不拿安全当回事？全球第三大即时通信软件Telegram惹争议

日前，全球第三大跨平台即时通信软件 Telegram（简称TG、电报、纸飞机）被推向风口浪尖，起因是其创始人 Pavel Durov 在接受媒体采访时公开表示，目前整个公司只有 30 名工程师，没有专门的人力资源（HR） 部门，而公司唯一的产品经理则由其本人担任。

该访谈内容被公开后，众多安全专业人士对Telegram的运营安全性提出质疑，认为他们仅部署这么一些人无疑是在刺激网络攻击者们，“这是一个危险的信号，简直是安全运营的噩梦”。

Telegram目前拥有巨大的流量和用户。据《金融时报》报道，Telegram 于今年三月已实现数亿美元营收，并拥有超 9 亿用户。仅靠30名工程师去支撑这么大体量的社交软件安全运营，难免会让人对其内部的防御能力以及安全性感到担忧。

不过在 Pavel Durov 本人看来，他似乎并不担心Telegram的安全性问题，并且他觉得这是团队内部“超级高效”的体现。为了证明自身的安全性，Telegram 每年都会组织一场全球性的安全竞赛，并对发现潜在漏洞的选手给予10 万美金的奖励。根据 Telegram 官方公布的数据显示，只在 2013 年 12 月，也就是 Telegram 成立的当年，有人曾拿到过这笔奖金。

原文链接： 

https://mp.weixin.qq.com/s/RAdiQsz_-8qCijR6lvpuZw

日前，美国网络安全和基础设施安全局(CISA)发布最新调查报告显示，软件开发人员面临多重挑战，尤其在实现网络、加密和操作系统功能时，这导致了大部分开源项目没有使用内存安全代码。

报告指出，内存安全语言通过自动管理内存，防止常见的内存相关错误，例如缓冲区溢出和释放等。而内存不安全的语言，如C、C++和Assembly等则不提供内存管理机制，无疑增加了开发人员出错的风险。

报告建议，软件开发人员应该优先使用内存安全的语言（例如Rust、Java和GO）编写代码，同时要遵循安全编码实践，仔细管理和审核依赖关系，并执行持续测试来检测和解决内存安全问题。

原文链接：

https://www.bleepingcomputer.com/news/security/cisa-most-critical-open-source-projects-not-using-memory-safe-code/

微软工程师意外泄露用于保护流媒体服务的PlayReady DRM内部代码

日前，一位微软工程师无意中在一个开发者论坛上发布了PlayReady DRM的内部源代码。攻击者可以从这些源代码中编译所需的DLL，这可能为逆向工程或DRM保护技术的破解打开了大门。

PlayReady于2007年推出，是一个独立的数字版权管理（DRM）系统，用于保护媒体文件。它包括加密、输出保护和数字版权管理功能。这次源代码泄漏可能会对该技术未来应用的安全性产生重大影响。

目前，AG安全研究实验室的研究人员已经实际利用泄露的代码发现了PlayReady的多个缺陷，成功解密受保护的高清电影。对此，微软公司回应称，已进行调查并确定该事件不是服务漏洞。但事件已引起对流媒体服务安全性的严重担忧，再次强调了保护DRM技术的重要性和在公共论坛处理敏感信息的谨慎性。

原文链接：

https://thecyberexpress.com/microsoft-engineer-leaked-4gb-of-playready-drm

日前，研究人员在Progress Software公司的MOVEit Transfer 软件中发现一个严重的安全性缺陷，可能允许网络攻击者绕过该平台的身份验证机制。更危险的是，有迹象表明，该缺陷仅在公开后数小时就已经被攻击者所利用。

目前，该缺陷已被追踪编号为 CVE-2024-5806，主要存在于 MOVEit 管理软件的 SFTP 模块中。据Shadowserver 组织的研究人员表示，在该缺陷被公开后的几个小时内，就已经监测到有黑客就已经开始试图利用它。

MOVEit 是一款专为企业定制的管理工具，由 Progress Software 公司研发，在符合 PCI 和 HIPAA 规定的前提下，帮助大型企业组织使用 SFTP、SCP 和 HTTP 协议传输和管理文件。安全公司 Censys 周二进行的一次单独扫描中发现，全球已经有超过 2700 个组织和机构部署了该系统。

原文链接：

https://www.darkreading.com/remote-workforce/fresh-moveit-bug-under-attack-disclosure

WordPress平台上发现新的恶意代码插件

Wordfence Threat Intelligence安全研究团队日前披露，一个未知的攻击组织已经成功感染了至少五个WordPress插件，并在其中注入了恶意代码，以创建新的管理员帐户，从而完全控制安装这些插件的网站。

Wordfence的研究人员表示，在这些插件中所注入的恶意代码并不复杂，也没有被严重混淆，它们从头到尾都包含了注释，很容易被跟踪。同时，有迹象表明，攻击者还向网站的页脚注入恶意代码，用于实现在整个网站中添加帮助SEO的垃圾信息。

目前，研究人员还没有确切掌握攻击者是如何能够感染这些插件的。最早的注入似乎可以追溯到6月21日，目前仍在持续更新中。根据研究人员预测，这些被植入后门的插件可能已经超过35,000个WordPress用户下载使用。

WordPress是目前最流行的博客系统之一，是一款开源的PHP软件。因为使用者众多，所以WordPress社区非常活跃，有丰富的插件模板资源。使用WordPress可以快速搭建独立的博客网站。

原文链接：

https://www.helpnetsecurity.com/2024/06/26/compromised-plugins-wordpress/

南非国家卫生实验室因勒索攻击中断服务

日前，南非国家卫生实验室对外披露遭到入侵，导致了该机构的电子邮件、网站以及检索和存储患者实验室测试结果的系统一度中断离线。

NHLS是南非公共医疗机构的诊断病理服务部门，于2001年由多个机构合并而成，包括国家传染病研究所、国家职业健康研究所、国家癌症登记处和南非疫苗生产商等众多分支机构和部门。目前，南非正处于猴痘爆发期，使得该机构积压了大量等待接受毒理学测试的样本。

NHLS首席执行官Koleka Mlisana教授发布备忘录，表示NHLS遭受了勒索软件感染或类似的破坏性攻击，“这次事件破坏了我们IT基础设施的安全性。我们高度关注此事，并以极大的紧迫感加以处理。”

Mlisana同时表示，该机构已经部署应急响应团队处理这个问题，以确定入侵的范围，并部署必要的防护措施来确保系统和数据安全。幸运的是，目前实验室的Oracle环境和Trakcare数据库未受影响，但整个环境已被关闭，防止损害范围进一步扩大。

原文链接：

https://www.scmagazine.com/brief/ransomware-disrupts-south-africas-national-health-lab

黑客组织KillSec推出新一代勒索软件即服务计划

日前，黑客组织 KillSec 推出了新一代的勒索软件即服务 (RaaS) 计划，为攻击者提供更高级的勒索软件攻击工具。

该平台具有高效加密工具，能加密锁定受害者计算机上的文件。使用者还可通过 Tor 网络上的仪表板管理攻击。此外，KillSec 还在该计划中增加了 DDoS 攻击工具和高级数据窃取程序。在收费方面，KillSec的RaaS计划初始费用为250美元，同时还从收到的赎金中收取12%的佣金。

原文链接：

https://thecyberexpress.com/killsec-launches-raas-program/

TP-Link 多款设备中发现存在远程代码执行缺陷

近日，研究人员在TP-Link Omada系统中发现了多个严重的安全性缺陷，这些缺陷可能被攻击者利用来执行远程代码，造成严重的安全威胁。受影响的设备包括无线接入点、路由器、交换机、VPN设备和Omada软件的硬件控制器。

据介绍，本次发现的缺陷类型包括堆栈缓冲区溢出、内存损坏、命令执行和拒绝服务等。这些缺陷可能允许攻击者远程重置设备、获得root访问权限并执行任意命令。TP-Link目前已经发布了补丁来修复这些缺陷，用户应尽快更新设备固件。

原文链接：

https://gbhackers.com/tp-link-omada-vulnerabilities/

GitHub发布 Artifact 认证以保护软件供应链安全性

GitHub 在帮助企业提高供应链安全性方面迈出重要一步，正式发布了 Artifact 认证 。这个新特性允许 GitHub 用户在选择将 Github Actions控件部署到Kubernetes集群之前，先验证这些工件的完整性。

根据 GitHub 的说法，该认证由西格 公司提供支持。除了通用的可用性版本验证， GitHub 还提供了一个新的方法 来构建 Kubernetes 许可控制器，允许开发人员从 Kubernetes 集群中验证认证。根据 GitHub 的说法，这确保了只有经过正确验证的工件才能部署。

Github表示，通过将 Artifact Attetations 集成到 GitHub Actions 工作流中，开发者可以增强开发和部署过程的安全性，保护应用系统免受供应链攻击和未经授权的修改。

原文链接：

https://sdtimes.com/security/github-improves-supply-chain-security-with-general-availability-of-artifact-attestations/

蚂蚁数科发布新一代AI风控引擎

日前，蚂蚁数科旗下安全风控品牌蚁盾正式发布新一代融合AI风控引擎“AIR Engine（AI FUSE Risk Engine）”，在决策式AI架构中引入生成式AI，全面提升企业风控智能化水平。

据介绍， “AIR”引擎借助生成式AI，实现了风险运营模式从“人工+智能”到 “人工智能”的巨大转变，有效简化了原有需要专业算法工程师深度参与的操作流程。同时，系统可以在风险管理复杂度综合降低50%的前提下，将风险对抗时效从天级别降低到小时级，在部分业务场景下，仅需少量甚至无需人工介入即可完成，直接缩短了从识别风险到实施风险布控的时间。

原文链接：

https://mp.weixin.qq.com/s/fXkjMFTOpHjaH1b7Oo-aRA