开源安全基金会(OpSSF)于2月25日发布了一套三级安全指南,旨在为基于Lux的开源软件建立最低安全标准。这一被称为开源项目安全基线(OSPS B)的项目,源自攻击者总会试图利用开源软件发动恶意供应链攻击。
OSPS 由三个级别组成:第一级要求开发者启用多因素身份认证、将协作者权限设置为最低可用级别,并确保网站包含SSH、HTTPS或其他加密通道;第二级则需要使用软件成分分析工具、代码审计、密钥管理等措施;第三级则涉及更高级的安全实践,如使用可信供应链、漏洞管理等。
安全专家认为,该基线旨在为开源项目提供一个最低安全标准,但并不能完全阻止攻击。开发者需要根据项目的具体情况采取更严格的安全措施。
近日,研究人员在红队工具MITRE Cr上发现一个严重的远程代码执行漏洞(CVE202527364),使系统面临来自未经身份验证攻击者的潜在入侵风险,影响所有早于3506的版本。该漏洞源于Cr的St和Mx代理的动态编译机制,这两个反向专为红队行动而设计。
漏洞起因于Cr动态编译端点(//op)对用户控制的链接器标志()处理不当。只要系统存在Go、Pyto和等Cr所需的依赖项,攻击者就能利用该漏洞,因此漏洞几乎普遍存在于默认部署中。
尽管开发人员使用upro_output(=Tru)来防范命令注入,但攻击者滥用Go 语言链接器的两个参数绕过防御:xt参数用于指定为外部链接器,xt参数用于向注入wrppr选项。GCC的该功能允许通过用户定义的二进制文件和参数执行任意命令。利用PoC展示的ur命令即可在Cr服务器上触发反向。成功利用后,攻击者将获取Root权限的反向。
MITRE发布紧急通告,建议用户采取以下缓解措施:更新至510或更高版本、隔离Cr服务器、从生产系统移除不必要的构建工具。使用Cr的组织应审计系统,查找可疑进程和网络连接迹象。
Prot网络安全公司近日披露,网络犯罪团伙EryptHu(又称Lrv208)自2024年6月开始活动以来,通过精心策划的网络钓鱼和社交工程攻击,成功入侵至少618家机构的内部网络。
EryptHu的攻击手段包括通过短信、语音电话等方式,伪装成IT支持人员,诱使受害者访问虚假的虚拟专用网络登录页面,从而窃取用户凭证和多因素认证令牌。他们购买了70多个类似域名,用于提高钓鱼页面的可信度。一旦入侵目标系统,EryptHu会部署远程管理软件,获取长期控制权,并安装信息窃取程序,如St和Rty,盗取浏览器保存的密码、Coo等敏感数据。他们还会部署自制PowrS勒索软件,加密文件并索要赎金。
该犯罪团伙针对性很强,攻击手段日益成熟,能有效规避检测,成功攻陷包括大型企业在内的高价值目标。企业应提高安全意识,加强员工培训,并采取必要的技术防护措施,以抵御这种新型网络犯罪的攻击。
近日,安全研究人员发现,一个评分高达99的严重漏洞(CVE202522467)影响全球约2850台Ivt Cot Sur(ICS)设备,使它们面临远程代码执行攻击的风险。该漏洞属于基于堆栈的缓冲区溢出类型,影响ICS 227R26之前的所有版本。
CVE202522467源于对用户输入的不当处理,使经过身份验证的攻击者能够远程执行任意代码。一旦被利用,将导致系统完全受损,危及敏感数据和关键运营。更为严重的是,利用该漏洞仅需低攻击复杂度和有限权限。
虽然目前尚未发现该漏洞被公开利用的实例,但鉴于漏洞的严重性,滥用风险极高。Ivt已在ICS 227R26版本中修复了这一漏洞,强烈建议管理员立即更新所有ICS系统,并监控系统是否存在入侵迹象,同时实施严格的访问控制和网络分段,以限制潜在的利用。
网络犯罪分子Vr近日在地下黑客论坛上声称拥有一款针对VMwr ESX虚拟机管理程序的零日漏洞利用工具,并将其以15万美元的高价出售。
据称,该利用工具能够实现虚拟机逃逸(VME),允许攻击者从客户虚拟机突破到主机系统,对使用虚拟化技术的环境构成严重威胁。它影响的VMwr ESX版本范围从55到80,包括ESX 80 Upt 3及更早的版本。虚拟机逃逸漏洞被视为虚拟化环境中最严重的威胁之一。一旦成功利用,攻击者就能绕过虚拟机监控程序的隔离层,获取主机系统或其他客户虚拟机的未经授权访问权限,从而导致数据泄露、恶意软件部署或横向移动。
目前,Vr所声称的利用工具真伪尚未得到验证。但如果该利用工具属实,对于依赖VMwr虚拟化解决方案的组织而言,后果将是灾难性的。为应对潜在风险,使用VMwr产品的组织应及时修补VMwr ESX虚拟机监控程序及相关工具;严格隔离客户虚拟机和主机,最小化剪贴板共享等可能被利用的共享功能;实施强大的监控解决方案,检测客户机和主机系统的可疑活动;限制管理特权并对访问虚拟机监控程序实施多因素身份验证。
C Pot研究人员近日披露,自2024年6月以来,攻击者利用Wow驱动程序签名政策的漏洞,规避安全工具检测,在数以千计的系统中部署恶意软件。
攻击者修改了 2500 多个 A RouKr 反roott 工具的 Truty驱动程序(v202版本)的变种。利用该漏洞,他们能终止EDR/防病毒等安全进程,并部署G0t RAT后门程序。据报道,该活动75%的受害者位于我国。初始感染向量包括伪装成电商平台的钓鱼网站,分发伪装成正版软件安装程序的恶意下载器。
攻击者利用了一个Wow政策例外,允许2015年7月之前签名的旧驱动程序在现代系统上加载,从而绕过微软的驱动程序签名执行(DSE)。为规避基于哈希的检测,攻击者修改了两个非关键PE节,同时保留有效签名,生成2500多个不同哈希的驱动变种。Trut驱动利用IOCTL 0x22E044处理程序终止安全进程。攻击者在32位有效负载上使用VMPrott等商业保护器,并使用加密镜像文件反射加载有效负载,以规避磁盘扫描。最终G0t RAT使用自定义XOR+ADD算法与C2服务器通信。
微软在C Pot披露后于2024年12月17日更新了驱动程序阻止列表,但组织需手动应用最新WDAC策略。
网络安全研究人员近日发现了LtSpy间谍软件的一个更新版本。该版本支持扩展的数据收集功能,以瞄准Foo和Itr等社交媒体平台。
2024年5月被发现的LtSpy能够从多个流行应用程序(如Tr、QQ和WCt)窃取文件,并获取设备上存储的个人文档和多媒体内容。它还能够录制音频,收集浏览器历史记录、WF连接列表、已安装应用程序详细信息,甚至可以捕获设备摄像头拍摄的图像。该恶意软件还允许攻击者访问设备的系统,获取用户KyC数据、设备列表,并执行命令,从而可能完全控制设备。
Huto的网络安全研究人员发现,LtSpy间谍软件的新版本支持更广泛的数据收集功能,支持从Aro设备上提取Foo和Itr应用程序数据库文件,获取消息、联系人和元数据等数据。更新后的OS版本(790)将插件数量从12个增加到28个,其中包括7个可以干扰设备启动的插件。
Co网络钓鱼防御中心近日发现,自2月18日起,网络犯罪分子针对亚马逊Pr用户发起精心策划的网络钓鱼攻击。该攻击利用伪造的续订通知,意图窃取登录凭证、支付详情和个人验证数据。
攻击从伪装成亚马逊Pr续订通知的钓鱼邮件开始。邮件内容包括警告收件人他们的支付方式无效,并敦促其立即通过更新信息按钮采取行动。点击该按钮会将用户重定向到托管在Goo文档上的虚假亚马逊安全门户网站,该网站以防止未经授权访问为由,要求账户验证。用户接下来会被引导至一个伪造的登录页面,在那里输入用户名和密码。这一攻击活动采用动态HTML注入技术,复制亚马逊的多因素身份验证(MFA)界面。在窃取凭证后,受害者会被要求确认身份,提交常用于账户恢复的详细信息。攻击者通过一个伪造的支付门户网站,窃取完整的信用卡详细信息,包括CVV码。
对此,亚马逊重申,合法的通信永远不会要求用户访问Goo文档等第三方平台。用户应手动导航至亚马逊官方网站,验证账户状态。
近日,研究人员发现在手机监控应用Coopy和Spy中存在一个严重的漏洞,导致数百万用户的设备未经授权被这些应用程序秘密监控,个人数据被暴露。
该漏洞允许未经授权的访问,从而获取这些应用程序收集的消息记录、通话日志、照片和其他敏感信息。此外,它还泄露了注册使用这些服务监控他人的用户的电子邮件地址。
尽管此前业界曾对这类间谍软件的安全性提出质疑,但Coopy和Spy仍在活跃运行,与之相关的独立电子邮件地址高达265万个。这些应用程序通常会伪装成Aro设备上的系统服务,以逃避检测。虽然它们通常被宣传为用于家长或雇主监控,但实际上常被滥用于隐秘监视,引发法律和道德争议。该漏洞暴露了大量用户的隐私数据,再次引发对手机监控应用程序滥用的关注。
三星半导体业务部门宣布已完成S3SSE2A芯片的开发,目前正在准备样品发货。三星号称,S3SSE2A 芯片是“业界首款配备硬件后量子密码学(PQC)的安全芯片”,能够保护手机上的关键数据,如登录信息、财务数据和生物识别信息,免受量子计算威胁。
量子计算机凭借其非凡的计算速度,将能够破解现有的基于公钥加密的安全系统。三星认为,假设量子计算机以最快的速度发展,现有的安全系统和算法也可能在三年后的2028年变得无能为力。即使黑客目前还无法解密被盗数据,他们也可能采用现在收获,将来解密(HNDL)的攻击,即先收集数据,等到拥有量子计算机后再解密,这种现在收获,将来解密(HNDL)攻击已构成当前威胁。在此背景下,三星系统推出了S3SSE2A芯片。
三星电子称,S3SSE2A安全芯片设计独立于主芯片工作,使其能够自行保存敏感信息,同时仅将安全数据发送到中央控制器,从而更好地保护敏感数据免受量子计算机攻击。
上一篇:国产开源大模型发布!
下一篇:腾讯混元发布并开源图