Aggregator

A vulnerability has been found in Best House Rental Management System 1.0 and classified as critical. This vulnerability affects the function update_account of the file rental/admin_class.php. The manipulation leads to unrestricted upload. This vulnerability was named CVE-2024-46376. The attack can be initiated remotely. There is no exploit available.

A vulnerability, which was classified as critical, was found in D-Link DCS-960L 1.09. Affected is the function Login of the component HNAP Service. The manipulation leads to stack-based buffer overflow. This vulnerability is traded as CVE-2024-44589. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability has been found in Brave Browser up to 1.67.115 on Android and classified as problematic. Affected by this vulnerability is an unknown functionality of the component Shields Popup. The manipulation leads to improper restriction of rendered ui layers. This vulnerability is known as CVE-2024-37406. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in DedeCMS 5.7.115. It has been declared as critical. This vulnerability affects unknown code. The manipulation leads to unrestricted upload. This vulnerability was named CVE-2024-46373. The attack can be initiated remotely. There is no exploit available.

近日，美国乔治亚理工学院（Georgia Tech）的网络安全实验室陷入了一场法律诉讼。实验室负责人Antonakakis博士因长期拒绝遵守美国国防部（DoD）的网络安全规范（例如安装杀毒软件），导致学校被美国联邦政府起诉。 著名安全实验室被控欺诈 Antonakakis领导的网络安全实验室此前获得了数百万美元的国防部研究项目资金，其中包括为国防项目开发重大技术项目，例如“Rhamnousia：通过张量分解和数据抓取来追踪网络攻击者”。 联邦政府指控称，Antonakakis及其实验室多年来未遵守基本的安全规范，甚至在明知不合规的情况下，依旧提交了研究项目的费用发票，这种行为构成了欺诈。 “从根本上说，国防部为军事技术项目支付了费用，但被告将这些技术存储在不安全的环境中，无法防止未经授权的访问和泄漏。被告甚至没有监控是否发生了信息泄露，这意味着即便信息已经发生泄露，国防部也无从得知。最终，国防部认为在该项目的投入毫无价值，未能获得应有的利益。”联邦政府在起诉书中如此写道。 网安博士强烈反对安装杀毒软件 Antonakakis博士和他领导的网络安全实验室长期反对安装杀毒软件，这直接违反了DoD的安全规范规定。根据NIST发布的《非联邦信息系统与组织中受控未分类信息的保护》800-171号特别出版物，处理或存储涉密信息的设备必须安装终端杀毒软件。然而，Antonakakis博士对此持强烈反对态度。 乔治亚理工的系统管理员曾要求Antonakakis博士遵守规定，但他在2019年的一封内部邮件中明确表示，安装杀毒软件这件事“无法接受”。实验室的IT主管被允许采取其他“缓解措施”，例如依赖学校的防火墙来提供额外的安全保护。然而，事实证明，这种“假设”是错误的。学校的网络也从未提供过杀毒保护，而且实验室中使用的笔记本电脑经常离开学校网络环境，这进一步加剧了安全风险。 乔治亚理工校方意识到实验室为遵守国防部合同规定后，决定暂停实验室合同的发票提交，以避免被控提交虚假付款请求。然而，在发票暂停提交几天后，Antonakakis最终同意在实验室安装杀毒软件。 尽管如此，联邦政府指出，学校从未承认其长期不合规的事实，且在不合规的情况下依旧提交了大量发票，这属于欺诈行为。 安全评估弄虚作假 乔治亚理工面临的第二个问题是，该校在自我评估安全性时，提交了虚假分数。根据NIST的规定，学校需要评估110项安全控制措施的实施情况。乔治亚理工提交了一份全校的“总体安全计划”，分数为98分，但实际上这个分数是基于一个虚构的模型，而不是各个实验室的真实情况。 校方并没有对每个实验室进行单独评估，而是统一提交了编造的“98分”作为实验室项目的分数。联邦政府对此表示不满，认为这种安全评估形同虚设，根本不反映实际的安全状况。 技术骨干成安全文化“毒瘤” 联邦政府认为，乔治亚理工之所以会出现如此松懈的安全管理，主要原因是研究人员认为遵守安全规范“太麻烦”。当核心研究人员成为抵触网络安全规定的”毒瘤“时，校方管理层往往选择妥协，而不是强制执行安全措施。 据前员工透露，乔治亚理工的高级领导层之所以向研究人员的要求让步，主要是因为这些研究人员能为学校带来大量政府合同资金。一名前员工称，学校的网络安全合规文化充斥着“反正领导都不重视安全，所以我也可以无视（安全）规定”的态度。 不过，并非所有人缺乏基本的安全意识。这起案件之所以曝光，正是因为乔治亚理工的IT部门内部有几位吹哨人站出来揭发实情。 乔治亚理工学院网络安全实验室的合规问题再次凸显了安全合规在学术研究中的重要性。尽管安全规定可能会给研究工作带来不便，但高校学术实验室的开放性使其极易成为国家间间谍活动的目标。 通过起诉乔治亚理工学院，美国政府向其他依赖政府资金的大学实验室也发出了警告：“如果不能严格遵守网络安全规范，就别想再获得政府资金。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Z2dfMvRs7q5Qk8xxo-nqWg 封面来源于网络，如有侵权请联系删除

生物医学领域重要奖项拉斯克奖（The Lasker Awards）公布了获奖者名单。华人科学家陈志坚（Zhijian “James” Chen）教授获得拉斯克奖基础医学研究奖，以表彰他发现感知自身和外源 DNA 的 cGAS 酶，解开了DNA如何刺激免疫和炎症反应的谜团。Joel Habener、Lotte Bjerre Knudsen、Svetlana Mojsov 获得拉斯克奖临床医学研究奖，以表彰他们“发现和开发基于 GLP-1 的药物，彻底改变了肥胖的治疗”。Quarraisha Abdool Karim、Salim S. Abdool Karim 获得拉斯克奖公共服务奖，以表彰他们“阐明异性性传播 HIV 的主要驱动因素；预防和治疗艾滋病毒；在公共卫生政策和倡导方面的领导力。”

据 The Cyber Express消息，臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。eFile美国国税局（IRS）官方授权的税务申报平台。 人工智能驱动的威胁情报平台 Cyble 的研究人员表示，这次攻击LockBit 没有发布任何文件，通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。 目前，除了14天的赎金支付期限，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外， eFile.com 官方网站仍然功能齐全。为了确认攻击的真实性，The Cyber Express 已经联系了 eFile 官员，目前尚未收到任何回复。 对于数百万依赖 eFile.com 报税的美国人来说，该服务一旦遭受攻击恐将面临潜在的严重。如果 LockBit 的攻击被证明属实，纳税人的个人和财务数据可能落入犯罪分子手中。这些数据可用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。 据悉，早在两年前eFile就已经成为LockBit的目标。 2022 年 1 月 19 日，Lockbit 声称入侵了eFile.com，且该日期正好处了税务申报截点，表明网络犯罪分子有意针对流量高峰期，以最大限度地发挥破坏力。 而在2023年， eFile.com网站曾出现一个漏洞，让攻击者在其中植入了恶意 JavaScript，将用户重定向到恶意软件下载界面。 2023 年 eFile.com网站上的恶意软件下载诱导界面 该恶意软件被研究人员命名为“efail”，利用了报税平台中的漏洞，让攻击者可以访问敏感数据，包括纳税人的社会安全号码、家庭住址、收入信息和其他详细 个人信息。eFile在接到反馈的几天后删除了该恶意软件，但这一事件再次引发了人们对关键金融服务提供商网络安全措施水平的担忧。   转自Freebuf，原文链接：https://www.freebuf.com/news/411364.html 封面来源于网络，如有侵权请联系删除

The healthcare industry’s swift embrace of digital technologies is revolutionizing care delivery, but it also introduces new and potentially harmful cyber threats that could disrupt operations and jeopardize patient safety. As a result, cyber security in healthcare has become essential, playing a crucial role in protecting sensitive patient information and ensuring that healthcare services remain […]

The post Key Role of Cyber Security in Healthcare appeared first on Kratikal Blogs.

The post Key Role of Cyber Security in Healthcare appeared first on Security Boulevard.

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年9月9日至2024年9月15日）安全漏洞情况如下。

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。 此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了 6(b) 命令。 这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。 联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。 她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。 FTC指出，这些平台收集了大量数据，并且大部分数据被无限期保留。一些公司在数据共享方面过于宽泛，往往缺乏必要的监管，即使用户要求删除数据，这些公司也未能完全遵守。此外，这些公司的商业模式鼓励他们大量收集用户数据，以推动针对性广告的投放，这为他们带来了大部分收入。报告指出，这种做法直接侵犯了用户隐私，并增加了个人信息被滥用的风险。 社交媒体公司收集的用户数据 此报告还突出强调了社交媒体和视频流平台如何将用户及非用户数据输入算法和人工智能系统，并且往往不提供用户退出的选项，这增加了对透明度、监管和潜在消费者伤害的担忧。 报告最显著的发现之一是这些平台上缺乏对儿童和青少年的保护措施，许多公司声称他们的服务不是针对儿童的，以此试图规避遵守《儿童在线隐私保护法》（COPPA）。 但是联邦贸易委员会的报告中指出，青少年在这些平台上通常与成人受到相同的对待，很少或根本没有额外的保护措施。 联邦贸易委员会的报告呼吁政策制定者采取行动，要求国会通过全面的联邦隐私法案，包括限制数据收集、实施更严格的数据最小化和保留政策，以及制定更透明、更有利于消费者理解的隐私政策。 报告还要求公司增强其平台上对青少年和儿童的保护措施，将COPPA作为最低标准，并提供额外的安全和隐私保护措施。 Khan 补充称，此报告的发现非常及时，尤其是在州和联邦政策制定者考虑通过立法来保护人们免受滥用数据行为影响的时候。   转自Freebuf，原文链接：https://www.freebuf.com/news/411354.html 封面来源于网络，如有侵权请联系删除

作为一家设备齐全、流程完善的大公司的漏洞运营，李明（化名）格外谨慎。他非常清楚，被漏洞打穿意味着什么。李明也是被搞怕了。之前每天光漏扫都有大几十个漏洞，再加上官方&非官方渠道的漏洞消息，要修的漏洞轻松过百。这么多漏洞，李明一个人一周根本修不完，而且绝大部分的漏洞信息不足，要么不值得修，要么该修未及时修，要么就根本没法修。前段时间，公司虽然接入了新的商业漏洞情报，但李明心里依旧没底，每天盼着

因供应商未能按时删除用户数据并泄露，AT&T遭监管处罚超9000万元，并实施安全改进计划。 安全内参9月19日消息，美国联邦通信委员会（FCC）与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元（约合人民币9181万元）的和解协议。该事件源自AT&T的一家第三方云服务供应商。 供应商未能按时删除数据并泄露，FCC要求甲方严格落实审查责任 此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议，一家未具名的公司，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。 AT&T与该供应商之间签署的合同中，明确规定了对这些数据进行保护和处理的要求。2016年至2020年间，经过多次审查和评估，表明该供应商遵循了数据删除政策。 然而，在2023年1月的泄露事件中，本应在2017年或2018年删除的数据被盗。FCC最终认定，AT&T对这一失误负有不可推卸的最终责任。 9月17日，在华盛顿召开的全球年度数据隐私会议上，FCC执法局局长Loyaan Egal指出，这份和解协议提醒企业，FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。 他表示：“当我们调查美国境内企业的数据泄露事件时，若涉及到供应商，我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据？你们能否有效追踪这些第三方所使用的数据？” AT&T推进数据泄露响应工作，并将实施改进计划 根据和解协议，AT&T于2023年1月6日向该供应商通报了数据泄露事件，并于同年2月7日通过在线报告表格向政府报告了此次事件。被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息，以及针对约8.9万名受影响客户的1%的费率计划名称。 除了支付1300万美元的罚款外，AT&T还与政府达成了一项同意令，承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计，以及制定一项“全面的”信息安全计划，以更好地保护敏感的客户数据。 此外，该协议要求AT&T加强对其第三方供应商生态系统的监管。具体措施包括限制对敏感客户数据的访问权限、改进对与供应商共享信息的追踪方式、严格执行数据处理要求，以及加强对供应商在其系统和网络中采用的数据保护政策和措施的监督。 在接受外媒CyberScoop采访时，AT&T发言人Alexander Byers表示，该公司从2023年3月开始通知客户此次数据泄露事件，且被盗的数据并不包括信用卡信息、社会安全号码或账户密码。 Byers在一份电子邮件声明中称：“尽管我们的系统并未在此次事件中遭到攻破，我们仍着手改进内部客户信息管理方式，并对供应商的数据管理实践实施了新的要求。” 尽管此次和解结束了FCC对2023年1月供应商云端泄露事件的调查，但FCC仍在继续调查另一宗规模更大的AT&T数据泄露事件。该事件于2023年7月曝光，黑客通过攻击第三方云平台Snowflake，窃取了几乎所有客户长达六个月的电话和短信记录。   转自安全内参，原文链接：https://www.secrss.com/articles/70402 封面来源于网络，如有侵权请联系删除

1. Bianlian勒索团伙公布新的受害公司 2. RansomHub勒索团伙公布新的受害公司 3. Play勒索团伙公布了新的受害公司

A vulnerability, which was classified as critical, was found in SourceCodester Simple Forum-Discussion System 1.0. Affected is an unknown function of the file /index.php. The manipulation of the argument page leads to path traversal. This vulnerability is traded as CVE-2024-9032. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as problematic, has been found in CodeCanyon CRMGo SaaS up to 7.2. This issue affects some unknown processing of the file /project/task/{task_id}/show. The manipulation of the argument comment leads to cross site scripting. The identification of this vulnerability is CVE-2024-9031. The attack may be initiated remotely. Furthermore, there is an exploit available.

A vulnerability classified as problematic was found in CodeCanyon CRMGo SaaS 7.2. This vulnerability affects unknown code of the file /deal/{note_id}/note. The manipulation of the argument notes leads to cross site scripting. This vulnerability was named CVE-2024-9030. The attack can be initiated remotely. Furthermore, there is an exploit available.

Submit #410976 / VDB-278202

A vulnerability was found in Tiandy IP Cameras 5.56.17.120 and classified as problematic. This issue affects some unknown processing of the component Service Port 3001. The manipulation as part of Request leads to information disclosure. The identification of this vulnerability is CVE-2017-15236. The attack may be initiated remotely. Furthermore, there is an exploit available. It is recommended to apply restrictive firewalling.

9月23日-9月30日反爬专项开测！

Submit #410565 / VDB-278201