每日安全简讯(20250101)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 DrayTek设备零日漏洞被利用
安全研究员发现,超过300家企业或机构因DrayTek设备的未公开漏洞遭到勒索软件团伙攻击,其中可能涉及零日漏洞。DrayTek Vigor路由器被发现存在14个安全缺陷,同时许多设备的历史漏洞尚未及时修补。安全研究员据情报分析发现,至少三个黑客团伙于2023年8月至9月间协同发起针对2万多台DrayTek设备的攻击活动,目的是窃取凭据并部署勒索软件。其中,"Monstrous Mantis”黑客团伙负责识别漏洞并窃取凭据,随后将其分享给"Ruthless Mantis"(也称PTI-288黑客团伙,与REvil勒索软团伙有关联)和"LARVA-15"(也称LARVA-15黑客团伙)等合作团伙。这些黑客团伙利用窃取的凭据部署勒索软件(如Nokoyawa和Qilin),受害者分布在欧洲、澳大利亚及亚洲多地。攻击者可能通过利用DrayTek Vigor路由器主控页面(mainfunction.cgi)中的零日漏洞获取初始访问权限。目前最新固件版本是否受到影响尚不明确。
https://www.securityweek.com/undocumented-draytek-vulnerabilities-exploited-to-hack-hundreds-of-orgs/
2 Azure Airflow中Kubernetes RBAC配置错误或将导致整个集群被攻陷
微软Azure Data Factory的Apache Airflow集成被曝存在三大安全漏洞,包括Kubernetes RBAC配置错误、Azure内部服务Geneva的密钥处理配置错误以及Geneva弱认证。这些漏洞可能允许攻击者获得对整个Airflow AKS集群的持久化"影子管理员"访问权限,从而执行数据窃取、恶意软件部署等隐秘操作。攻击者可通过上传或修改DAG文件,在外部服务器上启动反向Shell攻击,最终利用服务账户的集群管理员权限控制整个集群。进一步的攻击可能导致突破底层虚拟机访问Azure内资源,并伪造日志以掩盖恶意活动。安全研究员指出,服务权限管理和关键第三方服务的操作监控是防范类似攻击的关键。
https://thehackernews.com/2024/12/misconfigured-kubernetes-rbac-in-azure.html
3 Cisco承认被黑客组织IntelBroker攻击导致的数据泄露事件
Cisco证实黑客组织泄露的4GB数据为真实文件,并源于其公开的DevHub环境(Cisco提供的一个开发者资源中心),而非核心系统遭受攻击。黑客IntelBroker自10月起声称攻破Cisco系统,获取源代码、证书、加密密钥等敏感信息,但Cisco调查表明泄露数据来自于DevHub资源中心。尽管大部分数据已公开,一些文件原本不应暴露。IntelBroker最初宣称获取了4.5TB数据,并在12月分两批释放了总计超过4GB的文件,包括源代码、脚本和配置文件。Cisco表示,这些数据与10月泄露事件中的数据一致,但未涉及生产或企业环境的访问权限。
https://www.securityweek.com/cisco-confirms-authenticity-of-data-after-second-leak/
4 大众集团电动车数据泄露暴露80万车主隐私
德国《明镜周刊》报道,大众集团子公司Cariad因在亚马逊云服务(AWS)中的错误配置,导致约80万辆电动车的数据泄露。泄露信息包括GPS定位数据(其中46万辆车的定位精度高达10厘米)、车辆状态以及部分车主的个人信息。受影响车辆涵盖大众、奥迪、SEAT和斯柯达品牌,主要分布在德国及欧洲其他国家。Chaos Computer Club(欧洲最大的黑客组织之一)通过分析Cariad内部应用的内存转储发现了这一漏洞,并及时通知其进行修复。Cariad表示,虽然绕过多个安全机制需要高超的技术水平,但未发现数据被其他方滥用或涉及财务信息的泄露。此次事件暴露了汽车行业在云存储管理中的潜在隐患,同时突显了加强数据保护和权限管理的重要性。
https://siliconangle.com/2024/12/30/location-data-800000-volkswagen-vehicles-exposed-cloud-misconfiguration/
5 HIPAA新规强化医疗机构的网络安全保障
美国卫生与公众服务部(HHS)提议更新《健康保险便携性与责任法案》(HIPAA),以强化医疗行业的网络安全保障。新规要求医疗机构在遭遇网络攻击后,必须在72小时内恢复关键电子健康数据(ePHI),并每年进行一次合规审计。此外,还包括对ePHI进行静态与传输中的加密、强制多因素身份认证、每半年进行漏洞扫描、每年开展渗透测试,以及实施网络分段和技术控制。这些措施旨在应对不断上升的勒索软件威胁。2024年有67%的医疗机构遭受过勒索攻击,恢复时间不断延长,仅22%的受害机构能在一周内完全恢复。医疗信息的高度敏感性和可访问性使其成为网络犯罪分子的主要目标。新规的实施将提升医疗行业应对网络攻击的能力,减少对患者护理和服务的干扰,同时也能降低财务损失风险。
https://thehackernews.com/2024/12/new-hipaa-rules-mandate-72-hour-data.html
6 社交网络正在被"AI泡沫"吞噬
"AI泡沫"(AI slop)正以惊人的速度蔓延至X平台(原推特)、Instagram、Facebook社区页面和YouTube频道。这些低质量的AI生成内容通过生成式AI工具(如ChatGPT和MidJourney)快速制作,意在吸引流量和互动,类似过去的"标题党"。例如,一些账号发布浪漫雨夜咖啡馆的AI图像,有人用AI生成并销售完整食谱书,还有账号通过虚假灾难图片博取情绪关注。然而,这类内容常因不合理细节而暴露低劣本质。从儿童书籍到虚假餐厅账号,AI泡沫无处不在,甚至引发了Facebook上的"虾仁耶稣"等荒诞现象。
https://www.malwarebytes.com/blog/podcast/2024/12/is-nowhere-safe-from-ai-slop-lock-and-code-s05e27
页:
[1]