家居装修零售巨头 Ace Hardware 报告称，其客户的私人数据遭到网络攻击者的破坏。 4 月 1 日向受影响客户发出的通知称，该公司于 2023 年 10 月 29 日“发现了影响某些公司系统的数据安全事件。”据报道，被盗的敏感数据包括姓名和社会安全号码。 这次攻击发生在 2023 年 10 月 27 日至 29 日期间，当时未经授权的攻击者访问了该零售商的系统。该公司表示，该事件并未影响 Ace Hardware 商店的本地系统。 经过调查，这家总部位于伊利诺伊州的公司声称已经实施了额外的技术保障措施，以进一步增强其数据的安全性。 受影响的个人可获得为期 12 个月的免费信用监控和身份盗窃保护服务。缅因州总检察长办公室表示，7295 人受到此次黑客攻击的影响。 此次数据泄露公告很可能与去年 10 月发生在 Ace Hardware 的事件有关。当时，该公司的服务因恶意网络攻击而中断，据报道有 1,202 台设备（包括 196 台服务器）受到攻击，需要进行恢复。 这次攻击导致所有系统暂停，包括用于接收客户订单的系统以及所有客户发货，10 月 30 日和 31 日的发货被取消。   转自安全客，原文链接：https://www.anquanke.com/post/id/295274 封面来源于网络，如有侵权请联系删除

最近在流行的本地 Web 应用程序防火墙 (WAF) Imperva SecureSphere 中发现了一个严重的安全漏洞，编号为 CVE-2023-50969。 此 Imperva SecureSphere 漏洞可能导致严重的安全漏洞， CVSS 得分为 9.8，允许攻击者绕过旨在阻止常见基于 Web 的攻击（例如 SQL 注入和跨站点脚本）的关键安全协议。 Imperva SecureSphere 漏洞 (CVE-2023-50969) 的更新 该漏洞存在于对 HTTP 请求中“Content-Encoding”标头的操作以及特定编码的 POST 数据的传输中。 这种利用技术使黑客通过 WAF 的防御秘密注入有害负载。从本质上讲，攻击者可以利用此缺陷来攻击 WAF 旨在保护的应用程序中的漏洞。 安全研究人员HoyaHaxa提供了有关如何利用此漏洞的技术见解。通过巧妙地操纵 HTTP 请求标头并对 POST 数据进行编码，攻击者可以规避安全措施，从而可能针对组织的数字基础设施。 Imperva 已确认CVE-2023-50969 漏洞影响 SecureSphere WAF 的特定版本。使用 Imperva SecureSphere WAF v14.7.0.40 以及缺少 2024 年 2 月 26 日发布的应用程序防御中心 (ADC) 更新的任何版本的 Imperva SecureSphere 的组织都容易受到此威胁。 针对 Imperva SecureSphere 漏洞的缓解技术 值得注意的是，Imperva Cloud WAF 客户仍然不受此漏洞的影响。对于使用 Imperva SecureSphere WAF 的组织，建议采取的措施包括应用 Imperva 于 2024 年 2 月 26 日发布的 ADC 规则更新。有关实施此更新的详细说明可以在官方Imperva 支持门户文档中找到。 另一种缓解 Imperva SecureSphere 漏洞的技术是对 Web 应用程序进行全面审核，重点关注以前被 WAF 屏蔽的漏洞。鉴于 CVE-2023-50969 漏洞的严重性，使用 Imperva SecureSphere WAF 的组织必须立即采取行动以降低利用风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/295288 封面来源于网络，如有侵权请联系删除

苏黎世联邦理工学院的网络安全研究人员开发了 RowHammer DRAM（动态随机存取存储器）攻击的新变体，尽管采取了目标行刷新 (TRR) 等缓解措施，但该攻击首次成功针对 AMD Zen 2 和 Zen 3 系统。 研究人员表示：“这一结果证明 AMD 系统与 Intel 系统一样容易受到 Rowhammer 的攻击，考虑到目前 AMD 在 x86 桌面 CPU 上的市场份额约为 36%，这大大增加了攻击面。 ” 该技术的代号为ZenHammer，它还首次可以在 DDR5 设备上触发 RowHammer 位翻转。 RowHammer于 2014 年首次公开披露，是一种众所周知的攻击，它利用 DRAM 的存储单元架构，通过重复访问特定行（又称锤击）来更改数据，从而导致单元的电荷泄漏到相邻单元。 这可能会导致相邻内存行中的随机位翻转（从 0 到 1，或反之亦然），从而改变内存内容并可能促进权限升级，从而损害系统的机密性、完整性和可用性。 这些攻击利用了内存阵列中这些单元的物理接近性，随着 DRAM 技术扩展和存储密度的增加，这个问题可能会变得更加严重。 苏黎世联邦理工学院的研究人员在 2022 年 11 月发表的一篇论文中指出： “随着 DRAM 的不断扩展，RowHammer 位翻转可能会在较小的激活计数下发生，因此良性工作负载的 DRAM 行激活率可能会接近甚至超过 RowHammer 阈值。” “因此，即使没有恶意方在系统中执行 RowHammer 攻击，系统也可能会经历位翻转或频繁触发 RowHammer 防御机制，从而导致数据损坏或性能显着下降。” DRAM 制造商针对 RowHammer 实施的关键缓解措施之一是TRR，它是一个总称术语，用于刷新确定要频繁访问的目标行的机制。 这样做的想法是生成更多的内存刷新操作，以便受害行要么在位翻转之前被刷新，要么在由于 RowHammer 攻击而位翻转之后得到纠正。 ZenHammer 与TRRespass和SMASH一样，通过对 AMD 系统中的秘密 DRAM 地址函数进行逆向工程，并采用改进的刷新同步以及刷新和防护指令的调度来绕过 TRR 护栏，以在 10 个样本 Zen 2 设备中的 7 个和 6 个样本上触发位翻转。 10 个 Zen 3 设备。 该研究还得出了最佳的锤击指令序列，以提高行激活率，从而促进更有效的锤击。 研究人员表示：“我们的结果表明，使用 CLFLUSHOPT 定期加载 (MOV) 从缓存中清除攻击者，在访问攻击者（‘分散’风格）后立即发出，是最佳选择。” ZenHammer 的独特之处在于，它是第一个可以在 AMD Zen 4 微架构平台上配备 DDR5 芯片的系统上触发位翻转的方法。也就是说，它仅适用于 10 台测试设备中的一台（Ryzen 7 7700X）。 值得注意的是，DDR5 DRAM 模块之前被认为不会受到 RowHammer 攻击，因为它们用一种称为刷新管理的新型保护取代了 TRR。 研究人员表示：“DDR5 的变化，例如改进的 RowHammer 缓解措施、片上纠错码 (ECC) 和更高的刷新率 (32 毫秒)，使得触发位翻转变得更加困难。” “鉴于 10 个 DDR5 设备中的 9 个缺乏位翻转，需要做更多的工作来更好地了解潜在的新 RowHammer 缓解措施及其安全保证。” AMD 在一份安全公告中表示，它正在评估 DDR5 设备上的 RowHammer 位翻转，并将在完成后提供更新。 “AMD 微处理器产品包括专为满足行业标准 DDR 规范而设计的内存控制器，”它补充道。 “对 RowHammer 攻击的敏感性因 DRAM 设备、供应商、技术和系统设置而异。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/d0fkL0ij7BHKAeCQzioXZw 封面来源于网络，如有侵权请联系删除

上周末，红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告，称流行的Linux压缩工具XZ Utils存在影响广泛的高危漏洞（CVSS评分10分）。由于XZ压缩工具广泛存在于各种Linux发行版本中，因此检查并修复该漏洞是本周企业IT和安全团队的头等大事。 根据红帽公司上周六发布的安全公告。该漏洞编号为CVE-2024-3094，影响用于压缩和解压缩文件格式的XZ Utils工具（5.6.0和5.6.1版本）。红帽表示，该工具几乎存在于所有Linux发行版中。 CISA表示，他们正与开源社区合作，“响应有关恶意代码嵌入在XZ Utils 5.6.0和5.6.1版本中的报告”，该恶意代码可能允许未经授权访问受影响的系统。 CISA拒绝透露更多详细信息，例如受影响的系统数量、幕后黑手以及受害者分布等信息，目前尚未有官方回应。 最可怕的供应链攻击 微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行Debian Sid（Debian发行版的滚动开发版本）的Linux设备SSH登录速度过慢问题时发现了该安全漏洞（后门）。弗伦德发现，该漏洞最早可追溯到3月26日。 安全研究机构Bad Sector Labs透露，这是一次极为复杂的供应链攻击，如果不是该漏洞拖慢了sshd速度，未来很长一段时间都难以被发现。 微软高级威胁研究员Thomas Roccia也表示XZ攻击的复杂程度令人震惊，他绘制了一个初步的攻击流程图如下： 目前的调查显示，从5.6.0版本开始，xz的上游代码库和tarball下载包中被植入恶意代码。liblzma（xz包的一部分）构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件，用于修改liblzma代码中的特定函数，生成一个被篡改的liblzma库，该库可以被任何链接到此库的软件使用，从而截取并修改与该库的数据交互。 值得注意的是，xz版本5.6.0和5.6.1库中存在的恶意注入仅包含在tarball下载包中。Xz的上游Git代码库缺少触发恶意代码构建的M4宏，但是“预埋”了二级恶意文件，可在恶意M4宏存在的环境中发挥作用。如果不合并到构建过程中，这个恶意二级文件本身是无害的。 研究人员发现该漏洞会影响OpenSSH守护进程。虽然OpenSSH不直接链接到liblzma库，但它会以一种方式与systemd通信，由于systemd链接到liblzma，这使得OpenSSH暴露于恶意软件攻击。 目前已有众多安全研究人员踊跃追查恶意代码的来源。很多安全专家认为，这是一次针对开源供应链的极为复杂的特工攻击（人力情报HUMINT），历时长达两年。发动攻击的APT组织并成功让特工人员（Jia Tan）晋升为XZ项目的维护者。该判断如果坐实，将意味着整个开源社区都会掀起一场反间谍行动。 安全研究人员Alexander Patrakov指出：通过对xz后门的逆向工程初步分析发现，这可能是历史上执行得最好，同时也是最可怕的供应链攻击，黑客控制了广泛使用的代码库的授权上游。在理想情况下（该后门顺利进入Linux稳定发行版），黑客可以利用此后门远程入侵并控制整个系统。 缓解措施：立级停用或降级 安全专家建议，xz5.6.0和5.6.1版本的用户应该立级降级版本或停用该工具。Linux管理员可以查询包管理器或运行安全研究员Kostas分享的shell脚本（下图）来检查系统安装了哪个版本的XZ： 该脚本可以帮用户在不运行后门可执行文件的情况下确定版本。 网络安全专家约翰·班贝内克(John Bambenek)表示，受影响的库“在现代Linux发行版中往往会默认安装，因此，即使企业不使用该工具，也应立即将该漏洞的修复升级到最高优先级。” 红帽的公告则强烈建议相关用户立即停止个人或工作用途的XZUtils使用，并提供了用于修复漏洞的更新链接。 “目前调查表明，在红帽社区生态系统中，只有Fedora 41和Fedora Rawhide受到影响。所有版本的红帽企业级Linux (RHEL)均未受影响，”红帽表示：“有报告和证据表明，在为Debian不稳定版本(Sid)开发的xz 5.6.x版本发现恶意注入，其他Linux发行版也可能受到影响。建议用户咨询发行版维护者获取指导。” 对于个人和企业用户，红帽建议立即停止使用Fedora 41或Fedora Rawhide。如果在商务环境中使用受影响的发行版，建议用户联系信息安全团队获取进一步措施。 CISA在公告中建议用户降级到安全版本：“开发人员和用户应将XZ Utils降级到未受损版本（例如，XZ Utils 5.4.6稳定版），并主动排查系统中可疑活动。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/t2llszsv1zOOqcyAfaS0_Q 封面来源于网络，如有侵权请联系删除

零售连锁店 Hot Topic 在过去一年内遭受了第七次数据泄露事件，客户数据被盗取。 该公司在通知受影响客户时称：“未经授权的第三方对公司的网站和移动应用程序进行了自动攻击”。 攻击中使用的凭据可能来自其他数据泄露事件。在凭证填充攻击中，威胁行为者收集在数据泄露中暴露的凭证，并使用它们登录其他网站。Cybernews建议使用数据泄漏检查器来检查您的凭据是否曾被泄露。 公司的调查确认，攻击发生在2023年11月18日至19日和11月25日，使用的是“从未知第三方来源获取的有效账户凭证”。 可能被泄露的数据包括： 名称 电子邮件地址 订单历史 电话号码 出生月份和日期 邮寄地址 该零售连锁店已是网络犯罪分子的第七次目标。 2023年，该公司遭遇多次自动化攻击，分别发生在2月7日、3月11日、5月19日至21日、5月27日至28日和6月18日至21日。这些攻击导致用户数据泄露。为了防止未来的数据泄露攻击，该公司已部署了机器人防护软件。若用户已将支付卡保存到该零售商的帐户中，则可能有最后四位数字被泄露。 除了Hot Topic，美国流媒体公司Roku也成为了撞库攻击的受害者之一。最新的数据泄露事件影响了超过15,000名客户。随后，数千名用户的帐户被锁定，攻击者利用存储的信用卡信息进行购买，导致用户收到未经授权的订单确认电子邮件。 为确保安全，建议使用独特的强密码，并定期更改密码。   转自安全客，原文链接：https://www.anquanke.com/post/id/295183 封面来源于网络，如有侵权请联系删除

恶意广告和虚假网站充当了传递两种不同窃取恶意软件的渠道，包括针对苹果macOS用户的原子窃取器。 Jamf威胁实验室在发布的一份报告中表示，针对macOS用户正在进行的信息窃取攻击可能采用了不同的方法来破坏受害者的Mac电脑，但最终目标是窃取敏感数据。 其中一个攻击链的目标是在谷歌等搜索引擎上搜索Arc Browser的用户，为他们提供虚假广告，将用户重定向到提供恶意软件的类似网站(“airci[.]net”)。 安全研究人员Jaron Bradley、Ferdous Saljooki和Maggie Zirnhelt说：“有趣的是，恶意网站无法直接访问，因为它会返回错误。”“它只能通过生成的赞助链接访问，大概是为了逃避检测。” 从伪造网站(“ArcSetup.dmg”)下载的磁盘映像文件会传播原子窃取器，据称它会要求用户通过虚假提示输入系统密码，最终促进信息盗窃。  Jamf表示，它还发现了一个名为meethub[.]net的虚假网站，声称提供免费的群组会议日程安排软件，但实际上安装了另一种窃取者恶意软件，能够收集用户的钥匙链数据、浏览器中存储的凭据和加密货币钱包的信息。 就像原子窃取者一样，这种恶意软件——据说与基于Rust的Realst窃取者家族重叠——还使用AppleScript调用提示用户输入macOS登录密码来执行恶意操作。 据说，利用这种恶意软件的攻击以讨论工作机会和为播客采访他们的借口接近受害者，随后要求他们从meethub[. ]gg下载应用程序，参加会议邀请中提供的视频会议。 “这些攻击往往集中在加密行业的人身上，因为这种努力可以为攻击者带来大量支出，”研究人员说。“该行业的人应该高度警惕，因为通常很容易找到公开信息，表明他们是资产持有人，或者很容易与将他们置于该行业的公司联系起来。” 这一发展正值MacPaw的网络安全部门Moonlock Lab披露，威胁行为者正在使用恶意的DMG文件(“App_v1.0.4.dmg”)部署一种窃取者恶意软件，旨在从各种应用程序中提取凭据和数据。 这是通过从俄罗斯IP地址检索到的混淆的AppleScript和bash有效载荷来实现的，前者被用来启动一个欺骗性的提示(如上所述)，以欺骗用户提供系统密码。 “伪装成一个无害的DMG文件，它通过一个钓鱼图像欺骗用户进行安装，说服用户绕过macOS的Gatekeeper安全功能，”安全研究员Mykhailo Hrebeniuk说。 这一发展表明，macOS环境正日益受到窃取者攻击的威胁，一些菌株甚至吹嘘通过激活自毁自杀开关来逃避检测的复杂反虚拟化技术。 最近几周，研究人员还观察到恶意广告活动，通过Notion和PuTTY等流行软件的诱饵站点，通过基于Go的加载器，推动FakeBat加载器(又名EugenLoader)和其他信息窃取器，如Rhadamanthys。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1UsQu8yj0UOWnZB8TTsL_A 封面来源于网络，如有侵权请联系删除

有消息称：OpenAI、优步和亚马逊所使用的AI计算框架Ray发现了一个已被报告的漏洞，该漏洞遭到持续攻击，导致数千台存储AI工作负载和网络凭证的服务器被黑。据了解，这些攻击已经持续了7个月。 攻击者不仅篡改了AI模型，还泄露了访问内部网络和数据库的网络凭证，并获取了OpenAI、Hugging Face、Stripe和Azure等平台帐号的访问令牌。除了破坏模型和窃取凭证，攻击者还在能够提供大量算力的被侵入基础设施上安装了加密货币挖矿软件，并设置了反向shell，通过这种基于文本的界面实现对服务器的远程控制。 中了大奖 发现这些攻击的安全公司Oligo的研究人员在一篇文章中指出：“一旦攻击者掌控Ray生产集群，等于中了大奖。有价值的公司数据加上远程代码执行，攻击者很容易就能获得现金收益，而且可以完全隐匿在暗处，做到神不知鬼不觉（使用静态安全工具不可能检测到这种攻击）。” 被窃取的敏感信息包括AI生产工作负载。利用这些信息，攻击者可以在训练阶段控制或篡改模型，从而破坏模型的完整性。易受攻击的集群中，中央仪表板通常暴露在互联网上，这使得任何有意的人都可以查看迄今为止输入的所有命令。利用这些历史数据，入侵者可以快速了解模型的工作方式，并推测可以访问哪些敏感数据。 Oligo获取的屏幕截图显示，敏感私人数据和集群已经遭到了大规模的黑客攻击。被窃取的资源包括内部数据库以及OpenAI、Stripe和Slack帐号的加密密码哈希值和访问凭证。 OpenAI、Stripe、Slack的token和数据库令牌凭据 Ray是一个用于扩展AI应用程序的开源框架，允许大量应用程序同时高效地运行。通常，这些应用程序在大规模服务器集群上运行。框架正常运行主要依赖于提供接口显示和控制运行任务和应用程序的中央仪表板。这个仪表板提供了名为“任务API”（Jobs API）编程接口，允许用户通过简单的HTTP请求向集群发送一系列命令，无需身份验证。 去年，安全公司Bishop Fox的研究人员将这种行为标记为高严重性的代码执行漏洞，其跟踪编号为CVE-2023-48022。 默认配置不安全需专门加固 Bishop Fox的高级安全顾问Berenice Flores Garcia写道：“在默认配置中，Ray不强制进行身份验证。因此，攻击者可以自由提交任务、删除现有任务、检索敏感信息，并利用本次官方警告中描述的其他漏洞。” 对此，Ray的开发者和维护者Anyscale回应称该漏洞不存在。Anyscale官方表示，他们一直将Ray视为一个远程执行代码的框架，因此始终建议将Ray合理地隔离在有适当安全措施的网络内部。 Anyscale官方写道：“由于Ray本质上是一个分布式执行框架，其安全边界位于Ray集群之外。因此，我们强调您必须防止不受信任的机器（如公共互联网）访问您的Ray集群。” 对于被报告的“任务API”的内部行为，Anyscale表示并非漏洞，并且不会在短期内得到解决。不过，Anyscale承诺最终会进行变更，强制在API中进行身份验证。Anyscale解释道： 我们非常认真地考虑过这样做是否合理。到目前为止，我们还没有实施这一变更，因为我们担心用户可能会过分信任这种机制——它可能只能实现表面上的安全，并没有像他们想象的那样真正保护集群。 尽管如此，我们认识到，这是个见仁见智的问题。我们仍然认为组织不应该依赖Ray内部的隔离控制手段，如身份验证。但这些手段在进一步实施深度防御策略的某些情境中可能是有价值的。因此，我们决定将在未来的版本中将其作为一个新功能实施。 Anyscale的回应招致了一些批评。比如，用于简化在云环境中部署Ray的存储库将仪表板绑定到0.0.0.0，这是一个用于指定所有网络接口并在同一地址上指定端口转发的地址。这样易受攻击的入门级做法在Anyscale的网站上也可以找到。 批评者还指出，由于Anyscale声称被报告行为不是漏洞，导致很多安全工具未能标记攻击。 Anyscale的代表在一封电子邮件中表示，该公司计划发布一个脚本，允许用户轻松验证他们的Ray实例是否暴露在互联网上。 这些持续的攻击突显了正确配置Ray的重要性。Oligo和Anyscale在官方文档中列出了锁定集群的关键做法。Oligo还列举了Ray用户可以使用哪些指标来确定他们的实例是否已被入侵。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/3diGwpqQjJje7r13vNajWA 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。 新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见，为期60天。 CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。 白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告，从而更好地识别攻击模式，确定网络犯罪分子和国家黑客使用的攻击策略，改进防御手段。 “72小时新规”遭企业强烈反对 根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。 该规定一经发布就遭到大量公司反对，这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节，这有利于攻击者。 企业还指出，他们必须遵守各个联邦机构多如牛毛（数十个）报告要求，以及州数据泄露法律。 谁需要遵守新规？ CISA表示，该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。该规定还将适用于那些不运营关键基础设施，但其系统可能对特定行业关键基础设施造成影响的企业，例如服务提供商。 CISA估计，将有超过31.6万个实体受到新规监管，“在未来十年内将总共提交约21万份CIRCIA报告”。 CISA在其长达447页的草案中表示：“来自广泛实体的报告对于提供关键基础设施领域网络环境的充分可见性至关重要，这也是CIRCIA旨在促进的。” 根据美国小企业管理局(SBA)标准，收入和员工人数达标的小型组织将获得豁免。 曾领导CISA的新冠病毒特别工作组两年的网络安全专家JoshCorman对CISA的监管范围划分提出质疑。他指出，新规仅关注大型组织，忽视了小公司在许多行业中发挥的关键作用。例如，美国许多医院和医疗器械公司的规模都低于CIRCIA规定的规模。按照新规，只有100张以上床位的医院才需要遵守新规，这将排除绝大多数医疗机构。 什么是“重大”网络安全事件？ 新规要求企业在72小时内报告“重大”网络攻击，并在24小时内报告勒索软件支付情况。 对于“重大”网络安全事件的界定，CISA认为，涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。 例如，暂时阻止客户访问公司公共网站的分布式拒绝服务(DDoS)攻击不会被视为重大攻击，成功但被迅速阻止且未造成影响的网络钓鱼攻击也不会被视为重大攻击。然而，针对关键功能/业务造成重大停机的DDoS攻击，或者通过第三方提供商凭证未经授权访问公司系统的情况将符合标准。 但CISA表示，并非所有网络安全事件都会触发报告义务。这包括由第三方服务提供商在服务器配置中出现的一些错误，如果没有造成严重停机，则无需报告。另一个例外是公司明确批准的外部承包商（例如渗透测试人员）对网络防御进行的测试。 最后，CISA鼓励企业报告所有网络安全事件，无论是否达到监管标准。 新规与其他报告要求有何不同？ CISA新规的72小时的报告时限要求远高于美国证券交易委员会(SEC)的“四日新规”。SEC要求公司在确定网络攻击将对其运营产生重大影响后，最迟在四个工作日内进行报告，并且这些报告将通过监管文件公开。 CISA给出的时间窗口窄很多，但与SEC的公开流程不同，CISA将对安全事件报告进行保密处理，并按季度发布汇总的匿名统计数据。 CISA表示正在采取措施使其监管要求与其他要求保持一致，并且在某些情况下允许企业用CIRCIA报告替代其他报告。其他规定在实质上必须相似，CISA必须执行跨机构协议才能做到这一点。 不遵守规定会受到处罚吗？ CISA可以追究行政处罚。如果CISA认为一家公司遭受了网络攻击或支付了赎金却没有报告，它可以发出信息请求，然后在必要时发出传票强制披露。如果一家公司无视传票，CISA还可将此事提交给司法部长进行民事诉讼。 故意向联邦政府提供虚假陈述可能会导致罚款和监禁。CISA表示，他们不会将网络攻击开始时出于善意提供的，此后被证明不准确的信息视为虚假陈述。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/w5sbRM60YpEkEFP0dZq8DA 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现，Linux 操作系统中的 util-linux 软件包 wall 命令中存在一个漏洞，该漏洞名为 WallEscape，被追踪为 CVE-2024-28085，黑客能够利用该漏洞窃取密码或更改剪贴板。 利用WallEscape 漏洞攻击的方式 据调查，该漏洞已存在 11 年之久，也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。研究人员表示，WallEscape 可能会影响 “wall “命令，该命令在 Linux 系统中通常用于向登录到同一系统（如服务器）的所有用户的终端发送消息弹窗。 由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示，并诱使他们输入管理员密码。 安全研究员 Ferrante 解释称，如果 “mesg “实用程序处于活动状态，且 wall 命令具有 setgid 权限，那在这样的情况下，该漏洞就有可能被成功利用。 同时，研究人员指出，这两种情况在 Ubuntu 22.04 LTS（Jammy Jellyfish）和 Debian 12.5（Bookworm）上都存在，但在 CentOS 上不存在。 目前，WallEscape 的概念验证利用代码已经发布，同时也公布了攻击者利用该漏洞的技术细节。 除了技术细节外，研究人员还介绍了可能导致不同结果的利用方案。其中一个案例描述了为 Gnome 终端创建虚假 SUDO 提示以诱骗用户输入密码的步骤。 Ferrante 也提到，黑客可以通过为 Gnome 终端创建虚假的 SUDO 提示，诱骗用户输入敏感信息作为命令行参数。但需要一些预防措施，比如使用 wall 命令向目标传递一个脚本，改变他们在终端中的输入（前景色、隐藏输入、睡眠时间），这样虚假的密码提示就会作为合法请求通过。 要找到密码，攻击者就必须检查 /proc/$pid/cmdline 文件中的命令参数，在多个 Linux 发行版上，非特权用户都能看到这些参数。 另一种攻击方式是通过转义序列更改目标用户的剪贴板。研究人员强调，这种方法并不适用于所有终端模拟器，Gnome 就是其中之一。 但由于人们可以通过墙发送转义序列，因此如果用户使用的终端支持这种转义序列，攻击者就可以将受害者的剪贴板更改为任意文本。 研究人员在漏洞报告中提供了设置陷阱和运行攻击的演示代码，并解释了两种利用方案的工作原理。 值得注意的是，利用 WallEscape 依赖于本地访问（物理访问或通过 SSH 进行远程访问），这限制了其严重性。 其中涉及到的安全风险来自在多用户设置（如组织的服务器）中与受害者访问同一系统的无权限用户。 安全人员建议广大用户立即升级到 linux-utils v2.40，以修补漏洞。一般来说，可通过 Linux 发行版软件包管理器上的标准升级通道进行，但可能会有一些延迟。 另外，系统管理员还可通过移除 “wall “命令中的 setgid 权限，或使用 “mesg “命令将其标志设置为 “n”，并禁用消息广播功能，这样就能有效缓解 CVE-2024-28085 漏洞带来的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396355.html 封面来源于网络，如有侵权请联系删除

由于使用VNDirect的投资者无法交易，胡志明市证券交易所25日的交易量下降了10%。 有消息称：越南第三大证券经纪公司VNDirect（越南直接投资证券股份有限公司）在上周末遭遇网络攻击，目前正全力恢复运营。 尽管公司27日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。VNDirect计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。 由于部分系统刚刚恢复，访问量较大，VNDirect在Facebook上发布声明称，用户可能会遇到登录问题，建议“请耐心等待并再次刷新页面。” 截至当地时间27日晚些时候，VNDirect的官方网站仍然无法访问。 河内证券交易所（HNX）宣布，“在问题得到解决之前”， 暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。 据路透社报道，本周以来，VNDirect的股价已经下跌了近4%。由于使用VNDirect的投资者无法交易，胡志明市证券交易所（简称HOSE或HSX）25日的交易量下降了10%。 越南国家证券委员会（SSC）的副主席向路透社表示，他认为这次攻击不具备“传染性”，其他当地金融机构没有风险。他补充说，没有其他经纪商受到这次黑客攻击的影响。 VNDirect在胡志明市交易所的市场份额排名第三，占比7%。公司表示，其“整个系统在周日被国际黑客攻击”，但客户资产或数据没有受到影响。 VNDirect的首席执行官Nguyen Vu Long表示，公司被“一群专业黑客”攻击，数据遭到加密。 他补充道，“我们已成功解密这些数据，现在开始系统恢复工作。” 另据当地媒体报道，与VNDirect有关的IPA投资公司和IPAAM股票投资基金等公司也遭受了网络攻击，官方网站仍然无法访问。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Q0iuBKDZ9D3pVgMGTFdFhA 封面来源于网络，如有侵权请联系删除