关键信息基础设施安全动态周报【2021年第38期】
发布时间:
2021-09-24
来源:
作者:
天地和兴
访问量:
173
目 录
第一章 国内关键信息基础设施安全动态
(一)海康威视摄像头存在严重漏洞,可被黑客远程攻击
第二章国外关键信息基础设施安全动态
(一)美国农业合作社遭受BlackMatter勒索软件攻击,预计食品供应链中断
(二)美国农业合作社Crystal Valley遭受勒索软件攻击
(三)Nagios网络管理产品中存在漏洞给组织带来严重风险
(四)法国集装箱航运公司CMA CGM再次遭受网络攻击
(五)以色列通信巨头Voicenter遭受黑客攻击
(六)德国选举机构遭受网络攻击
(七)Turla APT组织使用新后门攻击阿富汗、德国和美国
(八)黑客使用AsyncRAT攻击航空业并窃取登录凭据
(九)Vmware修复了vCenter Server中存在的严重漏洞
(十)美国制裁勒索软件团伙使用的加密货币交易所Suex
(十一)CISA及FBI警告Conti勒索软件攻击增加
(十二)Netgear SOHO路由器存在高危远程代码执行漏洞
(十三)新型恶意软件Capoae利用多个漏洞攻击Linux系统及Web应用程序
(十四)网络托管服务商Exabytes遭受勒索软件攻击导致部分服务中断
(十五)Apache OpenOffice中存在远程代码执行漏洞
(十六)Microsoft Exchange协议漏洞导致数十万凭据泄露
(十七)网络语音提供商VoIP.ms遭受DDoS攻击导致服务中断
(十八)美国共和党州长协会(RGA)电子邮件系统遭受入侵
(十九)阿拉斯加州卫生与社会服务部披露近期针对其系统的APT攻击活动
第一章 国内关键信息基础设施安全动态
(一)海康威视摄像头存在严重漏洞,可被黑客远程攻击
超过70款海康威视摄像机和NVR(网络视频录像机)受到一个严重漏洞的影响,黑客可以在没有任何用户交互的情况下远程控制设备。
该漏洞编号为CVE-2021-36260,是由一位名为Watchful IP的英国研究人员发现的。这位研究人员在周末发表了一篇博客文章,但没有公布任何防止滥用的技术细节。
攻击者可以利用该漏洞获得超级用户访问权限并完全控制设备,攻击者还可以使用受损设备访问内部网络。
这位研究人员警告表示,“考虑到这些摄像头部署在敏感地点,甚至关键基础设施也可能面临风险。只需要访问http(S)服务器端口(通常为80/443),相机所有者不需要用户名或密码,也不需要启动任何操作。它不会被摄像机本身的任何登录检测到。”
海康威视将其描述为一个命令注入漏洞,由输入验证不足引起的,可以使用专门制作的消息加以利用。如果攻击者可以通过网络访问设备,或者设备暴露在互联网上,就有可能被利用。该问题影响到旧款的和新款的海康威视摄像机和NVR,受影响的产品列表已经公布。
该漏洞在6月份被报告给了供应商,并于9月19日发布了一份公告,宣布固件补丁的可用性。研究人员表示,“打了补丁的固件部分可用,尽管在各种海康威视固件门户上部署的情况并不一致。”
参考来源:SecurityWeek http://33h.co/wc9s3
第二章 国外关键信息基础设施安全动态
(一)美国农业合作社遭受BlackMatter勒索软件攻击,预计食品供应链中断
BlackMatter勒索软件团伙攻击了农民饲料和谷物合作社NEW Cooperative,并要求支付590万美元的赎金。勒索软件团伙声称窃取了1,000 GB数据,包括soilmap.com项目的源代码、财务信息、网络信息、研发结果、敏感员工信息、法律和执行信息以及KeePass导出。如果在五天内没有支付赎金,勒索软件运营商威胁要赎金翻倍,增加到1180万美元。
NEW Cooperative确认,勒索软件感染了其部分系统,该组织已使其系统离线,以防止威胁扩散。NEW Cooperative还声称成功地遏制了这一威胁,并已通知执法部门,并聘请网络安全专家调查此次攻击。
BlackMatter集团于7月底开始运作,该团伙声称是Darkside和Revil集团的继任者。与其他勒索软件操作一样,BlackMatter还建立了其泄密网站,在对受害者的系统进行加密之前,它将在那里公布从受害者那里泄露的数据。
BlackMatter勒索软件的诞生最先是由Record Future的研究人员发现的,该团伙正在利用在Develope和XSS等两个网络犯罪论坛上发布的广告,建立一个附属网络。
该组织正在招募能够进入大型企业网络的骗子,这些企业的年收入在1亿美元或更高,试图用其勒索软件感染他们。该组织正在美国、英国、加拿大或澳大利亚寻找企业网络。
一位NEW Cooperative代表表示,“就背景而言,这次攻击的影响可能比管道攻击严重得多,考虑到它已经造成的破坏,我们无法控制这种影响。”
参考来源:BleepingComputer http://33h.co/wc2fg
(二)美国农业合作社Crystal Valley遭受勒索软件攻击
美国明尼苏达州农业供应合作社Crystal Valley遭遇了勒索软件攻击,这是几天内第二个遭到勒索软件攻击的农业合作社。目前,尚未披露感染该公司系统的勒索软件家族。
Crystal Valley农业合作社为明尼苏达州和爱荷华州的农民提供服务。明尼苏达州报告称,该合作社为2,500名农民和牲畜生产者提供服务,并拥有260名员工。据合作社称,攻击发生在周日,为了应对感染,该公司关闭了IT系统。
该合作社暂停了所有使用Visa、Mastercard和Discover信用卡的付款。
本月早些时候,联邦调查局发布了一份私营行业通知(PIN),警告针对食品和农业部门的勒索软件攻击会扰乱其运营,造成财务损失并对整个食品供应链产生负面影响。
小型农场、大型生产商、加工商和制造商以及市场和餐馆特别容易受到勒索软件攻击。
参考来源:SecurityAffairs http://33h.co/wcx2r
(三)Nagios网络管理产品中存在漏洞给组织带来严重风险
Claroty研究人员在Nagios广泛使用的网络管理产品中发现了11个漏洞,这些漏洞可能对组织构成严重风险,因为这些类型的产品可能成为恶意行为者的诱人目标。
这些漏洞是由工业网络安全公司Claroty的研究人员发现的,这是一个研究项目的一部分,该项目专注于在IT、OT和物联网网络中使用网络管理系统。
已发现安全漏洞会影响Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard。Nagios在8月份为每种受影响的产品发布了补丁。
Nagios Core是一个用于监控IT基础设施的开源工具,Nagios XI是一个商业版本,它扩展了Core版本的功能。Nagios表示,其软件被全球数千家组织使用,其中包括一些主要品牌,如Verizon和IBM。
Claroty对该产品进行了分析,发现了11个漏洞,可用于服务器端请求伪造(SSRF)、欺骗、访问信息、本地权限提升和远程代码执行。
Claroty创建了一个概念验证(PoC)漏洞攻击,显示了经过身份验证的攻击者如何链接某些漏洞,从而以root用户权限执行shell命令。
虽然攻击在许多情况下需要身份验证,但Claroty指出,Nagios具有自动登录功能,管理员可以使用该功能设置只读账户,任何用户都可以在没有凭据的情况下连接到这些账户。
Claroty警告表示,“虽然此功能可能对NOC(网络运营中心)有用,但允许用户在不需要凭据的情况下轻松连接到平台并查看信息,也允许攻击者访问平台中的用户帐户,从而使任何身份验证后漏洞在未经验证的情况下都可被利用。”
Claroty强调了影响SolarWinds和Kaseya的事件,以强调使用第三方IT管理产品带来的风险。
参考来源:SecurityWeek http://33h.co/wc9rq
(四)法国集装箱航运公司CMA CGM再次遭受网络攻击
法国集装箱航运公司CMA CGM再次遭受网络攻击,距离上次重大攻击事件仅不到一年时间。
这家法国集装箱公司告诉客户,他们有限的客户遭受了信息泄露,包括姓名、雇主、职位、电子邮件地址和电话号码。CMA CGM表示,其IT团队已经立即开发并安装了安全补丁。
CMA CGM建议客户不要分享他们的账户密码或任何个人信息。客户还被要求检查要求登录运营商平台的电子邮件的真实性,特别是如果要求重置密码。
去年9月底,CMA CGM遭到勒索软件攻击,导致其大部分IT基础设施瘫痪。
近年来,全球所有顶级班轮包括Maersk、MSC、Cosco和CMA CGM,都遭遇了黑客袭击,造成了巨额损失。
参考来源:Splash247 http://33h.co/wcmab
(五)以色列通信巨头Voicenter遭受黑客攻击
据当以色列地媒体报道,一名叫做Deus的身份不明的黑客在一个互联网论坛上透露,他侵入了以色列通信巨头Voicenter的系统,并窃取了15TB数据。黑客将这些信息挂牌出售,并发布了数百个窃取的私人数据的示例。
Ynet News表示,Voicenter在18日发生了重大网络攻击,此次攻击使许多接受该公司服务的公司的通信系统陷入瘫痪,软件巨头Check Point、移动网络运营商Partner、Mobileye、Expon、we4G、SimilarWeb、AllJobs和Gett都是与Voicenter合作的公司。
该公司19日向其客户发送短信,称此次攻击“来自国外的黑客”。不过Voicenter声称此次攻击并未影响其工作。“据我们所知,这起事件没有造成任何信息泄露。”
然而据Ynet News报道,Voicenter的许多客户,包括we4G和Expon,都报告了黑客入侵后的客户服务故障。
这已经不是以色列公司和私营和公共机构第一次成为网络攻击者的目标了。
参考来源:MiddleEastMonitor http://33h.co/wc92e
(六)德国选举机构遭受网络攻击
据报道,负责德国9月26日大选的管理机构在八月底遭受了网络攻击,导致服务暂时中断。
该机构一位发言人表示,“在8月底,由于出现故障,联邦选举网站只能访问几分钟。我们对问题进行了分析,并相应地进一步进行了技术验证。通过联邦选举网站向公众提供的信息都得到了保证。”
该网站用于发布官方投票结果,遭到分布式拒绝服务攻击。由于政府技术人员实施了防御,此次攻击并未影响用于管理选举的IT基础设施。联邦检察官办公室已对这起事件展开调查。政府官员最近将国会议员遭受的间谍活动归咎于俄罗斯国家资助的黑客。
9月初,德国就一系列旨在窃取立法者数据的网络攻击向俄罗斯正式提出抗议,这些数据可用于在即将到来的德国大选前安排虚假宣传活动。
德国外交部发言人Andrea Sasse表示,威胁行为者Ghostwriter在针对德国的攻击中一直“将传统的网络攻击与攻击信息和影响行动结合起来”。据称由国家资助的黑客对联邦和州立法者进行了网络钓鱼攻击,以窃取他们的个人登录信息。
Sasse表示,“这些攻击可以作为影响行动的准备,例如与议会选举有关的虚假宣传活动。德国政府掌握了可靠信息,根据这些信息,Ghostwriter活动可以归因于俄罗斯国家的网络行为者,特别是俄罗斯GRU军事情报部门。这种不可接受的活动对德意志联邦共和国的安全和民主决策过程构成威胁,并对双边关系造成严重压力。”
柏林政府呼吁克里姆林宫立即停止这些活动。德国政府认为这些袭击是完全不可接受的,并警告说,如果袭击不结束,可能会做出回应。
今年3月,德国《明镜周刊》透露,德国议会多名议员的电子邮件帐户遭到鱼叉式网络钓鱼攻击,攻击者被怀疑是在俄罗斯军事特勤局GRU控制下工作的Ghostwriter组织的黑客。7月,德国国内情报机构负责人证实,网络钓鱼攻击针对的是联邦和州立法者及其工作人员的私人电子邮件帐户。
参考来源:SecurityAffairs http://33h.co/wizz0
(七)Turla APT组织使用新后门攻击阿富汗、德国和美国
Cisco Talos研究人员发现,与俄罗斯有关的APT组织Turla最近使用了一种名为TinyTurla的新后门,针对美国、德国和阿富汗进行了一系列攻击。至少从2020年开始攻击者就在使用该后门。
针对阿富汗实体的袭击发生在塔利班最近接管该国政府和美国及其盟友撤出所有军事力量之前。Talos推测,恐怖分子的目标是前阿富汗政府。
如果主要的Turla恶意软件被删除,以前未被发现的后门很可能被民族国家行为者用作第二次机会后门。后门允许攻击者保持对受感染系统的访问,也可以用作第二阶段投放器,来提供额外的有效载荷。
Talos表示,“攻击者在受感染的机器上安装了后门作为服务。他们试图像现有的Windows服务一样,将该服务命名为Windows Time service,以在检测下运行。后门可以从受感染的系统中上传、执行文件或过滤文件。在对该恶意软件的审查中,后门每5秒通过HTTPS加密通道联系命令和控制(C2)服务器,以检Turla APT组织又名Snake、Uroburos、Waterbug、Bear和KRYPTON,至少自2004年以来一直活跃,目标是中东、亚洲、欧洲、北美和南美以及前苏联集团国家的外交和政府组织以及私营企业。此前已知的受害者包括五角大楼、瑞士防务公司RUAG、美国国务院、欧洲政府实体和美国中央司令部。查是否有来自操作员的新命令。”
研究人员尚未发现TinyTurla后门是如何安装在受害者系统上的。攻击者使用.bat文件传递后门,该后门以名为w64time.dll的服务DLL的形式出现。TinyTurla实现了多种功能,比如上传和执行文件和有效负载、创建子进程以及渗漏数据。
参考来源:SecurityAffairs http://33h.co/wcwfi
(八)黑客使用AsyncRAT攻击航空业并窃取登录凭据
Cisco Talos研究人员检测到一项持续针对航空业的恶意活动。该活动名为Operation Layover,不断针对航空航天和旅游行业,并传播积极利用的加载程序的鱼叉式网络钓鱼电子邮件,并使用RevengeRAT或AsyncRAT。
威胁行为者在钓鱼电子邮件中表示自己是这些行业中的合法公司,并附带一个带有封闭链接的.PDF文件,该文件携带恶意VBScript,稍后会将木马有效载荷分离到目标上机器。
威胁行为者的主要动机是窃取凭据和cookie,攻击者可以将这些凭据和cookie用于更精通技术的网络罪犯。然而,这种威胁行为者在更大的攻击中使用它们进行初始访问,这些攻击还涉及勒索软件或商业电子邮件入侵(BEC)。在这里,攻击者通常会收集对易受攻击的公司的访问权限,然后将所有数据出售给暗网上的出价最高的人,而这种数据导致了勒索软件即服务。
在检测到该活动后,安全分析师在微软发布推文描述他们使用AsyncRAT检测到的新攻击后,非常认真地对待这一事件。在Cisco Talos调查期间,他们查看了提到的微软安全情报域kimjoy[.]ddns[.]net。
下面这张简单的图片可以帮助用户了解活动、域、IP之间显示的几个链接。重要的是,所有这些活动的威胁行为者可能相互关联。
BreachQuest联合创始人兼首席技术官Jake Williams表示,“cookies和凭据可能是目前主要的“获取”,在这种活动中,更糟糕的攻击有可能发生。”但是,有许多不同的国家经营国有化航空公司,可以从内部运营数据中获利,这就是为什么他们有效地从竞争对手的错误中吸取教训。
参考来源:GBHackers http://33h.co/wi03f
(九)Vmware修复了vCenter Server中存在的严重漏洞
VMware修复了一个严重任意文件上传漏洞CVE-2021-22005,该漏洞影响会运行默认vCenter Server 6.7和7.0部署的设备。
vCenter Server是VMware的集中管理实用程序,用于从单个集中位置管理虚拟机、多个ESXi主机和所有相关组件。该漏洞是由于它处理会话令牌的方式造成的。
VMware发布的安全更新表示,“VMware已发布补丁,来解决新的关键安全公告VMSA-2021-0020。如果您正在使用vCenter Server,这需要您立即注意。VMSA概述了在此补丁版本中解决的许多问题。最紧急的解决了CVE-2021-22005,这是一个文件上传漏洞,可用于在vCenter Server设备上执行命令和软件。无论vCenter Server的配置设置如何,任何可以通过网络访问vCenter Server以获取访问权限的人都可以利用此漏洞。”
VMware敦促其客户立即应用安全补丁来修复漏洞,威胁行为者可以利用该漏洞来执行多种恶意活动,例如在目标网络中部署勒索软件。
VMware安全公告表示,“在这个勒索软件时代,最安全的做法是假设攻击者已经在您的网络中某处,在桌面上,甚至可能控制着用户帐户,这就是为什么我们强烈建议您尽快宣布紧急更改和修补程序。此漏洞的后果是严重的,并且在公开可用的工作漏洞之前,该漏洞被利用可能是时间问题,可能是在披露后的几分钟内。”
坏消息是,来自威胁情报公司Bad Packets的网络安全专家已经观察到针对此漏洞的扫描活动。VMware还提供了一种解决方法,以防客户无法立即修补他们的安装。
今年2月,VMware解决了vCenter Server虚拟基础架构管理平台中的一个严重的远程代码执行(RCE)漏洞CVE-2021-21972,攻击者可能会利用该漏洞来控制受影响的系统。
5月,该公司修复了另一个漏洞CVE-2021-21985,这是由于Virtual SAN(vSAN)健康检查插件中缺少输入验证造成的,该插件在vCenter Server中默认启用。该漏洞的CVSS评分为9.8,影响vCenter Server 6.5、6.7和7.0。
5月,VMware就Virtual SAN Health Check插件中的严重远程代码执行(RCE)漏洞发布了类似警告,该漏洞影响了所有vCenter Server部署。VMware vCenter Server中的漏洞对组织来说可能非常危险,对此类漏洞的利用是威胁参与者武器库中的危险武器。
7月,零日漏洞利用代理Zerodiu宣布正在为VMware vCenter Server寻找零日漏洞,该公司为该产品的零日漏洞提供高达100,000美元的奖金。
参考来源:SecurityAffairs http://33h.co/wcbdx
(十)美国制裁勒索软件团伙使用的加密货币交易所Suex
美国财政部宣布对与俄罗斯有关的加密货币交易所Suex实施有史以来首次制裁,原因是该交易所为勒索软件团伙的赎金交易提供便利,并帮助他们逃避制裁。
Suex在捷克共和国注册,但在那里没有实体存在。相反,据Chainanalysis称,它在莫斯科和圣彼得堡分支机构以及俄罗斯和中东的其他地点运营。
美国财政部表示,SUEX为涉及至少8种勒索软件变种的非法收益的交易提供了便利。对已知的SUEX交易的分析表明,SUEX已知的交易历史中有40%以上与非法行为者有关。根据经修订的第13694号行政命令,SUEX被指定为向犯罪勒索行为人构成的威胁提供物质支持。这是针对虚拟货币交易所的首个制裁指定行动,是在联邦调查局(FBI)的协助下执行的。
财政部称,此举旨在破坏勒索软件操作从受害者那里收取赎金的主要渠道。去年赎金总额超过4亿美元,是2019年的四倍多。通过制裁向勒索软件组织提供物质支持的加密交易所,美国希望耗尽它们的资金,扰乱它们的运营。
财政部外国资产控制办公室(OFAC)也发布了一份公告,强调“与恶意网络活动相关的勒索支付相关的制裁风险。”
Chainalysis还透露,自2018年2月推出以来,仅Suex就收到了超过4.81亿美元的比特币,其中包括来自网络罪犯的资金:
1、从Ryuk、Conti、Maze等勒索软件运营商那里获得了近1300万美元;
2、超过2400万美元来自加密货币诈骗运营商,包括Finiko背后的诈骗者,该诈骗从俄罗斯和乌克兰的受害者那里获得了价值超过10亿美元的加密货币;
3、来自暗网市场的2000多万美元,主要是俄罗斯的Hydra Market。
据华尔街日报报道,拜登政府预计本周将对勒索软件集团使用的加密货币交易所、钱包和交易者实施制裁。这并不是美国政府对与勒索软件团伙相关的实体或威胁行为者实施的第一次制裁。
2019年,美国指控Evil Corp成员盗窃超过1亿美元,并将他们列入外国资产控制办公室(OFAC)制裁名单。多年来,Evil Corp与多个勒索软件家族有关,包括WastedLocker、Hades、Phoenix CryptoLocker和PayLoadBin。10月,美国财政部还警告称,勒索软件谈判人员也可能因协助向其制裁名单上的勒索软件团伙支付赎金而面临民事处罚。
财政部长Janet L.Yellen表示,“勒索软件和网络攻击正在损害美国大大小小的企业,对我们的经济构成直接威胁,我们将继续打击恶意行为者。随着网络犯罪分子使用越来越复杂的方法和技术,我们致力于使用全方位的措施,包括制裁和监管工具,以破坏、阻止和防止勒索软件攻击。”
参考来源:BleepingComputer http://33h.co/wcm47
(十一)CISA及FBI警告Conti勒索软件攻击增加
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发现,在针对美国和国际组织的400多次攻击中,Conti勒索软件的使用有所增加。在典型的Conti勒索软件攻击中,恶意网络攻击者会窃取文件、加密服务器和工作站,并要求支付赎金。
为了保护系统免受Conti勒索软件的侵害,CISA、FBI和国家安全局(NSA)建议立即采取缓解措施,包括要求多因素身份验证(MFA)、实施网络分段、以及保持操作系统和软件最新。
虽然Conti被视为勒索软件即服务(RaaS)模型勒索软件变体,但其结构存在差异,使其与典型的附属模型不同。Conti开发人员很可能向勒索软件的部署者支付工资,而不是附属网络行为者使用的收益的百分比,并从成功攻击中获得收益的一部分。
Conti参与者通常通过以下方式获得对网络的初始访问:
1、使用包含恶意附件或恶意链接的定制电子邮件进行鱼叉式网络钓鱼活动。恶意Word附件通常包含可用于下载或投放其他恶意软件的嵌入式脚本,例如TrickBot和IcedID和/或Cobalt Strike,以协助横向移动和攻击生命周期的后期阶段,最终目标是部署Conti勒索软件;
2、被盗或弱远程桌面协议(RDP)凭据;
3、电话;
4、通过搜索引擎优化推广的假冒软件;
5、其他恶意软件分发网络,如ZLoader;
6、外部资产中的常见漏洞。
在执行阶段,参与者在使用更激进的有效负载之前运行有效负载,以降低触发防病毒引擎的风险。CISA和FBI已经观察到Conti攻击者使用路由器扫描(一种渗透测试工具)恶意扫描和暴力破解路由器、摄像头和带有Web界面的网络连接存储设备。此外,攻击者使用Kerberos攻击来尝试获取Admin哈希以进行暴力攻击。
众所周知,攻击者会利用合法的远程监控和管理软件以及远程桌面软件作为后门,来维持受害者网络上的持久性。攻击者使用受害者网络上已有的工具,并根据需要添加其他工具,例如Windows Sysinternals和Mimikatz,获取用户的哈希值和明文凭据,使参与者能够在域内提升权限并执行其他后开发和横向移动任务。在某些情况下,攻击者还使用TrickBot恶意软件来执行后期开发任务。
根据最近泄露的威胁行为者剧本,Conti行为者还利用未修补资产中的漏洞,例如以下漏洞,来提升特权并在受害者的网络中横向移动:
1、2017 Microsoft Windows Server Message Block 1.0服务器漏洞;
2、Windows Print spooler服务中的PrintNightmare漏洞CVE-2021-34527;
3、Microsoft Active Directory域控制器系统中的Zerologon漏洞CVE-2020-1472。
CISA和FBI已经观察到Conti攻击者使用不同受害者独有的不同Cobalt Strike服务器IP地址。Conti参与者经常使用开源Rclone命令行程序进行数据泄露。攻击者窃取并加密受害者的敏感数据后,采用双重勒索技术,要求受害者支付赎金以释放加密数据,如果未支付赎金,则威胁受害者公开发布数据。
CISA、FBI和NSA建议网络防御者应用以下缓解措施来降低Conti勒索软件攻击的危害风险:
1、使用多重身份验证;
2、实施网络分段和过滤流量;
3、扫描漏洞并保持软件更新;
4、删除不必要的应用程序并应用控制;
5、实施端点和检测响应工具;
6、限制对网络资源的访问,尤其是通过限制RDP;
7、保护用户帐户。
CISA、FBI和NSA强烈反对向犯罪分子支付赎金。支付赎金可能会鼓励攻击者以其他组织为目标,鼓励其他犯罪分子参与分发勒索软件,和/或可能资助非法活动。支付赎金也不能保证受害者的文件会被恢复。
参考来源:CISA http://33h.co/wca35
(十二)Netgear SOHO路由器存在高危远程代码执行漏洞
GRIMM研究人员发现,Netgear SOHO路由器中存在一个漏洞CVE-2021-40847,远程攻击者可以利用该漏洞以root身份执行任意代码。
该漏洞CVE-2021-40847存在于许多Netgear设备固件中包含的第三方组件的来源中。此代码是Circle的一部分,用于为这些设备实现家长控制功能。该代码以root身份运行,因此利用该漏洞可能允许以root身份执行代码。
该漏洞存在于默认启用的Circle更新守护程序中,即使用户尚未将其路由器配置为使用家长控制功能。该守护程序连接到Circle和Netgear,以获取版本信息以及对Circle守护程序及其过滤数据库的更新。来自Netgear的数据库更新未经签名,并通过超文本传输协议(HTTP)下载,从而允许攻击者对设备进行中间人攻击。
GRIMM表示,“该守护程序连接到Circle和Netgear,以获取版本信息以及Circle守护程序及其过滤数据库的更新。但是,来自Netgear的数据库更新未签名,并通过超文本传输协议(HTTP)下载。因此,具有对设备执行中间人攻击能力的攻击者可以使用特制的压缩数据库文件响应圈出的更新请求,通过提取该文件,攻击者能够用攻击者控制的方式覆盖可执行文件。”
GRIMM表示,“要利用该漏洞,攻击者必须能够拦截和修改路由器的网络流量。对于上面使用的特定基于DNS的MITM攻击,攻击者必须与来自Circle更新守护程序的DNS查询竞争。如果攻击者赢得其中一场比赛,就可以通过GRIMM编写的PoC漏洞可靠地完成,代码执行就很容易获得。其他不依赖DNS操作的中间人攻击也将允许攻击者利用此漏洞。”
研究人员对此开发了概念验证(PoC),并成功针对Netgear R7000对其进行了测试。
GRIMM建议将设备更新到最新的固件版本,并提供了缓解措施,例如禁用易受攻击的组件、或使用虚拟专用网络(VPN)客户端来加密所有网络流量并防止中间人攻击。
GRIMM表示,“对于许多组织而言,SOHO设备在网络安全风险管理方面通常不受关注。但是,远程连接到公司网络的员工显著增加,例如由于新冠疫情导致实施新版远程办公政策,同样增加了SOHO设备漏洞对企业网络的风险。”
参考来源:SecurityAffairs http://33h.co/wifxy
(十三)新型恶意软件Capoae利用多个漏洞攻击Linux系统及Web应用程序
Akamai高级研究人员Larry Cashdollar发现了一种用Golang编程语言编写的新型恶意软件,名为Capoae,攻击目标是WordPress及Linux系统。
该恶意软件通过利用已知漏洞及弱管理凭据保护的站点和系统开展攻击并进行传播。利用的漏洞是CVE-2020-14882 Oracle WebLogic Server RCE漏洞和CVE-2018-20062 ThinkPHP RCE漏洞。一旦感染系统,恶意软件就会滥用其资源来挖掘加密货
币。
研究人员在一个恶意软件样本针对Akamai蜜罐后发现了这种威胁。攻击者通过一个链接到名为Download-monitor的WordPress插件的后门投放了一个PHP恶意软件样本,该插件是在访问蜜罐后安装的。
Akamai研究人员Larry Cashdollar表示,“大约在有关这些加密挖掘恶意软件攻击的消息传播的同时,SIRT蜜罐感染了PHP恶意软件,该恶意软件通过一个名为download-monitor的WordPress插件的后门添加而来的。在猜测蜜罐的弱WordPress管理员凭据后,安装了下载监视器。一个3MB的UPX打包的Golang二进制文件也被下载到/tmp。经过检查,很明显恶意软件具有一些解密功能,并且加密文件存储在另一个目录中。”
研究人员还注意到,攻击者安装了多个web shell来执行恶意活动,例如将窃取的文件上传到攻击者控制的远程服务器。对二进制文件的分析揭示了端口扫描器的存在,该扫描器用于以随机生成的IP地址为目标,并检查以已知漏洞为目标的端口。
为了实现持久性,恶意软件首先从磁盘上可能会找到系统二进制文件的一小部分位置列表中选择一个看起来合法的系统路径,然后生成一个随机的六个字符的文件名,并使用这两个部分将自身复制到磁盘上的新位置并删除自身。恶意代码注入/更新一个Crontab条目,该条目将触发上述二进制文件的执行。
为了检测感染,Cashdollar建议注意系统资源消耗、奇怪/意外运行进程、可疑工件(文件、crontab条目、SSH密钥等)和可疑访问日志条目等。研究人员还分享了该威胁的妥协指标(IoC)列表。
研究结果表示,“Capoae活动使用了多种漏洞和策略,凸显了这些运营商希望在尽可能多的机器上立足的意图。好消息是,我们为大多数组织推荐的保持系统和网络安全的技术仍然适用于此。”
参考来源:SecurityAffairs http://33h.co/wi09p
(十四)网络托管服务商Exabytes遭受勒索软件攻击导致部分服务中断
马来西亚域名及网络托管服务商Exabytes披露,其在9月18日凌晨5点遭受了勒索软件攻击,造成一些服务中断。
Exabytes为全球超过160,000客户提供服务,受攻击影响的服务包括WordPress托管、虚拟专用服务器、和基于Windows的共享托管。
但是,服务恢复的速度非常缓慢,Exabytes网站显示,截至19日上午12:30,只有3%的数据已恢复,目前还没有透露完整恢复过程需要多长时间。截至22日上午12:24,数据已恢复99%。
与此同时,Exabytes发布的简短声明并没有透露太多信息,该公司已就此次攻击事件通知了当局。在一条已被删除的推文中,攻击者已向该公司索要90万美元的加密货币,目前尚不清楚Exabytes是否真的为此支付了费用。
参考来源:Lowyat http://33h.co/wcbss
(十五)Apache OpenOffice中存在远程代码执行漏洞
安全研究员Eugene Lim最近披露了Apache OpenOffice(AOO)中存在的远程代码执行漏洞CVE-2021-33035的技术细节。Apache未能在8月30日之前解决该漏洞,随后专家们在HackerOne的Hacktivity在线会议上披露了该漏洞。目前该漏洞仅通过测试版软件更新得到解决,并等待正式发布。
Apache OpenOffice(AOO)目前容易受到远程代码执行漏洞的影响,虽然该应用程序的源代码已被修补,但该修补程序仅作为测试版软件提供并等待正式发布。
攻击者可以通过诱骗受害者打开特制的.dbf文件来触发该漏洞。研究人员使用了一种名为Peach fuzzer的基于格式的Peach fuzzer来发现简单DBF处理器中的漏洞。
DBF格式由标题和正文两个主要部分组成。标头包括描述dBASE数据库版本、上次更新时间戳和其他元数据的前缀。标题还规定了数据库中每条记录的长度、标题结构的长度、记录的数量以及记录中的数据字段。这些字段还包括FieldLength描述符。正文只包含标题所描述的所有记录。通过操作fieldLength或FieldType值,就能够触发缓冲区溢出。
研究人员能够利用该漏洞在OpenOffice Calc中打开该文件并导致崩溃。尽管取得了部分成功,但研究人员注意到,地址空间布局随机化(ASLR)和数据执行保护(DEP)等保护措施可以防止简单地利用缓冲区溢出进行攻击。
为了绕过这些保护,LIM导入了用于解析XML文档的libxml2软件库,因为它没有使用这些保护进行编译。
参考来源:SecurityAffairs http://33h.co/wck4y
(十六)Microsoft Exchange协议漏洞导致数十万凭据泄露
由于Microsoft Exchange使用的自动发现协议的设计和实现,网络安全研究人员已经能够捕获数十万个Windows域和应用程序凭据。
根据Microsoft的说法,Exchange自动发现服务“为客户端应用程序提供了一种简单的方法,只需最少的用户输入即可进行自我配置。”例如,这允许用户只需提供其用户名和密码即可配置其Outlook客户端。
早在2017年,研究人员就警告称,移动电子邮件客户端上与AutoDiscovery相关的实现问题可能会导致信息泄露,当时披露的漏洞已被修补。然而,云和数据中心安全公司Guardicore今年早些时候进行的一项分析显示,AutoDiscovery的设计和实现仍存在一些严重问题。
这个问题与“退出”程序有关。当使用“自动发现”配置客户端时,客户端将尝试基于用户提供的电子邮件地址构建URL。如下所示:https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。
但是,如果没有URL响应,返回机制就会启动,并尝试联系以下格式的URL: http://Autodiscover.com/Autodiscover/Autodiscover.xml。这意味着无论Autodiscover.com的所有者是谁,都将收到所有无法到达原域名的请求。
该公司注册了近12个自动发现域名,如Autodiscover.com.cn、Autodiscover.es、Autodiscover.in、Autodiscover.uk,并将它们分配给其控制下的网络服务器。
从2021年4月16日到2021年8月25日,他们的服务器捕获了超过37万个Windows域凭据和超过9.6万个从Outlook和移动电子邮件客户端等应用程序泄露的唯一凭据。这些凭据来自上市公司、食品制造商、发电厂、投资银行、航运和物流公司、房地产公司以及时尚和珠宝公司。
Guardicore表示,“这是一个严重的安全问题,因为如果攻击者能够控制这样的域或有能力在同一网络中‘嗅探’流量,他们就可以捕获通过网络传输的纯文本域凭据(HTTP基本身份验证)。此外,如果攻击者具有大规模DNS投毒能力,如民族国家的攻击者,他们可以通过基于这些自动发现顶级域名的大规模DNS投毒活动,系统地抽取泄露的密码。”
研究人员还设计了一种攻击,可以用来降低客户端的认证方案,使攻击者能够获得明文的证书。客户端最初将尝试使用安全的身份验证方案,如NTLM或OAuth,以保护凭证不被窥探,但攻击导致身份验证降级为HTTP基本身份验证,其中凭证以明文发送。
Guardicore指出,数据泄漏的发生与应用程序开发人员实现协议的方式有关,他们可以防止该协议构建可能被攻击者滥用的URL。
参考来源:SecurityWeek http://33h.co/wckx4
(十七)网络语音提供商VoIP.ms遭受DDoS攻击导致服务中断
2021年9月16日,互联网语音提供商VoIP.ms的基础设施(包括DNS名称服务器)遭受了分布式拒绝服务(DDoS)攻击,并遭受了勒索软件攻击,严重扰乱了该公司的运营。VoIP.ms是一家互联网电话服务公司,为世界各地的企业提供价格合理的IP语音服务。
当客户将VoIP设备配置为连接到公司的域名时,DDoS攻击中断了电话服务,导致无法接听或拨打电话。由于DNS不再起作用,该公司建议客户修改其HOSTS文件,将域名指向IP地址,以绕过DNS解析。然而,这也导致了攻击者直接对该IP地址进行DDoS攻击。
为了减轻攻击,VoIP.ms将他们的网站和DNS服务器转移到了Cloudflare,但由于持续的拒绝服务攻击,该公司的网站和VoIP基础设施仍然存在问题。
VoIP.ms网站公告显示,“分布式拒绝服务(DDoS)攻击继续以我们的网站和POP服务器为目标。我们的团队正在部署持续努力来阻止这种情况,但服务间歇性受到影响,我们对所有不便表示歉意。”
目前,该网站在可访问和显示500内部服务器错误之间来回跳动。客户的电话服务仍然存在问题,包括服务中断、通话中断、性能不佳以及无法转发线路。
9月18日,一个名为REvil的攻击者声称对这次攻击负责,并在Pastebin上发布了一张勒索信的链接。这张勒索信后来被从Pastebin中删除,但攻击者勒索一个比特币,大约4.5万美元,以阻止DDoS攻击。在最初的推文发布后不久,攻击者将勒索要求提高到100个比特币,约合430万美元。
REvil是知名的勒索软件运营商,在7月13日停止运营,9月初又卷土重来。REvil并不以DDoS攻击或公开索要赎金而闻名,就像VoIP.ms攻击中那样。这种攻击的勒索方法让我们相信,攻击者只是在冒充勒索软件操作来进一步恐吓VoIP.ms。
客户对VoIP.ms受到攻击的反应褒贬不一。有些人认为VoIP.ms应该在自己不会失去客户之前支付赎金来恢复服务。与此同时,其他VoIP.ms客户发誓要坚持使用他们,并告诉公司不要屈服于赎金要求。
参考来源:BleepingComputer http://33h.co/wcmmf
(十八)美国共和党州长协会(RGA)电子邮件系统遭受入侵
美国共和党州长协会(RGA)在上周发出的数据泄露通知信中透露,其服务器在2021年3月袭击全球组织的大规模Microsoft Exchange黑客行动中遭到入侵。
RGA是美国的一个政治组织,也是一个免税的527团体,为共和党候选人提供当选全国州长所需的竞选资源。
在3月10日开始的调查之后,“RGA确定,攻击者在2021年2月至2021年3月期间访问了RGA的电子邮件环境的一小部分,因此,攻击者可能已经访问了个人信息。”
尽管RGA表示,起初无法发现是否有任何个人信息受到影响,但随后“通过彻底的数据挖掘来识别可能受到影响的个人”发现,姓名、社会安全号码和支付卡信息在攻击中被暴露。
RGA在9月15日发出的一封违约信中对受影响的个人表示,“一旦确定了潜在受影响的个人,RGA就会努力确定地址,并与供应商接洽,提供呼叫中心、通知和信用监控服务。RGA还为提供为期两年的免费信用监控和身份恢复服务。RGA还按照要求通知了联邦调查局、某些州监管机构和消费者报告机构。”
RGA在其数据泄露通知信中提到的大规模黑客活动针对的是全球数万家机构拥有的超过25万台Microsoft Exchange服务器。
攻击者利用四个零日(统称为ProxyLogon)攻击目标是本地Microsoft Exchange服务器,不断攻击来自全球多个行业部门的组织,最终目标是窃取敏感信息。
ProxyLogon攻击背后的黑客还在被攻击的Exchange服务器上部署了web shell、加密挖掘恶意软件,以及DearCry和Black Kingdom勒索软件。
参考来源:BleepingComputer http://33h.co/wcksp
(十九)阿拉斯加州卫生与社会服务部披露近期针对其系统的APT攻击活动
阿拉斯加卫生与社会服务部(DHSS)上周表示,一个民族国家网络间谍组织已经侵入了该部门的IT网络,获得了访问权限。
今年早些时候,一家安全公司在5月2日发现了这起仍在调查中的攻击,并通知了该机构。
虽然DHSS在5月18日公开了这一事件,并在6月和8月发布了两次更新,但直到上周,该机构才正式澄清有关这是勒索软件攻击的谣言,并透露了有关入侵的任何细节。该机构将入侵者描述为“民族国家支持的攻击者”和“已知的高度复杂的组织”。针对包括州政府和医疗机构在内的组织的复杂网络攻击。
DHSS官员援引与安全公司Mandiant一起进行的一项调查表示,攻击者通过其网站中的一个漏洞获得了对该部门内部网络的访问权限,并“从那里传播”。官员们表示,他们相信已经将攻击者从他们的网络中驱逐出去,但是仍在对攻击者可能访问的内容进行调查。
上周该机构表示计划通知所有向国家机构提供个人信息的个人。DHSS表示,“这次违规涉及人数不详的个人,但可能涉及网络攻击时存储在该部门信息技术基础设施上的任何数据。”
存储在DHSS网络上的数据可能由民族国家组织收集,包括:姓名、出生日期、社会安全号码、地址、电话号码、驾驶执照号码、内部识别号码(病例报告、受保护的服务报告、医疗补助等)、健康信息、财务信息、有关个人与DHSS互动的历史信息。
DHSS表示,将在2021年9月27日至10月1日期间向所有受影响的个人发送通知邮件。该机构还发布了一个FAQ页面,提供了有关民族国家袭击的更多细节。
DHSS技术官员Scott McCutcheon表示,“令人遗憾的是,由国家赞助的行为者和跨国网络犯罪分子发起的网络攻击越来越普遍,这是进行任何类型在线业务的固有风险。”
所有被入侵者侵入的系统都处于离线状态。这包括用于执行背景调查的系统和用于申请出生、死亡和结婚证书的系统,所有这些证书现在都可以手动、亲自或通过电话进行处理和审查。
参考来源:TheRecord http://33h.co/wc2wd
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
