITSLOTH 是一个功能齐全的后门，能够运行和执行命令、上传和下载文件、执行枚举和发现以及通过键盘记录和屏幕捕获收集敏感数据。 它还可以将通信模式设置为 HTTP 或 HTTPS、删除或重新配置持久性、终止任意进程、从机器上注销用户、重新启动或关闭系统，甚至从主机上更新或删除自身。该恶意软件的一个定义方面是它使用 BITS 作为 C2。 研究人员补充道：“这种媒介对对手来说很有吸引力，因为许多组织仍在努力监控 BITS 网络流量和检测异常的 BITS 作业。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/3LDb_jS9vDUZpy-EIu4NnQ 封面来源于网络，如有侵权请联系删除

一种拥有超过 10.7万个样本的新型恶意软件，已经针对 Android 设备进行了两年多的攻击，它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据，以进行进一步的恶意活动。 移动安全提供商 Zimperium zLabs 的研究人员发现，这种恶意软件被称为“SMS Stealer”，它背后有着庞大的网络犯罪基础设施，通过动态变化的移动应用程序进行传播，这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。 Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示：“自 2022 年 2 月以来研究人员一直在追踪该窃取程序，到目前为止，该程序已被113 个国家的用户下载，其中印度和俄罗斯位居榜首。” 该活动似乎是组织严密的攻击者出于经济动机而推动的，他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。 这种不断演变的活动十分危险，因为它可以逃避“传统的基于签名的检测方法”，这使得防御者很难发现，“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。 他说：“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序，该威胁行为者具有很高的复杂性和适应性。” 事实上，研究人员分析的恶意软件样本中，有超过9.9万个是未知的，在公开可用的存储库中也无法找到，这表明在过去的两年半中，这类活动几乎未被记录。此外，通过拦截恶意软件的OTP消息，我们发现攻击者针对的是60多个全球顶级品牌，其中一些品牌拥有数亿用户。 谷歌发言人告诉 Dark Reading：“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件，该功能在搭载 Google Play 服务的 Android 设备上启用。Google  Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序，即使这些应用程序来自 Play 商店以外的来源。” 多阶段战役 研究人员发现，恶意软件感染并窃取短信及其他数据的过程分为多个阶段，可能想利用所窃取的数据进行进一步的恶意活动。 研究人员在帖子中写道：“这些被盗凭证为进一步欺诈活动提供了跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。” 当Android 用户被诱骗侧载恶意应用程序，要么通过模仿合法应用商店的欺骗性广告，要么通过使用自动 Telegram 机器人直接与目标用户沟通，并通过社交工程手段引诱他们参与。安装后，恶意应用程序会请求读取短信的权限，根据帖子，这是“Android 上的高风险权限，可广泛访问敏感的个人数据”。 研究人员写道：“尽管合法的应用程序可能需要请求短信权限以实现特定的功能，但这个应用程序的请求可能是未经授权的，目的是窃取受害者的私人短信信息。” 一旦获得权限，恶意软件就会寻找 C2 服务器的地址，然后建立连接以传输要执行的命令和被盗的短信。在第五阶段，也就是最后阶段，攻击者将受害者的设备变成“静默拦截器”，恶意软件会隐藏在其中，并不断监控传入的短信，主要是寻找有价值的 OTP 来进行在线帐户验证。 “迫切需要”加强移动防御 Chiaravigli 指出，虽然窃取短信获取经济利益不是一种新的威胁方式，但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”，需要立即做出反应。 事实上，专家表示，移动恶意软件日益泛滥，尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序，对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私，而且还为一系列恶意活动提供了跳板，例如凭证盗窃、金融欺诈和勒索软件等。 证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出：“我们过去曾见过短信窃取恶意软件，但是，短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透，这带来了严重的风险。” 他说，这凸显了组织机构“迫切需要”采用增强的移动安全策略，特别强调应用程序权限的管理和持续的威胁监控，“以保护数字身份和企业完整性”。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说，新的防御策略应该是多层次的，包括高级行为分析、机器学习和实时威胁情报的组合。他表示：“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”   消息来源：darkreading，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除

DigiCert 警告称，由于域控制验证 （DCV） 的不合规问题，该公司正大规模撤销已经发放的 SSL/TLS 证书，数量超过8万个。 DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 （CA） 之一，包括域验证 （DV）、组织验证 （OV） 和扩展验证 （EV） 证书。这些证书用于加密用户与网站或应用程序之间的通信，从而提高安全性，防止恶意网络监控和中间人攻击。 为域颁发证书时，证书颁发机构必须首先执行域控制验证 （DCV） 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串，然后对域执行 DNS 查找以确保随机值匹配。 根据 CABF 基线要求，随机值应由域名分隔，并带有下划线。否则，域与用于验证的子域之间存在冲突的风险。但DigiCert称，最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。 一个已发生5年的错误 DigiCert表示，造成这种错误的根本原因是2019年8月的系统更新，导致删除了某些验证路径中的自动下划线添加，影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日，一个用户体验提升项目通过整合随机值生成过程，修复了这个长达5年都未发现的问题。7 月 29 日，DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。 目前DigiCert已通知 6807 名受影响的客户，要求他们尽快替换其证书，方法是登录其 DigiCert 帐户，生成证书签名请求 （CSR），并在通过 DCV 后重新颁发证书。需要注意的是，DigiCert 将在 24 小时内（UTC时间 7 月 31 日 19：30 之前）撤销受影响的证书。如果在此之前未完成该过程，则将导致网站或应用程序的连接丢失。 这一事态发展促使美国网络安全和基础设施安全局 （CISA） 发布了一份警报，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/407484.html 封面来源于网络，如有侵权请联系删除