超七成国产软件系统中存在超危级安全漏洞;两家安全厂商因违规被南部战区暂停采购资格 | 牛览
日期:2024年08月13日 阅:174
新闻速览
•超七成国产软件系统中存在超危级安全漏洞
•勒索攻击防护新模式?对勒索组织的基础设施进行反渗透
•两家安全厂商因违规被南部战区暂停采购资格
•累计勒索金额超36亿元,Royal勒索软件组织更名以逃避打击
•特朗普竞选团队在大选期间被黑,部分敏感数据外泄
•Rclone、WinSCP 和 cURL已沦为窃取企业数据的帮凶
•AMD发现高危CPU漏洞,可被植入无法检测的恶意软件
•智能音箱漏洞可秘密监听用户对话
•人脸识别功能被轻易“欺骗”,边缘AI设备成黑客新目标
热点观察
超七成国产软件系统中存在超危级安全漏洞
8月12日,奇安信集团发布《2024中国软件供应链安全分析报告》。报告对1763个国内企业软件项目中使用开源软件的情况进行分析,分析结果显示开源软件使用率达100%,平均每个项目使用了166个开源软件,数量再创新高。另一方面,开源软件漏洞指标仍处于高位,软件供应链的安全问题并没有得到根本性的改善,平均每个项目存在83个已知开源软件漏洞,含有容易利用的开源软件漏洞的项目占比为68.1%,而存在超危级漏洞的项目占比为71.9%。
《报告》认为,目前国内缺少软件供应链安全管理领域权威的实施指南;此外,对于数量巨大的中小型软件研发企业来说,制定和实施系统的软件供应链安全解决方案面临着成本、精力、人员等诸多难题,当前能够采取的防护措施相对有限。因此,应加强软件供应链安全保障的顶层设计,建立健全软件供应链安全的指导监督机制和基础服务设施,并尽量覆盖所有类型的软件生产和供应商。
原文链接:
https://mp.weixin.qq.com/s/u_k72vOaoMVYYAmoEo4zSQ
勒索攻击防护新模式?对勒索组织的基础设施进行反渗透
即便是臭名昭著的网络犯罪组织,其自身基础设施的安全性往往也很脆弱。日前,安全研究人员就发现了一个勒索软件组织基础设施的安全缺陷,并利用这个缺陷让六家面临巨额勒索赎金支付的公司得以幸免。
近期,专注于人工智能驱动渗透测试的Atropos.ai首席技术官Vangelis Stykas发起一项试验活动,旨在识别100多个勒索软件组织的指挥与控制服务器中的安全漏洞。他的调查发现,三个主要勒索软件团伙所使用的网络仪表板存在重大缺陷。利用这一缺陷, Styka的团队成功渗透了这些基础设施,并恢复了影响两家企业的恶意软件解密密钥。同时,他们及时警告了四家加密货币服务提供商,帮助其避免了潜在的财务损失和运营中断。
原文链接:
两家安全厂商因违规被南部战区暂停采购资格
近日,军队采购网发布公告,暂停启明星辰、蓝盾信息两家网络安全厂商的南部战区采购资格。
公告显示,因涉嫌存在违规问题,正在调查处理。根据军队供应商管理相关规定,自2024年08月08日起暂停启明星辰、蓝盾信息公司参加南部战区(机关和直属单位,驻香港部队,驻澳门部队)范围采购活动资格。此次暂停采购处理由南部战区采购管理部门做出。
启明星辰是由中国移动实控的综合性网络安全公司,产品覆盖网络安全防护、检测、应用安全、数据安全、云安全、工控安全等领域。而蓝盾信息则是我国华南地区较大型的专业网络安全厂家。
原文链接:
https://mp.weixin.qq.com/s/CWVjlOA7_r2acWQiAhnKkg
累计勒索金额超36亿元,Royal勒索软件组织更名以逃避打击
日前,美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布联合警报,曾以“皇家(Royal)勒索软件组织”闻名的网络犯罪集团现已更名为“BlackSuit”。该组织目前累计索要赎金超过36亿元(约5亿美元),其中最大的单笔赎金额为6000万美元。
公告指出,尽管 BlackSuit采用的编码与其前身皇家勒索组织非常类似,但其运营方式、名称和作案手法的改变,可能会对正在进行的犯罪调查造成混淆。这种策略可能暂时帮助部分犯罪分子逃避追踪。
根据趋势科技的研究,该犯罪组织的起源可追溯至2022年,最初以“Zeon”的名义出现。他们早期主要部署BlackCat加密工具,随后转向使用自主开发的变种勒索工具。他们一直被认为与臭名昭著的Conti勒索组织有关。因为观察发现,这两个组织的赎金通知存在明显相似之处,暗示两个组织可能存在某种联系或技术共享。
原文链接:
网络攻击
特朗普竞选团队在大选期间被黑,部分敏感数据外泄
美国前总统唐纳德·特朗普的竞选团队日前确认,其部分内部通信资料已被黑客获取。此前,外媒POLITICO陆续收到来自一个匿名账号发送的电子邮件,其中包含了特朗普竞选团队内部的文件。
特朗普竞选团队引用微软于上周五发布的一份报告的说法,将此归咎于“对美国怀有敌意的外国势力”。该报告称,中东地区某国家黑客“在2024年6月向一名美国总统竞选的高级官员发送了一封鱼叉式网络钓鱼邮件。”微软并未确认邮件针对的是哪一家竞选团队,也拒绝发表评论。POLITICO尚未独立核实黑客的身份或其动机。
特朗普竞选团队发言人Steven Cheung表示,“这些文件是从对美国怀有敌意的外国势力那里非法获取的。他们意图干扰2024年大选,并在我们的民主进程中制造混乱。”不过Steven Cheung拒绝透露竞选团队是否与微软或执法部门就此泄密事件有联系,并表示不会讨论此类问题。
原文链接:
https://mp.weixin.qq.com/s/DRwJ4cRY8eY41qqFc7Cwiw
Rclone、WinSCP 和 cURL已沦为窃取企业数据的帮凶
威胁行为者通常利用合法或定制的工具,收集和提取大量数据,并以此威胁受害者支付赎金。根据ReliaQuest最新发布的一份报告,Rclone、WinSCP和客户端 URL(cURL)是2023年9月至2024年7月期间威胁行为者最常使用的三种数据外泄工具。根据ReliaQuest的说法,大多数知名勒索软件组织,如LockBit、Black Basta和BlackSuit,偏好使用上述三种工具。
其中,57%的勒索软件事件在报告期内都使用了Rclone,因为Rclone具有快速的数据传输能力和多功能性。作为一款合法的开源命令行工具,Rclone允许用户与多种云存储提供商和基础设施(如文件传输协议(FTP)服务器)同步文件,与Google Drive、Amazon S3、Mega 等众多云服务集成,这无疑增加了防御者的缓解难度。WinSCP是一款适用于Windows的开源文件传输工具,功能与Rclone类似,专注于从本地到远程位置的传输,但其便携性和脚本功能使得数据传输更加高效。客户端URL(cURL)则是一款命令行工具,用于通过指定URL传输数据,支持 HTTPS、FTP和SFTP等协议。
原文链接:
https://www.infosecurity-magazine.com/news/rclone-winscp-curl-top-data/
漏洞预警
AMD发现高危CPU漏洞,可被植入无法检测的恶意软件
AMD最近发出警告,新发现的SinkClose高危CPU漏洞,可能影响其EPYC、Ryzen和Threadripper等系列的多个型号处理器。该漏洞使得拥有内核级(Ring 0)权限的攻击者能将权限提升至Ring-2,从而安装几乎无法被检测到的恶意软件。
该漏洞由IOActive的研究人员发现,被标记为CVE-2023-31315。Ring-2是计算机中最高的权限级别之一,其权限与现代CPU的系统管理模式(SMM)相关。SMM负责电源管理、硬件控制和系统稳定性等低级操作。由于其高权限,SMM与操作系统隔离,旨在防止恶意软件的攻击。SinkClose漏洞允许具有内核级访问权限(Ring 0)的攻击者进行SMM设置,即使是在SMM锁定开启的情况下。由于Ring-2是与操作系统和虚拟机监控程序隔离且不可见,因此在此级别上进行的任何恶意修改都无法被运行在操作系统上的安全工具捕获或修复。所以说,该漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法被检测到的恶意软件。
据悉,AMD已针对其EPYC和Ryzen桌面及移动CPU发布了缓解措施,并在稍微发布嵌入式CPU的进一步修复。
原文链接:
智能音箱漏洞可秘密监听用户对话
日前,研究人员在Sonos智能扬声器中发现多个安全漏洞,这些漏洞导致Sonos的多款设备安全启动过程完全崩溃,可能被恶意攻击者利用秘密监听用户对话。
这些发现是在2024黑帽大会上发布的,其中,CVE-2023-50809是Sonos One Gen 2的Wi-Fi堆栈存在的漏洞,未能正确验证信息元素,导致远程代码执行;CVE-2023-50810是Sonos Era-100固件中的U-Boot组件存在的漏洞,允许在Linux内核权限下进行持久的任意代码执行。
NCC集团的研究人员表示,成功利用Sonos智能扬声器中的安全漏洞,结合一个N-day权限提升漏洞,攻击者就能在ARM EL3级别执行代码,并提取硬件支持的加密密码。成功利用这些漏洞中的一个可能允许远程攻击者通过空中攻击获取Sono设备的隐秘音频。它们影响所有2023年10月和11月之前发货的Sonos S2版本15.9和Sonos S1版本11.12之前的版本。
研究人员认为,Sonos智能扬声器的安全问题反映出供应链安全的重要性,OEM组件需要达到与内部组件相同的安全标准。同时,供应商还应对其产品的所有外部攻击面进行威胁建模分析,确保所有远程攻击向量都经过充分验证。
原文链接:
https://thehackernews.com/2024/08/new-flaws-in-sonos-smart-speakers-allow.html
人脸识别功能被轻易“欺骗”,边缘AI设备成黑客新目标
日前,研究人员在DEFCON安全会议上展示了如何操控被黑客攻陷的消费级Wyze安全摄像头,使其将家庭入侵者误认为是狗、猫或无生命物体,从而规避检测和警报。
研究人员Kasimir Schulz和Ryan Tracey重点关注边缘AI设备的安全性。边缘AI产品内置AI功能,可在设备上进行本地数据处理,而无需将数据发送到云端,有利于保护用户隐私。然而,受限于本地计算能力,这些设备的AI处理能力相对较弱,成为黑客攻击的新目标。
研究人员成功实施了两项黑客攻击。其一是利用已知漏洞操控摄像头固件,使边缘AI无法以足够的置信度识别人脸并触发警报。另一种攻击是在入侵者面部放置大型狗图像,导致AI将其误认为狗,从而规避检测。
尽管这些攻击手段目前尚不实用,无法对用户构成直接威胁,但研究人员的工作揭示了AI安全摄像头面临的潜在风险。他们呼吁厂商和用户重视这一问题,采取措施加强边缘AI设备的安全防护,以应对未来可能出现的威胁。
原文链接:
https://www.scmagazine.com/news/ai-trickery-security-cam-hack-turns-crooks-into-dogs