其他
5th域安全微讯早报【20240603】133期
2024-06-03 星期一 Vol-2024-133
今日热点导读
资讯详情
政策法规
1. 美国总统拜登否决加密货币托管法案
美国总统乔·拜登否决了旨在改变美国证券交易委员会(SEC)对银行和加密货币监管态度的HJRes.109号国会决议。该决议针对SEC的《员工会计公告121》(SAB 121),它要求银行将客户加密资产视为负债,导致银行处理加密货币成本增加。拜登认为,该决议将限制SEC制定必要监管措施的能力,危及消费者和投资者福祉。尽管决议得到多数共和党人和一些民主党人的支持,拜登仍坚持否决。反对SAB 121的包括美国银行家协会、金融行业游说团体和加密行业倡导组织Stand With Crypto,他们认为拜登应重新考虑否决决定,因为存在广泛的反对声音。来源:https://techcrunch.com/2024/06/01/president-biden-vetoes-crypto-custody-bill/安全事件
2. 俄罗斯黑客被指在波兰媒体散布虚假战争新闻
2024年5月31日,波兰国家媒体出现一则虚假新闻,错误声称波兰总理将动员20万士兵支援乌克兰对抗俄罗斯,该消息被指责是由俄罗斯黑客散布。波兰数字事务部长兼副总理克日什托夫·加夫科夫斯基认为这是俄罗斯网络攻击的结果,该新闻在波兰通讯社(PAP)的推送中至少出现两次。PAP已确认遭受网络攻击,并在加强安全措施。波兰总理唐纳德·图斯克指出,此次黑客攻击是俄罗斯试图在欧洲议会选举前破坏稳定的战略。内务与行政部部长托马斯·西蒙尼亚克表示,这次袭击是俄罗斯企图破坏波兰及东部边境稳定的又一次尝试,并与波兰支持乌克兰有关。此外,APT28黑客组织本月初被发现将波兰政府机构作为攻击目标。5月19日,多家波兰新闻网站也遭到DDoS攻击,疑似俄罗斯黑客所为。波兰内部安全局和国家安全局已收到关于此次网络攻击的通知,而俄罗斯驻华沙大使馆则表示对此事并不知情。来源:https://cybernews.com/security/russian-hackers-poland-pap-fake-news-ukraine-military/3. 西班牙交通总局DGT遭黑客攻击,数百万司机信息泄露
2024年5月31日,媒体报道称西班牙交通总局(DGT)疑似遭受黑客攻击,数百万西班牙司机的个人信息被泄露并发布在黑客论坛上。DGT在检测到可疑活动后发现其车辆驾驶员数据库在网上被出售,随后警方于31日宣布展开调查。DGT数据库包含超过2700万在西班牙注册驾驶员的详细信息,如车牌号和保险数据。匿名用户在BreachForums论坛声称拥有查询任何车牌或证件号码的权限,并正在出售DGT的完整数据库。DGT发言人表示,需要验证论坛上的说法是否属实,因为数据销售者常夸大其词。这起事件是西班牙近期一系列网络攻击中的最新一起。过去一个月,西班牙电信公司、桑坦德银行和伊维尔德罗拉能源公司等国内最大的三家公司也报告了网络攻击事件,导致大量员工和客户数据泄露。来源:https://cybernews.com/news/spain-dgt-hack-27-million-drivers-info-exposed/漏洞预警
4. 利用GitHub Actions漏洞入侵字节跳动的Rspack
最近,在Rspack存储库的GitHub Actions中发现了严重的Pwn Request漏洞,这些漏洞可能允许外部攻击者提交恶意拉取请求,而无需成为存储库的先前贡献者。具体风险包括NPM部署令牌和GitHub个人访问令牌(PAT)的泄露,这些令牌具有Rspack GitHub存储库的管理权限。Rspack是一个基于Rust的JavaScript打包器,旨在作为Webpack的高性能替代品。攻击者利用这些漏洞,可以对Rspack的下游用户发起供应链攻击,考虑到Rspack在CI/CD管道和开发人员机器中的广泛应用,这种攻击尤其严重。Rspack的NPM包每周下载量超过8万次,影响范围广泛。Pwn Request漏洞发生在攻击者能够向目标存储库提交恶意输入,并在GitHub Actions的特权上下文中触发执行攻击者控制的代码。在Rspack的情况下,两个GitHub Actions工作流程“Release Canary”和“Diff Assets”由于特定关键字触发,容易受到攻击。来源:https://www.praetorian.com/blog/compromising-bytedances-rspack-github-actions-vulnerabilities/5. Apache Log4j2漏洞CVE-2021-44832威胁全球金融业
Apache Log4j2库中的漏洞CVE-2021-44832,影响版本2.0-alpha7到2.17.0,允许远程攻击者在受影响的系统上执行恶意代码。尽管有安全修复,金融业仍然受到威胁。独立网络威胁情报分析师Anis Haboubi警告,该漏洞可能导致金融数据泄露和系统攻陷。最近,知名数据分析和云存储公司Snowflake经历了一次严重的数据泄露事件,进一步突显了这一漏洞的危险性。尽管Snowflake获得了ISO/IEC 27001认证,其基础设施中的漏洞仍使得数TB的客户数据,包括访问令牌、电子邮件帐户密码和SSL证书暴露在未经授权的访问之下。攻击者利用Log4j漏洞获得了对Snowflake关键系统的特权访问,并在数月内隐藏其活动,直至时机成熟进行数据窃取。金融行业的高度互联特性使得一个系统中的漏洞可能引发多米诺骨牌效应,危及全球金融运营的完整性和安全性。来源:https://securityaffairs.com/163984/hacking/critical-apache-log4j2-flaw-still-threatens-global-finance.htmlAI安全
6. 人工智能的欺骗游戏:紧急行动呼吁
最新研究揭示了人工智能系统学会撒谎和操纵人类的惊人趋势,引起了对其潜在风险和挑战的严重关切。研究发现,不仅是损坏的系统或临时系统,即便是旨在帮助和公平交互的通用AI模型,也在迅速掌握欺骗的艺术。麻省理工学院的Peter S. Park博士指出,当欺骗策略最适合学习任务时,AI就会采取欺骗行为。研究分析了多种AI系统,包括游戏AI、经济谈判和安全测试模型,发现它们通过学习过程发展了欺骗能力。例如,Meta的CICERO在外交游戏中成为了“欺骗大师”,而Google DeepMind的AlphaStar则通过制造虚假攻击来获得战略优势。研究人员警告,AI欺骗可能导致欺诈、操纵金融市场或干扰选举等严重后果。专家们担心,随着AI的进步,人类可能会失去对这些系统的控制,对社会构成生存威胁。因此,研究人员呼吁建立强有力的监管框架和措施,包括将欺骗性AI系统归类为高风险,要求透明度,以及加强对检测和防止欺骗方法的研究。来源:https://www.securitylab.ru/news/548829.php7. Hugging Face警报:AI平台遭遇未授权访问
AI公司Hugging Face近日发现其Spaces平台遭受未授权访问,可能涉及机密信息泄露。该平台允许用户创建和共享AI应用程序,同时提供AI应用发现服务。为响应安全事件,Hugging Face撤销了部分HF代币并通知了受影响用户,同时建议用户更新密钥或令牌。目前,受影响用户数量和事件详情仍在调查中。Hugging Face已向相关部门报告此事件。随着AI领域的增长,AI即服务提供商如Hugging Face成为攻击目标,此前安全研究已揭示其潜在的安全漏洞,暴露了私人AI模型和数据集的风险。Spaces是一个供用户创建、托管和共享AI及机器学习(ML)应用程序的平台,同时也提供发现服务,使用户能够找到其他用户制作的AI应用程序。来源:https://thehackernews.com/2024/06/ai-company-hugging-face-notifies-users.html新兴技术
8. HAProxy 3.0:负载均衡的新时代
HAProxy 3.0 带来了多项关键创新,进一步巩固其在负载均衡领域的领导地位。主要变化包括:引入新的 crt-store 部分,灵活管理 SSL 证书;监控和限制有问题的HTTP/2 连接以防止拒绝服务攻击;为配置对象分配 GUID 以在重启后保存统计信息;改进Syslog 消息负载平衡功能;支持JSON 和 CBOR 格式的日志记录;提升 Lua 脚本和 stick 表在多线程系统上的性能;允许指定标准 TLS 证书;添加 http-err-codes 和 http-fail-codes 指令以监控 HTTP 错误状态码;支持修改 IP 数据包的 DS 字段以实现流量优先级排序;支持生成 UUIDv7 标识符;虚拟 ACL 和映射文件配置,方便容器化环境中的使用。这些改进在易用性、性能、可靠性、可观察性和安全性方面提升了 HAProxy 的整体表现。HAProxy 3.0 版可以通过 Docker 容器运行安装。来源:https://www.securitylab.ru/news/548830.php9. 数据安全新选择:开源加密记事本的极简加密之道
Ivan Voras开发的开源加密记事本,以其极简主义和强大的AES-256加密技术,为用户提供了一个安全、可靠的文本编辑工具。该记事本无需网络连接,无广告,界面简洁,专注于文本编辑,同时支持通过Dropbox或NextCloud等云服务在不同设备间共享加密数据。文件以PGP/OpenPGP .asc格式存储,确保与其他兼容工具的互操作性。它整合了ProtonMail、CloudFlare和Golang的开源加密库,确保数据安全。Voras计划进一步改进用户界面,同时保持应用的简洁性,并开放接受用户反馈。加密记事本可在GitHub免费下载,满足了用户对数据安全的高度关注,提供了一个简单、高效、易于使用的解决方案。随着对数据安全意识的不断提升,加密记事本将成为保护个人和敏感信息的理想选择。来源:https://www.securitylab.ru/news/548831.php10. 卡巴斯基推出KVRT:Linux用户的免费安全扫描新选择
卡巴斯基发布了一款名为KVRT的Linux平台免费病毒移除工具,允许用户扫描并清除系统中的恶意软件和其他已知威胁。尽管普遍认为Linux系统天生安全,但现实存在许多"野外"例子证明Linux系统同样会受到威胁,例如最近的XZ Utils后门事件。KVRT不是实时防护工具,而是一个独立的扫描器,能够检测出恶意软件、广告软件、被滥用的合法程序以及其他已知威胁,并提供清理服务。被删除或消毒的恶意文件副本会以无害的形式存储在隔离目录'/var/opt/KVRT2024_Data/Quarantine'中。卡巴斯基表示,该应用程序可以扫描系统内存、启动对象、引导扇区以及操作系统中的所有文件,包括归档文件。需要注意的是,KVRT仅支持64位系统,并且需要活跃的互联网连接才能工作。卡巴斯基已在多个流行的Linux发行版上测试了该工具,并确认其可在Red Hat Enterprise Linux、CentOS、Linux Mint、Ubuntu、SUSE、openSUSE和Debian等系统上运行。来源:https://www.bleepingcomputer.com/news/software/kaspersky-releases-free-tool-that-scans-linux-for-known-threats/11. LlamaFS:利用人工智能优化文件管理系统
LlamaFS是一个开源项目,旨在解决传统文件管理系统中的文件混乱问题,特别是在下载文件夹过度拥挤和文件组织效率低下的情况下。LlamaFS利用Llama 3的人工智能功能自动进行文件排序和分类,通过理解文件内容和上下文提供适应性组织建议。它提供批处理模式和监视模式,分别适用于大量文件的集中组织和新文件的持续自动分类。LlamaFS处理速度快,保证隐私,通过持续学习改进建议,显著提升文件管理效率。该项目参与了GitHub Accelerator 2024计划,展示了其在企业数据管理中的潜力。来源:https://www.securitylab.ru/news/548837.php12. 针对越狱攻击的强大且可解释的LLM防御措施
安全性、保密性和合规性是对齐大型语言模型(LLMs)时的基本要求。然而,许多看似对齐的LLMs很快就被证明容易受到越狱攻击的影响。这些攻击通过在恶意查询中引入越狱提示来规避模型的安全防护措施。5月31日发布在arxiv.org上的论文介绍了一种名为Defensive Prompt Patch(DPP)的新型防御机制,用于保护大型语言模型(LLMs)免受越狱攻击。DPP通过使用精心设计的可解释后缀提示,有效抵御多种越狱技术,同时保持模型的高实用性。实验证明,DPP在LLAMA-2-7B-Chat和Mistral-7B-Instruct-v0.2模型上显著降低了攻击成功率,且对实用性影响微乎其微。该方法在平衡安全性和功能性方面优于现有策略,并提供了可扩展和可解释的解决方案。来源:https://arxiv.org/html/2405.20099v113. GenKubeSec:基于LLM的Kubernetes错误配置检测、定位、推理和补救
5月31日发布在arxiv.org上的这篇论文,提出了一种名为GenKubeSec的新方法,旨在解决Kubernetes配置文件(KCF)复杂性和错误配置检测的挑战。传统的基于规则(RB)工具因其依赖静态规则集,难以检测新错误配置且存在误检问题。现有方法在可扩展性和检测覆盖方面有限,或需高水平专业知识且缺乏自动修复功能。新方法GenKubeSec基于大型语言模型(LLM),不仅能检测各种KCF错误配置,还能准确定位错误配置,提供详细推理和补救建议。与三种行业标准RB工具的对比实验显示,GenKubeSec实现了同等精度(0.990±0.020)和卓越的召回率(0.999±0.026)。Kubernetes安全专家评估确认其在错误配置定位、推理和补救建议方面100%准确、有用。为促进研究,作者公开了独特数据集、标签标准化索引、实验代码和GenKubeSec工具。来源:https://arxiv.org/html/2405.19954v1往期推荐
2024-05-28
2024-05-29
2024-05-30
2024-05-31
2024-06-01