根据Secureworks的《2023年威胁状况报告》，在2023年3月至6月的四个月里，勒索软件泄露网站上公布的受害者人数达到了“前所未有的水平”。 按照目前的水平，2023年将是自2019年有记录以来在所谓的“点名羞辱”网站上点名受害者人数最多的一年。预计第10000名受害者的名字将于2023年夏末发布到网站中。该报告揭示了对特定漏洞的一次性大规模剥削是该时期后四个月被点名受害者人数创纪录的主要因素：  三月 – Fortra GoAnywhere，被Clop利用 五月 – Zimbra邮件服务器，被MalasLocker利用 六月 – MOVEit Transfer，被Clop利用 勒索软件名称和耻辱泄漏站点受害者列表 – 2020 年至 2023 年 一家被称为GOLD MYSTIC的LockBit运营商是12个月内最活跃的勒索软件集团，公布的受害者人数几乎是第二活跃集团ALPPV（黑猫）的三倍，该集团由一个名为GOLD BLAZER的集团运营。除了已知的团体，2023年3月至6月，新的勒索软件计划发布了大量受害者。这包括8BASE在2023年6月期间在其泄漏现场列出了近40名受害者。Secureworks反威胁部门威胁情报副总裁Don Smith指出：“虽然我们仍然认为熟悉的名字是最活跃的威胁参与者，但几个新的、非常活跃的威胁团体的出现正在使受害者和数据泄露的显著增加。尽管他们受到了高调的打击和制裁，但网络犯罪分子是适应的大师，因此威胁继续加速。”研究人员承认，仅靠泄漏网站并不能完全准确地描述勒索软件的状态，因为它们只列出了未支付赎金的受害者。 勒索软件驻留时间的戏剧性下降  2023年的报告发现，勒索软件的平均停留时间不到24小时，比前12个月的4.5天大幅下降。在10%的案例中，勒索软件是在最初访问后的五小时内部署的。史密斯认为，这一趋势是由于网络检测能力的提高，威胁行为者加快了行动速度，以减少在部署勒索软件之前被阻止的机会。因此，威胁行为者正专注于更简单、更快地实施操作，而不是更复杂的大型、多站点企业范围的加密事件。但这些攻击的风险仍然很高。停留时间下降的另一个因素是，现在部署勒索软件的许多威胁行为者的技能低于以前的运营商，方法也不那么复杂。这是由于勒索软件即服务（RaaS）模式的兴起降低了进入门槛。 勒索软件的首选初始访问向量是什么 Secureworks观察到，两种最常见的初始访问向量是扫描和利用（32%）和被盗凭据（32%）。 与前12个月的52%相比，扫描和利用漏洞（即识别被特定漏洞攻击的易受攻击系统）在勒索软件事件中所占的比例大幅下降。从被盗凭据开始的事件比例也比前12个月有所下降，当时占勒索软件入侵的39%。 从2022年7月到2023年6月，通过钓鱼电子邮件发送的商品恶意软件是第三常见的初始访问媒介，占14%。 防止勒索软件的最有效方法 研究人员指出，通过以下措施的组合，可以在早期预防或检测出已识别的前三种初始接触媒介： 及时定期修补。CISA和合作机构列出了威胁行为者扫描的主要漏洞，其中许多包含较旧的缺陷。各组织应优先考虑修补这些漏洞。 多因素身份验证（MFA）。虽然该报告承认，威胁行为者正在采用各种策略绕过MFA，但当薄弱的凭据被利用时，这些控制措施通常会阻止对手前进。 全面实施监控解决方案。研究人员表示，勒索软件事件中数据被盗和使用之间的时间间隔意味着组织在监控网络犯罪论坛中被盗数据方面具有巨大价值。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Sk1Rcg87-KB3GKAjP9xSUA 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，一个名为 SiegedSec 的网络攻击组织近期成功入侵了北约网络系统，并在网上散布盗取的大量非机密文件。 目前，北约正在就此事展开积极调查，其所属官员发表声明表示，北约内部已经组织了大量的网络专家协调处理此事，该官员同时指出虽然北约的任务、行动和军事部署没有受到此次网络安全事件的影响，但也已经采取额外的网络安全措施，以确保自身安全。 值得一提的是，从目前披露的信息来看，SiegedSec 威胁攻击组织似乎具有国家背景，去年就已经对美国组织，尤其是美国市政当局实施了多次大规模网络攻击行动。 本次攻击事件发生在 2023 年 9 月 30 日，该组织在其 Telegram 频道上宣布窃取了约 3000 份北大西洋公约组织文件（数据量超过 9 GB）。该组织还发布了一系列截图来显示黑客系统的访问权限，以此证明其成功实施网络攻击。 SiegedSec Telegram 频道 SiegedSec 黑客组织在Telegram 上嚣张的写着“ siegedsec 黑客再次成功袭击了北约，给你们“带来”了 3000 多个文件，总计超过 9GB 的未压缩数据！”。该组织还声称北约运行的几个门户网站都遭到黑客攻击，其中包括联合高级分布式学习、经验教训门户网站、后勤网络门户网站、利益共同体合作门户网站、投资司门户网站和标准化办公室等。 值得一提的是，早在今年 7 月，SiegedSec 就开始在其 Telegram 频道上宣称北约 “利益共同体合作门户网站 “有一批文件被盗。 SiegedSec Telegram 频道   转自Freebuf，原文链接：https://www.freebuf.com/news/379755.html 封面来源于网络，如有侵权请联系删除

近日，浙江温州平阳县公安网安部门破获一起案件，抓获涉案犯罪嫌疑人30名，退赔退赃118万元。 案情回顾 今年4月，平阳县公安局网安大队接辖区内某公司财务人员小陈报警，称其电脑被他人非法控制，嫌疑人利用其微信指令出纳小张往不同的银行卡转账，造成经济损失298.2万元。 案件深挖 原来，境外诈骗团伙先是通过网络招募境内黑客技术员，制作了木马程序。随后他们将伪装成“***政策计划”的木马程序邮件群发至国内企业邮箱，企业工作人员打开程序，便感染了木马病毒，黑客远程控制其电脑，伪装身份，伺机作案。案发当天，出纳小张就是接收到微信上的”财务小陈“指示，从而进行了三次大额转账。微信上的”小陈“说话语气和断句习惯与平时发邮件时一模一样。 不仅如此，该木马程序可自主呈“几何式扩散” 利用企业邮箱传播达到远程控制目的后，黑客利用被控制电脑登录企业员工聊天工具，再进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。危害程度可想而知，案件侦破迫在眉睫。 线索浮出 结合受害方财务室内监控和涉案电脑勘验结果，民警排除了公司内部人员作案的嫌疑。随后，民警通过对远控软件的层层追踪，彻底弄清楚其流程。犯罪团伙利用微信、邮箱传播，致使受害企业财务人员的计算机被控制，企业财务秘密“一览无遗”。在时机成熟之际，黑客就会模仿财务人员的口吻向出纳发出转账指令，让企业蒙受巨额损失。 收网行动 对案情抽丝剥茧后，专案民警分别在浙江、广西、河南、江西等地组织开展收网行动，一举捣毁了一个以廖某为首的黑客工作室和以葛某为首的洗钱团伙，抓获涉案犯罪嫌疑人30名。经审讯，犯罪嫌疑人对其违法犯罪的行为供认不讳。民警结合案件病毒以及远控端数据源分析，发现辖区内另有预警风险企业23家。平阳公安已实地走访排查13家，并做好对企业财务人员转账规范的提醒工作。 案件特点 1.作案目标明确，迷惑性强。 该类犯罪主要针对企业财务人员。犯罪团伙制作木马程序后，伪装成国家相关政策文件木马程序，并发送至企业邮箱，从而降低了企业员工的防范意识，达到植入木马的目的。 2.木马呈几何式扩散，溯源较难。 该木马程序利用企业邮箱传播达到远程控制目的后，犯罪嫌疑人利用被控制电脑登录企业员工聊天工具进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。 3.木马伪装性强，不易被发现。 犯罪团伙对木马实时更新，普通杀毒软件无法查杀该木马程序。企业电脑中毒后，犯罪嫌疑人将使用远程控制端窥视该电脑使用情况，进一步判断电脑使用人员的身份、作息规律、聊天语气等，并伺机作案。 提示 1.普及安全防范意识教育 企业需加大对重点岗位工作人员的信息安全知识普及教育，不随意点击下载陌生人发布的链接、文件。 2.加强信息安全技术支持 企业电脑需配置防火墙、入侵检测等防护技术，定期更新软件、查杀木马，一旦发现电脑出现不明文件或异常操作，要立刻切断网络，并向公安机关报案。 3.健全完善内部管理制度 企业需进一步完善信息安全管理制度，明确内部职责和管理流程，如设置多道审批确认程序，加强财务审批、出纳确认等关键环节的日常防范管理，确保企业财产安全。 转自安全圈，原文链接：https://mp.weixin.qq.com/s/5_-zruPDitNSN1UGP5k_Ag?from=industrynews&version=4.1.9.6012&platform=win 封面来源于网络，如有侵权请联系删除

最近，来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击，可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。 研究人员通过 Chrome 浏览器可执行跨源 SVG 滤镜像素窃取攻击，这也证明了这种 “GPU.zip “攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。截至 2023 年 9 月，受影响的 GPU 厂商，包括AMD、苹果、Arm、英伟达、高通、谷歌Chrome 浏览器等均未推出解决该问题的补丁。 德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在一篇论文中详细概述了这一新漏洞，该论文于第 45 届电气和电子工程师学会安全与隐私研讨会上正式发表。 通过压缩泄密 一般来说，数据压缩会产生明显的数据依赖性 DRAM 流量和缓存利用率，这可能会被滥用于数据泄露，因此软件在处理敏感数据时会关闭压缩功能。 GPU.zip 研究人员解释说，所有现代图形处理器单元，尤其是集成的英特尔和 AMD 芯片，即使没有明确要求，也会执行软件可见的数据压缩。 现代图形处理器将这种危险的做法作为一种优化策略，因为它有助于节省内存带宽，并能够在不使用软件的情况下提高性能。 这种压缩通常不会留下记录，但研究人员已经找到了一种数据可视化的方法。他们演示了一种可以在各种设备和 GPU 架构上通过网络浏览器提取单个像素数据的攻击方式，如下图所示： 不同系统的测试结果 概念验证攻击演示了从维基百科 iframe 中窃取用户名的过程，使用 Ryzen GPU 和英特尔 GPU 分别可在 30 分钟和 215 分钟内完成，准确率分别为 97% 和 98.3%。 找回用户名 iframe 承载了一个跨源网页，其像素被分离并转换成二进制，即可转换成两种颜色。然后这些像素会被放大，并应用专门的 SVG 过滤器堆栈来创建可压缩或不可压缩的纹理。研究人员可以通过测量纹理渲染所需的时间，推断出目标像素的原始颜色/状态。 GPU.zip 攻击概念 在 “Hot Pixels “攻击中，SVG 过滤器被用以诱导数据的执行，JavaScript 则被用来测量计算时间和频率，以辨别像素的颜色。 Hot Pixels 利用的是现代处理器上依赖数据的计算时间，而 GPU.zip 则利用未注明的 GPU 数据压缩来实现类似的结果。 GPU.zip 的严重性 GPU.zip 几乎影响了所有主要的 GPU 制造商，包括 AMD、苹果、Arm、英特尔、高通和英伟达，但并非所有显卡都受到同样的影响。 事实上，所有受影响的厂商都没有选择通过优化数据压缩的方法并将其操作限制在非敏感情况下，来修复该问题，因为这可能会进一步提高风险。 尽管 GPU.zip 有可能影响全球绝大多数笔记本电脑、智能手机、平板电脑和台式电脑，但由于执行攻击十分复杂并且需要大量时间，所以对用户的直接影响并不明显。 此外，拒绝跨源 iframe 嵌入的网站也无法通过这种或类似的侧信道攻击泄漏用户数据。 研究人员在该团队网站上的常见问题中解释说：大多数敏感网站已经拒绝被跨源网站嵌入，因此它们并不容易受到 GPU.zip 安装的像素窃取攻击。 最后，研究人员指出，Firefox 和 Safari 并不符合 GPU.zip 运行所需的所有条件，例如允许跨源 iframe 使用 cookies 加载、在 iframe 上呈现 SVG 过滤器以及将呈现任务委托给 GPU。   转自Freebuf，原文链接：https://www.freebuf.com/news/379530.html 封面来源于网络，如有侵权请联系删除

乌克兰黑客声称已侵入俄罗斯公司Sirena-Travel的数据库。该数据库包含数亿次航空旅行的信息以及乘客保险以及其他个人数据。有关此次黑客攻击的消息发布在黑客社区KibOrg的电报频道上。他们声称Muppets是这次黑客攻击的幕后黑手。  黑客表示，这两个数据库包含了35亿条乘客的电话号码记录和6.646亿条个人信息记录（包括航班号码、路线、票价、机票价格等），共41.646亿条乘客数据被窃取，这些数据涵盖2007年至2023年期间。 网络上出现了黑客发布的两个数据库“探针”。例如，在其中发现了奥地利外交部前负责人、俄罗斯石油公司前董事会成员卡琳·克奈斯尔的航班数据，她于2023年夏天移居俄罗斯。有关其移动的数据与她9月10日从圣彼得堡飞往符拉迪沃斯托克经济论坛的公开报道一致。阿列克谢·纳瓦尔尼团队的乔治·阿尔布罗夫写道，通过检查与弗拉基米尔·普京关系密切的阿琳娜·卡巴耶娃最近从明斯克飞往莫斯科的航班数据，验证了该数据库的真实性。 黑客组织的一位消息人士指出，KibOrg并不打算公开整个数据库。目前正在考虑两种选择：创建一个机器人来汇总数据库数据以获取金钱；或者将数据库转移给乌克兰武装部队。同时黑客也愿意与调查记者分享信息。 Serena Travel是俄罗斯最大的航空公司，提供机票预订和销售、文化娱乐场所、保险单登记等服务。公司运营国内首个经认可的航空分销系统（ADS）“Sirena Travel”，该系统是根据IATA（国际航空运输协会（IATA））的建议开发的，为代理机构提供预订和销售机票的接口，并为航空公司提供管理和控制座位资源的工具。   转自E安全，原文链接：https://mp.weixin.qq.com/s/80wApqMaq_ID_4dtLWBv0Q 封面来源于网络，如有侵权请联系删除

9月21日，美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。 网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。 该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。 据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。 该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。 此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。 他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。 该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。 受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。 Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。   转自Freebuf，原文链接：https://www.freebuf.com/news/378862.html 封面来源于网络，如有侵权请联系删除

有消息称，据报道，由于亲俄罗斯黑客组织发动网络攻击，加拿大多家机场出现大规模服务中断。 加拿大边境服务署（CBSA）表示，上周影响机场自助值机机器和电子门的连接问题，是由DDoS攻击引发。此类攻击通过发送大量垃圾流量干扰系统运行。 边境服务署发言人表示，他们在短短几个小时内恢复了所有系统。 蒙特利尔机场管理局告诉加拿大《新闻报》，由于自助值机机器发生计算机故障，加拿大全国边境检查站处理到达人员工作出现重大延误。延误时间超过一小时之久。受影响边境检查站包括蒙特利尔特鲁多国际机场。 边境服务署表示：“我们正在与合作伙伴密切合作，评估、调查此情况。加拿大公民和旅客的安全是边境服务署的首要任务。这些攻击并没有泄漏个人信息。” 上周晚些时候，俄罗斯黑客组织NoName057（16）声称对多个加拿大组织发动网络攻击，包括加拿大边境服务署、航空运输安全局以及政府和金融机构。 加拿大网络安全中心发布警报，警告当地技术专业人员和管理人员要警惕“针对加拿大政府以及金融和交通部门的DDoS攻击活动”。该机构表示，一些活动与NoName057（16）等得到俄罗斯政府支持的网络威胁行为者有关。 边境服务署没有直接将攻击归咎于NoName057（16）。该机构尚未透露DDoS攻击如何成功侵入机场自助值机机器所使用的计算机系统，据《新闻报》报道，该系统应该是封闭状态，无法连接到互联网。 边境服务署未回应媒体的置评请求。 亲俄黑客组织持续攻击加拿大 NoName057（16）是一群亲俄黑客活动分子。他们得到数百名志愿者的支持，组织相对简单、短暂的DDoS攻击。 该组织每天都在Telegram频道公布新的攻击目标。被攻击服务受影响程度一般取决于目标采取什么级别的安全措施。 上周，NoName表示，他们对加拿大发起的攻击旨在回击加拿大总理贾斯汀·特鲁多对俄乌战争的声明——加拿大将继续支持乌克兰。 黑客们扬言：“每次贾斯汀·特鲁多登台发表讲话，互联网上的几个加拿大网站就会崩溃。” NoName表示，攻击加拿大还有另一个理由——该国最近通过的安乐死法或将允许精神病患者选择安乐死。 NoName说：“北约世界完全疯了！我们攻击了加拿大，希望能该国官员的大脑里找到一丢丢常识。” 本周，黑客们还对丹麦、爱沙尼亚、芬兰和保加利亚发动攻击，理由是丹麦向乌克兰供应坦克，另外三个国家采取“反俄罗斯”政策。 加拿大边境管理机构不单单面临对机场的攻击。上周，另一家名为NoEscape的黑客组织声称对加拿大相关组织国际联合委员会（IJC）发动攻击。该委员会主要负责监管美加边境沿线的湖泊和河流系统。IJC已经启动调查，但没有评论该组织是否遇到运营问题。   转自安全内参，原文链接：https://www.secrss.com/articles/59091 封面来源于网络，如有侵权请联系删除

思科宣布以每股157美元的价格全现金收购网络安全公司Splunk。 人工智能技术快速崛起是促成本次收购的主要原因之一。 这是思科公司有史以来最大的一笔收购，也是该公司向软件和网络安全领域转型突围的标志性事件。 本周四晚间，据彭博社多家美国媒体报道，思科公司（CISCO）宣布以每股157美元、总价约280亿美元的现金交易收购网络安全软件公司Splunk，这是思科公司有史以来最大一笔收购，同时也是IT行业2023年规模最大的收购案。Splunk的股价在公告后上涨了21%，而思科的股价则下跌了4%。 Splunk是知名的应用性能管理（APM）和网络安全分析与响应平台提供商，在安全信息和事件管理（SIEM）解决方案市场的主要竞争对手是同处Gartner领导者象限的微软Azure Sentinel、IBM QRadar、Exabeam和Securonix等。但Splunk的独特之处在于其强大的数据处理和分析能力，以及其对大数据的原生支持。这使得Splunk在处理大规模、复杂的数据集时具有明显的优势，特别是在今天数据量呈指数级增长的网络环境中。在此基础上，Splunk近年来的SIEM产品策略是将威胁情报融入SecOps：即将威胁情报、基于风险的警报和行为分析融合在一起，大幅减少客户的警报量，缓解警报疲劳问题。 Splunk还通过收购和合作策略，进一步加强了其在网络安全领域的地位。例如，通过收购像Phantom这样的安全自动化和响应（SOAR）平台，Splunk进一步扩展了其在威胁检测和响应领域的能力。 提高云服务的营收占比是Splunk近年来推动营收增长的主要战略之一。Splunk2024财年二季度收入报告显示，云服务已经占其2023年一季度营收的半数（49%），同比增长29%。 与蒸蒸日上的Splunk相比，思科（全球最大的计算机网络设备制造商）的业务转型和股价双双陷入泥潭。 思科今年的股价表现远逊于纳斯达克指数，仅上涨了12%，后者涨幅高达27%。如果将时间跨度拉长到五年，思科的股价表现更加糟糕，五年内仅上涨10%，远逊于纳斯达克指数的66%。 随着公共云计算越来越多地侵蚀思科传统的后端业务，思科公司亟需寻找新的、丰厚的收入来源，网络安全一直是其最大的赌注。 思科的核心业务在截至7月29日的财年中收入增长了22%，达到291亿美元，而安全部门的销售额仅增长了4%，达到39亿美元。 为了进一步加快向软件和网络安全的业务转型，推动业务收入增长，思科公司近年来大力强化其网络安全业务并展开了一系列收购。在2022财年，Cisco将其核心交换和路由业务从“基础设施平台”更名为“安全、敏捷网络”，专注于将安全性内置到网络设备中。思科还成立了一个名为“端到端安全”的独立运作部门，专门负责安全产品。 重组业务架构的同时，思科马不停蹄地“采购”网络安全公司。仅在今年思科就收购了四家网络安全公司，分别是威胁检测平台Armorblox、身份管理公司Oort以及云安全公司Valtix和Lightspin。 对于此次思科斥巨资收购Splunk，Gartner副总裁分析师Gregg Siegfried认为，生成式AI最近的崛起可能是此次收购的催化剂：“生成式AI是本次收购的一个隐藏主题，我确信两家公司都有很多工作要做。思科可以通过利用Splunk的产品组合来快速启动人工智能产品。” Siegfried还指出，由于思科和Splunk的业务重合度不高，因此监管部门对该交易的审批预计不会像VMware与Broadcom的交易出现严重顿挫。 思科首席执行官Chuck Robbins在评价对Splunk的收购时也强调了人工智能的重要性，并表示将使用Splunk的AI能力来保护网络。“我们的综合能力将推动基于下一代AI的安全技术和可观察性，”Robbins在一份声明中说。 该交易预计将在2024年第三季度完成，思科表示交易有望在第一年提高毛利率，在第二年提高非美国通用会计准则（non-GAAP）盈利。 这笔收购价格相当于思科市值的约13%，这对于思科这样在历史上避免大规模交易的公司来说是一个“高额赌注”。在Splunk之前，Cisco最大的一笔交易是2006年以69亿美元收购有线电视机顶盒制造商ScientificAtlanta。 在CNBC的一档电视节目中，Robbins透露他预计思科和Splunk之间的组织协同效应将在12到18个月内变得明显。在与分析师的电话会议中，Robbins宣称：“思科将成为全球最大的软件公司之一。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/mJzVwAbu8oKkFAvNy52mNg 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，Outpost 24 的研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞，漏洞分别追踪为 CVE-2023-40931。 Nagios XI 可监控所有关键任务基础设施组件，其中主要包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施，目前全球有成千上万的实体组织正在在使用它。 据悉，这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入问题，网络可利用这几个漏洞提升自身权限，并获取敏感的用户数据，包括密码哈希和 API 令牌。 漏洞 CVE-2023-40932 是一个通过自定义徽标组件的跨站点脚本问题，网络攻击者可以触发该安全漏洞来读取和修改目标受害者的页面数据（包括登录表单中的纯文本密码）。 Outpost24 在发布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三个漏洞允许具有不同权限级别的用户通过 SQL 注入访问数据库字段，从这些漏洞获得的数据可能用于进一步提升产品中的权限，并获取密码哈希和 API 令牌等敏感用户数据。 第四个漏洞（CVE-2023-40932）允许通过自定义徽标组件进行跨站点脚本编写，该组件将在每个页面上呈现，包括登录页面，这就可能被网络攻击者用来读取和修改页面数据，例如登录表单中的纯文本密码。 Nagios XI 公司于 2023 年 9 月 11 日发布了 5.11.2 版，解决了上述漏洞问题。 值得一提的是，2021 年 9 月，工业网络安全公司 Claroty 的研究人员也曾在 Nagios 中发现了 11 个漏洞。据悉，漏洞可能导致服务器端请求伪造（SSRF）、欺骗、本地权限升级、远程代码执行和信息泄露。   转自Freebuf，原文链接：https://www.freebuf.com/news/378735.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，9月20日，有T-Mobile 用户表示，他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。 根据Reddit 和 Twitter上的用户反映，暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如后四位数字和到期日期。有用户声称，这一情况从两周前开始就一直出现，在向 T-Mobile 反馈后也未得到回应。 T-Mobile 表示，此次事件并非网络攻击造成，其系统也没有遭到破坏，尽管大量用户报告称受到了此问题的影响，但T-Mobile 表示该事件的影响有限，仅影响不到 100 人。 当被问及更多细节时，一位发言人告诉 BleepingComputer：“T-Mobile 没有遭受网络攻击或违规。” 自 2018 年以来发生9起数据泄露事件 T-Mobile在过去几年内就已经发生多起数据泄露事件： 2018 年 8 月，攻击者访问了大约3% 的 T-Mobile 用户数据； 2019 年，T-Mobile泄露了数量不详的预付费用户的账户信息； 2020 年 3 月，T-Mobile 员工的个人和财务信息遭到泄露； 2020 年 12 月，攻击者访问了用户专有网络信息（电话号码、通话记录）； 2021 年 2 月，T-Mobile 内部应用程序被未知攻击者未经授权访问； 2021 年 8 月，黑客在 T-Mobile 的一个测试环境遭到破坏后，暴力破解了 T-Mobile 的网络； 2022 年 4 月，臭名昭著的 Lapsus$ 勒索团伙使用窃取的凭证入侵了 T-Mobile 的网络。 仅在今年上半年，T-Mobile就披露了两起数据泄露事件。 5 月，T-Mobile披露了自在 2 月底至 3 月期间，攻击者侵入该运营商的系统，数百名客户的个人信息遭到泄露； 1 月，T-Mobile称有3700 万用户的敏感信息被使用其一个应用程序编程接口 (API) 窃取。   转自Freebuf，原文链接：https://www.freebuf.com/news/378727.html 封面来源于网络，如有侵权请联系删除