近日，Coro 公司表示，中小型企业（SMEs）的 IT 人员被安全堆栈中多个工具的复杂性和安全需求压得“喘不过气”，导致其可能错过很多关键严重安全事件告警信息，从而削弱了公司的安全态势。 一些研究机构采访了来自美国多个行业的 500 名网络安全管理人员（规模一般在 200 ——2000 名员工的公司），结果显示，很多中小型企业和中型企业正面临着越来越多、越来越复杂的网络攻击威胁。更糟糕的是，很多公司缺乏足够的网络安全防御资源和专业知识。 中小企业 IT 人员不堪重负 中小企业的网络安全工作通常由公司的 IT 人员负责，但他们可能正在面临着来自网络安全计划复杂性和责任压力的挑战（包括管理复杂的安全系统和网络架构、持续监控和更新安全策略，以及应对日益复杂的安全威胁等）。 调查结果显示，73% 的中小企业安全专业人员曾错过、忽视或未能对重要的安全警报采取行动，受访者指出，人手不足和时间不够充裕是最主要的两个原因。 此外，受访者反馈他们日常工作中在监控安全平台、管理和更新端点设备和代理、漏洞管理或打补丁，以及安装、配置和集成新的安全工具上花费了大量时间，其中 52% 的受访者声称最耗时的任务是监控安全平台，其次是漏洞修补。 中小型企业同时使用过多的网络安全工具 调查发现，中小型企业同时使用了过多的网络安全工具。受访者表示，在其安全堆栈中平均使用 11.55 种工具，每天平均花费 4 小时 43 分钟管理其网络安全工具。 值得一提的是，受访者还提到一个新的网络安全工具上线到内部系统需要花费很多资源和时间，一个新的网络安全工具需要 4.22 个月才能投入使用（安装、配置、培训员工以及与现有安全堆栈集成都需要大量时间）。 安全专业人员所面临的复杂工作量，以及对本已有限的资源提出的过高要求，促使中小企业和中型整合其网络安全工具，其中 85% 的受访者表示，希望在未来 12 个月内整合其工具，尽快改善企业内部的安全态势。 Coro 公司首席执行官 Guy Moskowitz 指出，中小企业正在不断的被企业安全工具产生的成千上万个警报所”淹没“，但是这些警报又与企业安全工具不相适应，因此导致许多企业被困在网络安全的“炼狱”中。 最后，Moskowitz 强调，由于人员有限，中小型企业在安全管理的复杂性面前举步维艰，既要面对预算限制、资源有限的问题，又要满足更好的安全覆盖面的需求，这简直是不可能完成的任务。因此，中小企业想要摆脱网络安全困境的最有效方法是采用单一平台，期待能够通过一个简单的控制面板和一个端点代理，减少安全人员的工作量。   转自Freebuf，原文链接：https://www.freebuf.com/news/399601.html 封面来源于网络，如有侵权请联系删除

科学家们正在研究人工智能对抗人工智能，以识别深度伪造视频。 人工智能生成的内容已经流行了一段时间，但视频生成最近又发展到了新的高度。自二月份发布以来，OpenAI 的 Sora 以其超现实的合成内容而令人惊叹，所有这些内容都是使用文本提示生成的。这就是它让人们相信其真实性的能力，生成内容现在引起了人们对错误信息传播的日益担忧。 德雷克塞尔工程学院的多媒体和信息安全实验室 (MISL) 十多年来一直致力于创造操纵图像的技术。 目前现有的方法对人工智能生成的视频无效。科学家们评估了 11 种可供公众使用的合成图像探测器。这些程序显示出很高的效率，在检测被篡改的图像方面至少有 90% 的准确率。然而，当负责识别公开可用的 AI 生成器生成的视频时，它们的性能下降了 20-30%。 德雷克塞尔工程学院副教授兼 MISL 主任马修·斯塔姆 (Matthew Stamm) 博士在一份报告中表示：“在没有一个好的系统来检测不良行为者制造的假货之前，这种视频技术就已经发布，这真是令人不安。” Stemm 认为，一旦该技术公开，恶意使用就不可避免。“这就是为什么我们正在努力通过开发新技术来从媒体特有的模式和特征中识别合成视频，以保持领先地位。”他补充道。 直到最近，图像处理还依赖于照片和视频编辑程序来改变像素、调整速度或操纵帧。然而，这些编辑留下了数字痕迹，MISL 的科学家已经使用他们的工具套件有效地识别了这些痕迹。 虽然文本到视频生成器不是由相机生成的，也不是由视觉软件编辑的，但它们在检测操纵方面提出了新的挑战。在 MISL 的最新研究中，科学家们决定使用 AI 对抗 AI 来确定生成式 AI 程序如何构建视频。他们成功地训练了一种称为约束神经网络的机器学习算法。 该网络能够在粒度级别上了解合成视频的外观，并将这些知识应用于使用 AI 视频生成器生成的一组新视频，例如Stable Video Diffusion, Video-Crafter, and Cog-Video，以及以前未知的程序。 该算法在识别合成视频和准确识别用于创建视频的程序方面的效率超过 93%。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/naGdbz_1Uj0JPUrc50mSUg 封面来源于网络，如有侵权请联系删除

自3 月 26 日以来，Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击，近日，该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。 攻击示意图 利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。 目前Palo Alto Networks已经列出了需要打补丁的PAN-OS防火墙系统版本： PAN-OS 10.2.9-h1 PAN-OS 10.2.8-h3 PAN-OS 10.2.7-h8 PAN-OS 10.2.6-h3 PAN-OS 10.2.5-h6 PAN-OS 10.2.4-h16 PAN-OS 10.2.3-h13 PAN-OS 10.2.2-h5 PAN-OS 10.2.1-h2 PAN-OS 10.2.0-h3 PAN-OS 11.0.4-h1 PAN-OS 11.0.4-h2 PAN-OS 11.0.3-h10 PAN-OS 11.0.2-h4 PAN-OS 11.0.1-h4 PAN-OS 11.0.0-h3 PAN-OS 11.1.2-h3 PAN-OS 11.1.1-h1 PAN-OS 11.1.0-h3 鉴于 CVE-2024-3400 漏洞正被积极滥用以及概念验证 （PoC） 漏洞利用代码的可用性，建议用户尽快采取措施进行修补，以防范潜在威胁。 美国网络安全和基础设施安全局 （CISA） 还将该漏洞添加到其已知利用漏洞 （KEV） 目录中，命令联邦机构在 2024 年 4 月 19 日之前保护其设备。 根据 Shadowserver 基金会共享的信息，大约 22542 台暴露于互联网的防火墙设备可能容易受到该漏洞的攻击。截至 2024 年 4 月 18 日，大多数设备位于美国、日本、印度、德国、英国、加拿大、澳大利亚、法国和中国。   转自Freebuf，原文链接：https://www.freebuf.com/news/398643.html 封面来源于网络，如有侵权请联系删除

安联锐视是一家摄像机、录像机和其他监控产品制造商， Cybernews 研究人员在该公司分析平台的泄露数据库中发现该公司 30 亿条泄露数据记录。 Cybernews 研究团队发现了一个开放的 Elasticsearch 服务器，其中包含从全球 Raysharp 设备收集的日志和专有数据。 Elasticsearch 是一种常用的分析工具，旨在组织、搜索、分析和可视化大量数据。 泄露的日志跨度三个月，从 2023 年 11 月 2 日到 2024 年 2 月 1 日。记录总数为 3,148,830,160 条。 暴露的日志包含敏感类型的数据，包括以下数据点： device_uuid：这可能是唯一的设备标识符。不良行为者可以使用它来跟踪和识别特定设备。泄露设备 ID 以及其他信息可能会损害用户和组织的隐私和安全。 mobile_token：用于移动应用程序中的身份验证和授权目的，暴露的移动令牌可能会被用于对用户帐户或敏感信息进行未经授权的访问。 Token_uuid：这可能是与身份验证令牌关联的唯一标识符。暴露这些数据可能有助于获得未经授权的访问。 appid：应用程序本身的唯一标识符。虽然不太敏感，但它可用于针对特定的应用程序或服务。 DeviceName：这可能会泄露有关使用该设备的用户或组织的信息，并用于有针对性的攻击或分析。 APNS和Push_channel：研究人员还发现了表明系统配置为利用 Apple 推送通知服务 (APNS) 的数据项。这是向 iPhone 和其他 iOS 设备发送推送通知的通道。 研究团队表示：“这些数据的暴露可能是无意的，是由 Elasticsearch 的错误配置造成的。” “暴露设备日志会给所有使用 Raysharp 设备和应用程序的用户和组织带来风险。保持安全系统和服务的私密性对于维护完整性和安全性至关重要。” 经过负责任的披露后，泄露的数据不再被暴露。 暴露的日志可能源自产品开发 国家计算机网络应急技术处理协调中心（CNCERT/CC）向《网络新闻》表示，他们已收到该公司的回复。确认安联锐视使用 Elasticsearch 来管理日志。 Elasticsearch 是一个开源的日志服务系统，9500 端口仅用于产品开发过程中的日志查询。一般情况下没有必要使用。只有当产品出现异常时，才需要通过 9500 端口查询产品日志来协助定位问题。目前 9500 端口服务暂时停止，解决此漏洞问题后可以再次打开。”安联锐视的评论中写道。 安联锐视将自己描述为监控产品的领先制造商。它成立于2007年，拥有超过14年的行业经验、超过1500名员工以及专业的工程团队。 该公司在其中一个网站上表示：“我们的使命是为生命创造安全。” 尽管安联锐视在全球的知名度可能不如海康威视或大华等一些大公司，但它在某些地区拥有重要的市场份额。 Cybernews 研究人员警告了安联锐视产品用户注意数据泄露的风险。用户应该采取额外的预防措施来保护自己的隐私和安全，例如更改密码和重置身份验证令牌、不将监控设备直接暴露在互联网上、使用加密协议、监控帐户是否存在可疑活动以及实行良好的网络安全卫生，从启用多因素身份验证。   转自安全客，原文链接：https://www.anquanke.com/post/id/295801 封面来源于网络，如有侵权请联系删除

近日，美国伊利诺伊大学厄巴纳-香槟分校（UIUC）的四位计算机科学家在一篇新发布的论文中指出，只需提供描述漏洞的 CVE 公告，OpenAI 的 GPT-4 大语言模型便可以成功地利用现实世界真实存在的安全漏洞。 这项新研究建立在先前发现的 LLMs 可以在受控环境中用于自动攻击网站的基础上，研究过程共收集了 15 个 1day 漏洞（已披露但尚未修补的漏洞），研究人员发现，当提供其 CVE 描述时，GPT-4 能够成功利用这些漏洞之中的 87%，而其他测试的模型（如 GPT-3.5、一些开源 LLMs 以及专门设计的漏洞扫描器）则无法利用任何漏洞。目前因欠缺条件未对 GPT-4 的两个主要商业竞争对手—— Anthropic 的 Claude 3 和 Google 的 Gemini 1.5 Pro 进行测试。 这 15 个测试样本中，GPT-4 仅未能成功利用其中两个：Iris XSS（CVE-2024-25640）和Hertzbeat RCE（CVE-2023-51653）。前者是由于 Iris 网络应用程序具有极难导航的界面，后者则是由于漏洞详细描述为中文不便于理解操作。研究人员认为，未来的模型很可能比现今的黑客更有实力且更具性价比，他们计算了成功进行 LLM 代理攻击的费用，得出的结果是每次攻击的成本为 8.80 美元，比雇佣人类渗透测试员的成本要低得多。 论文作者还表示，这项研究最终仅包含 91 行代码和 1056 个提示词。OpenAI 已明确要求论文作者不得公开他们用于这个实验的提示——作者对此同意，但也表示他们会根据收到的请求提供，他们乐于促进合作，以在这个新兴的人工智能驱动的网络安全领域取得进一步进展。 论文链接：https://arxiv.org/pdf/2404.08144.pdf   转自安全内参，原文链接：https://www.secrss.com/articles/65375 封面来源于网络，如有侵权请联系删除

随着 2024 年巴黎奥运会倒计时的开始，组织者围绕备受期待的盛大开幕式，正在做好准备应对潜在的网络安全威胁和迫在眉睫的恐怖主义幽灵。尽管面临着这些挑战，但人们对于组织者应对 2024 年巴黎奥运会的任何网络攻击充满信心。 定于 7 月 26 日至 8 月 11 日在巴黎举行的第三十二届夏季奥运会将受到当局和网络安全组织的密切监控，严密排查任何网络攻击和安全漏洞的迹象。 今年巴黎夏季奥运会负责防御网络威胁的团队负责人弗兰兹·雷古尔 (Franz Regul) 十分清楚其中的风险。雷古尔在巴黎奥组委总部的办公室发表讲话，预计未来会发生一些不可避免的事情：“我们将受到攻击。” 2024 年巴黎奥运会网络攻击风险及预防措施 在配备服务器和监控屏幕的高科技房间里，很多像雷古尔这样的团队时刻警惕着 2024 年巴黎奥运会期间的任何网络攻击。巴黎运营中心甚至拥有红色警报系统，可以发出最严重的危险信号。 到目前为止，网络攻击仍没有中断。随着奥运会的临近，黑客攻击的频率和严重程度预计将急剧升级。与其他组织在没有具体时间表的情况下为 2024 年巴黎奥运会做好可能遭受网络攻击的准备不同，雷古尔的团队明确知道要应对影响的时间节点：7 月和 8 月。 虽然传统上重大赛事的安全问题主要围绕恐怖主义等物理威胁，但数字入侵的出现让网络攻击成为奥运会组织者首要关注的问题。 为了了解有关 2024 年巴黎奥运会网络攻击风险的更多信息，《网络快报》已联系该组织。 2024 年巴黎奥运会回复称，诈骗者会冒充 2024 年巴黎奥运会代表，瞄准毫无戒心的受害者实施行动。 2024 年巴黎奥运会的诈骗和网络攻击 2024 年巴黎奥运会发言人进一步解释了针对该赛事的网络攻击和诈骗的全部范围。在这些案件中，诈骗者冒充巴黎2024或On Location代表，采用虚假电子邮件、销售材料和法律文件等欺骗手段，引诱企业参与所谓的奥运场馆交易。 发言人表示，对奥运会和残奥会的呼吁正引发一些公司冒充巴黎 2024 年奥运会或巴黎 2024 年独家接待供应商 On Location ，用提供与奥运会相关的虚假服务进行诈骗。 这些诈骗者以餐馆、店主等人为目标，承诺在奥运会期间提供虚假的奥运会场馆的席位并索要押金。巴黎 2024 和 On Location 已采取法律行动，对进行欺诈、身份盗用和伪造等犯罪行为人提出刑事诉讼。 网络安全专家面临的最大挑战 即将举行的 2024 年巴黎奥运会预计将吸引超过 40 亿观众，这将带来巨大的网络安全挑战。来自 206 个国家的 1000 万观众、20,000 名记者和 15,000 名运动员齐聚巴黎，赛事的规模无疑放大了风险。 包括网络犯罪分子、黑客活动分子，甚至是国家资助黑客在内的一系列潜在网络威胁，都旨在破坏奥运会。他们的目标范围从支持新闻发布室和票务的 IT 系统到体育场入口系统、电视广播，甚至包括活动场地的电力供应。 据《纽约时报》引用的专家说法，俄罗斯、中国、朝鲜和伊朗等黑客组织和国家拥有先进的能力，不仅能够瘫痪计算机网络，还能瘫痪数字票务系统和活动计时系统。 2018 年韩国平昌冬奥会警醒了人们网络攻击对重大体育赛事的现实影响。开幕式期间的一次成功攻击造成了广泛的破坏：Wi-Fi 网络出现故障，奥运会官方手机应用程序出现故障，转播无人机也被停飞。 随着 2024 年巴黎奥运会的临近，网络安全成为人们关注的焦点。网络威胁有可能破坏这一全球盛事的完整性，让其无法顺利运作，这也突显了对潜在网络威胁进行强有力防御的迫切需要。   转自安全客，原文链接：https://www.anquanke.com/post/id/295746 封面来源于网络，如有侵权请联系删除

流行开源 SSH 客户端 PuTTY 近日发布了重要安全更新，修复了一个可泄露用户加密密钥的严重漏洞。受影响的 PuTTY 版本号为 0.68  至 0.80，最新的 PuTTY 0.81 修复了此漏洞。 依赖受影响 PuTTY 版本的其他程序（例如 FileZilla、WinSCP、TortoiseGit 和 TortoiseSVN）也存在漏洞。这些产品也提供了相应的补丁程序或缓解措施。 PuTTY 是一款用于 SSH、Telnet 等网络协议的开源客户端程序，可帮助用户连接远程服务器并传输文件。德国鲁尔大学的两位研究人员发现，PuTTY 客户端及其相关组件在使用“NISTP-521”的情况下，会“生成严重偏差的 ECDSA 随机数(nonce)”，从而导致私钥泄露。该漏洞编号为 CVE-2024-31497。 研究人员解释说：“恶意行为者只要监测到由使用相同密钥的任何 PuTTY 组件生成的大约 60个有效 ECDSA 签名，就能够完全恢复 NISTP-521 密钥的私钥。” 研究人员指出，这些所需的签名可以通过恶意服务器窃取，也可以来自其他来源，例如签名的 Git 提交记录。 研究人员警告说：“即使修复了源代码中的漏洞后攻击仍能进行（假设对手拥有大约60个漏洞未修复时的签名），因此所有用于 PuTTY 的 NIST P-521 客户密钥都应被视为已泄露。” PuTTY 开发人员也发布安全报告并解释说：“攻击者只需拥有几十条签名消息和公钥，就足以恢复私钥，然后伪造签名，冒充用户的身份进行登录操作（例如，登录您使用该密钥的任何服务器）。为了获得这些签名，攻击者只需短暂攻破用来验证密钥的服务器，或暂时访问保存密钥的 Pageant 程序的副本即可。” PuTTY 开发人员敦促用户立即撤销受影响的密钥。美国国家标准与技术研究院(NIST)国家漏洞数据库中的 CVE-2024-31497 条目警告称，该漏洞可能导致供应链攻击。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16183.html 封面来源于网络，如有侵权请联系删除

谷歌旗下云安全公司 Mandiant 本周三发布调查报告，揭开了俄罗斯顶级黑客组织“沙虫”（Sandworm）的神秘面纱，并将其正式命名（升级）为 APT44。 “沙虫”是俄罗斯最知名的黑客组织之一，因开发和部署 BlackEnergy 和 Industroyer 等破坏力极强的工控系统恶意软件而名声大噪，被看作是最危险的关键基础设施攻击者。其主要行动包括间谍活动、破坏关键基础设施及传播虚假信息。 “沙虫”被正式命名为 APT44 俄乌战争爆发以来，“沙虫”成为俄罗斯网络战的主力军之一，对乌克兰的国家电网、电信网络和新闻媒体等关键基础设施实施沉重打击，主要攻击方式是使用数据擦除程序结合其他攻击策略，其攻击行动通常与俄罗斯军事行动同步进行。 此前，安全业界普遍认为“沙虫”与 APT28 (FancyBear)是同一组织，隶属于 GRU 军事情报局的信息作战部队(VIO)，但 Mandiant 公司认为沙虫是隶属于 VIO 的另外一个组织（俄罗斯武装部队总参谋部主要特种技术中心 GTsST74455 部队），并决定将“沙虫”正式命名为 APT44（下图）： Mandiant 的新报告揭示，APT44 一直使用多个黑客活动者 (hacktivist) 在线身份，主要有三个（下图）：“俄罗斯网络军团重组”(CARR)、“XAKNET”和“Solntsepek”。其中 CARR 因声称能攻击和操纵美国和欧盟的关键基础设施运营技术(OT)资产备受关注。 攻击美国和欧盟国家的水利设施 今年1月份，CARR 在 Youtube 发布视频，证明他们能够操纵波兰和美国的水务设施的人机界面 (HMI)。3月份，CARR 又发布了一个视频，声称通过操纵水位导致法国一座水力发电站停工。 虽然 CARR 的说法无法得到证实，但公开信息表明，黑客可能确实给上述基础设施造成了一些破坏。 报告指出，CARR 在 Telegram 频道上声称针对美国发动攻击大约两周后，当地一位官员公开确认了一个“系统故障”，导致其中一个黑客声称为攻击目标的设施水箱溢出。据报道，此事件是美国多地水基础设施系统遭遇的一系列网络攻击事件的一部分，这些攻击的切入点都是“用于远程访问水处理系统的供应商软件”。 除 CARR 主动披露的攻击外，Mandiant 的报告还首次将 APT44 与一系列攻击和行动联系起来。 例如，自2023年4月以来，APT44 就一直为提供俄罗斯军队提供前线部署的基础设施，用来窃取战场上缴获的移动设备中加密的 Signal 和 Telegram 消息。 APT44 还实施了一次使用擦除程序的供应链攻击。Mandiant 表示：“最近的一个案例显示，沙虫通过入侵一家软件开发商，控制了东欧和中亚的关键基础设施网络，然后向受害者组织部署了擦除程序恶意软件。” 从网络战转向舆论战 值得注意的是，2024 年 APT44 正在将更多注意力从网络战转向舆论战，其主要目标是影响全球政治大选结果、情报收集和媒体舆论控制，改变外界对俄罗斯黑客组织和 GRU 网络能力的看法。例如近期针对荷兰调查性新闻组织 Bellingcat 和其他类似实体的攻击首次被归咎于 APT44。 Mandiant 的报告详细介绍了 APT44 武器库中种类繁多的恶意软件、网络钓鱼活动以及漏洞利用（ APT44 用这些工具来实现目标网络内的初始访问和持续操作），并列举了 2024 年该组织的最新趋势和重点活动： APT44 继续以北约国家的选举系统为目标，利用涉及泄露敏感信息和部署恶意软件的网络行动来影响选举结果。 APT44 更加注重情报收集，以支持俄罗斯的军事优势，包括从战场上捕获的移动设备中提取数据。 APT44 针对全球邮件服务器进行广泛的凭据盗窃，旨在保持对高价值网络的访问以进行进一步的恶意活动。 APT44 开始攻击调查俄罗斯政府活动的记者和新闻组织 Bellingcat。 今年年初以来，APT44 对北约国家的关键基础设施开展了一系列网络攻击行动，部署破坏性恶意软件，以表达政治不满或报复。 APT44 的活动仍然集中在乌克兰，持续开展破坏和收集情报的行动，支持俄罗斯在该地区的军事和政治目标。 Mandiant 警告说，根据 APT44 的活动模式，该组织很有可能试图干扰包括美国在内的各国即将举行的全国选举和其他重大政治事件。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16177.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）发布了一则警告，指出 Chirp Systems 智能锁存在一个“低攻击复杂性”的远程漏洞，攻击者可以远程解锁智能锁并物理渗透受保护的位置。 该漏洞是由 Chirp Android 应用程序硬编码密码和私钥造成的。这些数据可用于访问智能锁提供商 August 的 API，从而远程控制锁。据称，Chirp 系统已经拥有超过 50,000 个用户。 Chirp 的软件允许控制与 August 和 Yale 等公司的产品兼容的锁，后者是瑞典公司 Assa Abloy 旗下的产品。 根据 CVSS（通用漏洞评分系统）的评估，该漏洞 ID 为 CVE-2024-2197，严重程度评为 9.1 分（满分 10 分）。CISA 也因此发布了警告，指出 Chirp 尚未采取必要措施修复该漏洞。 这个问题是由 Amazon Web Services 的工程师 Matt Brown 发现的。他在家里安装了这种锁后开始研究 Chirp 应用程序。据他介绍，修复该漏洞并不困难，但由于某种原因，制造公司对此并没有表现出兴趣。 此外，Chirp 还提供 NFC 密钥作为应用程序的替代方案。但由于它以明文形式传输数据，因此无法免受远程攻击。为了能使用这把并不可靠的钥匙，Brown 不得不支付 50 美元。工程师建议拥有通过 Chirp 控制智能锁的人使用额外的机械锁来增强安全性。 最近几个月，与智能锁相关的漏洞变得相当多。例如德国宜必思连锁酒店的锁，在自助服务终端上使用六个破折号就能打开所有门；甚至更早之前，Saflock 锁也出现了漏洞，该锁可以使用廉价的 RFID 读卡器/写卡器轻松打开。   转自安全客，原文链接：https://www.anquanke.com/post/id/295702 封面来源于网络，如有侵权请联系删除

美国财政部的海外资产控制办公室(OFAC)于近日宣布对一名与哈马斯有关的官员实施制裁，该官员参与了网络影响行动。 39岁的赫德菲·萨米尔·阿卜达拉·阿尔-卡卢特（也被称为阿布·乌巴达）至少自2007年起，担任了哈马斯军事翼伊兹·阿尔迪恩·阿尔·卡桑旅的公众发言人。 美国财政部表示：“他公开威胁要处决哈马斯在2023年10月7日对以色列进行的恐怖袭击后扣押的平民人质。”阿尔-卡卢特主导了阿尔-卡桑旅的网络影响部门。 他在伊朗采购服务器和域名，以便在与伊朗机构的合作中在官网上托管阿尔-卡桑旅的网站。 同时，由于他们在哈马斯用于进行恐怖主义行动的无人机（UAVs）制造中所起的作用，包括城市战争和情报收集，56岁的威廉·阿布·沙纳卜和35岁的巴拉·哈桑·法特也一同被列入了制裁名单。 据说阿布·沙纳卜和他的助手法特都是在黎巴嫩的阿尔-希马利单元工作的，其中阿布·沙纳卜是指挥官。 与美国行动同步进行的还有欧盟，欧盟对阿尔-卡桑旅、阿尔-库兹旅和努赫巴部队实施了自己的制裁，这是因为他们去年对以色列“野蛮且不分青红皂白的恐怖袭击”。阿尔-库兹旅是巴勒斯坦伊斯兰圣战的军事分支，而努赫巴部队是哈马斯的特种部队。 美国财政部副部长、负责反恐和金融情报的布莱恩·E·尼尔森表示，这次联合行动旨在“瓦解哈马斯继续发动攻击的能力，包括通过网络战争和生产无人机。” 这个决定出台的时间正好是在美国政府对六名与伊朗情报机构有关的伊朗官员实施制裁不到两个月后，制裁原因是他们攻击了包括美国在内的其他国家的关键基础设施。   转自E 安全，原文链接：https://mp.weixin.qq.com/s/ov10aliAN455EV2JG2ebkQ 封面来源于网络，如有侵权请联系删除