文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门评论
- 错别字 (1 points, 一般) by 陈少举 在 2024年11月02日23时42分 星期六 评论到 Linus Torvalds 用电动汽车取代了燃油汽车
- BaD kEyBoArD: tYpO (1 points, 一般) by lot 在 2024年09月25日21时26分 星期三 评论到 美国汽车召回愈五分之一是修复软件
- Guo farm accumulated wealth, the ants lost all the (1 points, 一般) by solidot1727141937 在 2024年09月24日09时39分 星期二 评论到 日本科学家用猫制作 iPS 细胞
- 但是又快又便宜 (1 points, 一般) by Craynic 在 2024年09月09日13时12分 星期一 评论到 澳大利亚政府研究发现 AI 在概述上的表现比人类差
- (1 points, 一般) by gashero 在 2024年09月04日12时41分 星期三 评论到 众多高校撤销外语专业
- 让他们贴支付宝或微信捐款的方式 (1 points, 一般) by solidot1725066425 在 2024年08月31日09时08分 星期六 评论到 KDE 将每年通过桌面通知请求一次捐赠
- 更现代? (1 points, 一般) by Craynic 在 2024年08月28日13时15分 星期三 评论到 微软撤回了弃用控制面板的声明
- 对延迟退休的错误理解 (1 points, 一般) by solidot1723550599 在 2024年08月13日20时09分 星期二 评论到 中国人 50 岁后还能健康工作多少年?
- (1 points, 一般) by solidot1723275683 在 2024年08月10日15时45分 星期六 评论到 甜味剂赤藻糖醇可能增加心血管疾病风险
- 不值得信任google (1 points, 一般) by solidot1722426862 在 2024年07月31日19时56分 星期三 评论到 Chrome 服务故障导致部分用户无法访问保存的密码
GitHub 披露黑客在 4 月中旬的攻击中窃取了近十万 npm 用户账号登陆信息,这次攻击利用了签发给 Heroku 和 Travis-CI 的 OAuth 应用令牌。攻击者访问了一个 2015 年的用户信息存档,其中含有近 10 万 npm 用户名,密码哈希和电邮地址,虽然哈希密码是用弱哈希算法如加盐 SHA1 生成因此容易破解,但 GitHub 从 3 月 1 日起对所有账号自动启用了电邮验证,控制账号的尝试会自动阻止。在分析和检查了所有 npm 软件包版本的哈希之后,GitHub 确信攻击者没有修改任何公开的软件包或上传现有软件包的新版本。GitHub 重置了所有受影响用户的密码,并向受影响组织和用户发送了通知。
安全研究人员发现了被命名为 GoodWill 的勒索软件组织,顾名思义该组织的运营者旨在促进社会正义而不是个人牟利。GoodWill 勒索软件是用 .NET 编写的,会检测被感染设备所在的位置,一旦感染它会加密文档、照片、视频、数据库等重要文件,运营者会让受害者完成三个社会正义活动以获取解密密钥:向无家可归者捐衣服,记录并发布在社交媒体上;带五个穷孩子去达美乐、必胜客或肯德基吃顿饭,拍照和拍视频发布在社交媒体上;给需要紧急医疗救助但没有钱的患者经济援助,录音并与运营者分享。完成三个任务之后运营者会核查验证然后提供完整解密工具。
黑客正以俄罗斯政府机构为目标,发送钓鱼邮件,冒充 Windows 更新,诱骗受害者安装远程访问工具(RAT)。攻击来自一个以前未知的 APT 组织,攻击时间是从 2022 年 2 月到 4 月,目标都是安装 RAT,旨在进行后续的间谍活动。该 APT 组织的第一波攻击始于 2 月,攻击者以 interactive_map_UA.exe 的名义传播 RAT 工具。第二波攻击以修复刚刚披露的 Log4Shell 漏洞的名义发送 tar.gz 档案文件,邮件主要发送给了 RT 的员工,其中还包含不要打开可疑邮件的警告。第三波攻击伪装成国防公司俄罗斯联邦科技与工业集团。第四波攻击冒充了石油巨头沙特阿美的招聘广告,附件为 Word 文档但含有宏病毒。
Mozilla 释出了紧急更新,修复了在 Pwn2Own 2022 黑客挑战赛上安全研究人员利用的 Firefox 和 Thunderbird 0day。Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 和 Thunderbird 91.9.1 修复了两个高危漏洞。安全研究员 Manfred Paul 在 Pwn2Own 上演示了漏洞利用赢得了 10 万美元奖金。第一个漏洞是 Top-Level Await 实现的原型污染(prototype pollution),第二个漏洞允许攻击者在原型污染注入攻击中滥用 Java 对象索引不正确输入验证。
HardenedVault 写道 "2022年5月16日,云原生安全公司Isovalent的CTO宣布开源了其内部开发了多年的基于eBPF安全监控和阻断的方案:Tetragon。由于Tetragon宣称可以防御容器逃逸的Linux内核漏洞,但从Tetragon的设计来看只支持post-exploitation阶段的检测和阻断,这种基于规则的检测和阻断遭到了安全研究人员Felix Wilhelm的质疑,此后几天的讨论引起了更多安全研究人员的注意,PaX/GRsecurity团队成员Pawel Wieczorkiewicz在5月20日研究了两个小时后基于CVE-2021-22555公开exploit击穿了Tetragon的防御机制,随后PaX/GRsecurity公开了其细节以及探讨了为什么防御机制中不能单一依赖post-exploitation阶段的检测和阻断机制。幸运的是,VED(Vault Exploit Defense)方案对于目前的攻击方法免疫。"
搜狐员工遭到了钓鱼邮件攻击,攻击者可能首先窃取了搜狐内部邮箱账号,然后用这个邮箱群发邮件给其他员工,诱骗其在钓鱼网站上输入账号和密码。搜狐发表声明称,有 24 名员工被骗取了逾四万元。声明称:5 月 18 日凌晨,搜狐部分员工邮箱收到诈骗邮件。经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。事发后,公司 IT 及安全部门第一时间做了紧急处理并向公安机关报案。据统计,共有 24 名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。搜狐表示,这次事件不涉及到搜狐公司对用户提供的邮件服务。搜狐会持续升级网络安全技术,维护公司和个人的网络安全,更好地提供网络服务。
Google 安全团队 Threat Analysis Group (TAG)披露,国家支持的黑客组织使用 5 个 0day 在 Android 设备上安装 Cytrox 公司开发的间谍软件 Predator。攻击来自至少三个不同的组织,发生在 2021 年 8 月到 10 月之间,攻击者使用了 Chrome 和 Android OS 的 5 个 0day 在安装了最新补丁的 Android 设备上植入 Predator。攻击者来自于埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这一发现与公民实验室去年 12 月对 Cytrox 间谍软件的报告一致,研究人员当时在埃及流亡政客 Ayman Nour 的手机上发现了恶意程序。Nour 的手机还被发现感染了 NSO Group 的间谍软件 Pegasus。
正在与哥斯达黎加政府打信息战的勒索软件组织 Conti 关闭了运作,下线了其基础设施。安全专家 Yelisey Boguslavskiy 称 Conti 成员用于协商和发布信息的 Tor 管理面板已经下线。其它内部基础设施也已经离线。Boguslavskiy 认为 Conti 高调的攻击哥斯达黎加政府旨在宣传而非赎金。Boguslavskiy 称 Conti 的领导人在终止 Conti 的同时让其成员与其它规模较小的勒索软件组织合作,以增加灵活性和规避执法机构的围剿。
美国司法部宣布调整一项政策,不再起诉违反美国联邦黑客法规《计算机欺诈和滥用法案》(CFAA)的善意安全研究。此举意义重大,因为 CFAA 经常对安全研究人员构成威胁,他们为了找到安全漏洞并进行修复,可能会探测或入侵系统。政策的修订意味着此类研究不会被指控。在与公告一起发布的声明中,副司法部长 Lisa O. Monaco 表示:“计算机安全研究是提高网络安全的关键驱动力。”“司法部从来无意将善意的计算机安全研究作为犯罪起诉,今天的公告为善意安全研究人员提供了清晰的信息,以此促进网络安全,这些研究人员在为了共同的利益根除漏洞。”该政策本身写道:“本部门执行 CFAA 的目标是通过维护个人、网络所有者、运营商和其他人的合法权利来促进隐私和网络安全,确保存储在其信息系统中的信息的机密性、完整性和可用性。”
赞比亚央行遭到了勒索软件组织 Hive 的攻击,但它拒绝为此支付赎金。央行信息和通信技术主管 Greg Nsofu 表示核心系统正常运行,没有多少敏感数据被盗走,可能只有部分测试数据泄露了,央行甚至没有必要参与赎金讨论对话。赞比亚央行是在 5 月 13 日透露可能遭到网络攻击,5 月 9 日它的部分应用发生了故障,5 月 14 日网站短暂下线。
研究显示 CEO 级别高管和普通用户一样在密码选择上随意且愚蠢。此前的研究发现,公众最常用的密码都是容易记住的字符串如 123456、picture1 和 password。密码管理器 NordPass 最近研究了 2.9 亿次数据泄露事故样本,分析了 CEO 级别高管使用的密码模式,发现他们和一般公众并无区别,虽然他们的身份更为敏感,安全保障并应该更为重视。高管们经常使用常用名字作为密码,如 Tiffany、Charlie、Michael、Jordan、Dragon 和 monkey 等等。
哥斯达黎加总统 Rodrigo Chaves 表示他的国家正处于战争状态,因为网络犯罪分子破坏了数十个政府部门的 IT 系统。据信来自俄罗斯的勒索软件黑帮 Conti 索要 2000 万美元的赎金,并呼吁哥斯达黎加人走上街头要求付钱。周三哥斯达黎加财政部通知公务员黑客攻击影响到了自动薪酬支付服务,公务员们将无法及时收到薪水,需要通过电邮或者书面申请薪水。对税务和海关系统的攻击还影响到了对外贸易。Chaves 刚刚就让总统不到两周时间,他多次指责前任没有严肃对待网络安全,他宣布国家进入紧急状态。
HardenedLinux 写道 "基础架构包括计算机体系、物联网设备或其他信息化设备的固件、硬件组件、单元等基础组成部分,如主板Flash、显卡网卡等各类外设板卡的ROM,硬盘、EC、主板CSME/PSP/SMU等。基础架构安全性是整个系统的安全基石。如果基础架构的安全设置不当或存在高危漏洞、受到威胁,会导致整个系统的严重破坏,并且难以检测、恢复。固件的运行级别高于操作系统内核所在的RING 0级,如果用户的威胁模型中包含攻击者持久化这一项,那固件安全就不可忽视,特别在全球高级威胁防护的大趋势下,基础架构及平台固件属于整体防御中核心的环节,为了更好的推进行业对于基础架构整体弹性(Resiliency)水平,赛博堡垒(HardenedVault)和中科院软件所基础架构安全团队发起了一份关于平台固件安全的技术指南,草案版本由来自跨领域专家组的审阅,指南的alpha预览版发布于HardenedLinux社区(下载PDF),希望未来有兴趣的个人和机构可以继续推进。"
iPhone 关闭时并没有完全关机。设备内部的芯片继续在低功耗模式下运行,因此可用 Find My 功能定位丢失或被盗的设备,或者在电池耗尽后使用信用卡和车钥匙。现在研究人员设计出了一种方法,滥用这种永远开机的机制运行恶意软件,即使 iPhone 关机了,恶意软件仍然可以保持激活。事实证明,iPhone 的蓝牙芯片——它是 Find My 等功能的关键——没有对运行的固件进行数字签名的机制,甚至也没有进行加密。德国达姆施塔特科技大学的学者想出了如何利用这种保护缺失运行恶意固件,让攻击者能在设备关机后跟踪手机的位置或者运行新功能。这则视频高度概括了可行的攻击方式。 这项发现(PDF)的实际价值有限,因为感染需要将 iPhone 越狱,这本身就是一项艰巨的任务,尤其是在对抗环境中。尽管如此,对于 Pegasus 等恶意软件来说,在攻击成功后利用 iOS 中的始终开机功能会很方便,Pegasus 是以色列 NSO 集团的复杂智能手机攻击工具,世界各国经常使用该工具监视对手。除了允许恶意软件在 iPhone 关闭时运行之外,针对 LPM 的漏洞利用还可以让恶意软件更隐蔽地运行,因为 LPM 允许固件节省电池电量。当然,固件感染已经非常难以检测,因为它需要大量的专业知识和昂贵的设备。
研究人员演示了对特斯拉汽车的蓝牙中继攻击。Bluetooth LE 近距离身份验证设计允许一个受信任的设备去解锁附近的另一个设备,比如特斯拉可以使用智能手机作为钥匙解锁汽车。所谓中继攻击就是恶意设备中继合法设备的身份验证信号。这是一个已知的问题,通常的防御方法是对链路层发送的请求进行加密或者限制响应时间。安全研究人员在一辆 2020 年款 Tesla Model 3 汽车上演示了中继攻击。攻击工具运行在一部 iPhone 13 mini 手机上,iPhone 距离汽车 25 米,位于蓝牙通信距离范围外,iPhone 和汽车之间部署了两个中继设备。研究人员利用工具远程解锁了特斯拉汽车。这项研究显示链路层加密和限制响应时间都无法阻止中继攻击。
去年安全研究人员披露了一种新型的供应链攻击:依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包,如果攻击者在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报,但依赖混淆攻击确实在发生。
美国欧盟周二正式指责俄罗斯需要为今年二月针对卫星网络的攻击负责,这次攻击瘫痪了乌克兰及其邻国的卫星网络,破坏了通信和一个风力发电场。2 月 24 日在俄罗斯攻击乌克兰前一小时,卫星通信公司 Viasat 位于欧洲和乌克兰的数千卫星终端遭到攻击,攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络,通过搜索其内网找到了管理和运营的特定网络,同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。攻击者使用的恶意程序被命名为 AcidRain,安全研究人员发现它与俄罗斯的 VPNFilter 的一个擦除器模块 dstr 存在 55% 的代码相似度。
Yahoo! JAPAN 是日本最大的媒体公司之一,提供搜索、新闻、电子商务和电子邮件等服务。每个月有超过 5000 万用户登录 Yahoo! JAPAN。多年来发生了很多对用户账户的攻击以及导致账户访问权限丢失的问题。这些问题中大多数都和身份验证使用的密码有关。随着身份验证技术的最新发展,Yahoo! JAPAN 决定从基于密码的方式转向无密码身份验证。自 2015 年以来,Yahoo! JAPAN 一直在致力于无密码登陆计划。这始于 2015 年 5月 获得的 FIDO 服务器认证,之后又引入了 SMS 身份认证、密码停用功能以及对每台设备的 FIDO 支持。如今有3000 万月度活跃用户禁用了密码,使用非密码身份验证方法。Yahoo! JAPAN 对 FIDO 的支持始于 Android 上的 Chrome,现已有超过 1000 万用户设置了 FIDO 身份验证。由于 Yahoo! JAPAN 的这些举措,忘记登录 ID 或密码的查询比例比最高峰时减少了 25%,由于无密码账户数量的增加,未经授权的访问有所减少。
研究人员对黑客正在利用的漏洞的范围和程度感到惊讶,黑客正试图利用它们完全控制运行一些世界上最大、最敏感网络的网络设备。该漏洞的严重等级为 9.8分(满分为 10 分),影响 F5 的 BIG-IP,这是一组应用,作为负载均衡器、防火墙,检查并加密进出网络的数据。线上可发现的设备实例超过 1.6 万个,F5 表示,财富 50 强中有 48 家企业在使用。鉴于 BIG-IP 靠近网络边缘以及它们是作为管理 We b服务器流量的设备,它们所处的位置通常有利于查看受 HTTPS 保护的流量的解密内容。
上周 F5 披露并修补了一个 BIG-IP 漏洞,黑客可利用该漏洞,以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷,iControl REST 是一组用于配置和管理(PDF)BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示:“由于身份验证的实现方式存在缺陷,这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员,你就可以与应用提供的所有端点进行交互,包括执行代码。”
过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口,将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行,但在不提供密码的情况下,该漏洞也能工作。在其他地方,研究人员分享了漏洞利用代码,报告称看到了一些野蛮做法,攻击者会留下后门 webshell,以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。
上周 F5 披露并修补了一个 BIG-IP 漏洞,黑客可利用该漏洞,以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷,iControl REST 是一组用于配置和管理(PDF)BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示:“由于身份验证的实现方式存在缺陷,这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员,你就可以与应用提供的所有端点进行交互,包括执行代码。”
过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口,将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行,但在不提供密码的情况下,该漏洞也能工作。在其他地方,研究人员分享了漏洞利用代码,报告称看到了一些野蛮做法,攻击者会留下后门 webshell,以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。