新加坡金融管理局（MAS）和新加坡银行协会（ABS）在2024年7月9日宣布，新加坡的零售银行机构在三个月内将逐步淘汰一次性密码（OTP）的使用，以减少网络钓鱼攻击的风险。根据MAS的说法，已经在自己的移动设备上激活了数字令牌的客户将使用这些数字令牌通过浏览器或移动银行应用程序登录银行账户。数字令牌验证客户的登录，无需使用一次性密码，这样就减少了骗子窃取或诱使客户披露一次性密码的风险。 MAS还敦促客户激活他们的数字令牌，以防范那些旨在窃取凭证并劫持客户账户进行金融欺诈的攻击。 新加坡银行协会（ABS）的主任Ong-Ang Ai Boon在声明中表示，新措施可以进一步保护客户免受未授权访问其银行账户的风险。尽管这些措施可能会带来一些不便，但它们对于预防诈骗和保护客户是必要的。 一次性密码（OTP）最初是作为第二因素认证（2FA）引入以增强账户安全的，但网络犯罪分子已经开发出了能够通过仿冒网站获取这些代码的银行木马、OTP机器人和钓鱼工具包。通过Telegram可获取的OTP机器人，通过打电话给用户并说服他们输入手机上的2FA代码，以帮助绕过账户保护。这些机器人主要是为了窃取受害者的OTP代码，这意味着骗子需要通过其他方式获取有效的凭证，例如数据泄露、在暗网上出售的数据集以及收集凭证的网页。 据卡巴斯基威胁研究员Olga Svistunova在最近的一份报告，OTP机器人的关键任务是拨打受害者的电话。诈骗者依赖这种方式，因为验证码（OTP）只在有限的时间内有效。这意味着，诈骗者需要在验证码过期之前迅速获取它。报告中还提到，与可能长时间未被回复的消息相比，打电话给用户可以增加获取验证码的机会。电话还可以让诈骗者通过语气对受害者产生预期的影响。这表明诈骗者可能会利用电话中的语气和说服力来操纵受害者，使他们更有可能提供验证码。   转自e安全，原文链接：https://mp.weixin.qq.com/s/OEHC_y_PRCMGaM5epZpDGA 封面来源于网络，如有侵权请联系删除

趋势科技称，一个名为 Void Banshee 的高级持续性威胁组织 (APT) 利用最近的 Windows 零日漏洞通过已禁用的 Internet Explorer 执行代码。 该漏洞编号为 CVE-2024-38112（CVSS 评分为 7.5），已在 2024 年 7 月补丁日更新中得到解决，大约在趋势科技发现该漏洞并向微软报告两个月后。 Void Banshee 是一个以北美、欧洲和南亚实体为目标的APT组织，其目的是窃取信息和获取经济利益，它利用 CVE-2024-38112 作为零日漏洞武器，使用2024 年 1 月发现的恶意软件家族 Atlantida 信息窃取恶意软件感染受害者系统。 作为观察到的攻击的一部分，APT 利用互联网快捷方式 (URL) 文件滥用 MSHTML（聚合 HTML 文档的 MIME 封装）协议处理程序和 x-usc 指令，并直接通过 Windows 已禁用的 Internet Explorer (IE) 执行代码。 尽管 IE 于 2022 年停止服务，但它仍然存在于 Windows 平台上，即使是最新版本，尽管普通用户无法访问，因为微软已经实施了机制，使得 IE 的替代品 Edge 会在用户尝试运行 IE 可执行文件时启动。 被废弃的IE仍然存在于每一台windows系统上 CVE-2024-38112 允许 Void Banshee 制作 URL，通过禁用的 IE 进程执行 HTML 应用程序 (HTA) 文件。 攻击首先会发送鱼叉式网络钓鱼邮件，发送伪装成书籍 PDF 副本的互联网快捷方式文件，以诱骗受害者打开这些文件。攻击链利用零日漏洞打开已禁用的 IE，并利用它将受害者重定向到托管恶意 HTA 文件的受感染网站。 复杂的攻击链 电子书PDF诱饵之一 Trend Micro 强调：“在 Internet 快捷方式文件的 URL 参数中，我们可以看到 Void Banshee 使用 MHTML 协议处理程序和 x-usc! 指令专门制作了此 URL 字符串。此逻辑字符串通过 iexplore.exe 进程在本机 Internet Explorer 中打开 URL 目标。” 伪装成电子书籍 PDF 的恶意 URL 文件 附加在IE快捷方式后的恶意URL字符串 攻击者控制的域上的恶意 HTML 文件还允许 APT 控制网站的窗口视图大小并隐藏下一阶段的下载。 默认情况下，IE 会提示用户打开或保存 HTML 应用程序，但攻击者在恶意 HTA 文件扩展名中添加了空格，以便用户认为他们正在下载 PDF 文件。 一旦运行 HTA 文件，感染链就会继续执行一系列脚本、执行 LoadToBadXml .NET 木马加载器和 Donut shellcode，并在内存中执行 Atlantida 信息窃取恶意程序。 该恶意软件的目标是窃取 FileZilla、Steam、Telegram、加密货币钱包和扩展程序以及网络浏览器的密码和其他信息。它还可以捕获受害者的屏幕、窃取文件并收集大量系统信息。 Trend Micro 指出：“攻击者仍可以利用其计算机上残留的 Windows 残余（如 IE）来感染用户和组织，使其感染勒索软件、后门，或将其作为代理来执行其他恶意软件。Void Banshee 等 APT 组织能够利用已禁用的 IE 等服务，这对全球组织构成了重大威胁。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/0IMXliJMdqPI6KGgtNw4dw 封面来源于网络，如有侵权请联系删除

ReliaQuest 发布了一份新报告，详细介绍了网络犯罪分子如何利用 ChatGPT 等合法服务和恶意 AI 工具来支持其行动。 该公司发现，这些工具有助于创建近乎完美的网络钓鱼电子邮件，经 ReliaQuest 分析师测试，成功率为 2.8%。 报告强调，攻击者正在使用诸如提示注入之类的技术绕过 AI 模型的安全过滤器。这些技术利用了 AI 模型过滤系统中的弱点，使攻击者能够生成有害内容，尽管存在内置限制。 最常见的提示注入类型之一称为“立即执行任何操作”(DAN) 提示，它使用复杂的语言、上下文漏洞和渐进式升级来操纵 AI 模型。 ReliaQuest 使用 ChatGPT 进行了实验，其中关于启动网络钓鱼活动的初始查询由于道德约束而被拒绝。但是，当使用 Nexus 提示提交相同的请求时，语言模型返回了一个基本的八步计划。该计划包括对目标公司的研究、域名注册和电子邮件创建。 使用其他语言模型（如 Mixtral-8x7B-T）的进一步实验生成了功能性 PowerShell 脚本，用于识别用户登录事件并跨端点部署文件。 报告还指出，网络犯罪分子经常在论坛上讨论 DAN 提示，他们在论坛上分享和测试操纵性语言条目。这些提示通常分发在 GitHub 和 Reddit 等开源平台上。论坛成员就各种提示的有效性交换反馈，并呼吁根据需要更换或改进它们。 ReliaQuest 在流行的英语网络犯罪平台 BreachForums 上观察到一名用户以 1,000 美元的价格出售 ChatGPT 过滤器绕过方法的概念验证代码（POC），声称已经可以绕过安全限制使用人工智能编写勒索软件。 WormGPT 和 FraudGPT 最初引起了人们的关注，但现在已经不复存在。取而代之的是，FlowGPT 已成为一项社区驱动的服务。ReliaQuest 使用 FlowGPT 选择 ChaosGPT 模型进行网络钓鱼实验。 ChaosGPT 模型的评分为 4.9 分（满分 5 分），受欢迎程度高达 340 万，当被问及俄语时，该模型用英语制作了一封引人注目的网络钓鱼电子邮件。输出结果语法正确，听起来就像是母语人士写的。在一项涉及 1,000 名未公开个人的测试中，2.8% 的人点击了邮件中包含的恶意链接。 深度伪造（人工制作或增强的音频或视频）的威胁也在增加。深度伪造很容易通过网络犯罪论坛上讨论的人工智能工具制作，即使是新手也能制作出逼真的语音和视频模仿。这类工具越来越多地被讨论为规避“了解你的客户”（KYC）流程的一种方法。网络犯罪分子分享教程并寻求熟练创作者的服务来促进这些欺诈活动。 ReliaQuest 的报告强调了网络犯罪手段日益复杂化，利用先进的人工智能工具和社区共享知识来升级其恶意活动。调查结果强调了这些发展对网络安全构成的持续威胁，需要持续警惕并采取先进的对策。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/35tkpiPecOvYaZZkty1MJA 封面来源于网络，如有侵权请联系删除

网络安全研究人员表示，他们发现了一个意外泄露的 GitHub 令牌，该令牌可以授予对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。 发现 GitHub 个人访问令牌的 JFrog 表示，该令牌密钥是在托管在 Docker Hub 上的公共 Docker 容器中泄露的。 该软件供应链安全公司表示：“这个案例很特殊，因为如果它落入坏人之手，很难估计其潜在后果——据称有人可能会将恶意代码注入 PyPI 包中（想象一下用恶意代码替换所有 Python 包），甚至注入 Python 语言本身。” 攻击者可以利用其管理员访问权限，通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来发动大规模供应链攻击。 JFrog 注意到，在 Docker 容器内发现了身份验证令牌，该令牌位于一个已编译的 Python 文件（“build.cpython-311.pyc”）中，但该文件因疏忽而未被清理。 在 2024 年 6 月 28 日负责任地披露后，为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户颁发的令牌立即被撤销。目前还没有证据表明该秘密被野外利用。 PyPI 表示，该令牌是在 2023 年 3 月 3 日之前的某个时间发行的，由于 90 天后安全日志不可用，因此具体日期未知。 Durbin解释道：“在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 GitHub API 速率限制。” “这些速率限制适用于匿名访问。在生产中，系统配置为 GitHub App，出于偷懒，我修改了本地文件以包含自己的访问令牌，而不是配置本地主机 GitHub App。这些更改从未打算远程推送。” Checkmarx 在 PyPI 上发现了一系列恶意软件，这些恶意软件旨在在未经受害者同意或不知情的情况下将敏感信息泄露给 Telegram 机器人。 有问题的软件包 – testbrojct2、proxyfullscraper、proxyalhttp 和 proxyfullscrapers – 通过扫描受感染的系统以查找与 .py、.php、.zip、.png、.jpg 和 .jpeg 等扩展名匹配的文件来工作。 Checkmarx 研究员 Yehuda Gelb表示：“Telegram 机器人与伊拉克的多个网络犯罪行动有关”，并指出该机器人的消息历史可以追溯到 2022 年。 “该机器人还可以充当提供社交媒体操纵服务的地下市场。它与金融盗窃有关，并通过窃取受害者的数据来利用受害者。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RG-VvrMfqF2rtFPKdpU9tg 封面来源于网络，如有侵权请联系删除

一名俄罗斯学生周四因向乌克兰安全局（SBU）泄露俄罗斯军队位置被判有罪，并被判处五年监禁。 俄罗斯联邦安全局 (FSB)向国有媒体俄罗斯新闻社透露，这名学生“利用互联网”收集了在乌克兰作战的俄罗斯士兵所在位置的信息。作为回报，他从乌克兰安全局获得了报酬。 报告没有具体说明嫌疑人在网上获取了哪些信息，因为他居住在俄罗斯城市比罗比詹，该城市位于西伯利亚，靠近中俄边境。比罗比詹是世界上唯一一个以色列境外的犹太自治领地。 据俄新社报道，该学生“完全承认了自己的罪行并配合调查”。但他可能会受到更严厉的惩罚，因为在俄罗斯，叛国罪最高可判处终身监禁。 本周早些时候，乌克兰网络警察拘留了一名男子，该男子冒充送餐快递员，收集乌克兰军队、关键基础设施和受伤士兵医院的位置数据。 据乌克兰网络警察称，该嫌疑人“在信使中”遇到了俄罗斯特工人员的代表。他因拍摄乌克兰西部重要地点的视频而从俄罗斯收取了报酬。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。 俄罗斯也发生过类似事件。10月，两名俄罗斯公民因涉嫌代表乌克兰对俄罗斯网络进行网络攻击而在西伯利亚被拘留。如果罪名成立，他们可能因叛国罪面临最高20年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/m81lhIjrEbYgKuvOQF63lw 封面来源于网络，如有侵权请联系删除

近日，谷歌对其高级保护计划（APP）进行了重大改进，专门针对高风险用户推出了通行密钥，为传统物理安全密钥提供了一个替代方案，从而提升账户的安全性。 此前，想要加入谷歌高级保护计划的用户都需要一个物理安全密钥。但如今这个密钥为用户保护账户安全提供了一种更灵活、更方便的选择，尤其是对那些无法立即拿到实体钥匙的人。 据高级保护计划产品负责人 Shuvo Chatterjee 和隐私安全与安全合作伙伴 Grace Hoyt 称，这一更新允许高风险用户选择通行密钥作为他们的验证方法，与实体钥匙一起使用或代替实体钥匙。 用于高级保护程序 (APP) 的 Google 密钥 来源：Google 谷歌 谷歌密钥采用 FIDO 身份验证标准，可确保强大的安全性，防止网络钓鱼和未经授权的访问尝试。与密码相比，它们的设计更快捷、更方便，可利用生物识别技术，如指纹或面部扫描或 PIN 码进行验证。这使它们不仅安全，而且方便用户，减少了对记忆或输入密码的依赖。 Shuvo 和 Grace 详细阐述了这次更新的意义，他们说：现在高风险用户均可以注册高级保护计划，使用密码匙来保护自己的账户安全，这无疑为他们提供了一种更简化、更便捷的方式。 高级保护计划本身是谷歌最安全的账户保护产品，专为容易受到复杂网络威胁的个人，如记者、政治活动家和人权工作者量身定制。它通过要求严格的身份验证措施来抵御网络钓鱼、恶意软件和欺诈性访问尝试等常见攻击。 如何使用谷歌通行证 要使用密匙注册，用户首先需要确保其设备和浏览器的兼容性。然后用户可以访问谷歌高级保护计划的注册页面，选择 “开始”，按照屏幕上的说明使用密码或物理安全密钥完成设置。注册时还需要提供电话号码或电子邮件等恢复选项，以便在必要时恢复账户。 除了加强用户安全，谷歌还宣布与 Internews 建立合作伙伴关系，旨在为全球记者和人权工作者提供额外的安全支持。这一举措将利用 Internews 遍布亚洲、拉丁美洲和欧洲 10 个国家的广泛安全合作伙伴和培训师网络。 谷歌通过此次合作践行了其扩大关键在线安全工具和资源的使用范围来支持高风险个人的承诺，也是对现有项目（如 “盾牌项目”）以及与 “保卫数字运动”（Defending Digital Campaigns）和 IFES 等组织合作开展的各种安全培训项目的补充。 谷歌在高级保护计划中引入密钥，这标志着谷歌在加强高风险用户的在线安全方面迈出了重要一步。通过提供物理安全密钥的多功能替代方案，谷歌的账户保护更加方便易用，同时也加强了其对面临网络风险的个人的保护。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405698.html 封面来源于网络，如有侵权请联系删除

加密货币分析师揭露了一个名为 HuiOne Guarantee 的在线市场，该市场被东南亚的网络犯罪分子广泛使用，尤其是与生猪屠宰骗局有关的犯罪分子。 Elliptic在一份报告中表示：“Huione Guarantee 是东南亚诈骗集团的主要推动者之一，根据发现的证据，商户平台的支付系统‘积极参与洗钱世界各地的诈骗所得’。该平台为相关参与者提供技术、数据和洗钱服务，交易总额至少达 110 亿美元。” 这家英国区块链分析公司表示，该市场隶属于Huione 集团，该集团是一家与柬埔寨官方有联系的柬埔寨企业集团，而Huione 集团另一家企业汇旺国际支付 (HuiOne International Payments) 正积极参与全球洗钱诈骗收益。 据其网站介绍， HuiOne 金融服务部门拥有 50 万注册用户。该公司还宣称其客户包括PayGo Wallet、银联和 Yes Seatel。 缅甸、柬埔寨、老挝、马来西亚、缅甸、菲律宾等东南亚国家近年来已成为危害全球的杀猪盘骗局的滋生地。 根据 Elliptic 的调查，缺乏审核加上不健全的支付框架为网络犯罪分子买卖以下物品/服务创造了肥沃的土壤： 洗白勒索软件组织和“杀猪盘诈骗”的非法收入 接受受害者的付款并将其转换为现金、稳定币和中国支付应用程序积分。 创建用于“杀猪盘”行动的加密货币投资诈骗网站。 与受害者交流时使用的人工智能换脸软件。 窃取个人数据（包括联系方式），用于锁定潜在受害者。 为诈骗行动提供便利的电信设备。 销售诈骗团伙使用的酷刑和控制设备。 Huione Guarantee 及其商家使用的加密货币钱包收到的 USDT 价值。这些数字应被视为平台真实交易量的下限。 在这些骗局中，不知情的亚洲和非洲人被该地区的高薪工作诱惑，最终却被困在跨国有组织犯罪集团经营的“诈骗团伙”内，被迫参与欺诈活动。 这些行为包括在社交媒体和约会平台上创建虚假账户，并利用它们与受害者发展恋爱关系，最终说服他们投资不存在的加密货币业务，目的是吸走他们的资金。 HuiOne Guarantee 成立于 2021 年，由 Telegram 上的数千个即时通讯应用频道组成，这些频道由不同的商家运营。尽管该公司声称自己是房地产和汽车的交易市场，但 Elliptic 表示，其提供的大多数商品和服务都是针对网络诈骗运营商的。 Huione Guarantee 商家提供用于杀猪骗局的加密货币投资网站的网页开发（左）、供骗子瞄准的全球个人的个人数据（中）以及用于诈骗的 AI 换脸软件（右）。 该公司解释道：“在汇旺担保上运营的最大一类商户是那些提供货币转移和兑换服务的商户。” “许多商家明确提供洗钱服务，包括接受来自世界各地受害者的付款、将其跨境转移并将其转换为现金、稳定币和中国流行的支付应用程序等其他资产。” 此外，还发现商家宣传软件和网络开发服务，为创建用于杀猪盘诈骗的加密投资诈骗网站提供便利，并且推销催泪瓦斯、电棍和电子镣铐，供诈骗团伙经营者监禁和折磨工人。 Huione Guarantee 上的电击镣铐（左）和电棍（右）广告，商家建议使用这些产品对付诈骗大院的工人。 根据慢雾在今年 1 月初分享的数据，据称与汇旺担保有关联的商家进一步通过一个钱包进行加密货币交易，该钱包从另一个与缅甸联军有关的钱包中收到了超过 460 万美元。 Elliptic 表示：“汇旺担保及其商家收到的加密货币的价值以及所提供的商品和服务类型表明，它是东南亚网络诈骗运营商的关键推动者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Qrr2XVrnyzt1QB_XpY7vfg 封面来源于网络，如有侵权请联系删除

独立网络安全研究员 Jeremiah Fowler 发现了一个未受密码保护的不安全数据库，其中包含 3860 万条属于加利福尼亚州法律支持服务公司 Rapid Legal 的记录。 Fowler 向 vpnMentor 报告了这一发现。根据该报告，该数据库在没有任何密码或其他安全验证措施的情况下被公开访问。研究人员访问到的信息包括法院文件、服务协议和支付信息，其中包括部分信用卡详细信息和个人身份信息（PII）。数据总量约为 38TB，共有 38648733 条记录。 进一步调查显示，该网站还引用并链接了另一个存储库 Legal Connect，其中包含 89745 条记录，总大小为 249.9 GB。Legal Connect 是一家后端技术提供商，而 Rapid Legal 则为客户和合作伙伴附属机构提供备案服务。Fowler 在报告中解释说，这两家公司似乎“拥有相同的公司领导层”，并且相互关联。 这些文件的时间跨度从 2009 年到 2024 年，内容包括案件文件、归档文件、通知、收据、声明、证物证据、判决书和其他相关案件档案。该服务允许 32000 多家律师事务所向各法院系统提交或传输 700 多万份订单和 1100 多万份法律文件。 如此大规模的数据泄漏会给受影响者带来毁灭性的后果。一名为“支付”的文件夹包含 737389 个 .jsn 格式的文件，其中包括姓名、地址和信用卡号最后四位数字等敏感数据。 一些文件中还包含商家令牌、网关数据和发卡机构授权码。这些文件用于记录在线支付和组织交易细节，对手可以将这些数据与其他个人数据结合起来，进行欺诈或有针对性的网络钓鱼攻击。 与此同时，使用 Legal Connect 技术的 .pfx 文件也被泄露了，这些文件带有服务器名称或合作伙伴服务，可能包含用于安全或加密通信的私钥和证书。此外，数据库还包含约 146000 份已签署的客户服务协议。这些数据可被用于有针对性的网络钓鱼攻击、骚扰、恶意软件传播、垃圾邮件或其他欺诈活动。 泄露记录截图 在 Fowler 发送披露通知的同一天，这些数据库已被保护起来，禁止公众访问。Fowler 声称，没有证据表明客户支付数据存在风险，也没有发现任何紧迫的欺诈威胁。 法律服务公司的敏感数据泄露事件进一步表明，我们需要采取全面的数据安全方法，包括强大的访问控制、定期的安全审计、员工网络安全最佳实践培训、数据加密以及定义明确的违规响应计划。这些措施可以限制数据访问、发现漏洞、提高员工对网络钓鱼的意识，并确保数据在传输过程中的安全性。   消息来源：hackread，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，网络安全研究人员在名为Blast-RADIUS的RADIUS网络身份验证协议中发现了一个安全漏洞，攻击者可以利用该漏洞发动中间人（MitM）攻击，并在特定情况下绕过完整性检查。 关于Blast-RADIUS Blast-RADIUS是目前广泛应用的RADIUS/UDP协议中的一种认证绕过技术，可以使攻击者在中间人MD5冲突攻击中攻破网络和设备。 InkBridge Networks的首席执行官、FreeRADIUS项目的创始人Alan DeKok在一份声明中说：RADIUS 协议允许某些访问请求信息无需进行完整性或身份验证检查。 RADIUS是远程身份验证拨号用户服务的简称，是一种客户端/服务器协议，为连接和使用网络服务的用户提供集中身份验证、授权和记账（AAA）管理。 RADIUS的安全性依赖于使用MD5算法导出的哈希值，由于存在碰撞攻击的风险，截至2008年12月，MD5算法被认为在密码学上已被破解。 因此，攻击者可以在不被发现的情况下修改这些数据包，将能够强制任何用户进行认证，并给予该用户任何授权（例如VLAN等）。 这意味着访问请求数据包可能会受到所谓的选定前缀攻击，使得可以修改响应数据包，以便它通过原始响应的所有完整性检查。 需要注意的是，要使攻击成功，攻击者必须修改在客户端和服务器之间传输的RADIUS数据包。那么，通过互联网发送数据包的组织将面临该漏洞带来的风险。 漏洞利用细节 Blast-RADIUS利用了一个新的协议漏洞CVE-2024-3596和MD5碰撞攻击，允许访问RADIUS流量的攻击者操纵服务器响应并添加任意协议属性，这使他们无需暴力或窃取凭证即可获得RADIUS设备的管理权限。 Blast-RADIUS研究人员解释说：Blast-RADIUS攻击允许位于RADIUS客户端和服务器之间的中间人对失败的认证请求伪造有效的“访问接受”响应。攻击者通过向有效的客户端请求中注入恶意的“代理状态”属性来实现这一点。这个“代理状态”属性肯定会在服务器的响应中被回显。攻击者构造“代理状态”，使得有效响应和攻击者希望伪造的响应之间的响应验证器值相同。这种伪造将导致NAS（网络访问服务器）在攻击者不猜测或暴力破解密码或共享机密的情况下授予对手对网络设备和服务的访问权限。 研究人员表示：”利用此攻击的攻击者可以将部分网络访问权限升级为能够登录任何使用RADIUS进行身份验证的设备，或为自己分配任意网络权限。” 在对设备进行身份验证时，RADIUS协议使用MD5请求和响应。研究人员的概念验证漏洞（尚未共享）计算了伪造有效 “访问-接受 “响应所需的MD5选择前缀哈希冲突，以表示成功的身份验证请求。然后，利用中间人攻击将伪造的MD5哈希值注入网络通信，使攻击者能够登录。 伪造这个MD5哈希值需要3到6分钟，比RADIUS在实践中常用的30到60秒超时要长。 不过，攻击中使用的碰撞算法的每个步骤都可以有效地并行化，并适合硬件优化，这将使资源充足的攻击者能够使用GPU、FPGA或其他更现代、更快速的硬件来实施攻击，从而实现更快的运行时间，可能快数十倍或数百倍。 攻击流程（Blast-RADIUS 研究团队） 研究团队表示，虽然MD5哈希碰撞在2004年已首次被证实，但当时仍有人对在RADIUS协议中加以利用表示质疑。 缓解措施 由于这种攻击不会危及最终用户的凭证，因此最终用户无法采取任何防范措施。 不过，BlastRADIUS是一个基本设计缺陷的结果，据说会影响所有符合标准的RADIUS客户端和服务器，具体来说，PAP、CHAP和MS-CHAPv2认证方法是最脆弱的，建议使用该协议的互联网服务提供商(isp)和组织更新到最新版本。 网络运营商可以升级到RADIUS over TLS (RADSEC)，转而采用 “多跳 “RADIUS 部署，并使用限制访问管理VLAN 或 TLS/ IPsec隧道将RADIUS流量与互联网访问隔离。 另外，还可以通过Message-Authenticator属性提高数据包安全性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405650.html 封面来源于网络，如有侵权请联系删除

据俄罗斯新闻媒体报道，应俄罗斯国家通信监管机构 Roskomnadzor 的要求，苹果公司于 2024 年 7 月 4 日从其 App Store 中移除了俄罗斯的一些虚拟专用网络 (VPN) 应用程序。 据MediaZona报道，这包括 25 家 VPN 服务提供商的移动应用程序，包括 ProtonVPN、Red Shield VPN、NordVPN 和 Le VPN 。值得注意的是，NordVPN此前已于 2019 年 3 月关闭了其所有俄罗斯服务器。 Red Shield VPN 在一份声明中表示： “苹果的行为是出于保留俄罗斯市场收入的动机，这不仅是鲁莽的，也是对公民社会的犯罪。” Le VPN 在类似的通知中表示，此次删除行动是根据 2006 年 7 月 27 日第 149-FZ 号联邦法律“关于信息、信息技术和信息保护”第 15.1 条第 7 款进行的，并且其应用程序在收到监管机构的正式通知之前就已被删除。 为此，VPN服务已被列入俄罗斯禁止公开分发的互联网资源“统一登记册”。 俄罗斯联邦通信监管局表示：“此次事件标志着该局在管控俄罗斯境内互联网接入和内容方面迈出了重要一步。” 为了应对大规模打击，Le VPN 此后推出了一项名为 Le VPN Give 的替代服务，声称“允许您使用第三方开源软件和混淆的 VPN 连接连接到我们的秘密服务器”。 此举是克里姆林宫自 2022 年 2 月俄乌冲突爆发以来宣布的一系列审查举措的一部分，这些举措已导致多家媒体以及 Facebook、Instagram 和 X 等社交媒体应用程序被封锁。   转自e安全，原文链接：https://mp.weixin.qq.com/s/DwPNAWVLFdzkkdLKW03wxA 封面来源于网络，如有侵权请联系删除