HackerNews

HackerNews 编译，转载请注明出处： 日本最大移动运营商NTT Docomo发布报告称，该公司正努力恢复服务，此前一次网络攻击于周四暂时中断了其运营。 总部位于东京的NTT Docomo在声明中透露，其系统遭受了分布式拒绝服务（DDoS）攻击，这种攻击通过多个源头向网络发送大量垃圾流量，导致部分服务无法正常使用。 从周四清晨至傍晚，当地用户无法访问NTT Docomo的新闻网站、视频流平台、移动支付、网络邮件服务以及一个高尔夫爱好者网站。目前，大多数服务已恢复访问，但部分内容的更新可能会延迟。 NTT Docomo未指明此次攻击的具体威胁行为体。值得注意的是，该公司在2023年曾遭受勒索软件团伙Ransomed.vc的攻击。该团伙声称，在据称逮捕六名附属人员后，计划停止活动。 NTT Docomo是最近几个月遭受网络攻击的众多日本公司之一。12月初，日本航空（JAL）因系统“流量激增”导致部分国内外航班延误，疑似遭遇DDoS攻击。 上月，日本大型非寿险公司三井住友保险公司报告称，其一家第三方供应商遭到未具名勒索软件组织的攻击，可能导致数千名投保人信息泄露。 去年早些时候，知名媒体公司角川据称在一次数据泄露后，向与俄罗斯有联系的黑客组织BlackSuit支付了近300万美元。 此外，日本钟表制造商卡西欧在10月也遭受勒索软件攻击，导致交货延迟，该事件由“地下”勒索软件团伙所为。 其他近期遭遇网络攻击的日本公司还包括电机制造商日本电产、汽车零部件制造商Yorozu和研发机构Monohakobi。 据当地媒体报道，三菱日联银行、Resona银行和瑞穗银行等日本主要金融机构的网上银行服务也因网络攻击而中断。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对PlugX蠕虫的开创性恶意软件消毒行动在国际机构的协作下已圆满执行。 此次行动由Sekoia威胁检测与研究团队牵头，成功为多个国家的受感染系统进行了消毒。 PlugX蠕虫常与“野马熊猫”（Mustang Panda）相关联，可通过受感染的闪存盘传播，极具普遍性。2023年，Sekoia研究人员查尔斯·梅斯莱（Charles Meslay）和费利克斯·艾梅（Félix Aimé）在控制了一个关键的指挥与控制（C2）服务器后，对该恶意软件进行了分析，并提出了两种潜在的消毒方法。 这包括一个自我删除命令和一种更先进的代码执行方法，以清理系统和连接的驱动器。此次行动主要采用了更简单、侵入性更低的方法来降低风险。 响应公开求助，34个国家请求获取蜜罐日志以识别受感染的网络，而22个国家表示对主动消毒感兴趣。 最终，在巴黎检察院和法国国家宪兵队网络部门的监督下，10个国家开展了消毒行动。 为简化操作，Sekoia仅用一周时间就开发了一个专用的消毒门户。该平台允许参与国家登录，访问受感染资产的详细统计信息，并通过选择特定网络或IP范围来启动消毒行动。 该过程确保了最小程度的干扰。如果IP地址符合预定标准，蜜罐将发送一个小型消毒有效载荷并记录操作。 在整个行动期间，共向5539个IP地址发送了59475个有效载荷。 尽管技术上相对简单，但此次行动凸显了法律层面的复杂性。执法机构和司法部门的积极参与对于遵守国际法律至关重要。 此次合作也为未来的消毒行动树立了先例，展示了主权网络安全合作的潜力。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，一名涉嫌泄露总统通话记录的美陆军士兵卡梅伦·约翰·瓦格纽斯（Cameron John Wagenius），于12月20日在德克萨斯州胡德堡被捕，他面临两项非法转移机密电话记录的指控。 瓦格纽斯现年20岁，被怀疑为一名网络罪犯，其网名“Kiberphant0m”，涉嫌提供并泄露从电信提供商AT&T和Verizon窃取的通话记录。 此次逮捕大约发生在调查记者布莱恩·克雷布斯（Brian Krebs）揭露一名美军士兵可能参与影响包括安海斯-布希（Anheuser-Busch）、好事达（Allstate）、美国前进汽车零件公司（Advance Auto Parts）、三菱（Mitsubishi）、尼曼马库斯（Neiman Marcus）、前进保险（Progressive）、桑坦德银行（Santander Bank）、州立农业保险（State Farm）和Ticketmaster在内的数百家组织的“雪花”黑客攻击行动的一个月后。 克雷布斯在一份新报告中透露，瓦格纽斯曾驻韩，是一名通信专家，很可能就是“Kiberphant0m”，且与10月底因“雪花”账户黑客攻击案被捕的加拿大公民康纳·莱利·穆卡（Connor Riley Moucka，网名Judische）有关联。 穆卡被捕后不久，“Kiberphant0m”为勒索AT&T，在网络犯罪门户BreachForums上发布了疑似被盗的特朗普总统和哈里斯副总统的通话记录。 他还提供了据称来自美国国家安全局的“数据架构”、据称从美国政府机构和Verizon应急响应人员处窃取的通话记录，以及针对Verizon一键通（PTT）客户的SIM卡交换服务。 “Kiberphant0m”还在Telegram上吹嘘自己黑进了包括AT&T和Verizon在内的15家电信提供商，并维护了一个分布式拒绝服务（DDoS）僵尸网络。 12月20日的起诉书（PDF）指控瓦格纽斯于11月初参与了机密电话记录信息的销售和传输，但未提供有关嫌疑人身份或其与“雪花”攻击关联的更多细节。 然而，据克雷布斯称，瓦格纽斯的母亲已确认他参与了网络犯罪活动，而穆卡此前也透露，他将从“雪花”客户处窃取的数据销售外包给了“Kiberphant0m”。 迄今为止，已有三人因“雪花”攻击案被捕。除穆卡和瓦格纽斯外，当局还逮捕了约翰·艾琳·宾斯（John Erin Binns），此人曾因2021年黑进T-Mobile而自居功劳，目前被关押在土耳其监狱。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 目前，互联网上有超过三百万台未启用TLS加密的POP3和IMAP邮件服务器，易受网络嗅探攻击。 IMAP和POP3是访问邮件服务器上电子邮件的两种方法。IMAP建议用于从手机、笔记本电脑等多种设备查收邮件，因为它会将邮件保存在服务器上，并在设备间同步。而POP3则是从服务器下载邮件，只能在下载邮件的设备上访问。 TLS安全通信协议有助于在用户通过客户端/服务器应用程序在互联网上交换和访问电子邮件时保障其信息安全。然而，若未启用TLS加密，邮件内容和凭证将以明文形式发送，从而面临窃听式的网络嗅探攻击。ShadowServer安全威胁监测平台的扫描结果显示，约有330万台主机正在运行未启用TLS加密的POP3/IMAP服务，并在互联网上明文传输用户名和密码。 ShadowServer目前正在通知邮件服务器运营商，其POP3/IMAP服务器未启用TLS，导致用户的未加密用户名和密码暴露于嗅探攻击风险中。 ShadowServer表示：“这意味着用于邮件访问的密码可能会被网络嗅探器截获。此外，服务暴露还可能使服务器遭受密码猜测攻击。” “如果您收到我们的这份报告，请为IMAP启用TLS支持，并考虑该服务是否确实需要启用，或者将其置于VPN之后。” 无TLS加密的IMAP和POP3邮件服务器（ShadowServer） TLS 1.0规范及其后继版本TLS 1.1已使用近二十年，其中TLS 1.0于1999年推出，TLS 1.1于2006年推出。经过广泛讨论和28份协议草案的制定，互联网工程任务组（IETF）于2018年3月批准了TLS协议的下一个主要版本TLS 1.3。 2018年10月，微软、谷歌、苹果和Mozilla联合宣布，将于2020年上半年停用不安全的TLS 1.0和TLS 1.1协议。微软从2020年8月起，在最新的Windows 10 Insider预览版中默认启用了TLS 1.3。 2021年1月，美国国家安全局（NSA）也提供了有关识别和替换过时TLS协议版本及配置的指导，采用现代、安全的替代方案。 NSA表示：“过时的配置会让对手利用各种技术访问敏感操作流量，如通过中间人攻击进行被动解密和流量篡改。” “攻击者可以利用过时的传输层安全（TLS）协议配置访问敏感数据，且所需技能极少。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布，这些漏洞存在数据泄露风险。 这些漏洞由墨尔本网络安全公司Stratus Security发现，并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中，第三个则涉及FetchXML API。 首个漏洞源于OData Web API Filter缺乏访问控制，使得攻击者可访问包含敏感信息的联系人表，如全名、电话号码、地址、财务数据及密码哈希。 攻击者可利用此漏洞进行布尔搜索，通过逐个猜测哈希字符来提取完整哈希，直至找到正确值。 “例如，我们先发送startswith(adx_identity_passwordhash, ‘a’)，再发送startswith(adx_identity_passwordhash, ‘aa’)，接着是startswith(adx_identity_passwordhash, ‘ab’)，依此类推，直至返回以’ab’开头的结果，”Stratus Security指出。 “继续此过程，直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时，即表示我们已获取完整值。” 至于微软Dynamics 365和Power Apps Web API的第二个漏洞，则在于利用同一API中的orderby子句从必要数据库表列（如联系人的主要电子邮件地址EMailAddress1）获取数据。 此外，Stratus Security还发现，FetchXML API可与联系人表结合使用，通过orderby查询访问受限列。“使用FetchXML API时，攻击者可针对任意列构建orderby查询，完全绕过现有访问控制，”该公司表示，“与先前漏洞不同，此方法无需orderby以降序排列，为攻击增添了灵活性。” 因此，利用这些漏洞的攻击者可编制密码哈希和电子邮件列表，进而破解密码或出售数据。 “Dynamics 365和Power Apps API中的漏洞再次提醒我们：网络安全需持续警惕，尤其是像微软这样掌握大量数据的大公司，”Stratus Security强调。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新曝光的一起针对Chrome浏览器扩展开发者的钓鱼攻击事件显示，至少有35个扩展被黑客入侵并植入了数据窃取代码，其中包括网络安全公司Cyberhaven的扩展。这些受害扩展累计用户量约260万。 最初报道聚焦于Cyberhaven的安全扩展，但后续调查发现，同一恶意代码已渗透至35个扩展中。根据LinkedIn和Google Groups上受害开发者的反馈，攻击活动大约始于2024年12月5日，但BleepingComputer发现的相关子域名信息显示，攻击活动可能早在2024年3月就已开始酝酿。 “我只是想提醒大家注意一封比平常更为复杂的钓鱼邮件，邮件称我们违反了Chrome扩展政策，形式是：‘描述中有不必要的细节’。”该开发者在Google Group的Chromium扩展组发布了此信息。 “邮件中的链接看起来像是网页商店，但实际指向一个钓鱼网站，试图控制你的Chrome扩展，并可能将其更新为恶意软件。” 该攻击始于向Chrome扩展开发者直接发送的钓鱼邮件，或通过与其域名关联的支持邮箱发送。 根据BleepingComputer查看的邮件，以下域名被用于此次钓鱼攻击： supportchromestore.com forextensions.com chromeforextension.com 这些钓鱼邮件伪装成来自Google，声称该扩展违反了Chrome Web Store的政策，面临被下架的风险。 “我们不允许具有误导性、格式差、描述不清、无关、过多或不当的元数据的扩展，包括但不限于扩展描述、开发者名称、标题、图标、截图和宣传图片。”钓鱼邮件中写道。 具体而言，扩展开发者被诱导认为其软件描述含有误导信息，并被要求确认遵守Chrome Web Store的政策。一旦开发者点击邮件中的“前往政策”链接以了解违规详情，他们会被重定向至Google域下的正规登录页面，但该页面实则用于一个恶意的OAuth应用。 此登录页面遵循Google的标准授权流程，本用于安全授权第三方应用访问Google账户资源。然而，攻击者在此平台上部署了一个名为“隐私政策扩展”的恶意OAuth应用，诱骗受害者授权其管理Chrome Web Store扩展的权限。 “当您允许此访问时，隐私政策扩展将能够：查看、编辑、更新或发布您可以访问的Chrome Web Store扩展、主题、应用程序和许可证。”OAuth授权页面上写道。 权限批准提示（来源：Cyberhaven） 尽管启用了多因素认证（MFA），但账户安全仍未能得到保障，因为OAuth授权流程中的直接批准环节无需额外验证，且默认用户充分知晓所授予的权限。 Cyberhaven在事后分析中指出：“一名员工按照标准流程操作，不慎授权了恶意第三方应用。” 该员工虽已启用Google高级保护并设有MFA，但在授权过程中未收到任何MFA提示，其Google凭证也未被泄露。 获得账户访问权后，攻击者篡改了扩展，植入了“worker.js”和“content.js”两个恶意文件，内含窃取Facebook账户数据的代码。随后，这些被劫持的扩展以“新版本”的形式被发布到Chrome Web Store上。 尽管Extension Total追踪了此次钓鱼活动影响的35个扩展，但来自攻击的IOCs显示，实际受影响的扩展数量要远远超过这个数字。 根据VirusTotal的数据，攻击者为目标扩展预先注册了域名，即便这些扩展的开发者没有上当。 尽管大多数域名是在11月和12月创建的，BleepingComputer发现攻击者早在2024年3月就开始测试这一攻击。 早期钓鱼活动中使用的子域名（来源：BleepingComputer） 对受损设备的分析显示，攻击者瞄准了使用中毒扩展的用户的Facebook账户。具体来说，窃取数据的代码试图抓取用户的Facebook ID、访问令牌、账户信息、广告账户信息和企业账户信息。 被劫持扩展窃取的Facebook数据（来源：Cyberhaven） 此外，恶意代码还在Facebook.com上设置了鼠标点击事件监听器，专门捕获与Facebook双因素认证（2FA）或验证码相关的二维码图像，企图绕过2FA保护，从而控制用户账户。 这些被窃取的信息，包括Facebook Cookies、用户代理字符串、Facebook ID以及监听到的鼠标点击事件，会被打包并传输至攻击者的指挥和控制（C2）服务器。 攻击者针对Facebook企业账户展开多种攻击手段，意图利用受害者的信用卡信息直接向其账户转账，或在社交平台上散布虚假信息、实施钓鱼活动，甚至将账户访问权限转售他人。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

E安全消息，网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046，CVSS得分10，可能允许攻击者在系统上执行任意代码。 Apache MINA框架用于构建高性能和可扩展的网络应用，以其事件驱动异步API而闻名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被广泛应用于各种应用。 然而，其ObjectSerializationDecoder组件的一个缺陷为恶意行为者打开了大门。这个解码器利用Java的本地反序列化来处理序列化数据，被发现缺乏关键的安全检查。 问题的根源在于易受攻击版本的MINA处理对象反序列化的方式。没有适当的防护措施，攻击者可以发送特别制作的恶意序列化数据，当ObjectSerializationDecoder处理这些数据时，可能会导致远程代码执行（RCE）。这意味着攻击者可能完全控制受影响的系统。 CVE-2024-52046漏洞影响了一系列Apache MINA版本，具体包括： Apache MINA 2.0.0至2.0.26 Apache MINA 2.1.0至2.1.9 Apache MINA 2.2.0至2.2.3 需要注意的是，并非所有使用MINA的应用程序都会自动受到影响。 当应用程序使用IoBuffer#getObject()方法时，风险就会出现，这可能在ProtocolCodecFilter实例使用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。如果你的应用程序依赖这些特定类和方法，你可能已经暴露了风险，必须立即采取行动。 Apache MINA团队通过发布以下修补版本迅速解决了这一关键漏洞： Apache MINA 2.0.27 Apache MINA 2.1.10 Apache MINA 2.2.4 仅仅升级是不够的。更新的版本引入了一个重要的安全增强功能：开发人员必须明确定义ObjectSerializationDecoder被允许反序列化的类。 通过三个新方法实现： accept(ClassNameMatcher classNameMatcher) accept(Pattern pattern) accept(String… patterns) 默认情况下，解码器现在将拒绝所有类，遵循“拒绝所有”的原则，除非明确允许。这增加了一个重要的控制层，防止了不受信任和潜在恶意对象的反序列化。 Apache MINA团队已表示，FtpServer、SSHd和Vysper子项目不受此漏洞影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/OC8JgmYZ1uWYTVFhKJyJcQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 黑客已找到多种绕过多因素认证（MFA）的方法，而九成安全专家仍然认为MFA能够完全防止账户被接管，网络安全公司警告道。 多因素认证常被誉为防止账户接管的“银弹”，用于保护用户在密码泄露后避免被黑客侵入。然而，黑客早已预见到这一障碍并已做好了反击准备。网络犯罪分子正发动数百万次攻击，旨在绕过MFA。 Proofpoint 2024年《Phish报告》显示，仅使用一个名为EvilProxy的MFA绕过工具，每个月就发起了超过100万次攻击。EvilProxy是一个钓鱼即服务工具包。 “然而，89%的安全专家认为MFA能够完全防止账户接管。显然，这之间存在脱节，”该公司表示。 威胁行为者至少使用六种方法绕过MFA，其中许多战术都相当复杂： 钓鱼攻击：网络罪犯诱使用户将MFA代码或登录凭证输入由攻击者控制的网站。 MFA疲劳攻击：一旦威胁行为者获得了用户的密码，他们就会发起大量MFA推送通知，试图让用户困惑。受害者通常为了停止这些通知而批准访问请求。 会话劫持：攻击者使用信息窃取恶意软件和其他手段在身份验证后窃取会话Cookie，这使得前面的MFA身份验证变得无效。 SIM卡交换：如果用户依赖SMS验证码进行MFA，黑客可能尝试将目标的电话号码转移到自己的手中。为此，攻击者需要通过社会工程学手段操控移动运营商，或在组织内有内部人员协助。 社交工程：黑客获取敏感凭证的另一种方式是通过直接询问。许多公司提供一种方式，允许远程员工重置密码和MFA设置，而无需亲自到场。如果没有适当的在线身份验证，攻击者可以通过欺骗IT帮助台交出伪造的员工凭证。 中间人攻击：攻击者使用如Evilginx之类的专用钓鱼工具拦截会话令牌。然后，这些令牌会被转发给合法服务，攻击者因此获得访问权限。 此前，研究人员甚至成功地仅通过猜测6位数验证码绕过了微软的MFA实施。微软声称，MFA能够防止99%的账户被接管攻击。 Proofpoint指出，单靠MFA是不够的。 “毫无疑问，MFA为用户认证安全增添了重要的防护层。这使得威胁行为者更加难以突破。但上述绕过技术展示了为何仅依赖单一的安全防御机制是如此危险，”该公司表示。“攻击者能够适应并突破广泛部署的保护措施。” Proofpoint建议，MFA应作为更大范围防御深度策略的一部分，额外的安全层次能在一个防御层被突破时减少成功攻击的可能性。 MFA工具并不相同，因此建议采用抗钓鱼的MFA。更安全的MFA方法包括硬件安全密钥（FIDO2）或生物识别技术。 通过部署端点检测与响应（EDR）工具来增强端点保护，是识别和缓解主机级别未经授权访问的一个安全层。 “投资于防御凭证钓鱼。大多数威胁行为者偏好使用高度针对性的社交工程钓鱼攻击来获取用户凭证，”Proofpoint指出。 其他措施包括安装专门的账户接管安全系统，能够检测、调查并自动响应云账户接管，教育用户识别钓鱼企图，并制定事件响应和恢复计划。 “准备应对最坏的情况。确保有一个明确的事件响应计划，包含快速撤销访问令牌和调查可疑登录的办法。”   消息来源：Cybernews, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客攻击了罗德岛州的健康和福利项目系统，并将文件发布到了暗网，州长丹尼尔·麦基周一表示，这一事件是州政府已预料到的情况。 根据麦基办公室发布的新闻稿，州政府已制定外展策略，鼓励可能受影响的罗德岛居民保护他们的个人信息。州长表示，目前尚不清楚是否所有从RIBridges系统中窃取的文件都已经发布到暗网上。暗网是一个加密网络中的一部分，只有通过专门的匿名工具才能访问。 麦基办公室的声明称：“目前，IT团队正在努力分析已发布的文件。这是一个复杂的过程，我们尚不清楚这些文件中包含的数据范围。” 麦基在下午的新闻发布会上表示，负责建设和维护RIBridges的公司德勤已与黑客取得了联系。 州政府正在与德勤合作，生成受影响个人的名单。官员表示，信函将发送给这些个人，告知他们如何访问免费的信用监控服务。 依赖RIBridges的州政府项目包括医疗补助、补充营养援助计划（SNAP）、临时贫困家庭援助、儿童保育援助计划、罗德岛工作计划、长期服务与支持、At HOME成本分担计划以及通过HealthSource RI购买的健康保险。 声明补充道：“虽然这些数据已经被泄露，但这并不意味着它们已被用于身份盗窃。” 麦基呼吁罗德岛居民采取一系列步骤来保护他们的财务信息，包括：联系所有三大信用报告机构——Equifax、Experian和TransUnion——冻结他们的信用；联系其中一个信用报告机构，申请免费的信用报告；并要求在信用档案中添加欺诈警报。 居民还应使用多因素身份验证，而不仅仅依赖一个密码来访问个人信息，并警惕看似合法的假冒电子邮件、电话或短信。 麦基表示，执法部门也正在调查此次数据泄露事件，但他指出，由于犯罪的性质，抓捕嫌疑人面临着巨大的挑战。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞，这些漏洞若被成功利用，可能使攻击者能够执行多种隐秘操作，包括数据窃取和恶意软件部署。 “利用这些漏洞，攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限，成为影子管理员，”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性，但其具体问题包括： – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外，攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志，以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图（DAG）文件并将其上传至连接到Airflow集群的私人GitHub存储库，或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点，攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名（SAS）令牌获得对存储DAG文件的存储账户的写权限。或者，他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行，其权限有限，但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误，加上Pod可通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破底层节点，实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机（VM）的Root权限进一步深入云环境，未经授权访问Azure托管的内部资源，包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境，”研究人员Ofir Balassiano和David Orlovsky表示。“例如，攻击者可以创建新的Pod和服务账户，甚至修改集群节点，并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性，也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现，即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容，例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于，虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据，但该角色被发现具有添加自身至Key Vault访问策略的权限，从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力，”研究人员Katie Knowles解释道。“这导致了一个场景：Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据，但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档，强调访问策略风险：“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书，必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际，亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型（LLM）的恶意查询与合法查询变得困难，从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说，失败的Bedrock API调用与成功调用记录方式相同，未提供任何特定错误代码，”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节，安全工具可能会误将正常活动解读为可疑行为，从而导致不必要的警报并可能忽视真正的威胁。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）发布了一项最终规则，以落实第14117号行政命令（EO 14117），该命令旨在防止美国公民的个人数据大规模转移至包括中国（含香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的特定关注国家。 “这一最终规则是解决国家安全重大威胁的重要进展，这些威胁源于我们的对手可能利用美国人最敏感的个人数据，”司法部国家安全司助理检察长马修·G·奥尔森表示。 这一强有力的国家安全新计划旨在确保美国人的个人数据不再通过直接购买或其他商业渠道被敌对势力获取。 早在2024年2月，美国总统乔·拜登签署了一项行政命令，旨在应对未经授权访问美国人敏感个人数据及政府相关数据所带来的国家安全风险。这些恶意活动可能包括间谍、影响力行动、物理攻击或网络攻击。 此外，该行政命令指出，特定关注国家可能利用获得的大量数据开发或改进人工智能及其他先进技术，还可以从商业数据经纪人及其他公司购买此类信息。 司法部进一步表示，这些国家及其相关人员还可能利用这些数据搜集活动家、学者、记者、异议人士、政治对手或非政府组织成员及边缘化群体的信息，以威胁、压制政治反对意见，限制言论自由、和平集会或结社自由，或实施其他形式的公民自由打压。 司法部发布的规则预计将在90天后生效。规则明确了某些类别的禁止交易、受限交易和豁免交易；设定了触发规则限制的大量敏感个人数据交易阈值；并建立了包括民事和刑事处罚在内的执行机制。 该规则涵盖了六类数据：个人标识符（如社会安全号码、驾驶执照等）、精确地理位置数据、生物识别标识符、人类组学数据（包括基因组、表观基因组、蛋白质组和转录组数据）、个人健康数据和个人财务数据。 需要注意的是，该规则既未强制要求数据本地化，也未禁止美国公民在特定关注国家进行医疗、科学或其他研究。 司法部表示，最终规则同样未全面禁止美国个人与特定关注国家或相关人员进行商业交易，包括在出售商业商品和服务的过程中交换金融及其他数据，也未采取旨在广泛脱钩美国与其他国家在消费、经济、科学及贸易关系的措施。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一种名为“双击劫持”（DoubleClickjacking）的新型攻击技术，这是一种“基于时间的广泛漏洞类别”，通过利用双击操作实现点击劫持攻击，并可能导致账户接管，几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。 “不同于传统的单击攻击，这种技术利用双击序列，”Yibelo 表示，“虽然看似只是微小的变化，却使得攻击者能够实施全新的用户界面操纵攻击，绕过所有已知的点击劫持防护措施，包括 X-Frame-Options 标头和 SameSite：Lax/Strict cookie。” 点击劫持（Clickjacking），又称用户界面重定向攻击，是一种诱导用户点击看似无害的网页元素（如按钮），从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进，通过双击操作中的时间间隙绕过防护，以更低的用户交互成本实现攻击目标。 具体的攻击步骤如下： 1. 用户访问由攻击者控制的站点，该站点会通过单击按钮或无交互直接打开一个新窗口（或标签页）。 2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面，提示用户完成双击操作。 3. 在双击过程中，攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接，例如批准恶意 OAuth 应用的授权。 4. 同时，顶层窗口自动关闭，用户在不知情的情况下完成授权，授予攻击者访问权限。 “目前，大多数网络应用和框架仅针对单次强制点击进行了防护，”Yibelo 指出，“而双击劫持通过引入时间间隙，使现有防御机制（如 X-Frame-Options、SameSite cookie 或 CSP）失效。” 网站所有者可以采用客户端防护策略，例如默认禁用关键按钮，只有在检测到鼠标手势或按键操作后才启用。据悉，Dropbox 等服务已采用类似的预防措施。 从长远来看，建议浏览器开发商引入类似 X-Frame-Options 的新标准，以应对双击劫持攻击。 “通过利用点击事件之间的时间差，攻击者可以在用户毫无察觉的情况下，将无害的界面元素替换为敏感内容，”Yibelo 补充道，“这一攻击手法是对已知漏洞类别的全新变种。” 此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造（Gesture-jacking）有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键，触发恶意操作。 例如，在 Coinbase 和 Yahoo! 等网站中，如果受害者已登录账户，攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用，并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识，从而使攻击者能够轻松获取受害者账户的访问权限。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据美国财政部周一发给国会议员的一封信，财政部表示，第三方软件提供商 BeyondTrust 于 12 月 8 日通知它，称一名黑客获得了安全密钥，允许攻击者远程访问员工工作站和存储在其上的机密文件。 BeyondTrust 是一家网络安全公司，专门从事特权访问管理 （PAM） 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。 “根据现有指标，该事件被归咎于高级持续威胁 （APT） 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。 财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。 财政部补充说，受感染的服务已下线，目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策，归因于 APT 的入侵被视为重大网络安全事件。 本月早些时候，有报告称 BeyondTrust 已被黑客入侵了远程支持 实例（https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/）。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码，并获得了对系统的进一步特权访问。 在调查了这次攻击后，BeyondTrust 发现了两个0day漏洞，即 CVE-2024-12356 和 CVE-2024-12686，这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。 由于财政部是其中一个受感染实例的客户，因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后，他们关闭了所有受损的实例并撤销了被盗的 API 密钥。 财政部表示，它正在与 FBI 和美国网络安全和基础设施安全局 （CISA） 合作解决入侵问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw 封面来源于网络，如有侵权请联系删除

10 月 10 日，攻击者通过第三方托管的登录门户访问并更改了员工福利账户，随后发现了这一未经授权的活动。 据该公司称，攻击者发起了一场欺诈性广告活动，将通用动力公司的员工引导到一个钓鱼网站，诱骗他们输入用户名和密码。 通用动力公司向缅因州总检察长办公室表示：“恶意攻击者随后能够访问向虚假第三方登录网站提供此信息的员工的账户。”该公司表示，共有 37 人受到影响。 被入侵的员工福利账户使攻击者可以访问姓名、出生日期、身份证号码、社会保障号码、银行账户信息和残疾状况等个人信息。 通用动力公司称，攻击者在某些情况下更改了被盗账户的银行账户信息。这些账户的所有者从 10 月 10 日开始收到通知。本周，该公司开始向其他受影响人员邮寄书面通知信。 “现有证据表明，涉案的未经授权访问是通过第三方进行身份验证的，而不是直接通过 GD 业务部门进行身份验证。目前，GD 尚未发现此次事件会给受影响的员工带来任何持续伤害或风险。”该公司向缅因州审计院表示。 在向缅因州检察长办公室提交的通知信副本中，通用动力公司告知受影响的个人，攻击者使用通过钓鱼网站获取的泄露凭证，通过员工自助服务门户访问了他们的 Fidelity NetBenefits 账户。 攻击者于 10 月 1 日开始访问员工账户，通用动力公司在发现攻击后立即暂停了对该服务的访问。该公司为受影响的个人提供两年的免费信用监控。 通用动力公司通知受影响的人员重置富达账户登录凭证，并且不要在该账户或您使用的任何其他账户中重复使用之前的凭证。 今年早些时候，美国金融服务公司富达 (Fidelity) 通知数万个人，他们的个人信息在两次数据泄露事件中遭到泄露。一次影响了28,000 名富达投资人寿保险公司客户，另一次影响了超过77,000 名富达投资客户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ryUVDrdBnMOej-3kUssgFQ 封面来源于网络，如有侵权请联系删除

在即将过去的2024年，亚太地区的网络犯罪分子越来越多地利用人工智能（AI）发起复杂的攻击活动，例如 AI 生成的钓鱼邮件、自适应恶意软件和深度伪造。 Check Point 软件技术公司亚太区安全架构师和布道师 Clement Lee 表示，这些攻击削弱了对关键通信的信任，并加剧了社会紧张局势。 他例举了一些具体案列：在印度，深度伪造助长了广泛的不实信息传播；在印度尼西亚，一段经过篡改的深度伪造视频旨在煽动反华情绪；在中国香港，一名财务员工因深度伪造冒充公司高管而被骗转账 2500 万美元。 对于即将到来的2025年，Palo Alto Networks 亚太及日本区总裁 Simon Green 认为亚太地区将迎来“AI 驱动的网络威胁”。他指出，深度伪造音频和视频攻击可能是这一趋势中最明显的表现形式。 随着亚太地区越来越多的企业组织在实施 AI 项目，预计会更多地寻求更好保护其数据的方法。 AvePoint 澳大利亚和新西兰副总裁兼董事总经理 Max McNamara 表示，客户正在询问如何在保持强大安全性的同时，从数据中获得更多价值，尤其是在他们希望从 Microsoft Copilot 等生成式 AI 产品中获益时。这始于拥有安全且可访问的数据，确保能够在不影响安全态势的情况下扩展解决方案，并严格遵守日益复杂的监管标准。 另外，亚太地区量子计算项目的增加可能会推动“先收集，后解密”攻击的上升。此类攻击涉及对手收集并存储当前加密的数据，目的是在未来量子计算机足够强大时解密这些数据。这些攻击对需要长期保持安全的敏感信息构成了重大威胁。 根据《财富商业洞察》（Fortune Business Insights）的数据，亚太地区是全球增长最快的量子计算市场，包括 IBM 、微软、谷歌、阿里巴巴、百度、 JSR 和D-Wave 在内的多家公司目前正在参与该地区的大型量子软件和硬件项目。例如，阿里巴巴与中国科学院合作部署了新型量子计算云平台。亚太地区的一些量子项目正在国家层面进行，例如印度由美国资助的国家量子技术与应用任务和新加坡的量子工程项目。 Lee 表示，量子计算的出现可能会使当前的加密标准过时，导致敏感数据暴露并危及关键基础设施。随着组织为未来的解密威胁做准备，抗量子密码学将获得更多关注。 Green 指出，亚太地区的组织应预期到来自包括国家支持的黑客在内的‘先收集，后解密’攻击。这些攻击将对政府和企业、民用和军事通信、关键基础设施以及开发量子项目的组织构成威胁。 Qualys EMEA 和亚太区首席技术安全官兼解决方案架构副总裁 Richard Sorosina 认为，亚太地区威胁环境的快速演变和日益复杂化可能会加速该地区许多组织安全能力的整合。他预计，组织将越来越多地采用统一的安全平台方法，以提供对组织风险的集中视图，并在发现风险时提供修复机制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418742.html 封面来源于网络，如有侵权请联系删除

GitHub 安全实验室的安东尼奥-莫拉莱斯（Antonio Morales）最近发布了一份报告，公布了 GStreamer 中的 29 个漏洞，GStreamer 是一个开源多媒体框架，广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能，包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件，也成为网络攻击者的诱人目标。 莫拉莱斯在报告中解释说：“GStreamer 是一个大型库，包括 300 多个不同的子模块。在这项研究中，我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器，因此特别容易被利用。 在已发现的 29 个漏洞中，大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞： CVE-2024-47537：isomp4/qtdemux.c.中的越界（OOB）写入。 CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。 CVE-2024-47607： gst_opus_dec_parse_header 中的堆栈缓冲区溢出。 CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。 CVE-2024-47539：convert_to_s334_1a 中的 OOB 写入。 这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用，所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。 GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称：“该库中的关键漏洞可以打开许多攻击载体。例如，恶意制作的媒体文件可以利用这些漏洞入侵用户系统。” 为了发现这些漏洞，莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性，传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法： 他说：“我从头开始创建了一个输入语料生成器，”他介绍说，该技术生成了 400 多万个测试文件，专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。 我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303158 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一名使用@NSA_Employee39昵称的X平台用户声称，在开源文件归档软件7-Zip中发现了一个零日漏洞。该账号已通过X平台验证。 该用户宣布，本周将“连续曝光零日漏洞”，首个目标便是7-Zip软件中的任意代码执行漏洞。 攻击者可通过诱骗受害者打开精心制作的.7z归档文件，利用此漏洞在受害者系统上执行恶意代码。 用户已在Pastebin上发布了针对此零日漏洞的利用代码。Pastebin上的描述称：“此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。通过调整偏移量和有效载荷，利用代码操控内部缓冲区指针以执行shellcode，从而实现任意代码执行。当受害者使用7-Zip的易受攻击版本（当前版本）打开或解压归档文件时，利用代码将被触发，执行有效载荷以启动calc.exe（可自行更改）。” 然而，多位专家对此声明提出质疑，称该利用代码无效，所谓的零日漏洞并不存在。 7-Zip的作者伊戈尔·帕夫洛夫（Igor Pavlov）表示，该漏洞为伪造。他解释说，LZMA解码器中不存在RC_NORM函数。 帕夫洛夫写道：“普遍结论是，Twitter上这段伪造的利用代码是由LLM（AI）生成的。” “伪造代码中的注释包含以下声明： 此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。” 但LZMA解码器中不存在RC_NORM函数。相反，7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此，LZMA解码代码不会调用RC_NORM。利用代码注释中关于RC_NORM的陈述是不真实的。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从思科开发中心（DevHub）窃取数据并对外泄露，思科已确认这些数据属实，并指出它们源自近期披露的一起安全事件。 这名自称为IntelBroker的黑客于10月14日宣布，他与他人侵入了思科系统，获取了源代码、证书、凭证、机密文件、加密密钥等多种信息。 思科调查后发现，其系统并未被侵入，这些数据实际上是从一个面向公众的DevHub环境中获取的，该环境作为资源中心，为客户提供源代码、脚本等内容。 尽管DevHub中的大部分数据已公开，但思科承认，黑客获取的部分文件本不应公开。 随后，IntelBroker确认数据来自DevHub，并开始泄露文件。他最初声称获取了800GB的文件，但随后又称从DevHub环境中获取了4.5TB的数据。12月中旬，他公布了约3GB的数据，并在圣诞节当天又泄露了一批文件，总量超过4GB。 泄露的数据包括与思科产品相关的源代码、脚本、数字证书和配置文件。 思科在第二次数据泄露后表示，已对数据进行了分析，发现它们“与2024年10月14日已知的数据集一致”。 思科解释道：“如之前更新所述，我们确信系统没有受到攻击，并且在泄露的内容中任何可能被攻击者用来访问我们的生产或企业环境的信息。” 思科最初表示，没有证据表明敏感个人信息或财务数据遭到破坏，但已从事件报告中删除了这一声明。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周晚些时候，Palo Alto Networks通知客户，其已修复一个零日漏洞，该漏洞曾被用于对其防火墙发动拒绝服务（DoS）攻击。 该安全漏洞编号为CVE-2024-3393，影响了运行于Palo Alto Networks防火墙上的PAN-OS软件的DNS安全功能。漏洞允许未经身份验证的攻击者通过数据平面发送特制数据包，导致防火墙重启。 Palo Alto Networks警告称：“多次尝试触发此条件将导致防火墙进入维护模式。” 该公司还指出，其“已意识到当防火墙拦截触发此问题的恶意DNS数据包时，客户会遭遇拒绝服务（DoS）”。 尽管存在此情况且CVE-2024-3393被评为“高危”，但Palo Alto Networks仅将此漏洞的紧急程度定为“中等”，并指出仅当PAN-OS软件启用DNS安全日志记录，并应用DNS安全许可证或高级DNS安全许可证时，才会受到影响——两个条件需同时满足，漏洞利用才可能实现。 PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5和11.2.3版本已修复此漏洞。而PAN-OS 11.0版本已于11月17日停止支持，因此不会收到修复补丁。同时，该公司还提供了临时解决方案和缓解措施。 Palo Alto Networks对爱沙尼亚CERT-EE提供的取证和分析协助表示感谢。但关于该漏洞的发现方式以及利用该漏洞的攻击情况，目前尚未有更多信息。 威胁组织利用Palo Alto防火墙漏洞发动攻击的情况并不罕见。在安全公司追踪的“月球窥探”行动中，恶意行为者曾利用两个PAN-OS零日漏洞攻破了大量防火墙。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文