Aggregator

定了!创新大会 2025 首批嘉宾正式解锁!

极客公园
4 days 16 hours ago
👀想看国际最先进水平的 AI 公司如何看待 AI 吗?🔥想看最火的机器人公司怎么展望未来吗?🤖想看最有调性的科技公司怎么在这个时代做产品吗?🍺今年的极客公园创新大会全部都有! 2024 年,在你埋头做事的时候,🌍世界上发生了哪些变化?2025 年,💯什么是最努力的一波人认为最值得花时间的事?用两天时间,我们讲给你听。 点击购票 12.14-12.15,北京 798·751 园区 传导空间,不见不散👏! PS:现场票数量有限,先到先得!

Full recovery from breaches takes longer than expected

Help Net Security
4 days 16 hours ago

In 2024, businesses reported taking an average of 7.3 months to recover from cybersecurity breaches – 25% longer than expected and over a month past the anticipated timeline of 5.9 months, according to Fastly. Cybersecurity leaders feel unprepared for future threats Recovery times were even worse for companies that planned on cutting back cybersecurity spending. They faced an average of 68 incidents each – 70% above the average – and their recovery times stretched to … More →

The post Full recovery from breaches takes longer than expected appeared first on Help Net Security.

Help Net Security

Helldown 勒索软件利用 Zyxel 漏洞破坏企业网络

嘶吼
4 days 16 hours ago

据悉,新的“Helldown”勒索软件攻击目标是 Zyxel 防火墙中的漏洞,以破坏企业网络,从而窃取数据和加密设备。

尽管不是勒索软件领域的主要参与者,但 Helldown 自夏季推出以来迅速发展,在其数据勒索门户网站上有众多受害者。

受害者公告

Helldown 发现和概述

Helldown 首次由 Cyfirma 于 2024 年 8 月 9 日记录,随后由 Cyberint 于 10 月 13 日再次记录,两次都简要描述了新的勒索软件操作。

360NetLab 安全研究员于 10 月 31 日首次报告了针对 VMware 文件的 Helldown 勒索软件 Linux 变体。该 Linux 变体具有列出和杀死虚拟机以加密图像的代码,但其功能仅被部分调用,这表明它可能仍在开发中。

相关报告称,Windows 版 Helldown 基于泄露的 LockBit 3 构建器,其操作功能与 Darkrace 和 Donex 相似。然而,根据现有证据,无法得出明确的联系。

配置文件相似之处

截至 2024 年 11 月 7 日,该威胁组织在其最近更新的勒索门户网站上列出了 31 名受害者,其中主要是总部位于美国和欧洲的中小型公司。截至今天,该数字已减少至 28 人,这种减少表明可能有人支付了赎金。 

Helldown 在窃取数据方面不像其他组织那样有选择性,采用更有效的策略,并在其网站上发布大型数据包,一次数据包高达 431GB。

列出的受害者之一是网络和网络安全解决方案提供商 Zyxel Europe。该组织的加密器看起来并不是非常先进,威胁者利用批处理文件来结束任务,而不是直接将此功能合并到恶意软件中。

通过批处理文件终止进程

加密文件时,威胁者将生成随机受害者字符串,例如“FGqogsxF”,该字符串将用作加密文件的扩展名。勒索字条还在其文件名中使用了该受害者字符串,例如“Readme.FGqogsxF.txt”。

Helldown 勒索信

指向 Zyxel Europe 的证据

安全研究人员通过 Zyxel Europe 相关的研究发现,Helldown 网站上列出的至少 8 名受害者在发生违规时使用了 Zyxel 防火墙作为 IPSec VPN 接入点。并注意到 11 月 7 日的 Truesec 报告提到,在 Helldown 攻击中使用了名为“OKSDW82A”的恶意帐户,并且还使用了一个配置文件(“zzz1.conf”)作为针对基于 MIPS 的设备的攻击的一部分。

威胁者使用此帐户通过 SSL VPN 与受害者网络建立安全连接、访问域控制器、横向移动并关闭端点防御。

通过进一步调查,又在 Zyxel 论坛上发现了有关创建可疑用户帐户“OKSDW82A”和配置文件“zzz1.conf”的报告,设备管理员报告称他们使用的是固件版本 5.38。

连接 Helldown 活动中的各个点

根据该版本,安全研究人员推测 Helldown 可能正在使用 CVE-2024-42057,这是一种 IPSec VPN 中的命令注入,允许未经身份验证的攻击者在基于用户的 PSK 模式下使用精心设计的长用户名执行操作系统命令。

该问题已于 9 月 3 日随着固件版本 5.39 的发布得到修复,且利用细节尚未公开,因此 Helldown 疑似获得了利用漏洞。

此外,研究人员还发现了 10 月 17 日至 22 日期间从俄罗斯上传到 VirusTotal 的有效负载,它包含一个 base64 编码的字符串,解码后会显示 MIPS 架构的 ELF 二进制文件。然而,有效负载似乎不完整。

胡金鱼

D-Link EOL 路由器中的严重漏洞允许远程执行代码

HackerNews
4 days 16 hours ago
D-Link 发布了一则安全公告,涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号,包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞,该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起,D-Link 不再支持或修补这些型号。根据公告,“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁,D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出,这是一个常见但严重的漏洞,可导致远程代码执行(RCE)。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150: 所有硬件版本,固件版本 3.13 至 3.17B901C。 DSR-150N:所有硬件版本,固件版本 3.13 至 3.17B901C。 DSR-250: 所有硬件版本,固件版本 3.13 至 3.17B901C。 DSR-250N:所有硬件版本,固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性,D-Link 已声明不会为这些型号提供固件更新或补丁,因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调:“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞,增加数据泄露的风险。 对于不确定其设备是否受影响的用户,D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客,原文链接:https://www.anquanke.com/post/id/302053 封面来源于网络,如有侵权请联系删除
内容转载

美监察部门提议建立政府数据安全统一监管机构

HackerNews
4 days 16 hours ago
美国政府问责局(GAO)19日发布报告指出,联邦机构可能需要重新审视其个人数据处理方式,以更好地保护公众的公民权利和自由。 报告指出,由于缺乏联邦层面的指导原则,联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系,无法系统性地保障公民权利和自由。 为了解决这一问题,政府问责局建议国会指定“一个适当的联邦机构”,为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时,该机构应被赋予“明确的权限,能够做出必要的技术和政策决策;或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官(CFO)法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况,以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现,在这24个CFO法案机构中,有16个已经制定了相关政策或程序,以保护公民权利和自由;而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中,最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道:“此外,这24个机构中有8个认为,额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出,这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出,这些机构内部均设有办公室,负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中,国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”,通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告,这些机构并未明确表示支持或反对。不过,住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈,另有10个机构向问责局提交了技术性意见。     转自安全内参,原文链接:https://www.secrss.com/articles/72574 封面来源于网络,如有侵权请联系删除
内容转载

CVE-2021-43339 | Ericsson Network Location MPS GMPC21 Export file_name command injection (EDB-50468)

Vuldb Updates
4 days 17 hours ago
A vulnerability has been found in Ericsson Network Location MPS GMPC21 and classified as critical. This vulnerability affects unknown code of the component Export Handler. The manipulation of the argument file_name leads to command injection. This vulnerability was named CVE-2021-43339. The attack can only be initiated within the local network. Furthermore, there is an exploit available.
vuldb.com

超硬核!2025十大最佳服务器监控工具推荐

FreeBuf互联网安全新媒体平台
4 days 17 hours ago
定期观察和评估网络基础设施中计算机服务器的功能、可访问性和总体状况的过程称为服务器监控。监控服务器通常涉及监控如CPU消耗、内存使用、磁盘空间使用、网络流量、服务器响应时间和应用程序可用性等变量。这些测量可以让管理员发现故障,防止停机,并提升服务器性能。服务器监控工具可以自动处理过程,收集数据,生成警报或通知,并提供分析信息和报告,以便管理员做出智能决策并采取行动。选择服务器监控工具需考量的因素选

macOS WorkflowKit Race Vulnerability Allows Malicious Apps to Intercept Shortcuts

GBHackers on Security | #1 Globally Trusted Cyber Security News Platform
4 days 17 hours ago

A race condition vulnerability in Apple’s WorkflowKit has been identified, allowing malicious applications to intercept and manipulate shortcuts on macOS systems. This vulnerability, cataloged as CVE-2024-27821, affects the shortcut extraction and generation processes within the WorkflowKit framework, which is integral to the Shortcuts app on macOS Sonoma. macOS WorkflowKit Race Vulnerability The vulnerability arises from […]

The post macOS WorkflowKit Race Vulnerability Allows Malicious Apps to Intercept Shortcuts appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

Gurubaran

Managed ad