新闻速览
•在办公环境中开启iPhone 镜像功能或存在严重的隐私和法律违规风险
•法国游戏公司育碧因涉嫌与Meta共享用户数据被起诉
•澳大利亚将发布首部独立的网络安全法案
•ISACA:超半数企业的网络安全预算不足
•F5:超过30%的API应用是在安全“裸奔”
•合法互联网服务武器化正在成为一种流行的攻击趋势
•BeaverTail:一种专门针对技术岗位求职者的新型恶意软件
•Adobe发布多项安全更新,请立即更新软件修复漏洞!
•Ivanti发布安全提醒:3个零日漏洞已遭活跃利用
热点观察
在办公环境中开启iPhone 镜像功能或存在严重的隐私和法律违规风险
网络安全公司 Sevco 日前表示,苹果公司新推出的iPhone镜像功能存在用户隐私泄露风险.风险源自iPhone镜像会将iOS应用程序元数据集成到macOS环境中,允许企业IT部门访问有关个人应用程序的元数据,尽管实际的应用程序数据并不会被传输。如果用户在办公环境的Mac 设备上使用iPhone镜像功能时,运行的所有 iPhone 应用程序都会在 Mac 库中创建一个条目,相关路径如下:
/Users//Library/Daemon Containers//Data/Library/Caches/<_name>
这意味着当公司运行自动化网络审计功能时,可以轻松识别出设备上所有的iPhone应用程序及部分的应用数据。
对于 iPhone 用户来说,这个漏洞可能暴露用户个人生活的敏感信息,包括使用的VPN、约会应用程序或健康相关服务信息,使用户面临法律或社会风险,具体情况取决于用户所在地区。这个问题还给雇主带来了新的责任风险,包括可能违反隐私法。雇主企业可能无意中收集私人数据,如果这些数据管理不当,将面临法律后果。
Sevco目前已经向苹果公司正式报告了这个问题,苹果承认了问题并正在积极修复。在此之前,Sevco建议企业禁用工作设备上的iPhone镜像功能,员工也应该避免在职场环境中使用该功能。
原文链接:
https://www.infosecurity-magazine.com/news/apples-iphone-mirroring-flaw/
法国游戏公司育碧因涉嫌与Meta共享用户数据被起诉
据彭博法律报道,法国游戏公司育碧日前因被指控非法与Meta(Facebook的母公司)共享用户个人身份信息(PII),面临一项集体诉讼。该诉讼指出,当用户在育碧的官方网站购买游戏或订阅Ubisoft+服务时,他们的个人信息通过Meta的Pixel追踪工具被传输给了Meta。
诉讼文件中指出,育碧未能在其网站上告知用户,其个人信息会被Meta的追踪Pixel捕获并传输给Meta,这使得任何具有基本技术能力的人都能够获取这些数据,从而暴露了用户的个人信息。诉讼强调,数据共享政策对于用户决定是否提供个人信息至关重要。
诉讼指出,由于育碧未告知用户其个人信息正在与Meta共享,因此违反了相关法律。诉讼文件中提到,育碧故意使用Pixel追踪用户在网站上的活动,并将这些信息披露给Facebook,以收集有营销价值的数据。
目前,这起诉讼还在等待成为集体诉讼的认证,原告方正在寻求陪审团审判,并要求育碧对所有受影响的用户进行经济赔偿。同时,他们还要求法院命令育碧要么从其网站上移除Pixel,要么在共享用户个人信息前获得用户的明确同意。
原文链接:
https://finance.sina.cn/2024-10-10/detail-incrzuia5499492.d.html
澳大利亚将发布首部独立的网络安全法案
日前,澳大利亚政府向议会提交了该国首部独立的网络安全法《2024年网络安全法案》。新法案旨在更好地保护公民和组织免受日益严峻的地缘政治和网络威胁环境。
新法案涵盖众多方面,包括物联网设备需要满足基本的网络安全标准及关键基础设施组织需要强制报告勒索软件事件。该法案还将设立网络事件审查委员会,对重大网络安全事件进行事后审查,并明确“有限使用”义务,以限制使用并与其他政府机构共享向国家网络安全协调员提供的事件信息。
该法案还将促进并落实根据澳大利亚《2018年关键基础设施安全法案》规定的改革,包括简化行业和政府之间的信息共享、加强政府援助措施,以更有效地管理所有危害事件对关键基础设施的影响。
新法案还规定了强制性报告义务,某些澳大利亚企业需要报告导致支付勒索软件赎金的网络安全事件。这种要求适用于负责澳大利亚关键基础设施资产的私营部门组织,不适用于公共部门组织。未履行报告义务面临民事处罚。
原文链接:
https://www.infosecurity-magazine.com/news/australia-introduces-cybersecurity/
安全研究
ISACA:超半数企业的网络安全预算不足
全球专业技术组织ISACA近期发布了《2024年网络安全现状报告》。数据显示,66%的网络安全专业人士表示现在的工作比五年前更具压力。
导致这种压力增加的主要原因包括:
- 日益复杂的威胁环境 —— 81%
- 预算不足 —— 45%
- 招聘/保留人才困难加剧 —— 45%
- 员工培训不足 —— 45%
- 对网络安全风险重视不足 —— 34%
伴随着这些挑战性威胁,38%的企业经历了比一年前更多的网络安全攻击。主要的攻击类型包括社会工程学攻击(19%),恶意软件(13%),未打补丁系统(11%),以及DoS攻击(11%)。
尽管威胁环境越来越复杂,但调查显示,网络安全的预算和人员配备并未跟上步伐。超过半数(51%)的受访者认为其所在的组织网络安全预算不足以应对攻击威胁(2023年为47%),并且只有37%的人预计下一年预算将有所增加。
ISACA首席全球战略官Chris Dimitriadis表示:“在一个日益复杂的威胁环境中,我们必须克服资金不足和团队人手不足这些障碍。如果没有强大的、技术成熟的团队,整个生态系统的安全弹性将面临风险,导致关键基础设施变得脆弱。”
报告下载链接:
www.isaca.org/state-of-cybersecurity-2024
F5:超过30%的API应用是在安全“裸奔”
F5公司日前开展的一项安全调查显示,面向客户的API中,仅有70%使用HTTPS加以保护,而其他近30%的API应用完全没有安全保护措施。这与现在90%以上的网页通过HTTPS访问形成了鲜明对照,过去十年主张安全网络通信的呼声促使HTTPS得到广泛应用。
研究发现,如今平均每家组织管理着421个不同的API,其中大多数托管在公共云环境中。但大量API、尤其是面向客户的API仍然未得到保护。特别是API正在广泛连接到OpenAI等AI服务,安全模式必须适应入站API流量和出站API流量。而当前的安全措施主要关注入站流量,出站API调用非常容易受攻击。
调查发现,有59%的组织表示希望在API生命周期的每个阶段都纳入安全性。而87%的组织表示计划采用安全开发生命周期(SDLC)实践,注重在生命周期的每个阶段确保安全。
采用零信任安全模式的组织不能仅仅着眼于其应用程序,还应该确保每个API请求(无论来源如何)都经过身份验证、授权和核实。
原文链接:
网络攻击
合法互联网服务武器化正在成为一种流行的攻击趋势
微软公司的安全研究团队日前警告称,越来越多的网络攻击活动滥用企业环境中广泛使用的合法文件托管服务(比如SharePoint、OneDrive和Dropbox),并作为规避防御监测的流行手法。这类活动的最终目的是允许攻击者窃取合法身份,并进行商业电子邮件入侵(BEC)攻击,最终导致财务欺诈、数据泄露以及横向移动到其他端点。
合法互联网服务(LIS)武器化是一种被攻击者采用的日益流行的威胁途径,攻击者混入合法网络流量中,常常绕过传统安全防御机制,加大了受害者查明攻击源头的难度。这种方法又叫可信赖网站寄生攻击(LOTS),利用这些备受信任且熟悉的服务绕过电子邮件安全护栏,并传播恶意软件。
此类攻击通常从攻陷可信赖供应商的用户入手,将恶意文件和攻击载荷放到该供应商的文件托管服务上,随后与目标实体共享文件托管服务。
原文链接:
https://thehackernews.com/2024/10/microsoft-detects-growing-use-of-file.html
BeaverTail:一种专门针对技术岗位求职者的新型恶意软件
近期一种新版本的BeaverTail恶意软件通过假冒招聘人员盯上技术岗位求职者。Unit 42安全研究团队发现的这种攻击是当前流行的CL-STA-240面试活动攻击的一部分,攻击者利用领英和X(即Twitter)等求职平台,冒充雇主用恶意软件感染设备。
该活动最初于2023年11月报道,此后不断演变,新的恶意软件版本层出不穷。最近发现的版本包括使用跨平台Qt框架编译的BeaverTail下载器。这允许攻击者利用单一源代码在macOS系统和Windows系统上部署恶意软件。此外,InvisibleFerret后门进行了代码更新,攻击者可以进一步控制受感染的设备。
BeaverTail恶意软件通过伪装成合法应用程序(比如MiroTalk和FreeConference)的文件传播,诱导受害者安装恶意软件。一旦安装,BeaverTail在后台运行,窃取浏览器密码和加密货币钱包信息等敏感数据。这与通常被认为是某国家背景网络攻击组织的攻击动机相一致, BeaverTail现针对13种不同的加密货币钱包浏览器扩展。
Unit 42提醒,组织和个人都应该保持警惕,尤其在招聘应聘时,以免沦为这种复杂的社会工程活动的受害者。
原文链接:
https://www.infosecurity-magazine.com/news/beavertail-malware-job-seekers/
安全漏洞
Adobe发布多项安全更新,请立即更新软件修复漏洞!
Adobe公司近日发布了针对Substance 3D Painter的安全更新(APSB24-52)。该更新的优先级被定义为3级,解决了编号为CVE-2024-20787的内存泄漏漏洞,这是一个高危级漏洞,可能允许网络犯罪分子执行任意代码,并未经授权访问系统。Adobe公司建议10.0.1及更早版本的用户通过Creative Cloud更新到10.1.0版本,以降低该风险。
Adobe同时还发布了Adobe Commerce和Magento的安全更新(APSB24-73)。该更新的优先级为2级,解决了可能导致代码执行和特权提升的多个关键漏洞。该公司强烈建议Adobe Commerce和Magento用户更新到最新的指定版本,以确保系统安全。
重要的是,Adobe已证实还没有获悉大肆利用这些漏洞的活动,让依赖该公司安全措施的用户一再放心。
原文链接:
https://thecyberexpress.com/adobe-security-update/
Ivanti发布安全提醒:3个零日漏洞已遭活跃利用
Ivanti公司日前发布安全提醒称,影响其云服务设备 (CSA) 的三个零日漏洞已遭在野活跃利用。通告表示,已发现运行CSA 4.6 补丁518及之前版本的数量有限的客户遭CVE-2024-9379、CVE-2024-9380和CVE-2024-9381与CVE-2024-8963的组合利用。但目前尚未有证据表明运行 CSA 5.0的客户环境遭利用。
这三个漏洞的简要介绍如下:
- CVE-2024-9379是位于 Ivanti CSA 5.0.2之前版本管理员web 控制台中的SQL注入漏洞,可导致具有管理员权限的远程认证攻击者运行任意 SQL 语句;
- CVE-2024-9380是位于 Ivanti 5.0.2之前版本管理员 web 控制台中的操作系统命令注入漏洞,可导致具有管理员权限的远程认证攻击者获得远程代码执行权限;
- CVE-2024-9381是 Ivanti CSA 5.0.2之前的路径遍历漏洞,可导致具有管理员权限的远程认证攻击者绕过限制。
值得注意的是,CSA 4.6版本的上一个安全补丁已于9月10日发布。Ivanti没有在CSA 5.0中发现利用这些漏洞的活动。Ivanti建议运行CSA 5.0.1及更早版本的客户升级到5.0.2。
原文链接:
https://www.infosecurity-magazine.com/news/ivanti-three-csa-zerodays/