过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。 CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。 据报道， 该组织的策略表明 Cyber Toufan 很可能是由政府赞助的，有证据表明伊朗可能参与其中。 “与其他亲巴勒斯坦的哈马斯黑客组织相比，该组织表现出了卓越的能力。他们的活动重点是破坏服务器、数据库和泄露信息，有证据表明该组织受到来自民族国家——有可能是伊朗——的支持。”国际反恐研究所 (ICT) 在 11 月底指出。 安全研究人员已跟踪超过 100 起与 Cyber Toufan 操作相关的入侵，其特点是泄露大量数据（包括个人信息）并将其发布在网络上。 威胁情报公司SOC Radar在两周前的一份报告中写道：“他们的攻击不仅导致大量数据泄露，而且还成为一种数字报复形式，符合该地区更广泛的战略目标。” Cyber Toufan 于 2023 年 11 月 18 日在 Telegram 频道上发表的一篇文章 安全研究员Kevin Beaumont 表示，迄今为止，该组织已在其 Telegram 频道上泄露了 59 个组织的数据。在针对托管服务提供商 (MSP) 的攻击中，它可能还攻击了 40 多个目标。 “他们发布的数据包括完整的服务器磁盘映像、带有许多域私钥的 SSL 证书（尚未被撤销且仍在使用）、SQL 和 CRM 转储。甚至 WordPress 备份，显然现在人们在 WordPress 上构建 CRM。”Beaumont 说。 CyberToufan 的受害实体包括以色列国家档案馆、以色列创新局、Homecenter Israel、以色列自然和公园、特拉维夫学院、以色列卫生部、福利和社会保障部、以色列证券管理局、Allot、MAX Security & Intelligence 、Radware 和丰田以色列。 博蒙特表示，一些受害实体无法从网络攻击中恢复，并且已离线数周，这可能是黑客使用擦除器针对 Linux 系统导致的。 据研究人员称，CyberToufan 使用合法工具 Shred 来“以不可恢复的方式删除文件”。为此，该组织使用自己的 shell 脚本运行 Shred，以确保即使该进程被管理员终止，该工具也能继续运行。 人们还看到该组织向受害实体的客户发送电子邮件以进行宣传，并且似乎正在与其他黑客组织进行更大规模的集体行动协调。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/J6zk7amcWphjOU2KbqZWRg 封面来源于网络，如有侵权请联系删除

美国《联邦公报》上周发布有关“网络安全成熟度模型认证” CMMC 2.0的拟议规则，披露了国防部对承包商和其他组织实施五角大楼CMMC计划的最新成本预测。 根据该计划要求，处理联邦合同信息（FCI）和受控非机密信息（CUI）的国防承包商及分包商，必须根据信息类型和敏感程度，实施不同等级的网络安全标准，并评估自身合规满足情况 为了简化规则，CMMC 2.0具备三大特征：首先是采用分层模型，要求承包商根据信息敏感程度，按三个不同等级实施网络安全标准。其次是要求进行评估，允许国防部核验标准的实施情况。第三是以合同的形式落实，一旦CMMC规则生效，处理敏感信息的国防部承包商必须达到特定的CMMC等级才能取得合同。 一旦CMMC纳入《联邦法规第48编》，国防部将在招标书和随后的合同中指定所需的CMMC级别。新规则可能影响超过20万家国防工业公司。 五角大楼计划分阶段实施CMMC计划。第一步将在2026年10月1日或之后所有适用招标活动中纳入CMMC要求。当然，招标之前会视具体项目判断可否豁免。 承包商和分包商必须自我评估，判断是否达到规定的安全等级。评估也可以由第三方机构（称为C3PAO）或政府评估员实施。 评估规划、准备、实施和结果上报等活动将产生一定成本。 一级认证预计每年支出4000-6000美元 拟议规则表示，“估算公共成本时，国防部考虑了适用的非经常性工程成本、经常性工程成本、评估成本和每个CMMC等级所需的确认成本。” 规则指出，“对于CMMC 1级和2级，成本估算只考虑国防承包商、分包商或生态系统成员必须采取的评估、认证和确认活动，这些活动便于国防部核实相关基础安全要求是否得到落实。” “国防部没有考虑实施安全要求本身的成本。《联邦采购条例》（FAR）第52.204–21条款和《国防联邦采购条例补充》（DFARS）第252.204–7012条款规定的实施期限分别是2016年6月15日和2017年12月31日。因此，CMMC 1级和2级安全要求的实施成本应该已经发生，与本拟议规则无关。” 公司需每年进行一次1级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(2)条款规定，落实了保护联邦合同信息的所有基本要求。 五角大楼估计，小型实体进行1级自我评估和确认的成本将近6000美元，较大实体约为4000美元。 二级认证预计支出10-12.8万美元 承包商每三年需进行2级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(3)条款规定，落实了保护受控非机密信息的所有安全要求。每三年由第三方机构进行2级认证评估，亦可验证承包商符合安全要求。 拟议规则指出，“如实施合同时，需在组织信息系统中处理、存储或传输受控非机密信息，则该（寻求认证的）组织必须实施CMMC 2级评估。” 对于小型实体，2级自我评估和相关确认估计成本超过3.7万美元，较大实体约为4.9万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。对于小型实体，2级认证评估成本将近10.5万美元，较大实体约为11.8万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 三级认证预计支出数百万美元 拟议规则表示，“进行CMMC 3级认证评估之前，用于CMMC 3级评估范围内的信息系统必须接受CMMC 2级最终认证评估。CMMC 3级认证评估由（国防合同管理局）国防工业基础网络安全评估中心（DIBCAC）负责实施，将核实（寻求认证的组织）是否按照《联邦法规第32编》第170.14(c)(4)条款规定，实施CMMC 3级安全要求。” 如执行合同时需处理、存储或传输受控非机密信息，公司信息系统必须每三年进行一次3级认证评估。 根据拟议规则，3级认证将要求“在先前规则之外，实施美国国家标准与技术研究院800–172号特别出版物（NIST SP 800-172）规定的安全要求。因此，此次成本评估包括了初步实施和维护NIST SP 800–172要求产生的非经常性工程成本和经常性工程成本。” 3级认证评估的总成本包括与2级认证评估相关的支出，以及实施、评估3级独有安全要求的支出。 对于小型组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为49万美元和270万美元。认证评估的预计成本超过1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 对于较大组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为410万美元和211万美元。认证评估及相关确认的预计成本超过4.1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 拟议规则指出，3级标准预计只适用于“一小部分”国防承包商和分包商。 国防工业企业预计每年需增加40亿美元支出 在计算成本时，官员们力求考虑小公司和较大国防承包商之间的组织差异。比如，他们假定小公司的IT和网络安全基础设施和运行环境较为简单、规模较小。拟议规则称，小公司更有可能将IT和网络安全外包给外部服务提供商。 此外，官员们预计参与2级评估的组织将咨询外部服务提供商，寻求实施支持，帮助他们为评估做好准备或参与第三方机构的评估。 根据预测，为实施CMMC 2.0，未来20年，承包商和其他非政府实体的年化成本将约为40亿美元。对于政府，年化成本将约为1000万美元。 五角大楼正在征求公众对拟议规则的反馈，截止日期为2024年2月26日。 CMMC的实施成本和程序要求一直是国防承包商和贸易协会重点关注的问题。 上周二，美国航空工业协会总裁兼首席执行官Eric Fanning发布声明，表示,“长期以来，繁重的监管一直是一大障碍。对于为国防工业基础做出贡献的中小型企业而言，尤为如此。就国防公司而言，必须获得合适的工具和标准，既能保护我们国家敏感非机密材料的安全，又能不阻碍公司为国防工业基础做出贡献。我们期待审查拟议规则并提供全面反馈，确保国防部制定的最终规则能够充分考虑到国防工业基础的复杂程度。” 转自安全内参，原文链接：https://www.secrss.com/articles/62444 封面来源于网络，如有侵权请联系删除

美国纽约州两家非营利性医院请求法院颁布命令，以取回去年8月因勒索软件攻击被盗数据。目前，这些数据存储在波士顿一家云存储公司的服务器上。 两家受害组织——迦太基地区医院和克拉克斯顿赫普本医疗中心联合成立了北极星健康联盟。这一合作组织专注于为纽约州北部地区提供医疗服务，服务范围包括杰斐逊县、刘易斯县北部、圣劳伦斯县南部、奥格登斯堡的22万多居民。 LockBit勒索软件团伙声称，2023年8月下旬入侵了两家医院的系统，并窃取了敏感文件。一周之后，两家医院发表新闻稿表示，攻击事件迫使他们将需要紧急护理的患者转至其他医院的急诊科室。 两家医院表示，“在周四晚间，迦太基地区医院和克拉克斯顿赫普本医疗中心的内部安全软件发现一起网络安全事件。双方的IT团队正在继续努力保持所有系统稳定运行。我们将通知所有需要重新安排预约的患者。任何有紧急健康问题的患者仍应联系他们的医疗保健提供者。有急诊需求的患者应前往最近的急诊科室。” 两家医院与美国联邦调查局合作调查此事件，发现Lockbit关联机构窃取的数据现存储在马萨诸塞州波士顿Wasabi Technologies云存储公司的服务器上。被盗数据包括各类个人身份信息（PII）和受保护健康信息，如患者姓名、地址、出生日期、财务信息、社会安全号码、健康保险等。 通过起诉成功取回被盗数据 为了从Wasabi公司服务器中取回被盗数据，两家医院现在已经针对被盗文件发起法律行动，要求法院命令Wasabi公司将被盗数据返还给北极星健康联盟医院，并要求勒索软件团伙销毁制作的所有副本。 北极星健康联盟首席执行官Richard Duvall表示，“我们的法律团队研究认为，最佳方案是与FBI合作追究Wasabi公司，以获取我们隐私数据。这样我们可以确定具体哪些信息遭到了泄漏。” 根据法庭文件，这家云存储公司已经向FBI提供了医院要求的数据副本。 起诉书中写道，“医院集团要求对被告和其他实体采取禁令措施，防止对被盗数据进行访问、转移或复制，并要求在被盗数据归还给医院集团后，销毁所有其他副本。根据现有信息，我们相信Wasabi公司已经向FBI提供了被盗数据的副本。” 2023年平安夜，LockBit还破坏了德国三家医院的急救服务，迫使他们将急救患者转至其他机构，或将严重延误救治工作。2022年圣诞节前一周，另一家LockBit关联机构攻击了多伦多病童医院，延误了诊断和治疗进程。 2019年9月，LockBit的勒索软件即服务（RaaS）行动首次被曝光。德国大陆汽车公司、英国皇家邮政、新西兰奥克兰市政府、意大利国税局等机构纷纷沦陷。 2023年6月，多国网络安全机构联合发布警告称，自2020年以来，这个勒索软件团伙针对美国组织发动了1700多次攻击，至少敲诈了9100万美元。 转自安全内参，原文链接：https://www.secrss.com/articles/62400 封面来源于网络，如有侵权请联系删除

加密货币世界主要存在于数字领域，面临着众多不断变化的网络威胁，这些威胁所带来的风险，给个人和企业组织造成了重大损失。 本文将研究2023年年加密货币领域的一些关键网络安全趋势，这些趋势预计将持续到 2024 年，并影响更多受害者。 1. 黑客攻击和漏洞利用 加密货币交易所和各种去中心化金融（DeFi）平台在2023年都经历了多次黑客攻击和利用，例如Mixin Network在 9 月份因黑客攻击遭受了近 2 亿美元的损失，Euler Finance 在 3 月份也遭遇了漏洞攻击，导致损失 1.97 亿美元。 截至2023年 11 月，区块链情报公司 TRM Labs 总共记录了 160 起黑客攻击事件，这一数字与 2022 年相当。然而，尽管事件数量相似，黑客仅窃取了 17 亿美元的比特币 (BTC) 和其他加密资产，还不到 2022 年被盗金额的一半。研究人员将损失的减少归因于行业安全措施的改进、执法力度的加大以及行业协调的加强。 2022 年与 2023 年损失对比 数据还表明，今年被盗总额的近 60% 可归因于基础设施攻击，犯罪分子通过攻击获取服务器、网络或软件的访问权限。其他方式包括通过代码漏洞、协议攻击等方式对智能合约（自执行程序）进行攻击。 2023年所记录到的攻击类型比例 与此同时，2023年有一起黑客攻击事件引人注目：KyberSwap 去中心化交易所的黑客开始要求转移对该平台的控制权，以换取价值约 5000 万美元的加密资产的归还。该事件到目前仍未得到解决。 由于黑客可能会继续瞄准加密货币交易所（尤其是集中式交易所），因此建议仅在这些平台上保留交易所需的加密资产额度，同时通过更安全的选项（例如硬件钱包）来保障更大额的加密资产。 2. 诈骗 加密货币诈骗构成了一个广泛的类别，涵盖各种子类别，例如退出诈骗、投资欺诈、欺骗性智能合约等。此外，一个骗局可能涉及多种骗局，例如投资骗局和爱情骗局的结合。随着2023年比特币和加密货币市场的显着上升趋势，预计诈骗活动将会增加。 但事实证明，至少2023年上半年这些犯罪分子的 “利润 “并不高。根据区块链分析公司 Chainalysis 的数据，截至 6 月，加密货币诈骗者在 2023 年获得的收益比 2022 年减少了近 33 亿美元，全年总收益略高于 10 亿美元。这一下降归因于以VidiLook为代表的两大投资骗局的销声匿迹。 与此同时，有着朝鲜背景的 Lazarus 等特定黑客组织对加密货币诈骗也并不陌生。据估计，该组织在6年内窃取了价值 30 亿美元的加密资产，目前涉嫌在 Telegram 上发起网络钓鱼活动，重点针对加密行业。加密安全专家慢雾声称，该组织成员目前冒充信誉良好的投资机构，欺骗加密项目向犯罪分子发送资金。这种特殊的骗局属于网络钓鱼骗局的范畴，将在下面单独进一步讨论。 3. 网络钓鱼 网络钓鱼采用欺骗手段（例如冒充和创建虚假网站）来获取受害者的资金。最近在2023年12月份发生的一起重大事件震惊了整个DeFi和Web3（新一代互联网）行业。大型硬件钱包制造商 Ledger 的一名前员工遭到网络钓鱼攻击，攻击者可以将恶意代码注入 Ledger 的软件中。该软件用于控制第三方应用程序对硬件钱包上的加密资产的访问，目前价值约 60 万美元的加密资产被盗。此消息曝光后，建议所有去中心化应用程序（dapp）的用户停止交互，直至另行通知。 与此同时，Chainalysis 还对另一种类型的犯罪发出了警告–批准钓鱼诈骗。在这种情况下，骗子会诱骗用户签署恶意区块链交易，批准骗子的地址使用受害者钱包中的特定代币。据研究人员估计，一些受害者在这些骗局中损失了数千万。 因此，这种新出现的网络钓鱼诈骗是一个重要提醒，不仅要在签署任何交易之前仔细检查与您在互联网上互动的个人或网站身份，还要在启动交易之前验证地址。 4. 拉高出货（Pump & dump schemes）和跑路（rug pulls）骗局 加密货币的参与者还应警惕操纵和欺骗手段，包括拉高出货（Pump & dump schemes）计划和跑路（rug pulls）。前者是指通过误导性声明操纵代币价格，从而出售过高估值的基金，让毫无戒心的投资者蒙受损失。虽然2023年的数据尚未公布，但 Chainalysis 估计，2022年推出的代币中有 24% 在第一周出现了价格下跌，这表明存在潜在的拉高出货活动。 而跑路策略，是在从投资者那里收取资金后，犯罪团队带着所有资金消失。Hacken 估计，2023年第三季度加密货币领域的损失中有 65% 是由跑路造成。研究人员记录了 78 起事件，使投资者损失近 5000 万美元。检查加密货币项目是否经过了独立的第三方审核（这可能表明潜在风险）可以帮助防止成为骗局的受害者。据 Hacken 称，在检查的 78 起跑路事件中，只有 12 起报告称经过了第三方审核，且审核后的评分很低。 5. 勒索软件 虽然2023年上半年诈骗活动有所减少，但与加密货币相关的勒索软件活动却有所增加。根据 Chainaanalysis的数据，勒索软件成为2023年唯一增长的与加密货币相关的犯罪类型。截至 6 月，犯罪分子勒索了至少 4.49 亿美元，比 2022 年同期增加了 64%，其大幅增长归因于攻击者瞄准了更大型的组织，以博得更高额的赎金。此外，还发生了一些更成功的小规模勒索软件攻击事件。 2023年不同勒索软件的赎金规模 随着年关将至，犯罪分子更加力求利益最大化。Immunefi 的数据显示，仅2023年 11 月份，BTC 和加密市场因黑客和欺诈造成的损失约为 3.4 亿美元，较 10 月份增加了 15.4 倍。 随着人们对网络安全威胁的认识不断增强，BTC 和加密货币用户以及相关组织有望在 2024 年能更好地保持警惕，时刻维护自身安全。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388541.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，Ruhr University Bochum 的安全研究人员在 SSH 加密网络协议中发现一个新安全漏洞，黑客能够利用漏洞破坏安全通道的完整性，从而降低 SSH 连接的安全性。 SSH 协议依靠加密技术验证和加密设备之间的连接，这一过程主要通过握手实现。握手过程中，客户端和服务器就加密原语达成一致，并交换建立安全通道所需的密钥，从而确保传输信息的保密性、完整性和安全性。 安全漏洞被称为 Terrapin（CVE-2023-48795，CVSS 得分：5.9），研究人员称其是有史以来第一个可实际针对 SSH 协议的前缀截断攻击。 研究人员 Fabian Bäumer、Marcus Brinkmann 和 Jörg Schwenk 指出，当使用 SSH 扩展协商时，处于主动中间对手（AitM）位置并有能力在 TCP/IP 层拦截和修改连接流量的威胁攻击者能够降低 SSH 连接的安全性。 黑客通过在握手过程中”精心“调整序列号，便能够在安全通道开始时删除客户端或服务器发送的任意数量的信息，整个过程客户端或服务器都不会察觉，研究人员进一步解释称，黑客还可以通过截断誊本中的扩展协商消息（RFC8308）来降低连接的安全性。（截断会使 OpenSSH 9.5 中针对击键计时攻击的特定对策失效） 从目前披露的消息来看，Terrapin 漏洞影响包括 OpenSSH、Paramiko、PuTTY、KiTTY、WinSCP、libssh、libssh2、AsyncSSH、FileZilla 和 Dropbear 等在内的许多 SSH 客户端和服务器。值得一提的是，黑客能够完成攻击活动的关键前提是被攻击目标使用易受攻击的加密模式，例如 ChaCha20-Poly1305 或 CBC with Encrypt-then-MAC 等。 Qualys 还表示在现实世界中，黑客可以利用这一漏洞截获敏感数据，或使用管理员权限控制关键系统，对于拥有大型互联网络并提供权限数据访问的企业来说，这种风险尤为突出。 最后，JFrog 公司安全研究部高级安全研究员 Yair Mizrahi 指出，由于 SSH 服务器，尤其是 OpenSSH 在整个基于云的企业应用环境中使用非常广泛，因此企业必须确保已采取适当措施为服务器打补丁，以避免遭受更大的网络攻击。此外，Mizrahi 特别强调，连接到修补服务器的易受攻击的客户端仍然会导致连接易受攻击。因此，企业还必须采取措施，识别其整个基础设施中的每一个易受攻击的漏洞，并立即采取缓解措施。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388549.html 封面来源于网络，如有侵权请联系删除

总部位于以色列的网络安全事件响应公司 Security Joes 报道，一种新的 DLL 搜索顺序劫持技术允许黑客在 Windows WinSxS 文件夹内的应用程序中加载并执行恶意代码。 通常，DLL 搜索顺序劫持不会滥用指定所需库或文件的完整路径，而是依赖预定义搜索顺序来定位它的应用程序。 黑客将恶意 DLL 放置在按搜索顺序优先的文件夹中（通常位于应用程序的工作目录中），以便在应用程序所需的合法库之前加载它。在某些情况下，黑客还会删除合法但易受攻击的应用程序，以使用恶意 DLL 加载。 “操纵这个加载过程可以让黑客在受信任进程的内存空间中注入和执行未经授权的代码，从而有效地欺骗安全工具和分析师。”Security Joes 解释道。 该公司称，黑恶可以故意瞄准 WinSxS 文件夹中的文件，使他们的攻击更加隐蔽，同时无需删除额外的二进制文件或获得在 Windows 文件夹中的应用程序中执行代码的高权限。 WinSxS（Windows Side by Side）文件夹存储重要系统文件的各种版本，包括 DLL，确保应用程序兼容性和系统完整性，并方便激活或停用 Windows 功能，而无需额外安装。 “实际上，在安装 Windows 组件、更新或软件应用程序期间，文件会系统地存储在 WinSxS 目录中。该目录充当系统文件（尤其是 DLL）的集中存储库。”Security Joes 解释道。 针对 WinSxS 应用程序的 DLL 搜索顺序劫持的执行流程 作为其研究的一部分，该网络安全公司首先在 WinSxS 文件夹中发现了一个存在漏洞的二进制文件，然后在搜索系统文件时滥用 Windows 的行为，以确保该二进制文件使用 DLL 加载放置在桌面上自定义文件夹中的精心设计的 DLL搜索顺序劫持。 “除了自定义 DLL 之外，我们还开发了一个可执行文件，其唯一目的是执行 WinSxS 文件夹中的所有其他二进制文件并监视它们的操作。该可执行文件旨在识别 WinSxS 文件夹中存在的易受攻击的文件。”该公司表示。 该公司发现，WinSxS 文件夹中的一些二进制文件正在自定义桌面文件夹中搜索 DLL，这表明如果要重命名该库以匹配可执行文件正在搜索的预期 DLL 文件，它们将加载精心设计的库。 据 Security Joes 称，攻击者可以从使用自定义文件夹作为工作目录的 shell 启动命令，而无需将易受攻击的二进制文件移至 WinSxS 文件夹之外。 “此操作将导致目标二进制文件执行我们的 DLL，因为它只会将其定位在我们的目录中。这凸显了我们实现的强大功能，只需要注入命令行和 DLL。”Security Joes 指出。 通过依赖位于 WinSxS 中的易受攻击的可执行文件，该技术改进并简化了依赖 DLL 搜索顺序劫持的感染链，因为它消除了删除易受攻击的应用程序的需要。 此外，该网络安全公司指出，该技术可用于针对 Windows 10 和 11 系统。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XIMkRT0TV2LUqmvVv1BvpA 封面来源于网络，如有侵权请联系删除

高通公司在元旦披露了一个严重漏洞，该漏洞允许通过 LTE 网络上的恶意语音通话进行远程攻击。 2024 年1月的安全公告共列出了影响高通芯片组的 26 个漏洞，其中包括 4 个高危漏洞。补丁已经提供给使用高通芯片（包括流行的 Snapdragon 系列芯片）的原始设备制造商 (OEM)。 高通公司的高危漏洞在通过 LTE 接听电话时会带来风险 据高通称，最严重的漏洞编号为CVE-2023-33025，CVSS 评分为 9.8。此漏洞涉及一个典型的缓冲区溢出缺陷，导致数据调制解调器中的内存损坏，当会话描述协议 (SDP) 主体不标准时，在 LTE 语音 (VoLTE) 呼叫期间会发生这种情况。 SDP 通常通过以标准化格式提供某些会话、媒体、定时和网络信息来帮助促进两个设备之间的连接以进行通信会话，例如 VoLTE 呼叫。如果黑客可以使用自己的内容操纵 SDP 主体并发起调用，其中恶意 SDP 由接收设备的数据调制解调器处理，则黑客可以利用调制解调器中的内存损坏进行远程代码执行 (RCE)。 高通发言人表示，这种利用虽然可能，但很难实现，因为黑客需要控制 LTE 网络本身才能进行攻击。因此，建议用户仅连接到安全、可信的 LTE 网络。 CVE-2023-33025 影响两大高通芯片组，包括 Snapdragon 680 和 Snapdragon 685 4G 移动平台。这些芯片用于一系列智能手机和平板电脑，包括三星 Galaxy、摩托罗拉 Moto 以及华为 Enjoy 和 Nova 产品系列中的型号。较新的 Snapdragon X65 5G 调制解调器和 Snapdragon X70 调制解调器射频系统也受到影响。 OEM 于 2023 年 7 月 7 日首次收到有关该缺陷的通知。 高通发言人表示，CVE-2023-33025 将包含在周二的 2024 年 1 月Android 安全公告中。 其他严重错误可能导致永久性 DoS、本地攻击 三个本地访问漏洞也被标记为高危，其中一个可能导致永久性 DoS，另外两个会导致内存损坏。 CVE-2023-33036被 Qualcomm 授予关键安全评级，CVSS 评分高达 7.1，由于 NULL 指针取消引用，导致虚拟机管理程序软件永久中断。当不支持电源状态协调接口 (PSCI) 的不受信任虚拟机进行 PSCI 调用（即与电源管理相关的请求）时，就会出现此问题。该漏洞影响了 100 多个芯片组，其中包括 Snapdragon 系列中的许多芯片组。 CVE-2023-33030（CVSS 得分为 9.3）是另一个缓冲区溢出错误，在运行 Microsoft PlayReady 用例（即播放受 PlayReady 保护的媒体文件）时，会导致高级操作系统 (HLOS) 内存损坏。防复制技术）。此漏洞影响 200 多个芯片组，从智能手机和计算机芯片到可穿戴设备和其他物联网设备中使用的芯片组。 CVE-2023-33032 的CVSS 分数也为 9.3，是一个整数溢出或环绕缺陷。当从可信应用程序 (TA) 区域请求内存分配时，ARM TrustZone 安全操作系统中可能会发生内存损坏。该缺陷影响超过 100 个高通芯片组。 客户于 2023 年 7 月 3 日收到有关所有这些严重缺陷的通知，所有错误均通过高通提供的软件补丁得到解决。该公司建议包含受影响芯片的设备的用户联系设备制造商以获取有关修补状态的信息并应用所有可用的更新。 转自安全客，原文链接：https://www.anquanke.com/post/id/292335 封面来源于网络，如有侵权请联系删除

安全研究实验室 (SRLabs) 创建了一个解密器，该解密器利用 Black Basta 勒索软件加密算法中的漏洞，让受害者免费恢复其文件。 Black Basta Buster 解密器的特殊功能是能够恢复 2022 年 11 月至今加密的文件。然而，Black Basta 开发人员大约一周前已经修复了该漏洞，这使得该解密技术无法对新的漏洞使用。 该漏洞的本质是利用标准XChaCha20密码来加密文件。Black Basta 开发人员的错误是在加密过程中重复使用相同的密钥流，导致所有仅包含零的 64 字节数据被转换为 64 字节对称密钥，从而允许专家提取密钥并使用它来解密整个文件。 Black Basta Buster 解密器由一组Python脚本组成，可帮助在各种场景下解密文件。但需要注意的是，该解密器仅适用于 2022 年 11 月至今使用 Black Basta 版本加密的文件。此外，该工具无法解密向加密文件添加“.basta”扩展名的程序版本。 Black Basta Buster 被官方证明是有效的，但尽管它成功地恢复了一些文件，但解密器一次只能对一个文件起作用，这使得大量数据的恢复过程变得十分困难。 如果知道 64 个加密字节的明文，就可以恢复文件。完全或部分恢复文件的可能性取决于文件的大小。小于 5,000 字节的文件无法恢复。对于大小从 5,000 字节到 1 GB 的文件，可以完全恢复。对于大于 1 GB 的文件，前 5,000 字节将丢失，但其余部分可以恢复。 虽然较小的文件可能无法解密，但较大的文件（例如虚拟机磁盘）通常可以解密，因为它们包含大量“空”分区。 这一发现对于勒索软件受害者来说尤其重要，他们以前想要恢复数据就必须支付赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292324 封面来源于网络，如有侵权请联系删除

澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 宣布，由于最近的网络攻击，证券交易所暂停交易。该公司经营着300多家丰田、宝马、日产、奔驰、奥迪、福特、大众、本田等知名品牌的零售店，并拥有多家专门从事二手车销售的分公司。 Eagers Automotive 拥有 8,500 多名员工，2023 年上半年营收为 48.2 亿澳元（32.5 亿美元）。 12月28日，该公司宣布需要暂停所有交易操作，以防止信息泄露。该公司在随后的声明中表示，其在澳大利亚和新西兰的多个系统遭到网络攻击。 Eagers Automotive 表示，信息系统中断正在影响澳大利亚和新西兰的一些工作场所。当地媒体报道称，“网络攻击的全面规模尚无法确定。” 外部专家已介入并展开紧急调查。Eagers Automotive已将该事件通知澳大利亚网络安全中心和新西兰国家网络安全中心。 该公司的规模和业务性质引起了人们对潜在数据泄露的担忧，该数据泄露会影响多个客户并可能泄露敏感的财务信息。尽管该公司对给客户带来的不便表示遗憾，并强调保护客户和员工数据的重要性，但该公司并未声明如何解决可能的数据泄露问题。 截至撰写本文时，尚无主要黑客组织声称对针对 Eagers Automotive 的攻击负责。 今年早些时候，澳大利亚主要公司包括迪拜环球港务集团 (DP World)、必胜客澳大利亚 (Pizza Hut Australia)、Dymocks Booksellers、悉尼大学 (University of Sydney)、HWL Ebsworth、Latitude Financial、维多利亚消防救援队 (Fire Rescue Victoria) 和昆士兰科技大学 (Queensland University of Technology) 等澳大利亚的主要公司遭受了其他一些网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292308 封面来源于网络，如有侵权请联系删除

网络安全公司 Palo Alto Networks 报告称，有权访问 Kubernetes 集群的黑客可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。 这些问题本身可能不会构成重大风险，但已在 FluentBit（GKE 中的默认日志记录代理）和 Anthos Service Mesh (ASM)（用于控制服务间通信的可选插件）环境中发现。 FluentBit 是一种轻量级日志处理器和转发器，自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理，从一开始就被部署为 DaemonSet（控制器）。ASM是Google对Istio Service Mesh开源项目的实现，用于服务的管理和可视化。 Palo Alto Networks 表示，最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用，前提是黑客已经在 FluentBit 容器中实现了远程代码执行，或者他们可以突破另一个容器。 “如果黑客有能力在 FluentBit 容器中执行并且集群安装了 ASM，他们就可以创建一个强大的链来完全控制 Kubernetes 集群。黑客可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。 FluentBit 中的错误配置可能允许黑客使用节点中任何 pod 的令牌来冒充该 pod，获得对集群的未经授权的访问，并列出所有正在运行的 pod。 “除了获得对集群的未经授权的访问之外，黑客还可以升级他们的权限或执行有害的操作。事实上，这为黑客提供了巨大的攻击面，具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。 此外，网络安全公司发现，安装后，ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限，允许黑客使用这些权限创建新的 pod，并获得对集群的特权访问。 通过利用FluentBit问题，黑客可以映射集群以找到Istio容器，并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod，瞄准具有高权限的服务帐户，并获得充当集群管理员的权限。 12 月 14 日，谷歌宣布针对这两个问题发布补丁，敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000，以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。 “这些漏洞在 GKE 中无法单独利用，需要进行初步妥协。我们不知道有任何利用这些漏洞的实例，”谷歌在其公告中指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292303 封面来源于网络，如有侵权请联系删除