11月19日,星期二 ,您好!中科汇能与您分享信息安全快讯:
01
NIST发布量子抗性加密时间表,规模化应用或提前至2028年
美国国家标准与技术研究院(NIST)近日发布了政府机构向量子抗性加密技术过渡的时间表,计划在2035年前完成现有加密技术的替换。然而,分析师们认为,考虑到各国可能在2028年就实现规模化量子计算,企业界需要采取更快的行动。
NIST在最新发布的文件中对加密算法的使用状态进行了详细分类。"弃用"(deprecated)意味着可以继续使用某算法和密钥长度,但存在安全风险;"禁用"(disallowed)则意味着完全禁止使用相关算法或参数集。文件规定,所有现有的加密方案(包括ECDSA、RSA和EdDSA)必须在2035年后禁用,而112位的ECDSA和RSA将在2030年后被弃用。
值得注意的是,即使量子计算尚未实现规模化应用,采取快速行动仍然十分必要。这是因为存在"现在收集,以后解密"的威胁:对手可能会收集当前加密的数据,等到量子技术成熟后再进行解密。由于敏感数据往往具有长期价值,因此现在就开始向后量子密码学过渡至关重要。
02
低代码开发暗藏安全陷阱,微软Power Pages平台数百万用户数据或泄露
AppOmni首席SaaS安全研究员Aaron Costello最新披露,当前有大量使用Power Pages构建的网站存在访问控制缺失或配置错误的情况,或导致数百万用户数据泄露风险。Power Pages是从PowerApps Portals演变而来的低代码网站构建平台。该平台主要用于构建面向外部的网站,目前服务于超过1亿的月活跃用户。
研究显示,Power Pages虽然提供了完整的基于角色的访问控制功能,但许多网站并未正确实施这些控制措施。Power Pages的访问控制体系分为三个层次:网站级别的设置,用于定义用户身份验证和账户注册;表级控制,用于定义不同用户对数据的操作权限;以及最细粒度的Dataverse列级控制,如敏感信息掩码功能等。然而,Costello发现许多网站管理员并未充分利用这些安全机制。
这一安全隐患的后果极为严重。在研究过程中,Costello仅针对具有网络安全披露政策的组织进行测试,就发现了500万到700万条暴露的记录。其中一个典型案例是,某大型企业服务提供商泄露了110万英国国民保健署(NHS)员工的个人信息,包括电话号码、电子邮件地址和家庭住址等敏感数据。
03
云勒索软件攻击战术升级:PHP应用成为主要攻击目标
据SentinelOne最新发布的2024年云勒索软件态势报告显示,随着云服务提供商(CSP)不断加强数据保护能力,网络攻击者已开始将目标转向开发新型云勒索软件脚本,专门针对PHP应用程序发起攻击。
研究人员发现了多个专门针对PHP应用程序的新型勒索软件脚本,其中包括名为"Pandora"的Python脚本,以及归属于印度尼西亚黑客组织IndoSec的攻击工具。Pandora脚本使用AES加密技术针对PHP服务器、Android和Linux等系统发起攻击,通过OpenSSL库对文件进行加密。而IndoSec开发的勒索脚本则利用PHP后门来管理和删除文件,通过Web服务API对文件内容进行编码。
值得注意的是,攻击者还开始利用云服务本身的合法功能来窃取数据。今年9月,September Rhysdia和BianLian放弃了传统的MEGAsync和rclone等数据窃取工具,转而使用Azure Storage Explorer下载数据。10月,LockBit勒索软件组织被发现使用Amazon S3存储来窃取Windows和macOS系统的数据。
SentinelOne建议组织评估整体云环境,防止配置错误和存储桶权限过于开放。同时,实施良好的身份管理实践,如要求所有管理员账户启用多因素认证(MFA),并对所有云工作负载和资源部署运行时保护。
04
全球数据巨头证实用户信息遭泄露,1.22亿用户联系信息遭曝光
全球B2B数据聚合公司DemandScience(前身为Pure Incubation)近日确认遭遇重大数据泄露事件,涉及1.22亿条商业联系信息。
据DemandScience公告显示,此次泄露的信息来自一个已停用近两年的系统。公司表示:"我们已进行了全面的内部调查,确认目前运营的系统均未遭到入侵。"这一声明是在该公司此前否认系统遭到入侵数月后发布的,当时KryptonZambie声称从一个配置错误的Pure Incubation系统中窃取了1.328亿条记录。
值得注意的是,KryptonZambie最终在8月中旬以8个积分的低价公开了全部被盗数据,这一行为进一步加大了数据泄露事件的影响范围。
05
多功能恶意软件Legion Stealer V1来袭,网络摄像头成为泄密工具
一款名为"Legion Stealer V1"的新型恶意软件近期引发网络安全专家的高度关注,该软件不仅能未经授权访问用户网络摄像头,还具备多项网络入侵功能,对用户隐私构成严重威胁。
ThreatMon网络安全研究人员观察发现,这款使用C#编写的恶意软件具有多重攻击功能,可以在用户不知情的情况下访问并可能录制网络摄像头内容,这种能力可能导致勒索或其他形式的网络犯罪。除此之外,该软件还能捕获屏幕截图、收集用户和网络信息、获取磁盘数据,甚至执行系统重启。为了躲避检测,Legion Stealer V1会试图禁用杀毒软件和任务管理器,并采用反调试和虚拟机检测等复杂的规避技术。
该软件专门针对流行的即时通讯平台,如Discord,可以窃取用户的nitro订阅信息、徽章、支付信息、电子邮件地址、电话号码和好友列表等敏感信息。Legion Stealer V1能够同时针对Chrome、Edge、Brave和Opera GX等多款主流浏览器发起攻击,这种广泛的兼容性不仅扩大了潜在受害者范围,也增加了威胁防范的难度。更值得警惕的是,该软件在黑市上被标榜为"无法检测",这意味着传统的安全措施可能难以识别和消除这一威胁。
06
新型Glove恶意软件现身,可绕过Chrome浏览器Cookie加密机制
安全研究人员近日发现了一种名为"Glove"的新型信息窃取恶意软件,其最显著特征是能够绕过Google Chrome浏览器的应用程序绑定加密,从而窃取浏览器Cookie信息。
Gen Digital安全研究团队在调查最近一起钓鱼攻击活动时首次发现了这款恶意软件。研究人员指出,这款信息窃取软件的结构"相对简单,仅包含最基本的混淆或保护机制",这表明该软件很可能仍处于早期开发阶段。攻击者使用了类似ClickFix感染链中的社会工程策略,通过在钓鱼邮件附带的HTML文件中显示虚假的错误窗口,诱骗潜在受害者安装恶意软件。
这款基于.NET的Glove Stealer恶意软件能够从Firefox和基于Chromium的浏览器(如Chrome、Edge、Brave、Yandex、Opera)中提取和窃取cookies。此外,它还具备以下窃取能力:从浏览器扩展程序窃取加密货币钱包;从Google、Microsoft、Aegis和LastPass认证器应用程序窃取双因素认证(2FA)会话令牌;从Bitwarden、LastPass和KeePass窃取密码数据;从Thunderbird等邮件客户端窃取邮件。
07
Volt Typhoon僵尸网络组织重组归来,攻击能力或显著提升
SecurityScorecard威胁情报团队"STRIKE" 11月12日发布报告指出,此前遭受全球执法机构联合打击的Volt Typhoon黑客组织已卷土重来,其攻击能力较之前更为强大和复杂,该组织正在积极利用Cisco RV320/325和Netgear ProSafe路由器的漏洞。这些设备被认为是网络犯罪分子的"完美入口点"。
技术分析显示,Volt Typhoon使用类似Mirai的MIPS恶意软件来建立隐蔽连接,通过8443端口转发进行指令控制通信,有效规避了安全团队的监控。此外,该组织还在路由器上植入了诸如fy.sh等网页后门,以确保对设备的持续访问和控制,从而在目标网络中维持持久性存在。
尽管该组织并未直接部署勒索软件,但报告指出其运营模式受到勒索软件即服务(RaaS)模式的影响,网络犯罪分子将数字勒索活动的收益投资于更复杂的工具开发,以开展更多以网络间谍活动为重点的攻击行动。
08
物联网云平台 OvrC 曝一系列漏洞,黑客可远程执行恶意代码
安全公司 Claroty 发布报告,曝光了一款海外流行的物联网设备云端管理平台 Ovr 内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码,而根据 CVSS 风险评估,部分曝光的漏洞风险评分高达 9.2(满分 10 分)。
据悉,OvrC 物联网平台的主要功能是通过移动应用或基于 Web Socket 的界面为用户提供远程配置管理、运行状态监控等服务。自动化公司 SnapOne 在 2014 年收购了该平台,在 2020 年声称 OvrC 已拥有约 920 万台设备,而如今该平台预计坐拥 1000 万台设备。
IT 之家参考安全报告获悉,相关漏洞主要包括输入验证不足、不当的访问控制、敏感信息以明文传输、数据完整性验证不足、开放式重定向、硬编码密码、绕过身份验证等,此类漏洞大多源于设备与云端接口的安全设计缺陷,黑客可利用漏洞绕过防火墙,避开网络地址转换(NAT)等安全机制,从而在平台设备上运行恶意代码。
参考 CVSS 风险评分,4 个被评为高危的漏洞分别是:输入验证不足漏洞 CVE-2023-28649、不当访问控制漏洞 CVE-2023-31241、数据完整性验证不足漏洞 CVE-2023-28386,以及关键功能缺乏认证漏洞 CVE-2024-50381,这些漏洞的评分在 9.1 至 9.2 之间。
关于漏洞的具体利用方式,研究人员指出,黑客可以先利用 CVE-2023-28412 漏洞获取所有受管设备的列表,再通过 CVE-2023-28649 和 CVE-2024-50381 漏洞强制设备进入 " 未声明所有权 "(Unclaim)状态。随后黑客即可利用 CVE-2023-31241 漏洞将 MAC 地址与设备 ID 匹配,并通过设备 ID 重新声明设备所有权,最终实现远程执行代码。
值得注意的是,在研究人员报告后,大部分问题已于去年 5 月被修复,但仍有两个漏洞直到本月才得到解决,目前,该平台已完全修复相应漏洞。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):低代码开发暗藏安全陷阱,微软Power Pages平台数百万用户数据或泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论