关键信息基础设施安全动态周报【2021年第31期】
发布时间:
2021-08-06
来源:
作者:
天地和兴
访问量:
675
目 录
第一章 国外关键信息基础设施安全动态
(一)INFRA:HALT安全漏洞影响关键工业控制设备
(二)三菱PLC的MELSOFT通信协议存在五个安全漏洞
(三)北美80%医院气动管道系统存在严重漏洞PwnedPiper
(四)意大利能源集团ERG遭受勒索软件攻击后通信出现轻微中断
(五)意大利拉齐奥地区疫苗登记系统因勒索软件攻击而瘫痪
(六)南非血液中心WCBS遭受网络攻击
(七)加拿大卡尔加里停车管理局泄露502GB居民敏感数据
(八)美国27个州检察官办公室邮箱遭受SolarWinds入侵
(九)NSA和CISA联合发布加强Kubernetes系统安全性建议
(十)NSA发布在公共环境中保护无线设备指南
(十一)CISA推出全新漏洞披露政策平台
(十二)思科修复防火墙管理软件On-Box中远程代码执行漏洞
(十三)思科修复小型企业VPN路由器中严重漏洞
(十四)新型APT组织Praying Mantis攻击美国知名组织
(十五)勒索软件组织DoppelPaymer更名为Grief
(十六)CyCraft发布Prometheus勒索软件免费解密程序
(十七)英国怀特岛六所学校遭受勒索软件攻击导致开学延期
(一)INFRA:HALT安全漏洞影响关键工业控制设备
Forescout及JFrog网络安全研究人员在NicheStack TCP/IP堆栈中发现了14个漏洞,统称为INFRA:HALT,该堆栈在200多家供应商生产的数百万OT设备中使用,并部署在制造厂、发电、水处理和关键基础设施领域。攻击者可利用这些漏洞进行远程代码执行、拒绝服务攻击、信息泄漏、TCP欺骗、甚至DNS缓存中毒。
NicheStack又名InterNiche STACK,是用于嵌入式系统的闭源TCP/IP协议堆栈,旨在提供工业设备的互联网连接,已被西门子、艾默生、霍尼韦尔、三菱电气、罗克韦尔自动化和施耐德电气等主要工业自动化供应商整合到其可编程逻辑控制器(PLC)和其他产品中。
攻击者可能会破坏建筑物的暖通空调系统,或者接管制造业和其他关键基础设施中使用的控制器。成功的攻击可能导致OT和ICS设备脱机,并劫持其逻辑。被劫持的设备可能会将恶意软件传播到它们在网络上通信的地方。
版本4.3之前的所有版本的NicheStack都容易受到INFRA:HALT的攻击。截至2021年3月,大约有6,400台OT设备暴露在网上并连接到互联网,其中大部分位于加拿大、美国、西班牙、瑞典和意大利。
这是第六次在支撑数百万互联网连接设备的协议栈中发现的安全漏洞,也是名为Project Memoria系统研究计划中发现的第四组漏洞。该计划旨在研究广泛使用的TCP/IP协议栈的安全性,这些协议栈由不同的供应商整合在其固件中,以提供互联网和网络连接功能。
虽然维护C库的HCC Embedded已经发布了解决这些问题的软件补丁,但使用该堆栈易受攻击版本的设备供应商可能需要相当长的时间才能将更新后的固件发送给他们的客户。研究人员指出,“针对基础设施的完全保护INFRA:HALT漏洞需要为易受攻击的设备打补丁,但由于供应链物流和OT设备的关键性质,这是具有挑战性的。”
作为缓解措施,ForeScout发布了一个开源脚本,该脚本使用活动指纹来检测运行NicheStack的设备。还建议加强分段控制,监控所有网络流量中的恶意数据包,以降低来自易受攻击设备的风险。
参考来源:TheHackerNews http://33h.co/wkqfg
(二)三菱PLC的MELSOFT通信协议存在五个安全漏洞
网络安全公司Nozomi Networks Labs于8月5日发布博客文章称,其发现三菱PLC中存在5个安全漏洞,与MELSOFT通信协议的身份验证实施有关。
三菱在2020年底就承认了这些问题。三菱已经制定了一项策略来解决这些问题。不过Nozomi Networks Labs表示,用于PLC或医疗设备的软件更新通常需要比其他软件产品更长的部署时间。在发布补丁之前,供应商必须经过特定的认证过程。
Nozomi Networks研究人员表示,“根据设备类型和监管框架,每个软件更新可能都需要认证程序。在等待补丁开发和部署过程完成的同时,我们为威胁情报服务的客户部署了检测逻辑。同时,我们开始研究更通用的检测策略,与资产所有者和ICS安全社区共享。”
研究人员指出,他们发现的漏洞“可能”影响了不止一家供应商,并表示他们担心“资产所有者可能过度依赖固定在OT协议上的身份验证方案的安全性,而不知道这些实现的技术细节和故障模式。”
Nozomi Networks于2021年1月通过ICS-CERT披露了第一批漏洞,最近又披露了另一批漏洞,但目前仍无法获得补丁。三菱已经发布了一些缓解措施,Nozomi Networks敦促客户根据这些建议评估其安全态势。为了保护仍在被保护的系统,该报告特意省略了技术细节或概念证明文档。
研究人员在研究MELSOFT时发现了这些漏洞。MELSOFT是三菱PLC和相应的工程工作站软件GX Works3作为通信协议使用的。研究人员发现,通过TCP端口5007使用MELSOFT进行身份验证是通过用户名/密码对实现的,在某些情况下这是“有效的暴力执行”。
该研究团队测试了多种方法,使他们能够访问系统,并发现甚至存在攻击者可以重用成功身份验证后生成的会话令牌的实例。攻击者只要能读取包含会话令牌的单一特权命令,就能在几个小时的时间内从不同的IP重新使用该令牌。
一旦攻击者获得了对系统的访问权限,他们就可以采取措施将其他用户锁在门外,迫使他们做出最后的选择,物理关闭PLC,以防止进一步的伤害。
Nozomi Networks Labs建议资产所有者保护工程工作站和PLC之间的链接。攻击者无法以明文形式访问MELSOFT身份验证或经过身份验证的数据包。他们还建议保护对PLC的访问,这样攻击者就不能主动与PLC交换身份验证数据包。
参考来源:ZDNEt http://33h.co/wkj3a
(三)北美80%医院气动管道系统存在严重漏洞PwnedPiper
安全公司Armis研究人员披露,Swisslog Healthcare公司的Translogic气动管道系统(Pneumatic Tube System,PTS)中存在九个严重漏洞,统称为PwnedPiper。该系统是北美领先的PTS解决方案,在北美80%的医院使用,在全球3000多家医院安装。PTS系统在患者护理中起着至关重要的作用,用于在大中型医院中长距离运送医疗物品,并且几乎100%的时间都在使用。
这九个漏洞统称为PwnedPiper,允许完全接管Translogic Nexus控制面板,该面板为Translogic PTS站当前所有型号提供支持。较旧的IP连接Translogic站也受到影响,但Swisslog不再支持。
Swisslog PTS系统对医院运营至关重要,因为它通过气动管道网络使整个医院的物流和材料运输自动化。该系统旨在通过自动化材料运输为医院提供更好的患者护理,其中包括实验室标本、血液制品、病理实验室测试、药物等高度敏感的材料。在使用PTS系统之前,医院需要手动转移各种物品。由于该系统的广泛采用,该系统对于医院运营的正确工作流程至关重要。
Armis于2021年5月1日向Swisslog报告了这些漏洞,此后一直与他们合作,以充分了解漏洞的影响,开发和测试可修复漏洞的补丁,并制定缓解步骤,直到安装修补程序。
这些漏洞可使未经身份验证的攻击者接管Translogic PTS站,并基本上完全控制目标医院的PTS网络。这种类型的控制可以导致复杂且令人担忧的勒索软件攻击,并允许攻击者泄露敏感的医院信息。
Translogic PTS系统是一个与其他医院系统集成的高级系统,如果Translogic PTS网络被破坏,这些系统之间共享的信息可能会被泄露或被攻击者操纵。
以下是此类高级功能的示例及其带来的风险:
1、PTS系统包括WhoTube与医院访问控制系统的集成。这种集成允许使用RFID卡对工作人员进行身份验证,限制对PTS站的访问,并允许使用安全传输,其中只有当某个人出示他们的RFID卡和/或密码时,运营商才会被释放给某个人。虽然这些类型的高级功能增强了系统的物理安全性,但如果PTS系统受到威胁,它们也会将员工记录和他们的RFID凭证暴露给潜在的攻击者。
2、PTS系统支持变速交易,一方面可以快速运送紧急物品,另一方面可以缓慢转移敏感物品,例如血液制品,如果在试管内过快颠簸,可能会受到伤害。如果攻击者要破坏PTS系统,他可能会更改系统的速度限制,这反过来又会损坏此类敏感项目。
3、PTS系统提供了一种警报消息传递解决方案,可以与医院的通信解决方案集成,从而能够通知和跟踪已交付的承运人,并就系统中的任何故障向PTS系统的维护人员发出警报。滥用这些通信会干扰医院的工作流程。
4、最后,攻击PTS网络可以让攻击者通过充当中间人,来控制运营商的路径,并在交易请求发送到PTS网络的中央服务器时更改运营商的请求目的地。结合上面描述的一个或多个原语可以允许发动毁灭性的勒索软件攻击。攻击者可以改变运营商的路线,破坏医院的运营,或者完全停止系统。最严重的漏洞CVE-2021-37160可以让攻击者通过不安全的固件升级程序在受感染的PTS站上保持持久性,从而使攻击者在支付赎金之前劫持站点。
虽然这种攻击最终可以通过对所有受感染站点进行手动固件升级来修复,但这样的过程将需要相当多的时间和精力。医院不一定有任何应急措施来处理PTS系统的长时间关闭,这最终可能会转化为对患者护理的伤害。
当今的医疗保健提供组织不仅仅依赖于传统的IT系统和连接的医疗设备。还存在辅助技术和机器作为基础设施,促进持续提供患者护理。除了Translogic PTS系统之外,医院还依赖于患者移动环境中的电梯控制系统、用于疫苗储存的温度控制传感器、用于抽吸和氧气输送的气体控制系统等等。随着这些关键基础设施元素连接到网络,它们也成为攻击目标。
研究发现了Nexus控制面板中的九个严重漏洞,为所有当前型号的Translogic PTS站提供支持,该设备的所有当前固件版本都容易受到这些漏洞的影响。
Swisslog还承认,IP连接的旧站型号(例如IQ站)与Nexus控制面板共享代码,因此也可能受到某些漏洞的影响。但是,Swisslog不再支持这些较旧的站点,并且不会发布补丁。
对于Nexus控制面板,Swisslog为其客户提供了一个新版本,以缓解大多数漏洞,即版本7.2.5.7。剩余的一个漏洞CVE-2021-37160目前尚未被最新版本解决,预计将在未来版本中修复。
这些漏洞包括硬编码密码、特权升级漏洞、可能导致远程代码执行和拒绝服务的内存破坏漏洞,以及设计缺陷,即Nexus控制面板上的固件升级是未加密的,不需要任何加密签名,它允许攻击者通过启动固件更新过程来获得未经身份验证的远程代码执行权限,同时还可以在设备上保持持久性。
要进入Nexus控制面板,攻击者需要通过网络钓鱼攻击或破坏远程桌面凭证访问网络。所有漏洞都可以通过发送未经身份验证的网络数据包来触发,无需任何用户交互。
参考来源:Armis http://33h.co/wkxna
(四)意大利能源集团ERG遭受勒索软件攻击后通信出现轻微中断
意大利能源公司ERG报告称,其系统遭受了勒索软件攻击,信息和通信技术(ICT)基础设施“出现了少量中断”。
虽然该意大利可再生能源集团将此事件称为黑客攻击,但据La Repubblica报道称,此次攻击是由LockBit 2.0勒索软件组织进行的。
LockBit勒索软件团伙于2019年9月开始运营,并于2021年6月宣布推出LockBit 2.0勒索软件服务。
ERG公司在官网上发布的声明显示,“关于最近媒体上关于黑客攻击机构和公司的传言,ERG报告说,由于其内部网络安全程序的迅速部署,其ICT基础设施仅经历了几次轻微的中断,目前正在克服这些中断。该公司确认其所有工厂运行平稳,没有出现任何停机,从而确保了业务的持续运营。”
ERG是意大利领先的风电运营商,也是欧洲市场十大陆上运营商之一,在法国、德国、波兰、罗马尼亚、保加利亚和英国的业务不断增长。该集团在风能、水力发电、太阳能和高产量热电联产能源领域开展业务。
参考来源:BleepingComputer http://33h.co/wks8i
(五)意大利拉齐奥地区疫苗登记系统因勒索软件攻击而瘫痪
意大利拉齐奥地区8月1日清晨遭受了勒索软件攻击,攻击者加密了数据中心的每个文件,导致该地区IT系统中断,包括新冠疫苗接种登记网站。包括罗马在内的拉齐奥地区居民将在几天内无法进行疫苗接种预约。
拉齐奥地区主席Nicola Zingaretti在Facebook上的一份声明中表示,“在周六和周日之间的晚上,拉齐奥地区遭受了第一次犯罪矩阵网络攻击。目前尚不清楚谁应该对此负责,也不知道其攻击目标。此次攻击几乎加密了数据中心的所有文件。对于所有已登记的人员,疫苗接种活动继续正常进行。疫苗预订将在接下来的几天内暂停。该系统目前已关闭,以便进行内部验证,并避免由于攻击引起的病毒传播。”
众所周知,勒索软件组织会在攻击期间窃取数据,作为勒索的筹码,但该地区表示健康、财务及预算数据是安全的。中断还影响了用于注册新冠疫苗的Salute Lazio健康门户网站。
该地区在一份声明中表示,“黑客对该地区进行了强大的攻击。所有系统都被禁用,包括所有Salute Lazio门户和疫苗网络。所有防御和验证操作都在进行中,以避免盗用。疫苗接种工作可能会出现延误。”
6月份,意大利建立了新的“绿色通行证”证书系统,允许人们证明他们已接种疫苗、核酸检测呈阴性、或以前曾感染过新冠病毒。从8月6日开始,在餐厅和酒吧室内用餐以及进入健身中心、游乐园、博物馆和其他人群众多的场所都需要使用此绿色通行证。
自绿色通行证政策宣布以来,拉齐奥70%以上的人口接种了疫苗,登记人数激增,人们担心在线新冠疫苗接种受到影响。但是,该地区表示,现有的疫苗接种预约没有中断,在线注册系统应该会在几天后重新上线。
有消息人士称,对拉齐奥地区的网络攻击是由名为RansomEXX的勒索软件进行的。在对拉齐奥的攻击勒索信件中,威胁行为者警告称,该地区的文件已加密。勒索信件还包含一个指向私人暗网的链接,拉齐奥可以使用该链接与勒索软件组织进行谈判。该ONION URL指向的是RansomEXX勒索软件的Tor站点。
在谈判页面中,该勒索软件警告该地区,必须支付赎金才能解密他们的文件。威胁行为者没有提出赎金要求。每个受害者的RansomEXX协商页面都是唯一的,如果威胁行为者在攻击过程中窃取了数据,则会在页面上提供详细信息,包括窃取的数据量和文件截图。目前该协商页面没有显示出RansomEXX窃取的任何数据。
意大利安全研究员JAMESWT表示,有证据表明攻击是由LockBit 2.0进行的。
参考来源:BleepingComputer http://33h.co/wkqey
(六)南非血液中心WCBS遭受网络攻击
南非西开普血液服务中心(WCBS)证实,其信息系统遭受了网络攻击。WCBS是一家非营利性区域卫生组织,从西开普省自愿献血者那里收集血液,并为社区提供安全的血液制品和服务。
WCBS表示,安全专家正在调查这一网络攻击事件,以确定起源、加强安全措施和恢复信息系统。该组织表示,“对运营的影响很大,但通过恢复到手动系统和其他应急解决方案,血液制品的收集、处理、测试和发放将继续不间断地进行。”WCBS表示仍在调查攻击的程度,并将在了解更多信息后进行沟通。
一周前南非Transnet港口遭受了勒索软件攻击,导致港口货物运输中断。
参考来源:MyBroadband http://33h.co/w9q64
(七)加拿大卡尔加里停车管理局泄露502GB居民敏感数据
安全研究人员Anurag Sen发现了一起数据泄露事件,加拿大卡尔加里停车管理局(Calgary Parking Authority,CPA)的服务器泄露了卡尔加里数千名司机的私人信息,包括一些用户密码。
CPA监管着该地区约14%的付费停车位,允许司机在网上或通过手机应用程序支付费用并预订停车位后停车,司机需要输入支付详情和车牌号码。
Anurag Sen在一个网络地图项目中首次发现了被暴露的服务器,这些数据包括各种个人信息,例如姓名、电子邮件地址、出生日期、车辆详细信息、地址、停车罚单详细信息,还包括部分信用卡信息,包括CVV和到期日,访问令牌,其中一些包含密码和支付细节。
服务器之所以被暴露,是因为它没有密码保护,这意味着任何拥有服务器URL的人都可以访问它。公开的服务器大小为502 GB,包含超过100,000个用户的数据/记录。
参考来源:HackRead http://33h.co/wk7cs
(八)美国27个州检察官办公室邮箱遭受SolarWinds入侵
美国司法部7月30日表示,在SolarWinds全球黑客活动期间,俄罗斯外国情报局(SVR)入侵了27个美国检察官办公室员工的Microsoft Office 365电子邮件帐户。
美国司法部在一份声明中表示,“该APT组织在2020年5月7日至12月27日期间访问了被窃取的账户。泄露的数据包括这些账户在那段时间内发送、接收和存储的所有邮件和附件。虽然其他地区受到的影响较小,但该APT组织获得了至少80%位于纽约东部、北部、南部和西部地区的美国检察官办公室员工的Office 365电子邮件帐户。”
美国检察官办公室在攻击期间遭到破坏,至少有一名员工的Microsoft Office 365电子邮件帐户在SolarWinds供应链攻击中遭到破坏,直接影响到美国政府和私营部门,包括:加利福尼亚州中部地区、加利福尼亚州北部地区、哥伦比亚特区、佛罗里达州北部地区、佛罗里达州中部地区、佛罗里达州南部地区、乔治亚州北部地区、堪萨斯州、马里兰地区、蒙大拿地区、内华达地区、新泽西州地区、纽约东区、纽约北区、纽约南区、纽约西区、北卡罗来纳州东部地区、宾夕法尼亚州东区、宾夕法尼亚州中部地区、宾夕法尼亚州西区、德克萨斯州北部地区、德克萨斯州南区、德克萨斯州西部地区、佛蒙特州的地区、弗吉尼亚州东部地区、弗吉尼亚州西区、华盛顿西区。
尽管其他地区也受到了较小程度的影响,但俄罗斯对外情报局(SVR)的国家黑客设法攻击了纽约东区、北区、南区和西区的联邦检察官办公室至少80%的员工的Office 365电子邮件账户。
美国司法部在2021年1月6日发布的一份声明中证实,策划SolarWinds供应链攻击的黑客组织侵入了司法部的微软Office 365电子邮件环境。今年4月,美国政府正式指责俄罗斯政府策划了SolarWinds袭击。
白宫表示,SVR的黑客部门(APT29、The Dukes或Cozy Bear)是利用SolarWinds Orion平台进行网络间谍活动的幕后组织,他们能够访问多个美国联邦机构和私营科技公司的网络。
参考来源:BleepingComputer http://33h.co/wkp0y
(九)NSA和CISA联合发布加强Kubernetes系统安全性建议
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)8月3日联合发布了《Kubernetes强化指南》,就如何加强Kubernetes部署及最大限度降低黑客攻击风险提供了建议。
Kubernetes是一种流行的开源解决方案,用于在云中部署、扩展和管理容器化应用程序,使其成为网络攻击的诱人目标。黑客不断攻击Kubernetes环境,他们的动机各不相同,从窃取数据到加密货币挖掘,再到可以转移其他操作的拒绝服务(DoS)。
为了帮助公司的Kubernetes环境不容易被入侵,NSA和CISA发布了一份52页的网络安全技术报告《Kubernetes强化指南》,为管理员安全管理Kubernetes提供指导。
NSA表示,Kubernetes环境遭受攻击的三个主要原因是供应链攻击、恶意行为者和内部威胁。虽然管理员无法防范所有这三种风险,但他们可以通过避免常见的错误配置和应用缓解措施来最小化安全风险,从而加强Kubernetes集群的安全性。
NSA表示,供应链攻击“通常难以缓解”,并且攻击者的入侵方式通常是利用漏洞或利用错误配置。概括地说,针对这些威胁的防御措施是扫描容器和Pod中的错误和错误配置。使用最少的权限来运行Pod和容器(除非需要更高的权限),并使用网络分离、强身份验证、正确配置的防火墙和审计日志。
管理员还应定期检查所有Kubernetes设置,并确保系统受益于最新的更新、补丁和可用升级。
参考来源:BleepingComputer http://33h.co/wkpgt
(十)NSA发布在公共环境中保护无线设备指南
美国国家安全局(NSA)7月29日发布了《在公共环境中保护无线设备》指南,就美国政府机构如何缓解与在公共环境中使用无线设备相关的网络安全风险提供一系列建议,帮助国家安全系统(NSS)、国防部(DoD)和国防工业基地(DIB)远程工作人员识别潜在威胁,并将其无线设备和数据的风险降至最低。
网络攻击者可以通过蓝牙、公共Wi-Fi和NFC破坏设备。这会使个人和组织数据、凭据和设备面临风险。设备包括笔记本电脑、平板电脑、移动设备、可穿戴设备以及其他可以连接到公共无线技术的设备。该指南描述了如何识别潜在易受攻击的公共连接、保护常用无线技术以及更好地保护设备和数据。
NSA列出了用于针对每项技术的恶意技术,并提供了具体建议,例如避免使用公共Wi-Fi,而是使用具有强身份验证和加密功能的个人或公司移动热点。如果用户必须连接到公共Wi-Fi,应采取必要的预防措施,例如使用个人或公司提供的VPN来加密流量。
该指南帮助用户了解使用公共无线技术的风险,并能够就风险级别做出有计划的决定。NSA建议在不使用时禁用Wi-Fi、蓝牙和NFC。
参考来源:NSA http://33h.co/wkwfi
(十一)CISA推出全新漏洞披露政策平台
美国CISA于7月29日宣布推出一个全新漏洞披露政策(VDP)平台,该平台允许联邦行政部门机构识别、监控、并在道德黑客的帮助下修复全球关键系统的安全漏洞。
该平台是由CISA的网络质量服务管理办公室(QSMO)提供并由BugCrowd和EnDyna提供的最新共享服务。VDP平台为机构提供了一个集中管理的、单一在线网站,用于列出其漏洞披露政策范围内的系统,使安全研究人员和公众能够在机构网站中查找漏洞并提交报告进行分析。国土安全部、劳工部和内政部是计划在一开始就利用该平台的机构之一。
这个新平台使机构能够更深入地了解潜在漏洞,从而改善其网络安全态势。这种方法还可以在整个政府范围内节省大量成本,因为机构不再需要开发自己的独立系统来报告和分类已识别的漏洞。CISA估计,通过利用QSMO共享服务方法,政府范围内的成本节省将超过1000万美元。
通过这个众包平台,联邦民事行政部门(FCEB)机构现在能够以简化的方式与安全研究社区进行协调,并且那些报告事件的机构可以使用一个单一的、可用的网站来方便提交调查结果。该平台通过允许具有独特技能的研究人员提交漏洞报告来鼓励公共和私营部门之间的合作和信息共享,机构将使用这些报告来了解和解决以前未识别的漏洞。服务提供商BugCrowd和EnDyna将对提交的漏洞报告进行初步评估。这种初步评估将腾出机构的时间和资源,并使机构能够专注于那些具有实际影响的报告。
CISA的VDP平台将帮助FCEB在管理其信息系统中的漏洞时改进日常运营。机构可以选择利用该平台作为研究人员披露的获取、分类和路由漏洞的主要入口点。CISA的目标是让平台充当集中的漏洞披露机制,以加强公共和联邦机构之间的信息共享。这种方法将提高机构分析、解决和交流已披露漏洞的能力。
参考来源:CISA http://33h.co/w9mv1
(十二)思科修复防火墙管理软件On-Box中远程代码执行漏洞
思科修复了其FDM On-Box软件中存在的漏洞CVE-2021-1518,攻击者可以利用该漏洞在易受攻击的设备上执行任意代码。
Firepower设备管理器(Firepower Device Manager,FDM)On-Box用于配置Cisco Firepower防火墙,允许管理员在没有FMC的情况下管理防火墙,并提供诊断功能。
Positive Technologies安全研究人员Nikita Abramov和Mikhail Klyuchnikov发现,该远程代码执行漏洞存在于FDM On-Box 软件的REST API中,编号为CVE-2021-1518,CVSS得分为6.3,为中危漏洞,由于用户对特定命令的输入没有得到充分清理。
思科FDM On-Box软件的REST API中的漏洞可能允许经过身份验证的远程攻击者在受影响设备的底层操作系统上执行任意代码。此漏洞是由于对特定REST API命令的用户输入的清理不足。攻击者可以通过向受影响设备的API子系统发送精心设计的HTTP请求来利用此漏洞。成功的利用可能允许攻击者在底层操作系统上执行任意代码。要利用此漏洞,攻击者需要有效的低特权用户凭据。
思科已发布软件更新来解决此漏洞,没有解决此漏洞的变通方法。该的漏洞影响FDM On-Box版本6.3.0、6.4.0、6.5.0、6.6.0和6.7.0。思科通过发布软件版本6.4.0.12、6.4.4和6.7.0.2解决了该问题。思科表示,该漏洞没有在野外被利用。
参考来源:Cisco http://33h.co/w9p51
(十三)思科修复小型企业VPN路由器中严重漏洞
思科8月4日发布了补丁程序,修复了其小型企业VPN路由器中存在的严重漏洞,远程攻击者可利用这些漏洞执行任意代码,甚至造成DoS攻击。
漏洞CVE-2021-1609的CVSS评分为9.8,漏洞CVE-2021-1610的CVSS评分为7.2,存在于运行1.0.03.22版之前固件版本的小型企业RV340、RV340W、RV345和RV345P双WAN千兆位VPN路由器的基于Web的管理界面中。这两个漏洞都源于对HTTP请求缺乏适当的验证,从而允许不良行为者向易受攻击的设备发送特制的HTTP请求。
成功利用CVE-2021-1609可能允许未经验证的远程攻击者在设备上执行任意代码,或导致设备重新加载,从而造成DoS情况。CVE-2021-1610是一个命令注入漏洞,如果利用该漏洞,经过身份验证的攻击者可以在受影响的设备上以root权限远程执行任意命令。Chaitin安全研究实验室的Swing报告了这两个漏洞。
思科还解决了影响Small Business RV160、RV160W、RV260、RV260P和RV260W VPN路由器的严重远程代码执行漏洞CVE-2021-1602,CVSS评分为8.2,未经验证的远程攻击者可利用这些漏洞在受影响设备的底层操作系统上执行任意命令。运行1.0.01.04之前固件版本的小型企业RV系列路由器易受影响。
思科表示,此漏洞是由于用户输入验证不足造成的。攻击者可以通过向基于Web的管理界面发送特制的请求来利用此漏洞。成功利用此漏洞可让攻击者使用根级别权限在受影响的设备上执行任意命令。由于漏洞的性质,只能执行不带参数的命令。思科表示目前还没有任何证据表明这些漏洞存在积极的开发尝试,也没有任何解决这些漏洞的变通方法。
CVE-2021-1602是思科第二次修复涉及同一套VPN设备的严重远程代码执行漏洞。今年2月早些时候,该公司修补了35个漏洞,这些漏洞可能会让未经身份验证的远程攻击者以root用户的身份在受影响的设备上执行任意代码。
参考来源:TheHackerNews http://33h.co/wk72a
(十四)新型APT组织Praying Mantis攻击美国知名组织
以色列网络安全公司Sygnia发现,一个名为Praying Mantis或TG2021的新型APT组织一直在针对美国主要的公共和私人实体发起攻击。该APT组织利用面向互联网的微软互联网信息服务(IIS)服务器渗透其网络。
TG1021使用了一个定制的恶意软件框架,围绕一个通用核心构建,是为IIS服务器量身定做的。该工具集是完全不稳定的,反射加载到受影响的机器的内存,并在受感染的目标上几乎没有痕迹。攻击者还使用一个额外的秘密后门和几个后利用模块来执行网络侦察,提升特权,并在网络内横向移动。
除了展示通过主动干扰日志记录机制和成功避开商业端点检测和响应(EDR)系统来避免检测的能力之外,攻击者利用大量ASP.NET Web应用程序漏洞来获得初始立足点,并通过执行名为“NodeIISWeb”的复杂植入程序来后门服务器,该植入程序旨在加载自定义DLL以及拦截和处理服务器接收的HTTP请求。
攻击者利用的漏洞包括:复选框调查RCE漏洞CVE-2021-27852、视图状态反序列化漏洞、AltSerialization不安全的反序列化、Telerik-UI漏洞CVE-2019-18935和CVE-2017-11317。
参考来源:TheHackerNews http://33h.co/wk7vt
(十五)勒索软件组织DoppelPaymer更名为Grief
在沉寂了一段时间后,勒索软件组织DoppelPaymer现已更名为Grief。目前尚不清楚是否有任何原始开发人员仍然支持该勒索软件即服务(RaaS),但安全研究人员发现的线索表明该RAAS仍在继续。
在DarkSide勒索软件攻击美国最大的燃料管道运营商之一Colonial Pipeline大约一周后,DoppelPaymer的活动在5月中旬开始下降。自5月6日以来,他们的泄密网站没有任何更新,看起来DoppelPaymer团伙正在后退一步,等待公众对勒索软件攻击的关注消散。
然而,Emsisoft的安全研究人员Fabian Wosar指出,Grief和DoppelPaymer是同一威胁行为者的名称,两者共享相同的加密文件格式,并使用相同的分发渠道,即Dridex僵尸网络。
尽管该威胁行为者努力使Grief看起来像一个单独的RaaS,但与DoppelPaymer的相似之处如此惊人,以至于无法忽视两者之间的联系。关于Grief勒索软件的消息出现在6月初,当时人们认为这是一项新的操作,发现了一个编译日期为5月17日的样本。
云安全公司Zscaler的恶意软件研究人员分析了早期的Grief勒索软件样本,发现被感染系统上的勒索信件指向了DoppelPaymer门户网站。“这表明恶意软件作者可能仍在开发Grief赎金门户网站。勒索软件威胁组织经常将恶意软件的名称重新命名,作为一种转移注意力的手段。”
两者之间的联系进一步延伸到它们的泄漏站点。尽管从视觉上看它们完全不同,但相似之处比比皆是,例如防止自动抓取网站的验证码。
此外,这两种勒索软件威胁依赖于高度相似的代码,这些代码实现了“相同的加密算法(2048位RSA和256位AES)、导入哈希和入口点偏移计算”。另一个相似之处是Grief和DoppelPaymer都使用欧盟通用数据保护条例(GDPR)作为警告,未付款的受害者仍将因违规而面临法律处罚。几乎没有将两者区分开来,而且主要是装饰性的,以至于恶意软件研究人员坚信这是不同名称下的相同操作。
例如,Grief转而使用Monero加密货币,这可能是一种保护措施,以防止执法部门采取可能导致扣押已收赎金的潜在行动。另一个不同之处在于,Grief勒索软件使用术语“Grief”来表示在其网站上泄露的受害者数据,如作为妥协的证据(“griefs in progress”),及作为对不支付赎金的惩罚(“complete griefs”)。
目前,Grief泄密网站上列出了二十多名受害者,该威胁行为者一直在忙于用新的名字工作。该组织声称最近攻击了了希腊城市塞萨洛尼基,并发布了一份文件档案作为入侵的证据。
Zscaler表示,Grief勒索软件是DoppelPaymer勒索软件的最新版本,只有少量代码更改和新的外观主题。该组织一直处于阴影之中,以避免因REvil攻击Kaseya及DarkSide攻击Colonial Pipeline而受到关注。
勒索软件组织更名不一定是要抹去他们的踪迹,这样做可能是为了避免任何会阻止受害者支付赎金的政府制裁。
参考来源:BleepingComputer http://33h.co/wwc92
(十六)CyCraft发布Prometheus勒索软件免费解密程序
台湾安全公司CyCraft发布了一个免费应用程序,可以帮助Prometheus勒索软件受害者恢复和解密一些文件。该解密程序可在GitHub上获得,通过暴力破解用于锁定受害者数据的加密密钥来有效工作。
CyCraft研究人员在博客文章中表示,“Prometheus勒索软件使用Salsa20和基于tickcount的随机密码来加密文件。随机密码的大小为32个字节,每个字符都是可见字符。由于密码使用tickcount作为密钥,我们可以粗暴地猜测它。”
Emsisoft表示,CyCraft解密程序的唯一缺点是它只能处理小文件中暴力破解解密密钥。Emsisoft是一家破解了多种勒索软件的知名公司。
然而,解密程序的发布似乎对Prometheus组织的活动产生了影响。该解密程序于7月13日发布,也是Prometheus组织在其暗网泄密网站上发布任何内容的最后一天。两个半星期后,Prometheus组织似乎已经停止行动。
Prometheus组织于今年2月首次被发现,此前该组织在其泄密网站上列出了40多名受害者。它通过声称与更臭名昭著的REvil组织有联系而引起了一些关注,然而在REvil攻击Kaseya后删除了这一说法。
事实上,从代码角度来看,这两款勒索软件的差别非常大。REvil是一种高级C++恶意软件,而Prometheus是基于Thanos勒索软件的泄露代码,用C#编写。
Prometheus沉默后不久,一个名为Haron的新组织也在Thanos代码库上运行,开始了攻击,导致一些专家认为Prometheus运营商更名为Haron。
Emsisoft的一位发言人表示,不排除其最终会为Prometheus和其他Thanos勒索软件开发解密程序,可以恢复大型文件的解密程序。如果他们这样做了,该应用程序将在公司网站和NoMoreRansom门户网站上提供。由于基于Thanos的勒索软件每周都会产生新的受害者,这可能是迟早的事。
参考来源:TheRecord http://33h.co/w9s55
(十七)英国怀特岛六所学校遭受勒索软件攻击导致开学延期
英国怀特岛的六所学校遭受了勒索软件攻击,导致数据被加密,并可能导致新学期开学延期。
据怀特岛教育联盟称,此次数据加密事件发生在7月28日至29日期间,攻击了怀特岛教育联盟及六所学校,分别为Carisbrooke College、Island 6th Form、Medina College、Barton Primary、Hunnyhill Primary和Lanesend Primary。自30日以来,所有学校的网站都已关闭,9月份的新学期开学可能会推迟。
学校发言人表示,“正如您想象,团队现在正字重新创建丢失的信息。为了协助这一艰苦的过程,已批准学校在暑假结束后再额外关闭3天。这意味着孩子们要到2021年9月6日星期一才能返回学校。我们要求您在此期间对团队保持耐心。”
怀特岛教育联盟表示,它正在与当局联络,以追捕网络犯罪分子,并了解攻击的全面影响。一位发言人表示,“我们正在与当地警察和当局、教育部、网络支持部和各种ICT系统提供商合作,以推动这一进程,并确保在新学年建立必要和适当的系统。”
安全平台CybSafe首席执行官兼创始人Oz Alashe在评论最近的事件时表示,“恶意行为者将教育机构视为攻击目标,鉴于其工作的重要性质以及可能对学生教育造成的破坏,他们将更愿意支付赎金。解决人类安全行为仍然是组织可以采取的减轻此类风险的最有效措施。对于学生和教职员工而言,提高对勒索软件攻击的认识,并提供识别和标记此类攻击的方法,将有助于防止此类攻击行为,并确保学校能够在这个关键时刻避免中断。”
参考来源:computing http://33h.co/wk23q
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
