快讯 -万博在线

据cybersecuritynews消息，研究人员发现一种名为 “双击劫持” 的新型网络攻击。它是在传统点击劫持基础上演变而来，通过利用双击操作序列绕过现有点击劫持保护措施，使众多在线平台面临风险。攻击者先创建含特定按钮的网站，诱使用户点击按钮后出现看似无害的双击提示，在用户双击过程中，操纵时间和事件序列，将顶层浏览器窗口替换为敏感页面，如 oauth 授权对话框或账户设置确认页，用户的第二次点击便会在不知情下授权恶意操作，从而使攻击者得以接管账户。

据cybersecuritynews消息，一名自称 “nsa_employee39” 的黑客在 x 上宣称泄露了 7-zip 的关键零日漏洞，利用该漏洞，攻击者可在受害者用最新版 7-zip 打开或解压文件时执行任意代码，其针对 7-zip 的 lzma 解码器，通过畸形 lzma 流触发函数 rc_norm 的缓冲区溢出。此漏洞为信息窃取恶意软件提供新感染途径，还可能威胁供应链等，风险极大。不过 7-zip 创作者 igor pavlov 称相关报告是假的，否认存在该漏洞，而 “nsa_employee39” 后续又强调是概念验证。目前官方补丁未出。

据cybersecuritynews消息，研究人员在 d-link dir-823g 路由器（固件版本 1.0.2b05_20181207）的 web 管理界面发现关键漏洞（cve-2024-13030）。该漏洞源于 hnap1 端点下各功能访问控制实施不当，像设置自动重启、客户端信息等多个操作易受操纵。攻击者可远程未经授权访问、修改设置或控制路由器，无需认证，可能导致更广泛网络受侵。其按不同 cvss 版本评分，严重性较高。漏洞利用方式已公开，风险加剧，而 d-link 尚未提供补丁。

据cybersecuritynews消息，福特汽车公司的官方 x（原推特）账号于周一疑似被入侵。用户分享的截图显示，包括亲巴勒斯坦的消息等未经授权的内容在该账号上短暂出现后被迅速删除。这一事件引发广泛关注，用户纷纷猜测事件性质，截至目前，福特汽车公司和 x 均未发布官方声明确认或回应此次疑似黑客攻击事件，账号目前似乎已恢复控制且违规帖子已删除。

据cybersecuritynews消息， squarex 在约一周前报告了针对 chrome 扩展开发者的大规模攻击趋势。12 月 25 日，cyberhaven 的恶意浏览器扩展在 chrome 商店发布，攻击者借此劫持认证会话并窃取机密信息，其攻击方式为通过钓鱼邮件诱导开发者连接谷歌账户至 “隐私政策扩展”，从而获取编辑、更新和发布权限。squarex 研究人员此前已在 defcon 32 展示 mv3 兼容 chrome 扩展的关键漏洞及攻击手段。鉴于此，squarex 强烈建议组织和用户谨慎安装和更新浏览器扩展，并进行全面安全审查。

据cybersecuritynews消息，微软提醒用户windows 11 24h2 更新出现一个关键漏洞，该漏洞于 2024 年 12 月 24 日被发现，具体影响使用光盘、u 盘等物理介质进行的安装操作。若使用包含 2024 年 10 月 8 日至 11 月 12 日期间安全更新的介质安装 windows 11 24h2 版本，安装后设备将无法接受后续安全更新，易受网络威胁。不过通过 windows update 或微软更新目录直接接收更新的系统不受影响。微软已承认问题严重性并积极解决。

据cisa消息，cisa 基于活跃利用的证据，将一项新漏洞（cve-2024-3393 palo alto networks pan-os 畸形 dns 数据包漏洞）添加至其已知被利用漏洞目录。此类漏洞常被恶意网络行为者用作攻击向量，对联邦企业构成重大风险。bod 22-01 建立该目录，要求联邦民用行政部门机构在截止日期前修复已识别漏洞，以抵御活跃威胁。虽 bod 22-01 仅适用于联邦民用行政部门机构，但 cisa 敦促所有组织将及时修复目录漏洞作为漏洞管理实践的一部分，以降低网络攻击风险。

据cybersecuritynews消息，12 月中旬起，黑客入侵至少 16 款 chrome 浏览器扩展程序，超 60 万用户面临数据被盗风险。加州数据保护公司 cyberhaven 率先确认，其员工遭钓鱼攻击致凭证泄露，黑客借此发布含窃取敏感信息代码的恶意版本。受影响扩展涵盖 ai、vpn、生产力工具等多类别。恶意代码在 12 月 24 日至 26 日活跃约 25 小时。cyberhaven 已采取通知客户、引入外部机构分析等应对举措。此次事件凸显扩展程序安全脆弱，各方需加强防范。

据cybersecuritynews消息，大众汽车因旗下软件子公司 cariad 系统配置错误，致使 80 万电动车车主个人信息意外泄露，包括位置数据、万博在线的联系方式等，其中精确的 gps 数据可构建详细出行轨迹。此次由德国黑客组织 “混沌计算机俱乐部” 发现并告知大众，使其能在数据遭恶意利用前处理。这一事件凸显汽车行业数据隐私问题受关注，此前也有多起车企安全事故。

据securitybrief消息，let s encrypt 宣布从明年起将开始提供为期 6 天的证书。如今，谷歌、苹果等科技巨头都提议缩短公钥 tls 证书时长，let s encrypt 此举顺应行业缩短证书有效期趋势，旨在增强网络安全、降低证书遭泄露风险。不过，这也带来新挑战，因其需企业采用新流程与工具，多数企业缺乏应对大规模转变的资源，且业内担忧会加剧管理难题、引发混乱等。但也有乐观声音，称相关问题是可解决的，安全团队可借助多种服务实现有效管理。

据hackread消息，新闻网站 nftevening 与 nft 市场的数据和分析平台 storible 合作开展研究，利用基于云的服务器训练神经网络 30 天，测试长短期记忆网络（lstm）能否破解加密货币种子短语。研究发现，该神经网络每秒可进行 994,051 次猜测，能在 0.02 秒内恢复一个缺失单词，29 秒恢复两个单词，2.28 小时恢复三个单词，恢复四个单词最多需 178 小时。但即便如此，由于种子短语组合数量巨大，破解八个缺失单词所需时间是宇宙年龄的 174 倍，目前 ai 对加密货币种子短语安全尚未构成威胁。

据thehackernews消息，美国司法部本周公布的一份起诉书显示，29 岁的junior barros de oliveira遭到指控。据悉，2020 年 3 月，他入侵了一家位于新泽西州公司的巴西子公司网络，窃取约 30 万客户的机密信息，并至少三次利用访问权限作案。当年 9 月，他化名给该公司首席执行官发邮件，索要 300 枚比特币（当时价值约 320 万美元），以换取不售卖数据，后续还转发消息并索要 “咨询费” 等。

据thehackernews消息，palo alto披露了一个影响 pan-os 软件的高严重性漏洞（cve-2024-3393，cvss 评分 8.7），该漏洞可导致易受攻击设备出现拒绝服务（dos）状况，波及 pan-os 10.x 和 11.x 版本以及运行 pan-os 版本的 prisma access。目前已在部分 pan-os 后续版本中修复此漏洞，且修复也扩展到了其他常用维护版本，不过 pan-os 11.0 因已到生命周期结束状态无修复措施。公司表示发现该漏洞在生产使用中出现问题，已知有客户遇到相关 dos 情况。建议相关用户尽快更新。

据securitybrief消息，卡巴斯基发现黑客组织 lazarus部署的名为 “cookieplus” 的新恶意软件，正瞄准核、航空航天及国防领域员工。该软件是 “梦幻工作” 行动的最新迭代，已历经五年多演变，伪装成知名国防和航空航天公司的技能评估，威胁核组织的数据安全及存在间谍风险。此恶意软件采用复杂多阶段攻击法，能躲避检测、收集关键系统信息等。

据thecyberexpress消息，日本航空公司（jal）遭网络攻击，其内部与外部网络连接的设备出现问题，致使通信系统故障，影响国内外航班运营，超 40 个航班出现延误，公司还暂停当日出发航班的售票并停用手机应用。不过，jal 强调航班安全未受影响，且无客户数据泄露或病毒破坏情况。事发 90 分钟内，jal 关闭受影响路由器防止进一步损害。随后其恢复当日售票及相关系统。此外，jal 已迅速展开调查，但暂无组织对此负责。

据securitybrief消息，卡巴斯基曝光了一起针对脸书商业推广用户的钓鱼诈骗。12 月 14 日起，诈骗邮件伪装成 “meta for business” 发送给企业，称其页面有违禁内容，需解释以防账号被封，实则意在窃取账号。这些邮件 “发件人” 非脸书官方域名，来源多样，还诱使收件人前往脸书 messenger，以假支持团队骗取信任。卡巴斯基专家称此类诈骗愈发复杂，预计 2025 年这类利用社交平台信任的攻击会增多。专家提醒用户保持警惕，勿点可疑链接，开启双重认证等。

据securitybrief消息，cisa发布新指令，要求联邦机构采用安全云业务应用（scuba）安全配置基线，率先从微软 365 开始。该指令即《约束性操作指令 25-01》，旨在加强使用云和 saas 服务的联邦机构的安全框架，应对针对这些环境的日益增长的网络攻击威胁，设定了 2025 年 2 月、4 月和 6 月三个合规期限。appomni 首席安全官 cory michal 称此指令是必要之举，但也指出联邦机构在执行时可能面临期限、资金和技能短缺等挑战。随着 saas 应用成为攻击新目标，该指令对保障联邦机构安全至关重要。

据helpnetsecurity消息，lookout 报告指出网络犯罪转向攻击移动设备，移动威胁剧增。企业凭证盗窃与钓鱼尝试环比增 17%，恶意应用检测环比增 32%，且 ios 设备在钓鱼攻击中比安卓更易受袭，2024 年 q3 其被攻击比例达 18.4%，安卓为 11.4%。中俄 apt 组织开发的超 106000 个恶意应用被检测出，常见漏洞集中于 chromium 浏览器及部分应用。因 ios 在企业中更普及受关注，而恶意软件发展迅猛，组织急需先进移动防御策略保护设备及关联敏感数据与系统。

据hackread消息，iproov 揭露暗网重大操作，有人收集真实身份文件与面部图像以绕过 kyc 验证。该暗网组织通过有偿获取方式，在拉美和东欧等地收集大量身份信息，用于出售获利。攻击者手段从简单静态图像到深度伪造软件和定制 ai 模型不断升级，对依赖生物识别验证的机构构成重大挑战。同时，近期 zkteco 和 chicedna 等公司也曝出生物识别数据泄露事件。

据cybersecuritynews消息，，ibm 报告其 aix 操作系统存在漏洞，会导拒绝服务（dos）状况，具体涉及 tcp ip 和 perfstat 内核扩展，对应 cve-2024-47102 与 cve-2024-52906 两个漏洞编号。前者因输入验证不当，后者因存在竞争条件所致，二者均允许非特权本地攻击者触发 dos，cvss 基础评分均为 5.5，属中等严重程度，利用复杂度相对低。受影响的产品版本涵盖 aix 7.2、7.3 及 vios 3.1、4.1 等。ibm 建议用户查受影响文件集并更新至无漏洞版本，管理员需关注公告来防系统中断。