2024年5月安全资讯

2024-05-29 18:38 谦益科技

本月漏洞统计及增长情况

根据国家信息安全漏洞库（CNNVD）统计，在过去四周内新增安全漏洞共4686个，2024年5月19日CNNVD 采集安全漏洞1632个，与前一周（466个）相比增加了71.45%。

漏洞预警

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。经过整理分析，认为本月最具影响性的漏洞如下：

1.VMware Workstation 安全漏洞

漏洞信息详情：

CVE-ID: CVE-2024-22267

发布日期：2024-05-14

漏洞评估：超危

受影响系统：windows

漏洞描述:

VMware Workstation是美国威睿（VMware）公司的一套虚拟机软件。该软件提供可以同时运行多个不同的操作系统的虚拟机功能。VMware Workstation存在安全漏洞，该漏洞源于内存释放后重用。

解决建议：

https://www.vmware.com/security/advisories.html

2.Google Golang 安全漏洞

漏洞信息详情：

CVE-ID: CVE-2024-24787

发布日期：2024-05-08

漏洞评估：超危

受影响系统：windows

漏洞描述:

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。

Google Golang 1.21.10 之前、1.22.3 之前版本存在安全漏洞，该漏洞源于在使用 Apple 版本的 ld 时，构建包含 CGO 的 Go 模块可能会触发任意代码执行。

解决建议：

https://pkg.go.dev/vuln/GO-2024-2825

3.Apache OFBiz 路径遍历漏洞

漏洞信息详情：

CVE-ID:CVE-2024-32113

发布日期：2024-05-08

漏洞评估：超危

受影响系统：Linux

漏洞描述:

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz 18.12.13之前版本存在路径遍历漏洞，该漏洞源于受限目录路径名不正确限制。

解决建议：

https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrd

4.PHP 安全漏洞

漏洞信息详情：

CVE-ID: CVE-2024-1874

发布日期：2024-04-29

漏洞评估：超危

受影响系统：

Linux

漏洞描述:

PHP是一种在服务器端执行的脚本语言。PHP存在安全漏洞，该漏洞源于当使用带有数组语法的proc_open命令时，由于转义不足，如果执行命令的参数被恶意用户控制，则用户可以提供在Windows shell中执行任意命令的参数。以下版本受到影响：8.1.*版本至8.1.28之前版本、8.2.*版本至8.2.18之前版本、8.3.*版本至8.3.5之前版本。

解决建议：

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

5.mysql2 安全漏洞

漏洞信息详情：

CVE-ID: CVE-2024-21511

发布日期：2024-04-29

漏洞评估：高危

受影响系统：windows

漏洞描述:

MySQL2是Andrey Sidorov个人开发者的一个 Node.js 的 MySQL 客户端。

mysql2 2 3.9.7 之前版本存在安全漏洞，该漏洞源于通过调用本机 MySQL 服务器 date/time 函数对 readCodeFor 函数中的 timezone 参数进行了不正确的清理，导致任意代码注入。

解决建议：

https://github.com/sidorares/node-mysql2/commit/7d4b098c7e29d5a6cb9eac2633bfcc2f0f1db713

病毒预警

计算机病毒是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。经过分析整理，认为本月最具影响性和破坏性的恶意软件如下：

1.配备用于收集凭据的Android 远程访问木马

病毒名称：Android 远程访问木马

病毒类型：木马

影响的平台：

Android

病毒行为：

SonicWall Capture Labs 威胁研究团队一直在定期分享有关针对 Android 设备的恶意软件的信息。我们以前遇到过类似的 RAT 示例，但这个示例包括旨在收集凭据的额外命令和网络钓鱼攻击。该恶意软件使用著名的 Android 应用程序图标来误导用户并诱骗受害者在其设备上安装恶意应用程序。

感染周期

在受害者的设备上安装恶意应用程序后，它会提示受害者启用两个权限：

·无障碍服务

·设备管理员权限

通过请求这些权限，恶意应用程序旨在获得对受害者设备的控制权，可能允许其在用户不知情或未经同意的情况下执行有害操作或窃取敏感信息。恶意应用程序与命令和控制服务器建立连接，以接收指令并相应地执行特定任务。资源文件包含C&C 服务器的 URL，但在分析期间它未处于活动状态。可以看到它从 C&C 服务器接收命令以访问浏览器中的特定 URL 以收集凭据。

一些与知名Android应用程序相关的恶意HTML文件在'asset\website'文件夹中。在这些HTML 文件中，攻击者提示受害者在输入字段中输入他们的用户 ID 和密码。使用 JavaScript 获取凭据后，它会收集所有用户信息并将其共享到“showTt”函数。它会检索存储在受害者设备上的所有电话号码。

如果“str”参数与解密值（如 0、1 或 2）匹配，它会尝试将设备的壁纸更改为特定资源。它检索有关受害者设备上已安装应用程序的信息。以下代码片段利用“CameraManager”将受害者设备摄像头的手电筒切换为打开或关闭。它根据从 C&C 服务器收到的输入向号码发送消息。我们还注意到，某些恶意文件最近被上传到 VirusTotal 等恶意软件共享平台。

SonicWall Capture Labs 通过带 RTDMI 的 SonicWall Capture ATP 提供针对此威胁的保护。

2.Grandoreiro 银行木马重新浮出水面，针对全球 1,500 多家银行

病毒名称：Grandoreiro 银行木马

病毒类型：木马

影响的平台：Windows

病毒行为：

自2024 年 3 月以来，基于 Windows 的 Grandoreiro 银行木马背后的威胁行为者在 1 月份被执法部门取缔后，在全球范围内卷土重来。IBM X-Force表示，大规模网络钓鱼攻击可能由其他网络犯罪分子通过恶意软件即服务（MaaS）模式推动，针对全球1,500多家银行，遍布中美洲和南美洲，非洲，欧洲和印太地区的60多个国家。

虽然Grandoreiro 主要以其在拉丁美洲、西班牙和葡萄牙的重点而闻名，但在巴西当局试图关闭其基础设施后，此次扩张可能是战略的转变。与更广泛的目标足迹齐头并进的是恶意软件本身的重大改进，这表明正在积极开发。

“对恶意软件的分析揭示了字符串解密和域生成算法（DGA）中的重大更新，以及在受感染主机上使用Microsoft Outlook客户端传播进一步网络钓鱼电子邮件的能力，”安全研究人员Golo Mühr和Melissa Frydrych说。攻击从网络钓鱼电子邮件开始，指示收件人单击链接以查看发票或付款，具体取决于诱饵的性质和消息中冒充的政府实体。

最终点击链接的用户将被重定向到PDF 图标的图像，最终导致下载带有 Grandoreiro 加载器可执行文件的 ZIP 存档。自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制（C2）服务器，以及下载和执行主要银行木马。

值得指出的是，验证步骤也是为了跳过地理定位到俄罗斯、捷克、波兰和荷兰的系统，以及位于美国的Windows 7 机器，没有安装防病毒软件。特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令。

Grandoreiro支持各种命令，允许威胁行为者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。“为了与本地Outlook客户端进行交互，Grandoreiro使用Outlook安全管理器工具，这是一种用于开发Outlook加载项的软件，”研究人员说。“这背后的主要原因是，如果 Outlook 对象模型防护检测到对受保护对象的访问，它会触发安全警报。”

“通过使用本地 Outlook 客户端进行垃圾邮件，Grandoreiro 可以通过电子邮件在受感染的受害者收件箱中传播，这可能会导致从 Grandoreiro 观察到的大量垃圾邮件。”

厂商动态

1.微软发布2024年5月漏洞安全更新通告

2024年4月9日，微软发布了2024年4月份的月度例行安全公告，修复了多款产品的安全漏洞。修复了Windows 11、Windows 10、Windows Server 2022、Windows Server 2008和Microsoft Defender for IoT等产品的漏洞。

利用上述漏洞，攻击者可进行欺骗，绕过安全功能限制，获取敏感信息，提升权限，执行远程代码，或发起拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

需重点关注的有以下漏洞：

CVE-2024-30044：Microsoft SharePoint Server 远程执行代码漏洞

该漏洞的CVSS评分为8.8，具有网站所有者或更高权限的经过身份验证的攻击者可以将特制文件上载到目标 Sharepoint Server，并构建专门的 API 请求以触发文件参数的反序列化。这将使攻击者能够在 Sharepoint Server 的上下文中执行远程代码执行。具有“网站所有者”权限的经过身份验证的攻击者可利用此漏洞注入任意代码，并在 SharePoint Server 的上下文中执行此代码。

CVE-2024-30040：Windows MSHTML 平台安全功能绕过漏洞

该漏洞的CVSS评分为8.8，攻击者必须诱使用户将恶意文件加载到易受攻击的系统上，通常是通过电子邮件或即时信使消息中的诱使，然后诱使用户操纵特制文件，但不一定是单击或打开恶意文件。成功利用此漏洞的未经身份验证的攻击者可以通过诱使用户打开恶意文档来执行代码，此时攻击者可以在用户上下文中执行任意代码。此漏洞绕过 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，这些缓解措施可保护用户免受易受攻击的 COM/OLE 控件的侵害。

CVE-2024-30006：Microsoft WDAC OLE DB Provider for SQL Server 远程执行代码漏洞

该漏洞的CVSS评分为8.8，攻击者可能通过诱骗经过身份验证的用户尝试通过 OLEDB 连接到恶意 SQL Server 来利用此漏洞，这可能导致服务器收到恶意网络数据包。这可能允许攻击者在客户端上远程执行代码。必须诱骗或说服连接到网络的经过身份验证的受害者使用其 SQL 客户端应用程序连接到恶意 SQL 数据库。建立连接后，服务器可以向客户端发送特制的答复，这些答复利用了漏洞，并允许在用户的 SQL 客户端应用程序的上下文中执行任意代码。攻击者可能通过诱骗经过身份验证的用户（CVSS 指标 UI：R）尝试通过连接驱动程序连接到恶意 SQL Server，从而利用此漏洞。

CVE-2024-30010：Windows Hyper-V 远程执行代码漏洞

该漏洞的CVSS评分为8.8，攻击者必须经过身份验证才能利用此漏洞。成功利用此漏洞的攻击者可以从远程计算机将格式错误的数据包发送到主机上的 Hyper-V 副本终结点。

CVE-2024-26238：Microsoft PLUGScheduler 计划任务特权提升漏洞

该漏洞的CVSS评分为7.8，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。运行 Windows 10 版本 2004 到 20H2 的客户需要安装 KB 5001716才能免受此漏洞的影响。此更新将从所有受支持的 Windows 10 版本上的 Windows 更新自动下载和安装。对于某些尚未安装最新更新的设备，它还提供给 Windows 更新客户端。如果你运行的 Windows10 版本已达到其支持生命周期的末尾，或者你尚未在“设置”中安装最新更新，请选择“Windows 更新”并安装KB5001716（如果它被列为可供你安装）。

修复建议：

（1）应及时进行MicrosoftWindows版本更新并且保持Windows自动更新开启。

（2）前往以下微软官方网站手动下载对应补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

在当月公告链接中打开对应CVE(参考)：

下拉选择对应版本进行下载：

点击download，在弹窗中选择更新包：

安全资讯

微软计划于2024 年下半年逐步弃用 VBScript

近日微软宣布将于2024 年下半年开始弃用 VBScript，可能会先把该功能列为按需功能，后面会逐步删除。按需功能（FOD）是可选的 Windows 功能，如 .NET Framework (.NetFx3) 、Hyper-V、Windows Subsystem for Linux，默认情况下不安装，但可根据自身需要添加。

微软项目经理Naveen Shankar表示：多年来，技术不断进步，出现了 JavaScript 和 PowerShell 等功能更强大、用途更广泛的脚本语言。这些语言提供了更广泛的功能，也更适合现代网络开发和自动化任务。因此，在2024年下半年发布的新操作系统中，VBScript 将以按需提供功能（FOD）的形式提供。随着微软向更高效的 PowerShell 体验过渡，该功能将从未来的 Windows 操作系统版本中完全“退役”。

微软的停用计划包括三个阶段：

第一阶段将从2024 年下半年开始，在 Windows 11 24H2 中默认启用 VBScript 作为可选功能；

第二阶段将于2027 年左右开始，VBScript 仍将作为按需功能提供，但将不再预装；

作为淘汰过程第三阶段的一部分，VBScript 将在未来的 Windows 版本中退役和淘汰。

因此，所有VBScript 动态链接库（.dll 文件）都将被删除，使用 VBScript 的项目也将停止运行。

该公司在10 月份首次透露，在作为系统组件提供了 30 年之后，它将在 Windows 中关闭 VBScript（又称 Visual Basic Script 或 Microsoft Visual Basic Scripting Edition）。这种编程语言通常捆绑在 Internet Explorer 中（部分 Windows 10 版本将于 2023 年 2 月禁用），同时有助于使用 Windows Script 自动执行任务和控制应用程序。微软在 Windows 10 的 Internet Explorer 11 中默认禁用了 VBScript，并在 2019 年 7 月的 "补丁星期二 "累积更新中禁用。

不过这只是微软移除威胁行为者用作攻击载体的Windows 和 Office 功能战略的一部分，最终目的主要还是为了让用户免于感染恶意软件。

此前攻击者就在在恶意软件活动中使用了VBScript，传播了 Lokibot、Emotet、Qbot 等病毒，以及 DarkGate 恶意软件。微软的这个战略最早可以追溯到 2018 年，当时雷德蒙德将对其反恶意软件扫描接口（AMSI）的支持扩展到了 Office 365 客户端应用程序，从而遏制了利用 Office VBA 宏的攻击。从那时起，微软就禁用了Excel 4.0 (XLM)宏，强制默认阻止VBA Office宏，引入XLM宏保护，并开始在全球Microsoft 365租户中默认阻止不受信任的XLL插件。

赛门铁克警告称，Kimsuky APT 在针对韩国的攻击中使用了新 Linux 后门

赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本，Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。

Kimsuky 网络间谍组织（又名 Springtail、ARCHIPELAGO、Black Banshee、 Thallium、Velvet Chollima、 APT43）于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织，其他受害者分布在美国、欧洲和俄罗斯。Gomir 和 GoBear 共享很大一部分代码。

韩国安全公司S2W 的研究人员于 2024 年 2 月首次发现了该活动，观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。Troll Stealer 支持多种窃取功能，它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。恶意代码是用 Go 编写的，研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。

Troll Stealer 还可以复制受感染计算机上的 GPKI（政府公钥基础设施）文件夹。GPKI 是韩国政府人员和国家组织的公钥基础设施架构，这表明政府机构是国家资助的黑客的攻击目标之一。该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。

赛门铁克还发现Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。

此前有报道称，Wizvera VeraPort 受到了与朝鲜有联系的组织Lazarus发起的供应链攻击。执行时，恶意软件会检查组 ID 值以确定其是否在 Linux 计算机上作为组 0（组与超级用户或管理权限关联）运行。恶意代码汇集了要执行的命令，研究人员观察到它支持多个命令。Gomir和GoBear Windows后门支持几乎相同的命令。

最新的Kimsuky 活动强调，朝鲜间谍活动越来越青睐软件安装包和更新作为感染媒介。专家们注意到，木马软件安装程序和虚假软件安装程序已转向软件供应链攻击。一个突出的例子是3CX 供应链攻击，源于早期的 X_Trader 攻击。

“最新的 Springtail 活动提供了进一步的证据，表明软件安装包和更新现在是朝鲜间谍活动者最喜欢的感染媒介之一。”报告总结道。“与此同时，Springtail 专注于第三方网站上托管的木马软件安装程序，需要安装或伪装成官方应用程序。目标软件似乎是经过精心挑选的，以最大限度地提高感染韩国目标的机会。”

该报告还提供了最新活动中使用工件的威胁检测指标（IOCs），包括 Troll Stealer、Gomir 和 GoBear dropper。

特斯拉、百度自动驾驶技术被黑客攻破，可制造致命车祸

最近披露的致命性黑客攻击为包括特斯拉和百度在内的自动驾驶厂商敲响了警钟。4月底特斯拉CEO马斯克来华推动FSD自动驾驶在中国的落地，特斯拉也顺利成为首个通过全部4项中国汽车数据安全合规要求的外资车企。FSD本身的“进化“也非常顺利。特斯拉表示，2024年第一季度特斯拉FSD真实路况总里程已达12.5亿英里（约20亿公里），有望在5月底达到20亿英里，并在一年之内达到60亿英里总量（马斯克曾表示60亿英里是FSD系统实现质变的一个重要节点）。

近日，对FSD安全性信心十足马斯克遭遇当头一棒，特斯拉自动驾驶系统FSD（以及类似的基于视觉传感器方案的自动驾驶技术，例如百度Apollo项目）正面临一个全新的威胁。新加坡安全研究人员发现了一种新的攻击方法，可以利用自动驾驶汽车摄像头传感器的弱点来欺骗汽车，甚至人为制造致命车祸（例如在停车让行路口让汽车冲上主路）。避免该攻击可能需要厂商更换自动驾驶视觉方案中的硬件组件。

该方法代号GhostStripe（论文链接在文末），可以通过向道路交通标志投射特殊的光线图案来干扰自动驾驶汽车的摄像头，使其无法识别标志。研究人员表示，该方法对特斯拉和百度Apollo等使用CMOS摄像头的自动驾驶汽车特别有效。

GhostStripe属于针对机器学习技术的对抗性攻击，利用了CMOS摄像头卷帘快门的弱点。CMOS摄像头逐行捕捉图像，这意味着图像的不同部分可能由不同光照条件下的传感器像素拍摄。研究人员利用这一点，向交通标志投射快速闪烁的不同颜色光线。

结果是相机捕捉到的交通标识图像布满了与预期不匹配的线条，导致这些图片被裁剪并发送到汽车自动驾驶软件中的分类器（通常基于深度神经网络）进行分析时，分类器不会将该图像识别为交通标志，因此车辆不会对其进行操作（从而可能酿成重大车祸）。

GhostStripe攻击有两种版本：

·GhostStripe1：无需物理访问汽车。采用跟踪系统来监控目标车辆的实时位置，并相应地动态调整LED闪烁，以确保标志无法被正确读取。

·GhostStripe2：需要物理访问汽车，在摄像机的电源线上放置一个传感器来检测取景时刻并完善定时控制以实现近乎完美的攻击。

攻击成功率超过九成。研究团队在配备Leopard Imaging AR023ZWDR（百度Apollo硬件参考设计中使用的相机）的真实道路和汽车上测试了GhostStripe攻击，发现其对停止、限速和让行标志的有效率分别为94%（第一种攻击方法）和97%（第二种攻击方法）。值得注意的是，强光环境会降低攻击的成功率，因为攻击光被环境光淹没了。研究团队表示，不法分子在计划实施此类攻击时需要仔细挑选时间和地点。

研究者表示，自动驾驶汽车制造商可以采取以下措施来缓解GhostStripe攻击：

·使用全局快门摄像头而不是卷帘快门摄像头。

·随机化摄像头曝光时间（随机线扫描）。

·采用更多摄像头交叉验证。

·在自动驾驶汽车的AI系统中加入对抗训练，使其能够识别和抵御GhostStripe攻击。

GhostStripe攻击突显了（全）自动驾驶汽车面临的安全威胁的复杂性和不确定性，这并不是马斯克的“60亿英里“自动驾驶里程能够一劳永逸解决的问题。自动驾驶技术也许能够超越平庸的司机，但同时也增加了复杂的数字攻击面。

GhostStripe可用于发起致命攻击，而这只是自动驾驶技术面临的黑客攻击的冰山一角。数据安全合规并不代表网络安全合规，网络安全合规并不代表“产品安全”，汽车行业需要与网络安全行业深度合作，通过全面、持续、深入的”渗透测试“和安全加固，才能打造出真正安全可靠的自动驾驶技术。

一条短信即可完全控制设备，工业物联网设备中广泛使用的调制解调器容易受到短信攻击

2023年11月，卡巴斯基ICS CERT部门的安全研究人员披露了有关elit Cinterion蜂窝调制解调器的一组8个独立的漏洞，其中7个的标识符为CVE-2023-47610或CVE-2023-47616，另一个尚未注册。Telit Cinterion蜂窝调制解调器广泛应用于工业、医疗保健和电信等行业，其安全缺陷可能允许远程攻击者通过短信执行任意代码。在公布安全问题之前，安全公司已于2023年2月向供应商报告了这些问题。本周六（5月11日），在柏林举行的OffensiveCon会议上，亚历山大·科兹洛夫(Alexander Kozlov)和谢尔盖·阿努弗里科(Sergey Anufrienko)将提供有关安全问题的低级技术细节，以及威胁参与者如何利用这些技术来控制易受攻击的Telit Cinterion设备。为了演示远程危害调制解调器的可能性，研究人员开发了自己的基于短信的文件系统，他们通过SUPL消息处理程序中发现的漏洞将其安装到调制解调器中。基于此，研究人员可以远程激活Over The Air Provisioning，在调制解调器上安装任意MIDlet，使用制造商提供的标准机制可以保护MIDlet不被移除，但需要调制解调器固件的完全反射来擦除它。根据这项研究的发现，研究人员计划于2024年5月发表一份关于调制解调器安全的白皮书。

卡巴CERT在漏洞通告中称，Telit Cinterion BGS5、Telit Cinterion EHS5/6/8、Telit Cinterion PDS5/6/8、Telit Cinterion ELS61/81、Telit Cinterion PLS62中存在CWE-526：通过环境变量暴露敏感信息漏洞，该漏洞可能允许本地、低特权攻击者可以访问目标系统上的敏感数据。

例如，CVE-2023-47611允许通过绕过数字签名验证以提升的权限执行代码，这对数据机密性和设备完整性构成威胁。CVE-2023-47610威胁最大，攻击者可以使用特制的短信激活该漏洞，并在未经身份验证的情况下在调制解调器上远程执行代码。在这八个漏洞中，最严重的一个漏洞是CVE-2023-47610，这是一个影响调制解调器的用户平面位置(SUPL)消息处理程序的堆溢出问题。

卡巴斯基与Telit合作，基于对技术细节的全面分析，给它打了8.8分(满分10分)。然而，NIST的评估是，该问题具有关键影响，并获得了9.8分的严重分数。通过特别制作的短信利用该漏洞的攻击者可以触发该漏洞，并在调制解调器上远程执行任意代码，而不需要身份验证。在与BleepingComputer分享的一份报告中，研究人员表示，短信界面存在于所有调制解调器上，如果知道手机运营商网络中的目标调制解调器的用户数量，就有可能访问它。

他们解释说，运营商的限制有时可能会阻止发送二进制短信，但假基站应该绕过这一限制。通过利用CVE-2023-47610通过短信执行任意代码，攻击者可以获得对调制解调器操作系统的深度访问。

“这种访问还促进了RAM和闪存的操作，增加了完全控制调制解调器功能的潜力——所有这些都不需要身份验证或需要对设备的物理访问”——卡巴斯基。

两位研究者即将进行的公开演讲《One SMS to Root Them All: Exposing Critical Threats in Millions of Connected Devices》-一条短信搞定所有：暴露数百万连接设备的严重威胁。尽管卡巴斯基研究人员发现的其他漏洞的严重性得分较低，但它们可以被用来损害具有各种功能的基于midlet的Java应用程序的完整性。

根据卡巴斯基的说法，攻击者可以通过绕过数字签名检查(CVE-2023-47611)以更高的特权(制造商级别)实现代码执行。这不仅会对数据机密性和完整性构成威胁，还会对更广泛的网络安全和设备完整性构成威胁。虽然研究的目标是Cinterion EHS5-E系列调制解调器，但由于该供应商的其他产品具有类似的软件和硬件架构，其他型号设备也受到影响。

卡巴斯基告诉BleepingComputer, Telit修复了一些已发现的漏洞，但有些仍未打补丁。卡巴斯基ICS CERT负责人叶夫根尼•冈恰洛夫(Evgeny Goncharov)表示:“我们发现的漏洞，加上这些设备在各个行业的广泛部署，突显了全球大规模破坏的可能性。”

Goncharov指出，由于调制解调器嵌入到其他解决方案中，因此确定哪些产品受到影响是一个挑战。这家安全公司有一些建议来减轻威胁，这些建议通常是通过与电信运营商合作来实现的。一种策略是禁止向受影响的设备发送短信，并使用安全配置的私有APN。卡巴斯基还建议强制应用程序签名验证，以防止在调制解调器上安装不受信任的MIDIets，并采取措施防止未经授权的物理访问设备。

微软为美国情报部门提供“物理隔离版”ChatGPT

如何将ChatGPT这样的顶流人工智能技术安全地武器化，供情报机构和军队使用？微软给出的答案是“物理隔离”。

提示注入攻击和训练数据泄露是包括ChatGPT在内的当前主流大语言模型面临的主要安全威胁，也是政府和军队将其武器化的主要障碍（虽然今年1月份OpenAI悄悄修改使用政策，默许军方和情报部门使用）。例如，美军已经禁止在内部使用ChatGPT之类的工具，因为担心军事机密可能被泄露或提取。

据彭博社报道，微软公司近日打破常规，首次部署了一款与互联网完全隔离的生成式AI模型。微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。微软的一位高管称，这是大语言模型首次完全脱离互联网运行。包括OpenAI的ChatGPT等大多数AI大语言模型都依赖云服务来学习和推理数据模式，但微软希望为美国情报界提供一个真正安全的系统。

世界各地的间谍机构都渴望利用生成式AI来帮助他们理解和分析每天生成的大量机密信息，但同时又面临着数据泄露或遭到网络攻击的风险。微软战略任务和技术首席技术官William Chappell表示，微软已将基于GPT-4的模型及其关键支持元素部署到一个与互联网隔离的“物理隔离”的（私有）云环境中。

美国情报机构官员曾多次明确表示渴望获得与当今主流生成式AI功能同样强大的工具，这类工具有望彻底改变传统情报工作。去年，美国中央情报局(CIA)在非密级层面推出了类似于ChatGPT的服务（编者：五角大楼甚至用ChatGPT撰写官网博客），但情报界需要能够处理更敏感数据的工具。上个月，美国中情局跨国和技术任务中心助理主任Sheetal Patel在范德堡大学的一次安全会议上告诉与会代表：“获取用于处理情报数据的生成式AI是一场竞赛。”她表示：“率先将生成式AI用于情报工作的国家将赢得这场竞赛，我希望是我们。”

微软在过去18个月里一直致力于该系统的开发，包括对爱荷华州一台AI超级计算机进行改造。参与该项目的电气工程师Chappell此前曾为国防高级研究计划局（DARPA）开发微系统，他表示其团队在2022年开始这项工作时并不确定该如何去做。

Chappell告诉彭博社：“这是我们第一次拥有一个‘孤立’的ChatGPT版本，这里的孤立意味着它不连接互联网，而是位于一个特殊网络上，只有美国政府才能访问。”放置在云端的GPT-4模型是静态的，这意味着它可以读取文件，但不能从中学习，也不能从开放互联网中学习。Chappell表示，通过这种方式，政府可以保持模型的“干净”，并防止秘密信息被平台吸收。“你不希望它学习你提出的问题，然后以某种方式泄露这些信息，”Chappell透露：“理论上该AI模型支持大约1万人访问。”

据悉，该服务已经于上周四上线，情报界正在对其进行测试和认证。Chappell表示：“该系统已经部署，正在回答问题，可以编写代码，这只是它能做的事情的一部分。”

汇丰银行和巴克莱银行遭黑客入侵，金融系统面临重大危机

在数字世界的暗流中，一场无声的战争正在悄然上演。近期，一个在黑客界臭名昭著的组织——IntelBroker，再次引发了网络犯罪的风波。该组织声称，已成功侵入了英国两家金融巨头——汇丰银行和巴克莱银行，窃取了大量敏感数据。目前，这些数据已经在网络的阴暗角落中流传开来，引发了金融界和广大用户的广泛关注和恐慌。

Hackread.com的消息证实，这些被窃取的信息已经在Breach Forums这个网络犯罪活动的中心被泄露，而且还在几个俄语论坛上流传。这一切，都始于2024年4月，一个未被透露姓名的第三方承包商成为了黑客的猎物。IntelBroker和他的同伙Sanggiero，如同狡猾的狐狸，窃取了各种敏感文件，包括SQL文件、源代码、数据库文件、认证文件、编译的JAR文件、JSON配置文件，甚至还有超过500,000个电子邮件地址。

据Hackread.com消息证实，这些被窃取的信息已经在Breach Forums这一网络犯罪活动中心被泄露，并且还在几个俄语论坛上广泛流传。这一切始于2024年4月，当时一个未透露姓名的第三方承包商成为黑客的猎物。IntelBroker及其同伙Sanggiero如同狡猾的狐狸，成功窃取了各种敏感文件，包括SQL文件、源代码、数据库文件、认证文件、编译的JAR文件、JSON配置文件，甚至还有超过500,000个电子邮件地址。