【安全头条】OpenSSF获得500万美元用于开源软件安全研究

admin 2023年5月12日15:47:59评论82 views字数 3323阅读11分4秒阅读模式

【安全头条】OpenSSF获得500万美元用于开源软件安全研究
第508期 
你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、OpenSSF获得500万美元用于开源软件安全研究 
开源安全基金会(OpenSSF)本周宣布日立、洛克希德马丁、Salesforce和SAP将作为普通会员加入。
OpenSSF:成立于2020年,由 Linux基金会主办,是一个跨行业组织,致力于通过科技公司之间的合作来提高开源软件供应链的安全性。其创始成员包括GitHub、谷歌、IBM、微软、NCC集团、OWASP基金会、英特尔、Okta和VMware。
此外,资深网络安全专家Omkhar Arasaratnam 已成为该组织的新总经理,而Brian Behlendorf现在是新的OpenSSF首席技术官 (CTO)。
OpenSSF还宣布,微软和谷歌已分别承诺出资250万美元资助Alpha-Omega项目,该项目旨在通过识别和修补源代码中的漏洞来提高开源软件的安全性。
Alpha-Omega于2022年2月推出,旨在加强代码维护者之间的协作,并专注于识别关键的开源软件,以通过自动安全分析、评分和补救指导来加强。2022年12月,OpenSSF宣布亚马逊网络服务(AWS) 同意以250万美元资助Alpha-Omega。
https://www.securityweek.com/openssf-receives-5-million-for-open-source-software-security-project/

2、Netgear路由器被曝系列高危漏洞利用链 
工业和物联网网络安全公司Claroty周四(11日)披露了一个高危漏洞利用链的详细。
该漏洞利用链主要通过以下5个漏洞实现:CVE-2023-27357、CVE-2023-27367、CVE-2023-27368、CVE-2023-27369和CVE-2023-27370。
利用该漏洞链,攻击者可监控用户的互联网活动,劫持互联网连接并将流量重定向到恶意网站,或将恶意软件注入网络流量,访问和控制联网的智能设备(安全摄像头、恒温器、智能锁),更改路由器设置,包括凭据或 DNS 设置,或使用受感染的网络对其他设备或网络发起攻击。
这些漏洞首次出现在2022年Pwn2Own多伦多黑客大赛上,白帽黑客通过针对智能手机、打印机、NAS 设备、智能扬声器和路由器的攻击获得了总计近100万美元的奖金。
针对Netgear的Nighthawk RAX30 SOHO路由器的漏洞利用在Pwn2Own为公司的研究人员赢得了2,500美元。
Netgear 在4月初发布了1.0.10.94版固件,对它们进行了修补。
其中三个漏洞被评为“高严重性”,利用它们可导致远程代码执行、身份验证绕过和命令注入。将所有缺陷串联起来可能会产生重大影响。
值得注意的是,该漏洞链的执行需要访问LAN——它不是可以从Internet执行的WAN攻击,这就是它在Pwn2Own上获得较小奖励的原因。 
https://www.securityweek.com/details-disclosed-for-exploit-chain-that-allows-hacking-of-netgear-routers/

3、跨国科技公司 ABB 遭受 Black Basta 勒索软件攻击 


领先的电气化和自动化技术提供商瑞士跨国公司 ABB 遭受了 Black Basta 勒索软件攻击,据报道影响了业务运营。
ABB :总部位于瑞士苏黎世,拥有约 105,000 名员工,2022 年的收入为 294 亿美元,主要为制造和能源供应商开发工业控制系统 (ICS) 和 SCADA 系统,与广泛的客户和地方政府合作,包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。
勒索软件攻击影响了公司的 Windows Active Directory,影响了数百台设备。为了应对此次攻击,ABB 终止了与其客户的 VPN 连接,以防止勒索软件传播到其他网络。

黑巴斯塔是谁?

Black Basta 勒索软件团伙于 2022 年 4 月启动了勒索软件即服务 (RaaS) 行动,曾针对美国牙科协会Sobeys、可耐福和加拿大黄页发起攻击。
2022 年 6 月,Black Basta 已 与 QBot 恶意软件行动 (QakBot) 合作,在受感染的设备上投放了 Cobalt Strike,以获得对受害公司网络的初始访问权限,并横向传播到其他设备。
与其他以企业为目标的勒索软件操作一样,Black Basta 创建了一个 Linux 加密器来针对在 Linux 服务器上运行的 VMware ESXi 虚拟机。
相关安全研究人员曾将该勒索软件团伙与FIN7 黑客组织联系起来。

4、美国NIST为处理敏感数据的承包商发布新的网络指南
5月10日,美国为处理敏感数据的承包商发布新的网络指南,调了新的安全要求
CUI指南草案的变化包括:
  • 消除歧义和定义实施网络安全协议的参数;
  • 提高所选安全要求的灵活性;
  • 协助组织降低风险。
    NIST文件涵盖的一些数字资产包括个人健康信息、关键能源基础设施数据和知识产权
在数字威胁日益增加的情况下,保护有助于美国关键基础设施的数据一直是联邦、州和地方政府的首要任务,而美国国家标准与技术研究院(NIST)是帮助加强国家数字安全的关键参与者。
NIST在7月14日之前接受公众对该指南草案的反馈。它预计在2024年发布最终版本之前再引入一个SP 800-171 Rev.3草案。
NIST研究员Ron Ross指出:许多新添加的要求专门针对CUI的威胁,CUI最近已成为国家级间谍活动的目标,我们试图以一种向承包商展示我们在联网络安全中所做的事情和原因的方式来表达这些要求。
“保护CUI,包括知识产权,对国家的创新能力至关重要——对我们的国家和经济安全具有深远的影响,我们需要有足够强大的保障来完成这项工作。
https://www.nextgov.com/cybersecurity/2023/05/nist-debuts-new-cyber-guidance-contractors-handling-sensitive-data/386233/

 5、APT组织Red Stinger瞄准东欧的军事和关键基础设施 
自2020年以来,一个名为Red Stinger的先前未被发现的高级持续威胁(APT)攻击者与针对东欧的攻击有关。
Malwarebytes在5月11日发布的一份报告中透露:“军事、交通和关键基础设施以及一些参与9月东乌克兰公投的实体主要攻击目标,攻击者泄漏了快照、USB驱动器、键盘敲击和麦克风录音。”
Red Stinger与卡巴斯基上个月以Bad Magic名义披露的威胁集群重叠,该威胁集群去年针对位于顿涅茨克、卢甘斯克和克里米亚的政府、农业和交通组织。
虽然有迹象表明APT组织可能从2021年9月开始活跃,但Malwarebytes的最新发现将该组织的起源推前了一年,第一次行动发生在2020年12月。
多年来,攻击链利用恶意安装程序文件将DBoxShell植入程序植入到受感染的系统中。DBoxShell是一种利用云存储服务作为命令和控制(C&C)机制的恶意软件。
MSI文件本身是通过ZIP存档中包含的Windows快捷方式文件下载的。尽管文件名略有不同,但在2021年4月和2021年9月检测到的后续攻击波利用了类似的攻击序列,
第四组攻击恰逢俄罗斯于2022年2月对乌克兰发动军事行动。根据卡巴斯基的记录,与Red Stinger相关的最后一次已知活动发生在2022年9月。
攻击的确切规模尚不清楚,尽管有证据表明位于乌克兰中部的两名受害者——一名军事目标和一名在关键基础设施工作的军官——在2022年2月的袭击中受到了损害。
https://thehackernews.com/2023/05/new-apt-group-red-stinger-targets.html
【安全头条】OpenSSF获得500万美元用于开源软件安全研究


原文始发于微信公众号(安全客):【安全头条】OpenSSF获得500万美元用于开源软件安全研究

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月12日15:47:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全头条】OpenSSF获得500万美元用于开源软件安全研究https://cn-sec.com/archives/1730153.html

发表评论

匿名网友 填写信息