阅读: 31
一、热点资讯
1.物联网安全扩展要求
【标签】物联网
【概述】
物联网是指将感知节点设备通过互联网等网络连接起来构成的系统。物联网通常可以从架构上分为三个逻辑层,即感知层、网络传输层和处理应用层,其中感知层既包括感知节点设备和网关节点设备,也包括这些感知节点设备和网关节点设备之间的短距离通信(通常为无线)部分;网络传输层包括将感知数据远距离传输到处理中心的网络(互联网、移动网等 ),以及不同网络融合的部分;处理应用层包括对感知数据进行存储与智能处理并为业务应用终端提供服务的平台。
【参考链接】
https://ti.nsfocus.com/security-news/IlOgt
2.CNNVD关于Apache ActiveMQ安全漏洞的通报
【标签】CNNVD-202405-256
【概述】
近日,国家信息安全漏洞库(CNNVD)收到关于Apache ActiveMQ安全漏洞(CNNVD-202405-256、CVE-2024-32114)情况的报送。成功利用漏洞的攻击者,可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互,或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。Apache ActiveMQ 6.0.0-6.1.1版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
【参考链接】
https://ti.nsfocus.com/security-news/IlOgh
3.手机厂商对应用软件负有安全审查义务
【标签】手机厂商
【概述】
从底层设计来看,开源属性是安卓手机安全性的最大隐患,也是其相较于苹果手机的主要劣势所在。苹果手机的ios系统采取了极为封闭的技术架构,对任何第三方渠道下载、安装应用软件设置了严格的条件,以确保安全性,强化隐私保护。用户在App Store以外的应用市场下载应用软件,除通过刷机使系统“越狱”,或者强行安装证书认证以外,并没有其他途径可供选择。与之不同,安卓系统本身及基于其开发的其他衍生手机系统都以开源作为底层架构,系统自带应用商店、第三方市场、网页端甚至是用户之间传输的App安装包,均可成为应用软件下载、安装的具体来源。外部来源之广,使手机系统安全隐患大大提升。对应用软件的治理理应成为手机厂商整体安全管理方案的重要组成部分,在法律层面即手机厂商应承担应用软件的安全审查义务。事实上,这不仅是我国手机厂商实现产业升级、在国际竞争中掌握主动地位的必要条件,也是履行公法上的网络安全保护义务、民法上的安全保障义务以及实现用户利益的必然要求。
【参考链接】
https://ti.nsfocus.com/security-news/IlOf2
4.Windows主机入侵检测与防御内核技术深入解析
【标签】Windows
【概述】
在回调函数指针之前的IRP_MJ_XXX系列的宏,则是发生的请求的主功能号。这个宏中的“IRP”前缀对应另一个数据结构IRP,全称为I/O Request Packet,即IO操作请求包,是Windows内核中用来处理诸如文件、磁盘读写这类IO操作的常用数据结构。后文我会将IRP简称为“请求”。请求有多种,由主功能号进行分别。我们要处理的写操作,正是其中的请求之一。过滤操作数组的每个元素的意义为:如果发生了主功能号为IRP_MJ_XXX的请求,则先调用对应元素下的前回调函数指针(如果前回调函数中返回需要后回调,那么完成后还会再调用后回调函数)。其中IRP_MJ_CREATE代表着文件的创建和打开请求,IRP_MJ_READ和IRP_MJ_WRITE分别为读和写请求,其他的请求依此类推。从上面这个数组初始化过程看所有请求都共用了前回调函数PtPreOperationPassThrough和后回调函数PtPostOperationPassThrough。当然,也可以为每个请求指定不同的回调函数指针。因此,PassThrough在按微软相关文档提供的说明编译和安装在被测试机上的时候,一旦有文件被写入(出现IRP_MJ_WRITE请求),就会触发PtPreOperationPassThrough这个函数的调用。至于后回调是否被调用则取决于前回调的返回值。
【参考链接】
https://ti.nsfocus.com/security-news/IlOf0
5.微软披露严重安全漏洞,受影响App安装量超40亿
【标签】漏洞
【概述】
安卓系统通过为每个应用程序分配专用的数据和内存空间来实现隔离,并以安全的方式促进应用程序之间的数据和文件共享。但实施过程中的疏忽可能会导致绕过应用程序主目录内的读/写限制。Valsamaras表示,这种基于内容提供商的模式提供了一种定义明确的文件共享机制,使服务应用程序能够以安全的方式与其他应用程序共享文件,并进行细粒度控制。然而,在执行的过程中,经常遇到消费应用程序并不验证其接收到的文件内容,而且最令人担忧的是,它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中。当服务应用程序为了实现应用程序之间的文件共享而声明恶意版本的FileProvider类时,这一“陷阱”可能会造成严重后果,最终导致消费应用程序覆盖其私有数据空间中的关键文件。
【参考链接】
https://ti.nsfocus.com/security-news/IlOfo
6.现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点
【标签】FIDO2
【概述】
FIDO2是无口令身份验证的现代身份验证组术语。快速身份在线(FIDO)联盟开发它来取代传统已知口令的使用,并提供一种使用物理或嵌入式密钥进行身份验证的安全方法。众所周知,FIDO2可以保护人们免受中间人(MITM)、网络钓鱼和会话劫持攻击。尽管这种无口令身份验证标准提高了身份安全性,但在本周RSA会议之前与CyberScoop独家分享的研究中,Silverfort公司的研究人员Dor Segal和Yiftach Keshet提出了一种绕过这种身份验证形式的方法,表明该技术容易受到令牌劫持和中间人攻击。口令和其他基于知识的用户身份验证形式仍然是数字系统安全的弱点。 用户需要清醒的认识到,FIDO2强大的安全功能并不能保护整个用户会话。更重要的是要明白,现代身份验证方法并不具备一种神奇的安全魅力,仅仅采购和实施是远远不够的。
【参考链接】
https://ti.nsfocus.com/security-news/IlOg8
7.SoumniBot恶意软件利用Android漏洞来逃避检测
【标签】SoumniBot
【概述】
启动后,SoumniBot从硬编码服务器地址请求其配置参数,并发送受感染设备的分析信息,包括编号、运营商等。接下来,它会启动一个恶意服务,如果停止,该服务每16分钟就会重新启动一次,并每15秒传输一次从受害者那里窃取的数据。泄露的详细信息包括IP地址、联系人列表、帐户详细信息、短信、照片、视频和网上银行数字证书。数据泄露由恶意软件通过MQTT服务器接收的命令控制,这些命令还对以下功能进行排序。
【参考链接】
https://ti.nsfocus.com/security-news/IlOg0
8.恶意软件正劫持安全软件更新进行分发
【标签】GuptiMiner
【概述】
GuptiMiner是一个高度复杂的威胁,最早在2018年发现,主要为了在大型企业中分发后门。一种是PuTTY Link的增强版本后门,能够针对本地网络进行SMB扫描,并通过网络横向移动到网络上其他可能易受攻击的Windows 7和Windows Server 2008主机;另一种是多模块后门,接受攻击者的命令安装更多恶意代码模块,并专注于扫描本地系统上存储的私钥和加密钱包。令人感到不解的是,GuptiMiner还会分发挖矿程序,对于此类攻击者来说有点不可思议。GuptiMiner利用了印度安全厂商eScan更新机制中的缺陷,进行恶意软件传播。研究人员向eScan与印度国家CERT披露了该安全漏洞,厂商也确认并进行了修复。研究人员发现Kimsuky的Keylogger与GuptiMiner间存在相似性,认为GuptiMiner可能与朝鲜APT组织Kimsuky存在某种关联。
【参考链接】
https://ti.nsfocus.com/security-news/IlOgx
9.解锁安全运营:加强检测分析能力,把握对风险和防御的判断
【标签】安全运营
【概述】
事实上,前期安全建设中的大部分投入,都是在解决此类问题。试想一个典型的大型集团企业应该如何防范安全威胁,拥有多个分支机构,各地的数据中心、服务器和终端资产数以万计,通过在互联网出口与办公网、研发网边界等部署IPS、IDS、WAF类安全设备,搭建起边界防护体系。进一步,顺应威胁的加剧和IT基础设施的庞杂,在网络侧部署流量分析工具NTA,到终端部署检测和响应软件EDR,再到融合AI技术进行异常行为分析等,都已成为主流的防御手段。经年累月的建设之后,不同的安全产品缺乏联动,无法最大化利用每个安全产品的数据和能力,导致安全事件处置时间长、处置效率低,成本支出效果不明显。这时,企业通常会考虑能否有一个平台,通过汇总展示所有防护设备的安全告警和事件,以提升工作效率。SIEM技术和SOC类产品迎难而上,收集现网中所有WAF、IPS等各类安全设备和服务器、交换机等网络设备的日志,可以满足基础威胁管理与合规需求。
【参考链接】
https://ti.nsfocus.com/security-news/IlOgk
10.加强数字安全预防性法治建设
【标签】数字安全
【概述】
数字赋能是新一轮科技革命和产业变革的重要标志,数字化转型已成为各国抢占未来竞争优势的关键,而数字化的高速推进也给我国的国家安全、社会安全带来了巨大挑战,维护数字安全、防范化解各类重大数字风险成为我国亟需应对的关键问题。在总体国家安全观的指引下,我国将网络、人工智能、数据等数字安全问题纳入二十个国家安全领域。2021年中共中央政治局审议的《国家安全战略(2021—2025年)》特别强调要“更加注重法治思维”,在新型安全领域要“加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力”。可见,数字安全风险既涉及数字时代出现的新技术、新要素及新关系的安全,也覆盖数字应用衍生的安全,还包括数字产业所涵盖的安全问题,常常表征为一个复杂、多变的综合风险集,传统的回应型法治模式难以应对不断演化、传导、叠加、升级的数字安全风险,容易造成风险的沉积,无法解决不可逆的危害结果。基于此,我国逐渐认识到面向数字安全问题更应注重前馈型的预防性法治模式,把重大安全风险防范于未然、化解于源头。
【参考链接】
https://ti.nsfocus.com/security-news/IlOgf
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。