vlambda博客
学习文章列表

谷歌修复了VirusTotal平台的高危RCE漏洞；

  标签：谷歌，VT，沙箱，RCE

信源：https://thehackernews.com/2022/04/researchers-report-critical-rce.html

CISA在漏洞利用列表中增加了7个新漏洞，其中包括来自Microsoft、Linux和Jenkins的漏洞；

  标签：美国，CISA，漏洞利用

美国网络安全和基础设施安全局(CISA)在其积极漏洞利用的安全问题列表中新添加了7个漏洞，其中包括来自Microsoft、Linux和Jenkins的漏洞。所谓的已知被利用漏洞列表是在网络攻击中被积极利用并需要由联邦民事执行局(FCEB)机构修补的漏洞列表。

“具有约束力的操作指令(BOD) 22-01：为了降低已知被利用漏洞的重大风险，建立了已知被利用漏洞目录，将其作为对联邦企业具有重大风险的已知cve的动态列表”，CISA对此解释说。

BOD 22-01要求FCEB机构在截止日期前修复已识别的漏洞，以保护FCEB网络免受活动威胁。目录中列出的漏洞可能会发生威胁参与者执行各种攻击，包括窃取凭据、访问网络、远程执行命令、下载和执行恶意软件，或从设备窃取信息。加上这七个漏洞，该目录现在包含 654 个漏洞，包括联邦机构必须应用相关补丁和安全更新的日期。

信源：https://www.bleepingcomputer.com/news/security/cisa-adds-7-vulnerabilities-to-list-of-bugs-exploited-in-attacks/

伊朗宣布挫败针对公共服务的大规模网络攻击，其攻击的目标是政府和私人组织运营的公共服务；

  标签：伊朗，公共服务，网络攻击

近日，伊朗国家电视台宣布挫败了若干起大规模网络攻击，其攻击的目标是政府和私人组织运营的公共服务。据悉，攻击事件就发生在最近几天，约100个公共部门机构的基础设施受到影响。电视台方面没有列出具体的受到攻击的实体名单。

于本次攻击，伊朗当局没有将其归咎于某个具体的攻击团伙，只是表示，攻击是从荷兰、英国和美国的系统中发动的。当然，指责外国黑客攻击当地关键基础设施早已成为伊朗当局的常规操作。

去年10月，一次网络攻击使得伊朗国家石油产品分销公司（NIOPDC）分布在全国各地的加油站的运营受到侵扰，袭击破坏了加油站的屏幕系统和汽油价格广告牌。

根据伊朗法尔斯通讯社（Fars news agency）报道，2021年7月，伊朗铁路系统遭受了一次网络攻击，攻击者在全国各地车站的电子公告板上发布了有关火车延误或取消的虚假信息。

针对伊朗的攻击中，Stuxnet（震网）无疑是那个最为人们津津乐道的，时至今日它仍然是现代信息战争中最引人入胜的案例之一。Stuxnet 是一种针对 SCADA 系统的恶意计算机蠕虫，由美国和以色列联合开发，首次发现于2010年，而研究人员普遍认为其开发至少开始于2005年。Stuxnet被设计来攻击伊朗核电站中用于铀浓缩过程的离心机，目的是干扰该国在纳坦兹（Natanz）工厂进行的核浓缩计划。

信源：https://securityaffairs.co/wordpress/130592/hacking/iran-foiled-cyberattacks-public-services.html

Gartner：AI和自动化将是新一代SASE的关键能力；

  标签：Gartner，AI，自动化

近年来，安全访问服务边缘（SASE）技术快速发展，得到了较广泛的行业应用。SASE架构通常包括了SD-WAN、FWaaS、安全Web网关、云访问安全代理（CASB）和零信任网络访问（ZTNA）等核心组件。而Gartner最新的研究预测，人工智能（AI）与自动化技术将成为新一代SASE服务的又一项关键技术，它会在减少误报、保护数据安全等多个应用场景下发挥更加重要的作用。

Gartner分析师表示：由于SASE厂商掌握着海量的网络和安全威胁数据，因此在应用AI和机器学习方面有着天然的优势。企业组织在选型新一代SASE服务时，可从以下方面考量其AI与自动化的应用性能：

1、减少错误告警

警报疲劳是切实存在的问题，安全分析师因每天要处理大量警报而焦头烂额。调查显示，60%的专业人员表示每天收到500多个云安全警报，巨额工作量导致55%的受访者每天或每周都错过重要警报。将AI用于安全和事件异常检测以及对事件进行分类，其主要好处是加快了检测速度，同时大幅减少了误报。

2、网络分析和修复

如今企业纷纷转向智能网络，利用AI和机器学习做出决策，尽可能减少人工干预。在SASE环境下，这可能体现为自动分析网络流量。利用AI的SD-WAN可以跟踪流量峰值以避免性能问题。如果未达到服务级别，基于AI的网络可以转移工作负载或转移用户访问权限。据Gartner研究，2021年，部署SD-WAN的企业中不到5%使用AI功能实现自动化运营，到2025年这个比例将达到40%。

3、智能化运维

AI的另一个重要应用场景是智能化运维。通过智能化运维，可能让安全管理者更好了解网络设备的运营状态，对可能发生故障的设备提前感知，这样就可以让支持人员或维修人员提前做出准备。智能化运维目前已成为AI技术最成熟的应用领域，特别是在智能制造等行业场景中。

4、用户行为分析和异常行为检测

SASE厂商可访问大量数据，利用这些数据为人和设备在网络中应有的行为建立基准，这有助于身份验证和发现可疑活动。从网络的角度来看，需要确保连接到网络的实体的身份真实有效。AI模型可以快速识别连接到网络的端点类型，分析访问网络的每个客户端，并让安全专家了解网络上的情况。

5、数据防泄漏

数据防泄漏并不是SASE的核心功能，却是许多SASE厂商最近添加或正在推出的功能。它可以防止敏感数据被外部攻击者或恶意内部人员从公司的系统中泄露出去。结合AI，数据丢失预防工具可以识别故意混淆、企图绕过基于关键字的简单过滤器的数据。

内部威胁是当今企业面临的最大问题之一。离职员工往往可以获取敏感信息，比如设计文档和代码。恶意内部人员可以窃取公司数据，对外共享。AI不仅可以阻止数据离开公司，还能拒绝访问数据。我们看到SASE厂商正在加入数据丢失防护功能，从而阻止恶意用户窃取并泄露数据。

6、识别和预防高级威胁

传统的入侵检测系统擅长检测已知漏洞，可以防止相同的攻击再次发生，但响应新威胁的速度可能很慢。通过使用所有的已知漏洞训练AI模型，可以立即发现并阻止尚未发生的攻击，许多新攻击是之前已知的威胁的不同版本。一些威胁受益于监控和自动缓解机制，而更复杂的攻击仍需要有劳安全专家处理。安全方面肯定会遇到误报，很可能需要一些资深技术人员分析误报。

7、DDoS 攻击缓解

不安全的联网设备持续增多，组织改用高速5G网络，以及服务化的分布式拒绝攻击产业迅猛发展，让企业面临更严峻的DDoS 攻击威胁。对于DDoS之类的攻击，组织需要拥有能非常迅速的应对能力。DDoS攻击缓解是SASE厂商们提供的常见功能，也是用户相信AI能处理好的最简单的任务之一。

8、协助安全分析师

如果AI能处理重复性的常规任务，安全分析师可以将时间花在较复杂的问题上。AI可以了解安全分析师的习性和偏好，帮助他们更高效地完成日常工作，从而对安全分析师的工作大有助益。

但AI目前并没有准备好在没有人参与的情况下独立发挥功效。AI在几乎所有的SASE解决方案中仍处于早期阶段。长远来看，尽管AI很有价值，但组织仍需要优秀工程师在关键性问题上人工做出可靠的决策。

信源：https://www.networkworld.com/article/3657610/how-sase-uses-ai.html

网络攻击致使加拿大老牌航空公司阳翼航空航班严重延误近一周；

  标签：加拿大，航空公司，停运

近一周来，加拿大老牌航空公司阳翼航空（Sunwing Airlines）因网络攻击导致系统故障，致使航班出现严重延误。

4月17日，阳翼航空由于网络攻击引发内部系统中断。此次系统中断影响到了值机与登机功能，并导致多伦多的皮尔逊机场连续五天出现航班延误与乘客滞留，许多乘客被困在机场多天。4月22日（上周五），该公司透露航班运转已恢复正常。但截止本文发布时，系统仍未完全恢复，乘客办理登机的时间可能“比平时慢”，航班也有轻微延误情况。

信源：https://securityaffairs.co/wordpress/130554/hacktivism/anonymous-leaked-5-8-tb-russian-data.html

Java 加密漏洞 PoC 代码公开，受影响的版本需尽快升级；

  标签：JAVA，加密漏洞

据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。

漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 ：

Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18

Oracle GraalVM 企业版：20.3.5、21.3.1、22.0.0.2

该漏洞被称为 Psychic Signatures，与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关，这是一种加密机制，用于对消息和数据进行数字签名，以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误，能够允许呈现一个易受攻击的完全空白的签名，攻击者可以此利用伪造签名并绕过身份验证措施。

Nassar 证明，设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名，从而有效地允许 TLS 握手的其余部分继续进行。

据悉，漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现，并于当天就通报给了甲骨文（Oracle），Madden表示，这个漏洞的严重性再怎么强调都不为过。

目前，甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞，但由于PoC代码的公布，建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。

信源：https://securityaffairs.co/wordpress/130522/security/poc-java-vulnerability-cve-2022-21449.html

一键四连