关键信息基础设施安全动态周报【2021年第29期】
发布时间:
2021-07-23
来源:
作者:
天地和兴
访问量:
921
目 录
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年中国互联网网络安全报告》
(二)研华路由器监控软件R-SeeNet存在多个漏洞
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔MicroLogix PLC存在高危漏洞导致DoS攻击
(二)施耐德修复EVlink电动汽车充电站中多个漏洞
(三)MDT Software修复其工业自动化产品中七个漏洞
(四)英国北方铁路公司售票机遭受勒索软件攻击
(五)伊朗黑客组织Tortoiseshell攻击国防及航空航天企业
(六)沙特阿美1TB数据泄露在暗网出售
(七)美国发布第二个管道运营网络安全指令
(八)美国政府悬赏1000万美元征集攻击关键基础设施的黑客信息
(九)以色列Candiru公司向政府出售间谍软件
(十)D-LINK DIR-3040无线路由器中存在多个漏洞
(十一)Aruba Networks路由器中存在多个漏洞
(十二)Fortinet修复网络管理解决方案中远程代码执行漏洞
(十三)存在长达16年的打印机驱动程序漏洞影响全球数百万台打印机
(十四)厄瓜多尔CNT电信公司遭受RansomEXX勒索软件攻击
(十五)著名律师事务所Campbell Conroy & O'Neil披露遭受勒索软件攻击
(十六)瑞士价格比较平台Comparis遭受勒索软件攻击
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2020年中国互联网网络安全报告》
2021年7月20日,国家计算机网络应急技术处理协调中心(CNCERT/CC)编写的《2020年中国互联网网络安全报告》正式发布。自2008年起,CNCERT持续编写发布中国互联网网络安全年度报告,依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况,对我国互联网网络安全状况进行总体判断和趋势分析,具有重要的参考价值。该系列报告为政府部门提供监管支撑,为互联网企业提供运行管理技术支持,向社会公众普及互联网网络安全知识,对提高全社会、全民的网络安全意识发挥积极作用。
《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据,具有重要的参考价值,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中,报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析,并对2020年的典型网络安全事件进行了专题介绍。此外,本报告还对网络安全组织发展情况和CNCERT举办的重要网络安全会议和活动等情况进行了阶段性总结,并对2021年网络安全关注方向进行预测。
本文版权归原作者所有,参考来源:CNCERT http://33h.co/2696p
思科Talos研究人员7月15日发表博客文章称,其在研华R-SeeNet监控软件中发现了多个漏洞。研华是台湾工业和物联网解决方案提供商。
R-SeeNet是用于监控研华路由器的软件系统,不断从网络中的各个路由器收集信息,并将数据记录到SQL数据库中。Talos发现的漏洞存在于R-SeeNet网络应用程序内的各种脚本中。
CVE-2021-21799、CVE-2021-21800、CVE-2021-21801、CVE-2021-21800都是允许攻击者在目标用户浏览器的上下文中执行任意JavaScript代码的漏洞。攻击者可以通过向目标发送恶意URL并诱使用户打开该URL来利用这些漏洞。
命令执行漏洞CVE-2021-21805可能允许攻击者通过向目标设备发送特制的HTTP请求来执行操作系统命令。
文件包含漏洞CVE-2021-21804存在于R-SeeNet的options.php脚本功能中,可能允许攻击者执行任意PHP命令,可以通过恶意HTTP请求触发。
尽管研华在90天期限内没有正式更新,但根据思科漏洞披露政策,Talos还是披露了这些漏洞。思科鼓励用户尽快更新受影响的产品:研华R-SeeNet版本2.4.12(20.10.2020)。Talos测试并确认该版本的R-SeeNet可被此漏洞利用。
参考来源:Cisco Talos http://t.hk.uy/C26
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔MicroLogix PLC存在高危漏洞导致DoS攻击
罗克韦尔MicroLogix 1100可编程逻辑控制器(PLC)中存在一个高危漏洞,可导致设备进入持续故障状态。
罗克韦尔和CISA发布公告称,未经身份验证的远程攻击者可以通过向目标控制器发送精心编制的命令,利用CVE-2021-33012造成拒绝服务(DoS)状态。利用此漏洞可防止PLC进入运行状态,即使重置设备也无法解决此问题。
罗克韦尔表示,“如果成功利用此漏洞,当控制器切换到运行模式时,此漏洞将导致控制器出现故障。在这种状态下,可以通过将新项目下载到控制器或项目的离线副本来恢复控制器。”
PLC在运行(RUN)模式或程序(PROG)模式时正常运行,PROG模式允许用户更新控制器上的逻辑。
工业网络安全公司Bayshore Networks的一名研究人员向罗克韦尔报告了这一漏洞。Bayshore本周宣布被OPSWAT收购,OPSWAT是一家专门为关键基础设施提供网络安全解决方案的公司。Bayshore的产品和员工将成为OPSWAT的一部分。
OPSWAT OT产品销售工程高级总监Vincent Turmel表示,Shodan搜索结果显示,大约230个可直接从互联网访问的潜在易受攻击的PLC,主要位于美国和几个欧洲国家。然而其中一些可能是蜜罐,而不是真正的系统。
罗克韦尔尚未针对该漏洞发布修补程序。相反,其建议客户将控制器保持在运行模式,并考虑迁移到更新的控制器模型,MicroLogix 1100 PLC已停产,建议用户迁移到Micro870控制器。罗克韦尔表示,“我们鼓励客户进行项目备份,以从事件中恢复过来。”
参考来源:SecurityWeek http://t.hk.uy/CUY
(二)施耐德修复EVlink电动汽车充电站中多个漏洞
施耐德电气修复了其EVlink电动汽车充电站中存在的13个安全漏洞,这些漏洞可能导致拒绝服务(DoS)攻击。这些漏洞中有三个严重漏洞、八个高危漏洞、两个中危漏洞。
EVlink充电站安装在私人物业、公共停车场和街道充电。EVlink的City、Parking和Smart Wallbox三个产品系列受到影响。
施耐德电气在7月13日发布的一份安全警告中警告称,未应用固件更新的受影响的EVlink充电站可能面临未授权访问充电站网络服务器的风险,这可能导致充电站的设置和账户被篡改和破坏。这种篡改可能会导致拒绝服务攻击等行为,这可能导致未经授权使用充电站、服务中断、无法向监管系统发送充电数据记录、以及充电站配置的修改和泄露。如果充电站直接暴露在互联网上,这些漏洞就可能被远程利用。
然而,参与发现其中两个漏洞的SEC Consult安全研究员Stefan Viehböck表示,“根据Shodan/Censys的搜索,一些受影响的充电器可以直接从互联网上访问。即使在一个适当分段的内部网络中,他们也可能容易受到钓鱼和其他攻击。最初的妥协,然后通过横向移动等方式进入充电站网络。商业充电基础设施通常由数百个充电器组成,所以如果攻击者成功进入这些充电器的网络,他们就可以接管所有充电器。”
施耐德电气表示,这些漏洞还可以通过物理途径进入充电站的内部通信端口,这需要拆卸充电站外壳,或者在连接充电站情况下,进入充电站监控系统网络。
三个严重漏洞的CVSS得分均为9.4,可以使攻击者通过充电站web服务器获得管理特权。分别为EVlink管理web界面中使用无文档和硬编码HTTP cookie值绕过身份验证机制漏洞CVE-2021-22707、硬编码证书问漏洞CVE-2021-22730、和硬编码密码漏洞CVE-2021-22729。
其中一个高危漏洞CVSS评分为7.2分,是密码签名验证漏洞,可能导致远程代码执行(RCE),可能是在2018年修复以前的代码注入漏洞时无意中创建的。这些漏洞存在于固件R7版本V3.3.0.15中,并在7月13日发布的固件R8版本V3.4.0.1中修复。
总部位于奥地利的SEC Consult建议施耐德电气对其EVlink产品线“进行彻底的安全审查,以确定并解决潜在的进一步安全问题”。
随着电动汽车充电器的继续激增,Viehböck预计会出现更多严重的漏洞。其结果可能是对充电记录或设置的操纵,从而导致车辆过度充电或充电不足、充电凭证被盗或滥用、充电网络服务中断、以及在充电过程中汽车电子设备被锁定变砖。攻击者甚至可能“找到影响电网的创造性方法”。
参考来源:TheDailySwig http://33h.co/2v0hr
(三)MDT Software修复其工业自动化产品中七个漏洞
工业自动化解决方案提供商MDT Software修复了其旗舰产品MDT AutoSave中存在的七个严重漏洞。
MDT AutoSave是一种自动化变更管理解决方案,可为更广泛的工业控制系统(ICS)提供备份、版本控制、历史跟踪、用户权限、审计跟踪、更改检测和灾难恢复功能,包括PLC、CNC、SCADA、HMI、机器人、驱动器和焊机。该产品被世界上一些最大的制造商使用,包括主要汽车制造商特斯拉、起亚、宝马、现代、本田、可口可乐、宝洁、强生、阿斯利康和雀巢普瑞纳。
工业网络安全公司Claroty研究人员发现,MDT AutoSave受七个漏洞影响,其中两个为严重漏洞,五个为高危漏洞。Claroty漏洞研究团队负责人Sharon Brizinov表示,攻击者需要通过网络访问MDT AutoSave服务器才能利用这些漏洞。
根据美国CISA 7月8日发布的公告显示,可利用严重漏洞CVE-2021-32953通过使用SQL命令在系统中创建一个新用户,并更新用户权限,允许攻击者登录系统。另一个严重漏洞CVE-2021-32933是命令注入漏洞,可被利用来运行恶意进程。
Brizinov解释表示,“CVE-2021-32933可能使攻击者能够利用API传递恶意文件,然后该文件可以操纵进程创建命令行并运行命令行参数。然后可以利用它来运行恶意进程,而无需任何身份验证。”
据CISA称,这些高危漏洞可让攻击者破解加密并获得系统访问权限、用恶意文件替换合法文件、执行恶意文件并获取敏感信息。这些漏洞会影响MDT AutoSave版本6.x和7.x,以及AutoSave for System Platform(A4SP版本4(及更早版本)和5.0。供应商在2020年12月至2021年6月的不同时间为每个受影响的产品发布了修补程序。
参考来源:SecurityWeek http://t.hk.uy/Cwq
(四)英国北方铁路公司售票机遭受勒索软件攻击
英国北方铁路公司(Northern Trains)推出的新型自助售票机疑似遭受了勒索软件网络攻击。该系统自上周以来一直处于离线状态,调查正在进行中。两个月前,英格兰北部420个车站安装了621台触摸屏设备,耗资1700万英镑。
Northern是一家政府运营的运营商,已与供应商Flowbird一起采取“迅速行动”,并且客户和支付数据没有受到影响。Northern表示,只有操作售票机的服务器受到影响。
Northern证实,“我们与供应商正在开展调查,但有迹象表明,售票机服务已受到勒索软件网络攻击。”
Flowbird表示,这个问题最初是通过网络监控系统发现的。一位发言人称,“我们立即启动了重大事件程序,以保护网络的其他部分,我们的检查表明,任何个人数据都没有受到损害。”
Northern网站显示,“自助售票机出现了故障,并且遇到了“技术困难”。建议客户使用应用程序或网站提前购票,并可从售票处取票。Northern对造成的任何不便表示歉意。我们正在努力尽快恢复售票机正常运行。已经购买了票并在机器上取票的客户,或者通常使用‘承诺付款’的客户,应该登上其预订的服务,并与列车员或目的地车站的工作人员沟通。”
Northern之前由Arriva Rail North运营,在去年发生一系列问题后被政府接管,问题包括时间表变更导致服务延误和取消。
参考来源:BBC http://t.hk.uy/CWA
(五)伊朗黑客组织Tortoiseshell攻击国防及航空航天企业
Facebook安全团队7月15日发表研究文章称,其发现伊朗黑客组织Tortoiseshell的网络攻击活动近日有所升级,攻击目标扩展到了美国及欧洲的国防及航空航天行业的军事人员和公司。
该黑客组织利用基础设施滥用Facebook的平台,散布恶意软件,并在互联网上进行间谍活动,主要针对美国。Tortoiseshell此前的攻击目标主要集中在中东的信息技术行业。该组织使用各种恶意策略来识别其目标,并使用恶意软件感染其设备以进行间谍活动。
这项活动具有资源丰富和持续行动的特点,同时依靠相对强大的运营安全措施来隐藏幕后黑手。Facebook平台是更广泛的跨平台网络间谍活动的要素之一,该组织在Facebook上的活动主要体现在社会工程和驱使人们离开平台,例如电子邮件、消息传递和协作服务以及网站,而不是直接共享恶意软件本身。
Facebook研究人员确定了该威胁行为者在互联网上使用的以下策略、技术和程序(TTP):
社会工程学:在执行其高度针对性的活动时,Tortoiseshell部署了复杂的虚假在线角色来联系其目标,建立信任,并诱使他们点击恶意链接。这些虚构的人物在多个社交媒体平台上都有个人资料,使它们看起来更可信。这些账户通常伪装成目标所在国家的国防和航空航天公司的招聘人员和雇员。其他人声称在酒店、医药、新闻、非政府组织和航空公司工作。他们利用各种协作和消息传递平台将对话移出平台,并将恶意软件发送给目标受害者。调查发现,该群体在互联网上的社会工程工作中投入了大量时间,在某些情况下,他们与目标进行了数月的互动。
网络钓鱼和凭据盗窃:该组织创建了一组量身定制的域,旨在吸引航空航天和国防工业中的特定目标。其中包括针对特定国防公司的虚假招聘网站。他们还建立了在线基础设施,冒充合法的美国劳工部求职网站。作为网络钓鱼活动的一部分,攻击者欺骗了主要电子邮件提供商的域,并模仿URL缩短服务,可能会隐藏这些链接的最终目的地。这些域似乎已被用于窃取受害者在线帐户的登录凭据,例如公司和个人电子邮件、协作工具、社交媒体。它们似乎还被用来分析目标的数字系统,以获取有关设备、连接网络以及安装软件的信息,从而最终提供针对目标的恶意软件。
恶意软件:该组织使用了其操作独有的自定义恶意软件工具,包括功能齐全的远程访问木马、设备和网络侦察工具、以及按键记录器。在这些工具中,攻击者继续为Windows开发和修改名为Syskit的恶意软件,已经使用了多年。该组织还分享了恶意Microsoft Excel电子表格的链接,这使得恶意软件能够执行各种系统命令来分析受害者的机器,其方式与思科研究人员发现的Liderc侦察工具非常相似。一个以前未报告的恶意工具变种被嵌入到Microsoft Excel文档中,能够将输出(即系统侦察的结果)写入电子表格的隐藏区域,这可能需要攻击者对目标进行社会工程,来欺骗他们保存并返回文件。
外包恶意软件开发:Facebook安全团队观察到,这个群体使用了几个不同的恶意软件家族。调查和恶意软件分析发现,一部分恶意软件是由Mahak Rayan Afraz(MRA)开发的,这是德黑兰一家与伊斯兰革命卫队(IRGC)有联系的IT公司。一些现任和前任MRA高管与美国政府批准的公司有联系。
Facebook与业界同行分享了此发现和威胁指标,以便他们也能检测和缓解这种活动。为了中断此操作,Facebook阻止了恶意域在平台上共享,关闭了该组的帐户,并通知了此威胁行为者的攻击目标。
参考来源:Facebook http://t.hk.uy/Cyu
(六)沙特阿美1TB数据泄露在暗网出售
威胁行为者ZeroX声称,从沙特阿美公司窃取了1 TB敏感数据,并在暗网上出售,这些数据的初始售价为500万美元。沙特阿美已将此数据泄露事件归咎于第三方承包商,并称该事件对沙特阿美的运营没有影响。
沙特阿美是世界上最大的石油和天然气公司之一,拥有超过66,000名员工,年收入近2,300亿美元。
一个名为ZeroX的威胁行为者正在出售属于沙特阿美公司的1 TB专有数据。ZeroX声称,这些数据是在2020年通过入侵沙特阿美的“网络及其服务器”窃取的,这些文件最新的到2020年,其中一些可以追溯到1993年。
该威胁行为者没有明确说明是使用哪个漏洞访问的系统,只是说利用了零日漏洞。为了吸引潜在买家,今年6月,在数据泄露市场论坛上首次发布了沙特阿美的一小部分蓝图及专有文件样本。
不过,在最初发布时,.onion leak网站的倒计时时间设置为662小时,即大约28天,之后将开始价格变动和谈判。ZeroX表示,选择662小时是有意的,是沙特阿美要解决的难题,但选择背后的确切原因仍不清楚。
该组织表示,1 TB的数据包括与位于多个沙特阿拉伯城市的沙特阿美炼油厂有关的文件,包括Yanbu、Jazan、Jeddah、Ras Tanura、Riyadh、Dhahran。而且,其中一些数据包括:
1、14,254名员工的完整信息,包括姓名、照片、护照复印件、电子邮件、电话号码、居住证(Iqama卡)号码、职务、身份证号码、家庭信息等;
2、电力、建筑、工程、土木、施工管理、环境、机械、船舶、电信等相关系统的项目规范;
3、内部分析报告、协议、信函、定价表等;
4、IP地址、Scada点、Wi-Fi接入点、IP摄像机和IoT设备的网络布局;
5、位置图和精确坐标;
6、沙特阿美的客户名单,以及发票和合同。
Zerox在泄漏网站上发布的样本经过了个人身份信息(PII)编辑,仅1 GB的样本就需要2000美元,支付方式为门罗币。整个1TB转储的价格为500万美元,威胁行为者表示,金额可以商量。要求独家一次性销售的购买者预计将支付高达5000万美元,即获得完整的1 TB转储并要求将其从ZeroX端完全清除。Zerox透露,到目前为止,他们已经与五个买家就这笔交易进行了谈判。
互联网上流传的一些说法称,这是一起勒索软件攻击事件,然而事实并非如此。威胁行为者和沙特阿美都证实,这不是一起勒索软件事件。沙特阿美表示,数据泄露发生在第三方承包商,而不是直接利用阿美的系统。
沙特阿美表示,“阿美最近意识到,第三方承包商持有的有限数量的公司数据被间接泄露。我们确认,数据发布对我们的运营没有影响,公司继续保持强大的网络安全态势。”
威胁行为者确实试图联系沙特阿美,通知他们入侵事件,但没有得到回复,在进入网络后也没有试图敲诈。
参考来源:BleepingComputer http://33h.co/2vgg3
(七)美国发布第二个管道运营网络安全指令
为了应对管道系统面临的持续网络安全威胁,美国国土安全部运输安全管理局(TSA)7月20日宣布发布第二项安全指令,要求TSA指定的运输危险液体和天然气的关键管道的所有者和运营商实施一些紧急需要的保护措施,以防止网络入侵。
这是拜登政府对一系列勒索软件攻击和入侵袭击美国关键基础设施并引发对美国网络安全的担忧的最新回应。
国土安全部部长Alejandro N. Mayorkas表示,“美国人民的生活和生计取决于我们保护国家关键基础设施免受不断变化的威胁的集体能力。通过这项安全指令,国土安全部可以更好地确保管道部门采取必要措施,来保护其运营免受不断上升的网络威胁,并更好地保护我们的国家和经济安全。公私伙伴关系对我们国家每个社区的安全至关重要,国土安全部将继续与我们的私营部门合作伙伴密切合作,以支持他们的运营并提高他们的网络安全弹性。”
在制定第二个安全指令期间,美国国防部的网络安全和基础设施安全局(CISA)就管道行业面临的网络安全威胁以及防止这些威胁的技术对策向TSA提供了建议。该安全指令要求TSA指定的关键管道的所有者和运营商实施特定的缓解措施,以防止勒索软件攻击和其他对信息技术和运营技术系统的已知威胁,制定和实施网络安全应急和恢复计划,并实施网络安全架构设计审查。
这是TSA今年向管道部门发布的第二个安全指令,建立在TSA于2021年5月Colonial主要石油管道遭受勒索软件攻击后发布的初始安全指令的基础上。2021年5月的安全指令要求关键管道所有者和运营商:
(1)向CISA报告已确认和潜在的网络安全事件;
(2)指定一名网络安全协调员,每周7天、每天24小时提供服务;
(3)审查现行做法;
(4)找出任何差距和相关补救措施以解决网络相关风险,并在30天内向TSA和CISA报告结果。
自2001年以来,TSA与管道所有者和运营商以及联邦政府的合作伙伴密切合作,以加强美国危险液体和天然气管道系统的物理安全准备。TSA与美国保护关键基础设施免受网络安全威胁的牵头机构CISA密切合作,以执行这项任务。
参考来源:美国国土安全部 http://t.hk.uy/CYD
(八)美国政府悬赏1000万美元征集攻击关键基础设施的黑客信息
美国政府悬赏1000万美元,以获取有关国家资助的黑客进行的活动的信息。这一举措是由美国国务院宣布的,该机构表示,该Rewards for Justice(RFJ)计划将奖励有关民族国家行为者针对美国关键基础设施进行恶意活动的报告。
美国政府邀请民众提供详细信息,以帮助当局识别和定位参与外国政府针对美国基础设施实施的网络行动的人员。
针对美国关键基础设施的恶意网络操作包括勒索软件攻击、故意未经授权访问计算机或超出授权访问权限以收集敏感和秘密信息,以及故意损坏受保护的计算机。
美国国务院发布的公告称,“美国国务院的司法奖励计划(RFJ)由外交安全局管理,该计划提供高达1000万美元的奖励,以获得在外国政府指导或控制下参与针对美国关键基础设施的恶意网络活动的任何人的身份或位置信息。此类活动违反了《计算机欺诈和滥用法案》(CFAA)。违反法规的行为可能包括作为勒索软件攻击的一部分发送勒索威胁;故意未经授权访问计算机或超出授权访问权限,从而从任何受保护的计算机获取信息;以及故意造成程序、信息、代码或命令的传输,并因此而故意未经授权对受保护的计算机造成损害受保护的计算机不仅包括美国政府和金融机构的计算机系统,还包括用于或影响州际或外国商业或通信的计算机系统。”
该RFJ计划建立了一个暗网网站,允许个人报告有关网络操作的信息。为了以安全的方式接收信息并保护潜在来源的安全,国务院在暗网上建立了一个提示报告服务。
该RFJ计划建立的暗网网站由SecureDrop提供支持,SecureDrop是一个允许匿名共享信息的平台。该RFJ计划下的奖励也可能是加密货币,以保护向美国当局提供有用信息的人的匿名性。
参考来源:美国国务院 http://33h.co/2vhua
(九)以色列Candiru公司向政府出售间谍软件
微软及CitizenLab研究人员发现,以色列秘密监控软件公司Candiru专门向政府销售间谍软件,该公司利用Windows零日漏洞出售一种名为DevilsTongue的新型Windows间谍软件,该软件可以感染和监控iPhone、Android、Mac、PC和云帐户。至少有10个国家的100名活动人士、记者及政府持不同政见者成为该间谍软件的攻击目标。CitizenLab将该公司成为Candiru,微软将该公司称为Sourgum。
微软表示,“一个私营部门公司制造和销售网络武器的世界对消费者、各种规模的企业和政府来说都更加危险。我们严肃对待这一威胁,并中断了该组织制造和销售的某些网络武器的使用。这些武器被用于精确攻击,目标是世界各地100多名受害者,其中包括政治家、人权活动家、记者、学者、大使馆工作人员和持不同政见者。作为调查的一部分,微软在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡观察到至少100名受害者。”
CitizenLab表示,“我们与微软威胁情报中心(MSTIC)合作分析了间谍软件,结果发现了微软的CVE-2021-31979和CVE-2021-33771,这是Candiru利用的两个提权漏洞。微软于2021年7月13日修补了这两个漏洞。”
Candiru间谍软件可以通过不同的载体进行部署,包括恶意链接、中间人攻击和物理攻击。该公司还提供了一个名为Sherlock的感染媒介,可在Windows、iOS和Android上运行。Citizen Labs专家认为,Sherlock可能是一个基于浏览器的零点击向量。
在调查一些攻击时,Citizen Labs发现存在利用CVE-2021-31979和CVE-2021-33771零日漏洞的恶意软件。微软在7月补丁星期二安全更新的发布中修复了这两个问题。通过互联网扫描,研究人员确定了属于Candiru间谍软件基础设施的750多个网站。该公司使用伪装成倡导组织的域名,例如国际特赦组织、黑人的命也是命运动、以及媒体公司和其他以公民社会为主题的实体。
DevilsTongue允许运营商监视受害者、收集敏感数据、解密和窃取Windows设备上的信号消息、窃取主要网络浏览器的信息。DevilsTongue间谍软件可以使用受感染的系统从登录的电子邮件和社交媒体帐户发送消息。运营商可以使用此功能向受害者的联系人发送恶意消息。
CitizenLab得出结论,“Candiru明显的广泛存在,以及对全球公民社会使用其监视技术,有力地提醒人们,雇佣间谍软件行业包含许多参与者,并且容易被广泛滥用。该案例再次表明,在没有任何国际保护措施或强有力的政府出口管制的情况下,间谍软件供应商将向经常滥用其服务的政府客户出售。许多渴望获得复杂监控技术的政府缺乏对其国内外安全机构的强有力的保护措施。”
参考来源:SecurityAffairs http://suo.nz/4Onpg5
(十)D-LINK DIR-3040无线路由器中存在多个漏洞
思科Talos研究人员Dave McDaniel发现,D-LINK DIR-3040无线路由器中存在多个漏洞。
DIR-3040是基于AC3000的无线互联网路由器。这些漏洞可能允许攻击者执行各种恶意操作,包括暴露敏感信息、导致拒绝服务和获得执行任意代码。
CVE-2021-21816和CVE-2021-21817是路由器中的信息泄露漏洞,可由特制的网络请求触发,攻击者可以利用这些漏洞查看设备的系统日志。
CVE-2021-21818和CVE-2021-21820都是硬编码密码漏洞,但是CVE-2021-21818可能导致拒绝服务,而CVE-2021-21820可能允许攻击者在路由器上执行代码。
在向目标发送一系列请求后,攻击者还可以通过利用CVE-2021-21819获得执行代码的能力。
思科Talos与D-LINK合作,确保这些问题得到解决,并为受影响的客户提供更新,所有这些都符合思科的漏洞披露政策。
思科鼓励用户尽快更新这些受影响的D-LINK DIR-3040路由器1.13B03版本。Talos测试并确认DIR-3040的这些版本可能被此漏洞利用。
参考来源:Cisco Talos http://33h.co/2v1q7
(十一)Aruba Networks路由器中存在多个漏洞
Aleph Security安全研究人员Itai Greenhut和Gal Zro发现,Aruba Instant软件中存在八个漏洞,该软件允许管理员配置Aruba Network路由器设置,攻击者可利用这些漏洞进行一系列恶意活动,包括远程代码执行(RCE)。
Greenhut表示,“我们的办公室有Aruba路由器为我们提供网络访问。我们开始研究是因为我们在家工作,想研究我们自己的WiFi设备,看看我们有多安全。我们向自己提出挑战,我们在这个项目中的最终目标是在我们的办公室路由器上获得未经身份验证的RCE。”
Aruba路由器通过受限的命令行界面进行配置。路由器还具有关联的CGI门户,允许用户通过Web界面向CLI发送命令。研究人员在其中一个CLI命令中发现了一个命令注入漏洞,该漏洞允许他们创建目录并将文件下载到服务器。然后,他们能够通过与CLI模块通信的Web界面的查询字符串利用相同的漏洞。
接下来,研究人员找到了一种将任意文件上传到托管CGI应用程序的目录的方法。为此,研究人员使用服务器的日志记录机制和目录遍历模式在Web服务器的根目录中创建恶意文件。
最后,研究人员使用服务器进程应用程序编程接口(PAPI)中的一个错误来强制路由器公开其配置文件的内容。在一些旧版本的固件中,配置文件包含服务器管理员的明文密码。在较新的版本中,密码是哈希密码。
Greenhut表示,“在最小情况下,存储的密码是哈希密码,为了继续攻击,攻击者必须提供凭据或破解这个哈希。最坏的情况是,路由器仍然以明文形式存储密码,并且在提取凭据后,攻击者可以像往常一样继续攻击。”
有了这些信息,攻击者就可以利用漏洞链获得对Aruba路由器的root shell访问权限。在研究过程中,Greenhut和Zror发现了其他漏洞,包括CLI库中的参数注入漏洞和强制门户中的跨站点脚本漏洞,当用户第一次连接到路由器时,该网页会显示给用户。
Greenhut还表示,“这种攻击不需要物理访问路由器,它可以被同一网络上的攻击者利用,而无需任何物理访问。如果路由器将其Web面板暴露在互联网上,此漏洞也可以从WAN攻击路由器。在设备搜索引擎上进行快速查询,就会发现数千台暴露的路由器。”
由于Aruba是为机场、医院和大学等企业客户提供设备的主要供应商,在公共位置安装易受攻击的路由器并通过互联网进行访问的影响可能至关重要。这些漏洞已于今年早些时候修复。
参考来源:TheDailySwig http://33h.co/26k4k
(十二)Fortinet修复网络管理解决方案中远程代码执行漏洞
Fortinet 7月19日披露,其修复了网络管理解决方案FortiManager及FortiAnalyzer中存在的一个高危漏洞,该漏洞可能允许攻击者以root权限执行代码。
FortiManager及FortiAnalyzer是网络管理解决方案,可让管理员同时查看和控制数以万计的网络设备,FortiManager提供完整的管理功能,而FortiAnalyzer
提供日志管理、分析和报告功能。
CVE-2021-32589是一个Use After Free漏洞,会影响FortiManager和FortiAnalyzer中的fgfmsd守护程序。未经身份验证的远程攻击者可以通过向易受攻击设备的fgfm端口发送特制请求来利用此漏洞,成功利用安全漏洞可能导致攻击者以root权限执行代码。
Fortinet表示,FGFM在FortiAnalyzer上默认是禁用的。但是用户可以在特定的硬件型号上启用它,包括1000D、1000E、2000E、3000D、3000E、3000F、3500E、3500F、3700F和900E。
Fortinet建议客户更新到FortiManager和FortiAnalyzer版本5.6.11、6.0.11、6.2.8、6.4.6和7.0.1或更高版本,其中包括针对该漏洞的修补程序。作为一种变通方法,管理员可以禁用FortiAnalyzer设备上的FortiManager功能。
美国CISA建议管理员查看Fortinet的建议并在必要时应用修补程序。CISA表示,“请注意,FortiAnalyzer只有在支持FortiManager功能的情况下才易受攻击,这些功能已在特定硬件上启用,并且具有非常特定的升级路径。”
Fortinet在一封电子邮件中表示,其不知道该漏洞在野外被利用,但正在监视情况。Fortinet表示,“客户的安全是我们的首要任务。我们已经发布了补丁和缓解措施,我们正在主动与客户沟通,强烈敦促他们立即更新他们的FortiManager和FortiAnalyzer产品。此外,我们建议客户验证他们的配置,以确保恶意第三方没有实施未经授权的更改。”
参考来源:SecurityWeek http://33h.co/2vevd
(十三)存在长达16年的打印机驱动程序漏洞影响全球数百万台打印机
SentinelOne研究人员发现,惠普、施乐和三星打印机驱动程序中存在一个长达16年的高危漏洞CVE-2021-3438,攻击者可以利用该漏洞获得系统管理员权限。
这一发现是几个月前偶然发现的,当时研究人员们正在配置一台全新的HP打印机,并注意到2005年一个名为SSPORT.SYS的旧打印机驱动程序正在触发Process Hacker的警报。
SentinelOne表示,“这导致在惠普、施乐和三星打印机驱动程序软件中发现了一个高危漏洞,该漏洞16年来一直未被披露。此漏洞影响了超过380种不同的惠普和三星打印机型号以及至少12种不同的施乐产品。”
该漏洞编号为CVE-2021-3438,是一个缓冲区溢出漏洞,存在于某些打印机型号使用的SSPORT.SYS驱动程序中。安装打印机软件时,驱动程序始终安装在机器上并被激活,即使安装被取消。具有基本用户权限的攻击者可以将其权限提升到SYSTEM并在内核模式下运行代码,这样恶意代码就可以逃避安全产品的检测。
SentinelOne表示,“成功利用驱动程序漏洞可能允许攻击者安装程序、查看、更改、加密或删除数据,或创建具有完全用户权限的新帐户。武器化这个漏洞可能需要链接其他漏洞,因为考虑到投入的时间,还没有找到一种方法来单独武器化它。成功利用驱动程序漏洞可能允许攻击者安装程序、查看、更改、加密或删除数据,或者创建具有完全用户权限的新帐户。”
在发布报告时,研究人员还没有发现在野外利用此漏洞的攻击,但预计威胁行为者可以在未来利用它。HP已发布了安全公告,其中包括受影响的打印机型号列表。施乐也发布了安全咨询公告,以敦促客户解决该漏洞。
SentinelOne总结表示,“虽然到目前为止,我们还没有看到任何迹象表明该漏洞已在野外被利用,但由于目前有数百万打印机型号易受攻击,如果攻击者将该漏洞武器化,他们将不可避免地找出那些没有采取适当措施的人。”
参考来源:SecurityAffairs http://33h.co/2vum8
(十四)厄瓜多尔CNT电信公司遭受RansomEXX勒索软件攻击
厄瓜多尔国营企业Corporación Nacional de Telecomunicación(CNT)遭受了勒索软件攻击,导致业务运营、支付门户和客户支持中断。CNT是厄瓜多尔国营电信运营商,提供固定电话服务、移动、卫星电视和互联网连接。
从本周开始,CNT网站开始显示警报,称其遭受了攻击,并且客户服务和在线支付无法访问。该警报显示,“今天,即2021年7月16日,国家电信公司CNT EP就“攻击计算机系统”罪名向州检察长办公室提起诉讼,以便进行初步调查并追究责任。这次攻击影响了我们综合服务中心和联络中心的护理流程。在这方面,我们向我们的用户表明,他们的服务不会因未付款而暂停。我们必须通知我们的大客户和企业客户,他们的数据得到了适当的保护。我们还通知表示,电话、互联网和电视等服务正常运行。”
虽然CNT没有正式声明他们遭受了勒索软件攻击,但了解到,这次攻击是由一个名为RansomEXX的勒索软件团伙进行的。安全研究人员German Fernández分享了RansomEXX的数据泄露站点的隐藏链接,该链接警告CNT,如果CNT不支付赎金,该组织将泄露在攻击期间窃取的数据。
RansomEXX的警告表示,“你的时间有限!当时间结束时,有两种方式:我们将提高赎金金额或公布你的档案。数据发布后,你将失去联系我们的机会。如果你真的想避免数据泄露,请立即与我们联系。我们已经下载了超过190GB的文件,我们已经准备好发布它。”
该页面目前对公众隐藏,只能通过直接链接访问。这些隐藏页面通常包含在赎金通知中,以证明勒索软件操作在攻击期间窃取了数据。
在CNT的新闻声明中,该公司表示,公司和客户数据是安全的,没有被泄露。然而,RansomEXX团伙声称窃取了190 GB数据,并在隐藏数据泄漏页面上分享了部分文档的截图,屏幕截图包括联系人列表、合同和支持日志。
参考来源:BleepingComputer http://33h.co/2vfbm
(十五)著名律师事务所Campbell Conroy & O'Neil披露遭受勒索软件攻击
著名律师事务所Campbell Conroy & O'Neil表示,其在五个月前成为勒索软件攻击的受害者,导致保存敏感信息的系统遭到破坏。
该公司为众多财富500强和全球500强公司提供服务,包括汽车制造商(福特、本田、通用汽车、梅赛德斯奔驰等)、航空航天(英国航空公司、波音、美国航空公司等)、能源/公用事业、工业机械、保险和运输组织等。
该律师事务所宣布,该公司于2月27日在其网络上检测到异常活动,对此事的调查显示,某些系统感染了勒索软件。这些系统保存了“与个人有关的某些信息”,这些信息可能已被攻击背后的未授权方查看或访问。
该公司表示,被泄露的信息包括姓名、出生日期、社会安全号码、驾照和护照号码、州身份证号码以及与金融账户和支付卡相关的数据。此外,医疗和健康保险信息以及生物识别数据,甚至是在线帐户的凭据也被泄露。
虽然该公司在其披露中侧重于个人身份信息(PII),但它并未详细说明攻击中可能暴露了哪些敏感客户业务数据。
ImmuniWeb创始人Ilia Kolochenko在电子邮件中表示,“律师事务所最有价值的数据并非相关律师事务所披露的个人信息。精明的网络犯罪分子正在寻找充满或有策略风险的客户的敏感档案,寻找律师客户的特权信息或其他与行为有关的敏感数据。现代网络犯罪团伙很清楚这一点,此外在暗网中,有专门的渠道可以从受感染的律师事务所购买和出售数据。目前,与银行或医疗机构等行业相比,律师事务所享有非常温和的数据保护监管制度,同时处理的数据具有相同甚至更高的敏感性。我预计,在不久的将来,针对律师事务所的复杂攻击将稳步增长。”
参考来源:SecurityWeek http://33h.co/2vvqe
(十六)瑞士价格比较平台Comparis遭受勒索软件攻击
瑞士领先的比价平台Comparis已通知其客户,上周其整个网络遭到勒索软件攻击并瘫痪,发生了数据泄露。
Comparis是瑞士最受欢迎的网站之一,每年的访问量超过8000万次,也是瑞士最大的房地产和汽车在线市场。该网站提供在线独立比较服务,允许瑞士国民比较各种健康保险公司、保险公司、银行和电信供应商等的价格和产品。
Comparis在官方声明中表示,“7月7日,Comparis集团成为具有高度犯罪性质的有组织网络攻击的受害者。Comparis立即采取了所有必要措施来保护所有数据。一旦攻击变得明显,我们迅速关闭了所有IT系统,然后系统在安全环境中恢复。”
Comparis将此次攻击通知了瑞士执法当局和瑞士联邦数据保护专员,并与他们的网络犯罪专家合作调查了该事件。正如在调查期间发现的那样,攻击背后的勒索软件运营商可以访问并可能窃取存储在Comparis系统上的客户数据。
该公司表示,攻击者已经访问了属于Comparis和Comparis姊妹公司客户的帐户数据,包括“以哈希形式存储”的密码。建议拥有Comparis帐户的用户尽快更改其密码,以阻止使用被盗凭据接管其在线帐户的潜在企图。
攻击发生后,一些Comparis用户报告称,他们接到了伪装成合法呼叫中心员工的个人的电话,并就如何处理数据泄露后果提供建议。其他用户表示,自称是保险经纪人的人联系了他们,他们知道有关收件人的健康保险公司的信息和其他数据。
Comparis表示,这些电话和联系尝试要么来自诈骗者试图利用网络攻击并随机呼叫可能受影响的人,要么来自使用较旧的地址列表,与勒索软件攻击后报告的数据盗窃没有直接关系。
该公司建议,“如果数据受到影响,不能排除第三方将其用于商业或欺诈目的的可能性。敦促用户保持高度警惕,特别是被一个声称在银行或保险公司工作并且拥有您特定信息的未知方联系。请向我们报告任何此类事件,以便我们将信息传递给调查当局。”
参考来源:BleepingComputer http://33h.co/2v6ju
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
