Aggregator

A vulnerability has been found in IBM Tivoli IT Asset Management for IT, Tivoli Service Request Manager, Change, Configuration Management Database, Maximo Asset Management and Maximo Industry Solutions and classified as critical. Affected by this vulnerability is an unknown functionality of the component Configuration. The manipulation as part of Database leads to improper access controls. This vulnerability is known as CVE-2015-0104. The attack can be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

安全内参9月13日消息，一家美国医疗巨头将支付6500万美元（约合人民币4.6亿元），以了结其患者发起的集体诉讼。这些患者的数据被勒索软件犯罪分子窃取，泄露的数据中包括患者的裸露照片，且至少部分已被公开发布到网上。 利哈伊谷健康网络（Lehigh Valley Health Network，简称LVHN）是美国宾夕法尼亚州最大的初级医疗集团之一。该机构于2023年2月6日发现其IT系统遭受入侵，随后确认臭名昭著的ALPHV（又称BlackCat）团伙是这次攻击的幕后黑手。 勒索者共窃取了13.4万名患者和员工的相关数据，数据量达数GB。这些被窃取的数据包括姓名、地址、社会安全号码、州ID信息，以及医疗记录和手术照片。勒索者要求LVHN支付赎金，否则将这些信息泄露到网上。 起诉书揭示LVHN数据违规状况 根据随后对LVHN提起的诉讼，该医院长期以来拍摄癌症患者的裸照。在某些情况下，甚至未经患者知晓。 由于LVHN拒绝向BlackCat支付赎金，犯罪分子将部分资料发布到了网上，引发了客户的极大愤怒。 起诉书中指出：“虽然LVHN公开宣称他们勇敢地对抗了这些黑客，拒绝支付赎金，但实际上，他们忽视了真正的受害者。LVHN并未优先考虑患者的利益，而是将自身的经济利益置于首位。” 2023年2月20日，LVHN公开披露了这次攻击，并声称其影响范围有限。 3月4日，ALPHV团伙在其网站上发布了警告，威胁如果LVHN不支付赎金，他们将在线发布被盗的照片。LVHN拒绝了这一要求，犯罪分子遂将部分窃取的资料上传至其暗网门户，其中包括带有个人身份信息的照片。 法庭文件显示，一名未具名的原告于3月6日接到医院合规副总裁的电话，得知她的裸照已被上传到网上。随后，这位副总裁“笑呵呵”地提供了两年的信用监控服务。这位匿名原告表示，她并不知情医院在她接受乳腺癌治疗时拍摄了她的裸照，更不清楚这些照片被存储在医院的企业服务器上。 尽管LVHN已通知客户和员工有关隐私泄露的情况，但ALPHV团伙继续加大压力，3月10日再次泄露了132GB的数据，并威胁将每周继续泄露，直到赎金支付为止。 法庭文件未提及LVHN最终是否支付了赎金，LVHN及其法律团队也未回应记者的相关询问。 此次和解金额（按每人计算）或为医疗数据泄露案件最高 原告律师指出，医院未能履行其保护信息的责任，其行为还涉嫌违反了美国《健康保险可携性与责任法案》（HIPAA）。 尽管LVHN同意了和解条款，但他们否认有任何不当行为。 值得注意的是，LVHN在这一领域已有类似的经历。早在2022年7月，该医疗集团曾确认遭受过一次类似的勒索软件攻击，影响了75628名患者。LVHN似乎未能采取足够的预防措施，防止类似事件再次发生，而在医疗行业中，医院本就是勒索软件的主要目标之一。 2023年3月，原告们正式对LVHN提起集体诉讼，指控这家医疗机构未能妥善保护患者数据。 2024年9月11日，原告代理律师事务所Saltz Mongeluzzi Bendesky宣布，已与LVHN就此集体诉讼达成6500万美元的和解。这家律所指出，“如果按每位患者计算，和解金额是医疗数据泄露勒索软件案件中最高的”。 那些数据被公开发布到网上的患者被分为四个等级。如果和解获得批准，最低等级的患者将获得每人50美元的赔偿。而最高等级（那些裸照被泄露的患者）在扣除律师费后，将获得7万至8万美元不等的赔偿。 凡是收到LVHN通知信的个人都将被视为集体诉讼的一部分，并自动获得赔偿，无需采取任何额外行动。 这笔和解的最终批准听证会已定于2024年11月15日举行。   转自安全内参，原文链接：https://www.secrss.com/articles/70228 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对Linux环境的新恶意软件活动，目的是进行非法加密货币挖矿和传播僵尸网络恶意软件。云安全公司Aqua指出，这项活动特别针对甲骨文Weblogic服务器，旨在传播一种名为Hadooken的恶意软件。 该恶意软件利用的是Oracle Weblogic中的一个已知漏洞，即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问，并执行任意代码。 安全研究员Assaf Moran表示，“当Hadooken行动被执行时，它会释放一种名为Tsunami的恶意软件，并部署一个加密货币挖矿程序来获取加密货币，如门罗币（XMR）。” 攻击链利用已知的安全漏洞和配置错误，例如弱密码，以获得初始立足点并在易受攻击的实例上执行任意代码。这是通过启动两个几乎相同的有效载荷来完成的，一个用Python编写，另一个是shell脚本，两者都负责从远程服务器（“89.185.85[.]102”或“185.174.136[.]204”）检索Hadooken恶意软件。 Morag进一步表示，“shell脚本版本试图遍历包含SSH数据（如用户凭据、主机信息和秘密）的各种目录，并利用这些信息攻击已知服务器。然后它在组织内或连接的环境中横向移动，以进一步传播Hadooken恶意软件。” Hadooken勒索软件内置了两个组件，一个加密货币挖矿程序和一个名为Tsunami（又称Kaiten）的分布式拒绝服务（DDoS）僵尸网络，后者有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的攻击历史。 此外，该恶意软件还负责通过在主机上创建cron作业以不同频率定期运行加密货币挖矿程序来建立持久性。 Aqua指出，IP地址89.185.85[.]102在德国注册，隶属于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前报告将其与8220 Gang加密货币活动联系起来，该活动滥用Apache Log4j和Atlassian Confluence Server及数据中心中的漏洞。 第二个IP地址185.174.136[.]204虽然目前处于非活动状态，但也与Aeza Group Ltd.（AS216246）有关。正如Qurium和EU DisinfoLab在2024年7月强调的，Aeza是一家在莫斯科M9和法兰克福的两个数据中心都有业务的防弹托管服务提供商。 研究人员在报告中说：“Aeza的运作方式和快速增长可以通过招募与俄罗斯防弹托管服务提供商有关联的年轻开发者来解释，这些提供商为网络犯罪提供庇护。”   转自Freebuf，原文链接：https://www.freebuf.com/news/410985.html 封面来源于网络，如有侵权请联系删除

A vulnerability, which was classified as problematic, was found in MoinMoin. Affected is an unknown function of the file action/AttachFile.py. The manipulation of the argument drawing leads to cross site scripting. This vulnerability is traded as CVE-2009-0260. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

Ivanti 周五证实，其云服务设备 (CSA) 解决方案中存在一个高危漏洞，目前正遭到攻击利用。 Ivanti 在 8 月份的公告更新中表示：“截至 9 月 10 日披露时，我们尚未发现有任何客户受到此漏洞的利用。至 9 月 13 日更新时，已确认少数客户受到此漏洞的利用。” “Ivanti 建议采用 ETH-0 作为内部网络的双宿主 CSA 配置，可显著降低漏洞利用风险。” Ivanti 建议管理员检查任何新的或修改的管理用户的配置设置和访问权限，以检测漏洞利用尝试。虽然并不总是一致的，但有些漏洞可能记录在本地系统的代理日志中。还建议检查来自 EDR 或其他安全软件的任何警报。 该安全漏洞 (CVE-2024-8190) 允许具有管理权限的经过远程身份验证的攻击者通过命令注入在运行 Ivanti CSA 4.6 的易受攻击的设备上进行远程代码执行。 Ivanti 建议客户从 CSA 4.6.x（已达到使用寿命终止状态）升级到 CSA 5.0（仍在支持中）。 “CSA 4.6 Patch 518 客户也可以更新到 Patch 519。但由于该产品已进入生命周期结束阶段，首选途径是升级到 CSA 5.0。已经使用 CSA 5.0 的客户无需采取任何进一步的行动，”该公司补充道。 Ivanti CSA 是一款安全产品，它充当网关，为外部用户提供对企业内部资源的安全访问。 CISA要求联邦机构须在 10 月 4 日前完成修补 周五，CISA 还将CVE-2024-8190 Ivanti CSA 漏洞添加到其已知被利用漏洞目录中。根据《约束性行动指令》(BOD) 22-01 的规定，联邦民事行政部门 (FCEB) 机构必须在 10 月 4 日之前的三周内保护易受攻击的设备。 CISA警告称：“这些类型的漏洞是恶意网络行为者频繁使用的攻击媒介，对联邦企业构成重大风险。” 本周二，Ivanti 修复了其端点管理软件 (EPM) 中一个最高严重性漏洞，该漏洞允许未经身份验证的攻击者在核心服务器上执行远程代码。 同一天，它还修补了 Ivanti EPM、工作区控制 (IWC)和云服务设备 (CSA)中的近二十几个其他高危和严重漏洞。 Ivanti表示，近几个月来，该公司已经提升了内部扫描和测试能力，同时还致力于改进其负责任的披露流程，以更快地解决潜在的安全问题。 Ivanti 表示：“这导致发现和披露数量激增，我们同意 CISA 的声明，即负责任地发现和披露 CVE 是‘健康代码分析和测试社区的标志’。” Ivanti 在全球拥有超过 7,000 个合作伙伴，超过 40,000 家公司使用其产品来管理他们的系统和 IT 资产。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容。

9月12-13日，由国家信息中心《信息安全研究》杂志社和广州市政务服务和数据管理局主办的关键信息基础设施安全防 […]

9月9日至9月15日，2024年国家网络安全宣传周举办，今年网安周继续以“网络安全为人民，网络安全靠人民”为主 […]

珠江水岸，南海之门。2024年国家网络安全宣传周于9月9日在广州南沙隆重举行。 网络安全为人民、网络安全靠人民 […]

近日，中关村网络安全与信息化产业联盟（以下简称“联盟”）秘书长邹冬携国家信息技术安全研究中心原科研部长石峰、北 […]

一周情报速览~

微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

Authentication requiring stored credentials is not only vulnerable to phishing and other compromises, but using these credentials can also be cumbersome for busy clinicians, said Tina Srivastava, co-founder of Badge, a provider of deviceless, tokenless authentication technology.

Inquiry Launched to Determine the Company's Compliance With GDPR
The Irish data regulator launched an investigation to determine Google's compliance with a European privacy law when it was developing its PaLM 2 artificial intelligence model. Google launched the multilingual generative AI model last year.

Over-Deployment of Tools Raises Security and Operational Concerns
Excessive deployment of remote access tools in operational technology environments expands attack surfaces and creates operational challenges, warn security researchers from Claroty. Remote access tools are essential, but they introduce numerous potential vulnerabilities that threat actors exploit.

Biden Administration Hits Russian Media With More Sanctions for Covert Operations
The U.S. Department of State announced additional sanctions Friday against the Kremlin news outlet RT after officials received new information from employees of the organization that revealed how it has become a key component in the Russian military machine.

Series C Funds to Fuel AI Research, Government Sector Investment and Global Growth
Strider Technologies has raised $55 million in a Series C funding round to strengthen its AI capabilities and fuel global expansion efforts. The money will enhance the company’s AI-driven insights, support business with government agencies, and fuel international expansion in Europe and Asia.

近日，在国家漏洞库（CNNVD）网络安全漏洞治理产业协同创新研讨活动中，深信服被授予“国家信息安全漏洞库核心技 […]