新闻速览

•全国网安标委公开征集SC27网络安全国际标准提案，优先AI安全、数据安全、密码算法等方向

•简化评估流程，美国国防部推出新版网络安全成熟度认证模型认证

•科技巨头遭遇数据危机，思科发生大规模信息泄露

•一款能静默16种EDR工具的红队工具正在成为攻击者新宠

•新型恶意软件利用合法签名证书逃避安全检测

•警惕！黑客借道Bitbucket等合法代码托管平台传播恶意软件

•Splunk发布安全更新，修复多个可导致远程代码执行的关键漏洞

•WordPress流行插件中发现严重安全漏洞，或影响2700万网站安全性

•开发者注意：Next.js框架的图像优化功能缺陷或可导致服务器瘫痪

•Netgear  WiFi扩展器曝严重安全漏洞，可被攻击者远程控制

特别关注

全国网安标委公开征集SC27网络安全国际标准提案，优先AI安全、数据安全、密码算法等方向

ISO/IEC JTC1/SC27（以下简称“SC27”）是国际上专门负责网络安全领域标准研制工作的技术组织，具体负责开展信息安全、网络安全和隐私保护领域的国际标准研制工作。全国网络安全标准化技术委员会（以下简称“网安标委”）承担SC27国内技术业务工作，负责统筹协调和组织参加网络安全领域国际标准化活动。

为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，网安标委秘书处现组织开展SC27国际标准提案（以下简称“提案”）征集工作，面向网络安全领域产学研用等相关单位征集提案，提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域，具体申报要求如下：

（一）提案申报单位应在相关领域具有较强研究能力和丰富实践经验；

（二）提案应有标准化相关基础，提案研究内容、范围和拟解决的问题清晰明确；

（三）提案应具有通用性，并充分论证其技术成果与国内外同类技术比较的优势特点和推广价值，与现有该领域国际标准间的关系，以及提案提出后对国内外技术发展和行业带来的预期影响和效益；

（四）提案标准文本内容应完整规范，具有一定成熟度。

有意申报提案单位，可通过下方链接阅读完整通知并提交申请。

申报链接：

https://mp.weixin.qq.com/s/S5rRUiR4yt1LmwKgG1sO4w

热点观察

简化评估流程，美国国防部推出新版网络安全成熟度认证模型认证

美国国防部近日宣布推出新版网络安全成熟度模型认证（CMMC），旨在简化政府承包商的网络安全评估流程，同时确保其符合安全标准。新版CMMC将评估级别从原有的五个减少到三个，以简化中小型企业的认证过程。其中，前两个级别可通过自我评估工具完成，也可选择在第三方安全提供商的协助下进行，而最高级别的评估仍需由国防工业基地网络安全评估中心执行。

据介绍，CMMC的主要目的是验证承包商是否遵守联邦合同信息（FCI）和受控未分类信息（CUI）的保护规定，并确保这些信息在面对包括高级持续性威胁在内的网络安全威胁时得到适当保护。而值得注意的是，CMMC还提供了追究责任的工具，针对那些故意歪曲网络安全实践或协议，或故意违反监控和报告网络安全事件和漏洞义务的实体或个人。这一举措旨在提高承包商的网络安全意识和责任感。

虽然CMMC规则目前仅适用于与国防部合作的公司，但考虑到五角大楼在商业世界中的巨大影响力，预计许多遵守新规则的公司也可能将这些标准应用于其私营部门业务，从而对整个行业的网络安全实践产生深远影响。

原文链接：

https://www.scmagazine.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors

科技巨头遭遇数据危机，思科发生大规模信息泄露

近日，英特尔经纪人（Intel Broker）黑客组织声称已成功入侵科技巨头思科系统公司，并窃取了大量敏感数据。这一声明引发了安全界的高度关注。

该组织称，此次攻击发生于2024年10月10日。被盗数据涉及范围广泛，包括来自GitHub、GitLab和SonarQube的源代码、硬编码凭证、SSL证书及公私钥，内部机密文件，以及AWS、Azure存储桶和API令牌等。黑客声称正在以门罗币（XMR）方式出售这些数据，并愿意使用中介来确保交易的匿名性。

截至目前，思科尚未对这一声明作出官方回应。如果这次数据泄露得到证实，或将对思科公司造成严重影响，可能引发一系列安全和信任危机。

“英特尔经纪人”以往曾多次声称成功入侵高知名度的目标，包括苹果、AMD和欧洲刑警组织等。尽管其真实身份不明，但美国政府曾指控其参与了T-Mobile的数据泄露事件。

原文链接：

https://hackread.com/intel-broker-cisco-data-breach-selling-firms-data/

网络攻击

一款能静默16种EDR工具的红队工具正在成为攻击者新宠

近日，趋势科技的研究人员在一起网络攻击事件中发现，攻击者正在使用一种名为EDRSilencer的红队操作工具来识别安全软件并静默其管理控制台的警报，这表明攻击者正尝试将EDRSilencer应用于网络攻击以规避EDR检测。

EDRSilencer是一个开源工具，灵感来自MdSec NightHawk FireBlock。它能够检测正在运行的端点检测与响应（EDR）进程，并利用Windows过滤平台（WFP）监控、阻止或修改网络流量。通过设置自定义规则，攻击者可以干扰EDR工具与其管理服务器之间的数据交换，从而阻止警报和详细遥测报告的发送。

最新版本的EDRSilencer可以检测并阻止16种现代EDR工具，包括Microsoft Defender、SentinelOne、FortiEDR等。成功使用EDRSilencer后，恶意软件或其他恶意活动能够保持未被检测状态，增加了成功攻击而不被发现或干预的可能性。

为应对这一威胁，趋势科技建议在检测时将EDRSilencer工具标记为恶意软件，以在攻击者禁用安全工具之前阻止它。此外，研究人员还建议实施多层次的安全控制，使用提供行为分析和异常检测的安全解决方案，寻找网络中的妥协迹象，并应用最小权限原则。

原文链接：

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

新型恶意软件利用合法签名证书逃避安全检测

HarfangLab安全研究人员对10月出现的Lumma Stealer恶意软件调查时发现，攻击者正在滥用真实合法的代码签名证书来规避安全检测。该恶意软件通过HijackLoader加载器进行传播，采用假验证码攻击手法，诱使受害者访问恶意网站，并在其不知情的情况下执行有害的PowerShell命令。这些命令会下载并运行包含DLL旁加载包的ZIP档案，随后执行HijackLoader。

研究人员在检测到的一个HijackLoader样本中发现，该恶意软件使用了合法的代码签名证书。研究人员采用了多种技术来识别被滥用的代码签名证书。他们首先分析了已知HijackLoader C2主机名，如quickworld[。]shop，识别访问这些URL的签名可执行文件。此外，他们还分析了恶意样本的二进制元数据，注意到一些样本冒充合法软件如”Wise Folder Hider”。通过这些方法，研究人员共发现了五个被滥用的证书。使用签名的恶意软件显著降低了安全产品的检测率。

这一事件凸显了仅依赖代码签名来判断软件可信度的不足。安全专家建议采用多层次的检测策略，包括行为监控和端点内存扫描，以应对这类复杂的威胁。

原文链接：

https://cybersecuritynews.com/hackers-abuse-genuine-code-signing-certificates/

警惕！黑客借道Bitbucket等合法代码托管平台传播恶意软件

安全公司G DATA的研究人员近日揭露了一项复杂的恶意软件活动，黑客正利用流行的代码托管平台Bitbucket向毫无防备的受害者传播危险的恶意程序。这一发现表明，即便是受信任的合规平台也存在被黑客利用的潜在风险。

该恶意软件活动是一种多阶段攻击，黑客首先通过Bitbucket仓库托管恶意文件，例如AsyncRAT远程访问木马等，然后通过包含混淆VBScript附件的钓鱼邮件诱骗用户。一旦这些脚本被执行，就会触发一系列操作，最终导致从Bitbucket仓库下载并执行AsyncRAT。

除AsyncRAT外，研究人员还发现多种恶意软件家族利用Bitbucket进行传播，包括Predator stealer、Azorult信息窃取工具、STOP勒索软件和加密货币挖矿工具等。这种利用合法平台分发恶意软件的方法为攻击者提供了便利，同时降低了被安全解决方案检测的可能性。

为应对这类威胁，专家建议用户和组织在下载来自公共仓库的文件或脚本时保持警惕，即使是在Bitbucket这样可信的平台上。同时，实施强有力的邮件过滤、及时更新软件以及使用可靠的安全解决方案也可以帮助降低风险。

原文链接：

https://cybersecuritynews.com/hackers-abusing-bitbucket-code-hosting-platform/

安全漏洞

Splunk发布安全更新，修复多个可导致远程代码执行的关键漏洞

近日，Splunk公司发布了一系列重要安全更新，修复了其产品中的多个严重安全漏洞，这些漏洞可能允许攻击者在受影响的系统上执行远程代码，涉及Splunk Enterprise和Splunk Cloud Platform的多个版本。

其中一个较为关键的漏洞编号为CVE-2024-45733，主要影响Splunk Enterprise for Windows版本低于9.2.3和9.1.6的用户。该漏洞允许低权限的非管理员用户，也可能由于不安全的会话存储配置导致远程代码执行。

另一个关键漏洞CVE-2024-45731影响Splunk Enterprise for Windows版本低于9.3.1、9.2.3和9.1.6。该漏洞使低权限用户能够在Splunk安装在不同驱动器时，将文件写入Windows系统根目录，可能导致恶意DLL被加载，从而实现远程代码执行。

第三个值得注意的漏洞CVE-2024-45732影响多个版本的Splunk Enterprise和Splunk Cloud Platform。它允许低权限用户在SplunkDeploymentServerConfig应用中以”nobody”用户身份运行搜索，可能访问受限数据。

为应对这些安全威胁，Splunk已发布安全更新并强烈建议用户立即升级到最新版本。而对于无法立即更新的用户，Splunk建议采取以下缓解措施：

• 在受影响的系统上禁用Splunk Web，特别是在分布式环境中的索引器上；
• 在SplunkDeploymentServerConfig应用中修改local.meta文件，以限制对知识对象的写入访问；
• 确保Splunk Enterprise不安装在与系统驱动器不同的磁盘上。

原文链接：

https://cybersecuritynews.com/splunk-vulnerabilities-remote-code/

WordPress流行插件中发现严重安全漏洞，或影响2700万网站安全性

Jetpack插件由WordPress.com背后的Automattic公司开发，提供多种功能以提升网站的性能、安全性和功能性，在WordPress生态系统中非常流行。近日，该插件爆出一个严重安全漏洞，允许已登录用户查看同一网站上其他用户提交的表单内容，或影响高达2700万个网站的数据安全。

据Automattic公司介绍，这个严重漏洞存在于插件的联系表单功能中，影响自3.9.9版本以来的所有Jetpack版本，直到在最新的13.9.1版本中得到修复。这个漏洞是在公司的一次内部安全检查中被发现的。自2016年3.9.9版本发布以来，任何已登录的用户都可能利用此漏洞查看网站访客提交的表单内容。

尽管目前没有证据表明该漏洞在实际环境中被利用，但插件维护者警告说，随着更新的发布，可能会有人尝试利用此漏洞。为应对这一安全威胁，Jetpack插件已发布更新修复了这个漏洞。大多数使用该插件的网站已经或即将自动更新到最新版本。

原文链接：

https://securityaffairs.com/169848/uncategorized/wordpress-jetpack-plugin-critical-flaw.html

开发者注意：Next.js框架的图像优化功能缺陷或可导致服务器瘫痪

10月14日，流行的React框架Next.js被发现存在一个严重的安全漏洞，该漏洞可能允许攻击者通过其图像优化功能耗尽服务器CPU资源，从而导致拒绝服务（DoS）攻击。

Next.js的图像优化功能旨在通过自动调整大小、优化和以现代格式提供图像来提升应用性能。然而，这一功能中的缺陷可能被攻击者利用，导致过度的CPU消耗，使受影响的应用程序无法响应。

Next.js的开发公司Vercel已经迅速就此做出反应，发布了14.2.7版本的补丁来修复此问题。鉴于Next.js在当前网络开发中的广泛应用，建议使用该框架的开发人员和组织立即检查其实现情况，并应用必要的更新，以确保应用程序的安全性和稳定性。

原文链接：

https://cybersecuritynews.com/next-js-image-optimization-vulnerability/

Netgear WiFi扩展器曝严重安全漏洞，可被攻击者远程控制

近日，安全研究人员在多款流行的Netgear WiFi扩展器中发现存在严重安全漏洞，可能允许攻击者在受影响设备上执行恶意命令。这些漏洞被追踪为CVE-2024-35518和CVE-2024-35519，影响运行旧版固件的Netgear EX6120、EX6100和EX3700型号扩展器。

最严重的漏洞CVE-2024-35518影响运行固件版本1.0.0.68及可能更早版本的Netgear EX6120 AC1200双频WiFi范围扩展器。该漏洞允许远程攻击者通过genie_fix2.cgi文件中的wan_dns1_pri参数注入命令，可能获得对设备的完全控制权。另一个相关漏洞CVE-2024-35519则影响了多个Netgear扩展器型号，包括EX6120、EX6100和EX3700，使得通过operating_mode.cgi文件中的ap_mode参数进行命令注入成为可能。

目前，Netgear公司已官方确认这些漏洞，并紧急发布了固件更新以解决问题。受影响的Netgear扩展器用户可以通过Netgear支持网站或设备管理界面检查并安装固件更新。

原文链接：

https://cybersecuritynews.com/wifi-extender-vulnerability-malicious/