新闻速览
ㆍ NextJS 框架被曝存在严重 SSRF安全缺陷
热点观察
NextJS 框架被曝存在严重 SSRF安全缺陷
Next.js是一个专门用于构建网络应用程序的框架,通过提供一系列工具和约定,Next.js极大地简化了基于React的网络应用程序的开发过程,使得构建快速、高性能且可扩展的网站变得更加容易。
日前,Ssetnote公司的安全研究人员在 NextJS 框架中发现了一个较严重的服务器端请求伪造 (SSRF) 安全缺陷,该缺陷源于 NextJS 内置的图像优化组件,可允许开发人员提供来自不同域的图像。通过将特定域列入白名单甚至允许所有 URL,开发人员会无意中将其应用程序暴露于盲目的 SSRF 攻击。攻击者可以通过构造对内部 URL 的请求来利用此缺陷,从而可能获得对敏感信息的未经授权的访问。
研究人员还发现,该缺陷在某些条件下可能会被升级。如果 NextJS 版本已过时或启用了 "dangerouslyAllowSVG" 选项,攻击者就可能会实现跨站点脚本 (XSS) 或通过 SSRF 泄露 XML 响应的完整内容。
为了降低风险,研究人员建议开发者将其 Next.js安装更新到版本 14.1.1 或更高版本。 此外,至关重要的是要仔细审查和限制白名单中用于图像优化的域。
原文链接:
https://cybersecuritynews.com/next-js-server-compromise/
Akira 勒索团伙2023年赎金收益超3亿元
日前,美国联邦调查局(FBI)表示,以多重勒索策略著称的 "Akira "勒索软件团伙在2023年共获得了超过3亿元(约 4200 万美元)的勒索赎金收益,而该团伙去年 3 月才首次被发现的。
据了解,Akira 勒索软件变种的早期版本是用 C++ 编写的,加密文件的扩展名为 .akira。然而,自 2023 年 8 月起,Akira 转向使用基于 Rust 的代码部署特定于 Windowts 的 "Megazord "勒索软件。加密的文件扩展名改为 .powerranges,这种变化可能是由于 Avast 发布了一个解密器。网络安全研究人员观察到,当 Akira 威胁行为者准备横向移动时,他们通常会禁用安全软件以避免被发现,通常是使用 PowerTool 来利用 Zemana AntiMalware 驱动程序并终止杀毒软件相关进程。
Akira已对北美、欧洲和澳大利亚的众多企业和关键基础设施组织造成了影响,其攻击的受害者包括日产汽车公司、斯坦福大学等。
原文链接:
https://www.cpomagazine.com/cyber-security/joint-advisory-akira-ransomware-gang-earned-42-million-in-2023-after-breaching-250-victims/
CISA发布Black Basta勒索软件团伙入侵警告,已有500多家企业中招
日前,CISA 和FBI联合发布了针对Black Basta勒索软件组织的攻击警告。通告内容显示,该网络犯罪组织在 2022 年 4 月至 2024 年 5 月期间已经入侵了 500 多个企业组织,并将其重点攻击目标锁定在北美、欧洲和澳大利亚的私营企业、关键基础设施实体,以及医疗保健组织。
本次通告提供了 Black Basta 团伙经常使用的攻击战术、技术和流程 (TTP) 信息,以及在联邦调查局调查中发现的破坏指标 (IOC)。CISA建议企业组织应及时更新操作系统、软件和固件,尽可能多的采用防网络钓鱼的多因素身份验证(MFA),并培训用户识别和报告网络钓鱼企图,以降低 Black Basta 勒索软件的攻击风险。
据了解,Black Basta 最早于 2022 年 4 月开始以勒索软件即服务(RaaS)的形式出现,近年来入侵了多家知名企业、机构,包括德国国防承包商莱茵金属、现代汽车欧洲分部、英国技术外包公司 Capita、多伦多公共图书馆、美国牙医协会等。研究人士认为,该组织可能和2022年被迫关闭的Conti 网络犯罪集团有着密切关联。
原文链接:
https://www.bleepingcomputer.com/news/security/cisa-black-basta-ransomware-breached-over-500-orgs-worldwide/
ChatGPT遭隐私保护组织起诉,因其无法及时修复错误的信息
日前,奥地利隐私保护组织 NOYB (None of Your Business) 表示,将针对聊天机器人 ChatGPT提起投诉,原因是这款由 OpenAI 开发的人工智能工具会“编造错误信息”,而这些错误答案往往无法及时被纠正。
NOYB 组织表示,目前没有办法保证 ChatGPT 提供的信息准确无误。“ChatGPT 一直在编造信息,甚至OpenAI 公司都无法阻止它。”他们在声明中写道。
该组织称,OpenAI 公司已经公开承认它们无法及时纠正其生成式 AI 工具产生的不准确信息,并且无法解释这些数据来源以及 ChatGPT 如何存储个人信息。NOYB 认为,对于个人信息保护来说,此类错误是不可接受的,因为欧盟GDPR法律要求服务商所提供的数据服务必须准确、安全的。
原文链接:
https://www.cpomagazine.com/data-protection/austrian-gdpr-complaint-claims-openai-refuses-to-correct-potentially-libelous-chatgpt-hallucinations/
我国网络安全上市公司销售人员平均年薪酬超50万元
通过分析安全厂商销售人员占比和薪酬水平,可以了解其整体经营情况,同时也方便网络安全销售人员快速了解每家公司的营销体系,为选择目标公司提供一定程度的参考。
日前,科技自媒体”兰花豆说网络安全“选取了36家国内网络安全上市公司的2023年度财报数据,从销售人员占比和平均年薪两个指标进行统计分析。数据统计显示,2023年我国网络安全上市公司销售人员平均年薪为524825元,其中托尔思和电科网安两家上市公司的网络安全销售人员平均年薪酬超过90万元。
数据来源:“兰花豆说网络安全”微信公众号
原文链接:
https://mp.weixin.qq.com/s/jJQ3TJ_xLVYiZ4g2gklMbg
网络攻击
欧洲刑警组织遭到黑客攻击,部分官网页面受到影响暂时关闭
日前,欧盟执法机构欧洲刑警组织(Europol)对外证实,其欧洲刑警组织专家平台(EPE)门户网站遭到黑客攻击,部分网页受到影响暂时关闭。
Europol 方面同时表示:本次遭到攻击的EPE(Europol Platform for Experts)网站主要用于分享网络安全知识,目前已经就此次攻击活动展开全面调查。虽然 EPE 网站遭到黑客入侵,不过 Europol 的核心业务系统并未受到影响,也为未发现有机密信息外泄。本次攻击事件并不会对警方内部工作造成影响或危害。
黑客组织 IntelBroker 向外媒 BleepingComputer 表示对此次攻击负责,他们宣称在本次攻击活动中已经获得了一系列内部资料及警方成员信息。除了 Europol EPE 网站外,该团伙声称他们还陆续攻陷了欧洲安全联合中心(CCSE)、网络犯罪专家认证平台 EC3、执法机构论坛 Law Enforcement Form,以及跨境电子证据系统 SIRIUS。
原文链接:
https://www.bleepingcomputer.com/news/security/europol-confirms-web-portal-breach-says-no-operational-data-stolen/
澳大利亚最大非银机构遭勒索攻击,或泄露500G客户数据
澳大利亚最大的非银行类金融服务机构Firstmac日前表示遭遇勒索软件攻击,或泄露超过500G的用户数据,泄露的信息包括客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息等。
不过Firstmac同时表示,其客户的账户和资金仍然是安全的,公司已将所有的用户帐户更改为必须使用双因素身份验证或生物识别技术来确认用户的身份,同时还将为收到通知的客户提供免费的身份盗窃保护服务,并建议对未经请求的通信保持谨慎,并定期检查其帐户对帐单是否有异常活动。
据媒体报道,这一数据泄露事件发生在今年4月,Embargo勒索软件组织在其数据泄露网站上公开了相关攻击信息,而这是一个并不常见的勒索攻击组织。
原文链接:
https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/
产业观察
欺骗防御初创公司Treacle宣布完成4000万美元种子轮融资
日前,AI安全初创公司Treacle宣布获得4000万美元种子轮融资。本轮融资后,公司将进一步扩大其产品供应,增强研发能力,并巩固其在市场上的竞争地位。
据了解,Treacle是由Subhasis Mukhopadhyay、Subhajit Manna和Partha Das于2021年联合创立,目前已经成功研发并推出了基于AI的主动防御系统,具有内置欺骗功能,可在网络攻击的早期阶段跟踪和分析攻击者的行为,然后引诱攻击者进入一个复杂的容器化蜜罐中。这一策略不仅可以保护其他系统的安全,还可以收集有关威胁的重要数据,向安全分析师提供早期攻击预警,帮助其在攻击发生之前消除威胁。
Treacle还提供一系列其他安全服务,包括定制的蜜罐解决方案、基于网络和主机的入侵检测系统、内部威胁检测系统和OT网络安全系统。此外,该公司可以帮助用户开展网络安全审计,并为其设计有效的网络安全策略。
原文链接:
https://thecyberexpress.com/treacle-cybersecurity-firm-raises-40-million/
芯盾时代中标招联消费金融股份有限公司
日前,芯盾时代宣布中标招联消费金融股份有限公司,将运用零信任网络访问等技术,从身份,设备和行为等维度,为客户构建基于可信身份网络的零信任业务安全平台SDP,进一步保障客户的业务安全。
此次双方合作,芯盾时代基于以身份为核心的理念,采用分布式联合身份框架和全域信任持续计算,通过多因素身份认证、设备指纹、SPA单包授权、持续自适应认证等技术,实现对身份、设备、行为的全方位防护,在人员、设备和业务之间构建动态的、随身的、微粒化的安全边界,让员工和合作伙伴能够使用任意设备,在任意地点、任意时间,以最小化权限安全地访问企业资源,保护客户的业务系统安全和稳定运行。
原文链接:
https://mp.weixin.qq.com/s/uja5sjT1LvsrTkz1e2h0Bg