关键信息基础设施安全动态周报【2021年第27期】
发布时间:
2021-07-09
来源:
作者:
天地和兴
访问量:
254
目 录
第一章 国内关键信息基础设施安全动态
(一)国家网信办下架滴滴出行APP,启动网络安全审查
(二)台湾QNAP修复了NAS设备中的严重漏洞
第二章 国外关键信息基础设施安全动态
(一)WAGO设备存在严重漏洞,使工业公司面临远程攻击
(二)Claroty工业远程访问产品SRA中存在安全漏洞
(三)美国Wiregrass电力公司遭受勒索软件攻击
(四)日本航运公司K Line计算机系统遭受未经授权访问
(五)美国水务公司WSSC Water遭受勒索软件攻击
(六)韩国航空宇宙产业公司遭受黑客攻击,泄露大量机密文件
(七)IT软件公司Kaseya遭受供应链勒索软件攻击
(八)ENISA发布中小企业网络安全指南
(九)美国NYDFS发布勒索软件安全指南
(十)西班牙电信巨头MasMovil遭受Revil勒索软件攻击
(十一)印度公共分配系统450万公民信息遭到泄露
(十二)社交媒体网站GETTR泄露近9万用户私人信息
(十三)美国保险巨头AJG遭受勒索软件攻击泄露私人数据
(十四)蒙古证书颁发机构MonPass遭受黑客入侵并传播恶意软件
第一章 国内关键信息基础设施安全动态
(一)国家网信办下架滴滴出行APP,启动网络安全审查
据中央网信办7月2日消息,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
随后据中央网信办7月4日消息,据根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
对此滴滴出行回应称,将积极配合网络安全审查。全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力。滴滴坚决落实国家有关部门的相关要求,已于7月3日暂停新用户注册,滴滴出行App将严格按照有关部门的要求下架整改。已下载滴滴App的用户可正常使用,乘客的出行和司机师傅的接单不受影响。
滴滴出行表示,“真诚感谢主管部门指导滴滴排查风险,我们将认真整改,不断提升风险防范意识和技术能力,持续保护用户隐私和数据安全,防范网络安全风险,持续为用户提供安全便捷的服务。”
本文版权归原作者所有,参考来源:网信办 http://t.hk.uy/6rA
(二)台湾QNAP修复了NAS设备中的严重漏洞
台湾供应商QNAP修复了一个NAS设备中存在的严重漏洞CVE-2021-28809,攻击者可利用该漏洞破坏易受攻击的NAS设备。
不当访问控制漏洞CVE-2021-28809是由TXOne IoT/ICS安全研究实验室的Ta-Lun Yen在QNAP的灾难恢复和数据备份解决方案HBS 3 Hybrid Backup Sync中发现的。
安全问题是由有缺陷的软件引起的,该软件没有正确限制攻击者获取系统资源的访问权限,从而允许攻击者在未经授权的情况下提升权限、远程执行命令或读取敏感信息。
QNAP表示,以下HBS版本已修复安全漏洞,并建议客户将应用程序更新到最新发布的版本:
1、QTS 4.3.6:HBS 3 v3.0.210507 及更高版本;
2、QTS 4.3.4:HBS 3 v3.0.210506 及更高版本;
3、QTS 4.3.3:HBS 3 v3.0.210506 及更高版本。
要更新NAS设备上的HBS,必须以管理员身份登录QTS或QuTS hero,在应用中心搜索“HBS 3 Hybrid Backup Sync”,然后单击“更新”和“确定”来更新应用程序。如果HBS已经是最新版本,则更新选项将不可用。
然而,虽然QNAP于7月6日发布了安全公告,宣布CVE-2021-28809已修复,但该应用程序的发行说明并未列出自2021年5月14日以来的任何安全更新。据该公司称,运行QTS 4.5.x和HBS 3 v16.x的QNAP NAS设备不受此安全漏洞的影响,也不会受到攻击。
QNAP于今年4月修复了HBS 3 Hybrid Backup Sync备份和灾难恢复应用程序中发现的另一个严重安全漏洞。该公司最初将后门帐户漏洞描述为“硬编码凭据”,然后又称为“不当授权”,它提供了一个后门帐户,该帐户允许Qlocker勒索软件运营商加密暴露在互联网上的网络附加存储(NAS)设备。
至少从4月19日开始,作为大规模活动的一部分,Qlocker开始将QNAP设备作为目标,部署勒索软件有效载荷,将受害者的文件移动到受密码保护的7zip档案中并索要赎金。据报道,勒索软件组织通过索要0.01比特币(当时价值约500美元)赎金,在短短五天内赚了约260,000美元。
同月,QNAP敦促其客户从保护NAS设备不受针对其数据的Agelocker勒索软件攻击,并在两周后保护他们不受eCh0raix勒索软件攻击。QNAP设备之前曾在2019年6月和2020年6月期间受到eCh0raix勒索软件攻击,也称为QNAPCrypt。
参考来源:BleepingComputer http://t.hk.uy/6JP
第二章 国外关键信息基础设施安全动态
(一)WAGO设备存在严重漏洞,使工业公司面临远程攻击
德国专门从事电气连接和自动化解决方案的WAGO公司生产的可编程逻辑控制器(PLC)和人机界面(HMI)产品中存在多个高危及严重漏洞。
根据德国CERT@VDE 6月29日发布的一份咨询报告,该机构负责协调与工业自动化相关的网络安全问题,WAGO的PFC100和PFC200 PLC、其边缘控制器产品和触摸屏600 HMI受到影响iocheckd服务I/O-Check的四个内存相关漏洞的影响。
安全漏洞可能允许攻击者造成拒绝服务(DoS)情况,在某些情况下甚至可以执行任意代码。每个漏洞都可以通过向目标设备发送包含操作系统命令的特制数据包来利用。
工业网络安全公司Claroty的协议研究员Uri Katz向供应商报告了这些漏洞。Katz表示,“通过链接共享内存溢出漏洞(CVE-2021-34566)和越界读取漏洞(CVE-2021-34567),我们能够创建一个完整的预授权远程代码执行,来远程接管任何WAGO PFC100/200设备。”
Katz指出,有数百个WAGO PFC设备暴露在互联网上,这意味着恶意行为者可以远程攻击它们。Katz表示,“通过利用这些漏洞,攻击者有可能操纵或破坏设备,访问OT网络并接管网络的其他部分。”
WAGO在6月份发布了针对这些漏洞的补丁FW18 Patch 3,并分享了一些缓解建议。
WAGO指出,受影响的I/O-Check服务仅在设备安装和调试期间需要,在正常操作期间不需要,并且建议客户在调试后禁用该服务。用户被告知,“这是保护您的设备免受所列漏洞和可能即将到来的零日漏洞攻击的最简单和最安全的方法。”
然而,Katz表示,虽然Claroty没有确切的数字,但在大多数情况下,I/O-Check服务由组织启用。
参考来源:SecurityWeek http://t.hk.uy/5T9
(二)Claroty工业远程访问产品SRA中存在安全漏洞
工业网络安全公司Claroty的安全远程访问(SRA)产品中存在一个身份验证绕过漏洞CVE-2021-32958,威胁行为者可利用该漏洞攻击工业组织。
自4月份以来该产品已经发布了修复补丁,在野外被利用的风险很低,但这个漏洞仍然值得注意,因为大家并不经常听说ICS网络安全公司的产品中存在漏洞。
该漏洞是由总部位于奥地利的运营技术(OT)安全公司Limes Security的Alpha Strike实验室研究部门发现的。Limes Security和美国网络安全和基础设施安全局(CISA)也披露了该漏洞的存在。Claroty SRA是专门为OT环境构建的安全远程访问解决方案,包括在操作、管理和安全需求方面。
Alpha Strike研究人员发现,能够访问目标系统的攻击者可以绕过SRA软件的中央配置文件的访问控制。成功利用此漏洞可以让具有本地命令行接口访问权限的攻击者获得秘密密钥,随后允许他们为web用户界面(UI)生成有效的会话令牌。通过访问web UI,攻击者可以访问SRA安装管理的资产,并可能危及安装。
Alpha Strike实验室研究人员表示,利用该漏洞的难度取决于安装SRA的主机的配置。研究人员表示,“在我们遇到的情况下,SRA主机的任何非特权本地用户都可以访问敏感信息。至于攻击者在真实环境中可能达到的效果,利用此漏洞的攻击者可能会成为SRA的管理员,从而危及通过SRA管理的资产。实际上,这意味着攻击者可以创建有效的会话,从而有效地非法访问通过SRA保护的任何工业组件或网络,无论是生产环境还是关键基础设施站点。”
该漏洞编号为CVE-2021-32958,是CVSS评分5.5分的中危漏洞,于1月底报告给Claroty,供应商于4月份发布了3.2.1版,并对其进行了修补。
Claroty在一份电子邮件声明中表示,“Claroty与安全研究人员合作,修复了SRA 3.2及更早版本中的漏洞。实际上,它的风险非常低,因为该漏洞无法远程攻击,并且本地操作系统级别的访问权限(攻击所需)应该仅限于管理员用户。要修补此漏洞,客户应在允许的情况下升级到SRA 3.2.1,并应用与CVE-2021-32958相关的建议中的补偿控制,直到可以升级。”
参考来源:SecurityWeek http://t.hk.uy/7fR
(三)美国Wiregrass电力公司遭受勒索软件攻击
美国阿拉巴马州Wiregrass电力合作社(WEC)7月3日发布警告,其遭受了勒索软件攻击。虽然没有数据受到损害,但该公司将非常谨慎地进行系统维护。在此维护期间,所有帐户访问和支付系统都将不可用。在系统维护期间,系统将暂停且断开连接。直到该公司认为是安全时,才能恢复所有系统。
WEC首席运营官Brad Kimbro表示,其在7月3日上午发现系统上存在可疑活动,检测到勒索软件攻击。“我们7×24全天候监控它,看到了一些活动,知道发生了什么,并关闭了它。好消息是,没有人员的数据受到损害。我们非常重视会员的数据,我们对所有信息进行了加密,我们100%确信没有发生数据泄露。”
在系统维护期间,系统将暂停且断开连接。在WEC系统完全恢复之前,任何想要付款的人都无法付款。如果今日客户想进行在线支付,WEC将与客户合作。
Kimbro还表示,客户不应该对此次系统遭受攻击感到震惊。“我们每天都会压制数成百上千起攻击。我们每天至少备份所有内容两次。真的没有什么值得任何人担心的。没有数据丢失。没有成员数据被泄露。”
Kimbro没有提供系统何时恢复并再次运行的时间表,但表示,将在WEC认为安全时恢复运行。
参考来源:WDHN http://t.hk.uy/6je
(四)日本航运公司K Line计算机系统遭受未经授权访问
日本航运公司Kawasaki Kisen Kaisha(K Line)7月2日发表了一份简短声明,证实其计算机系统再次遭到“未经授权访问海外子公司系统”破坏。K Line最近才从先前的网络攻击中恢复过来,此前遭受攻击的也是其一家海外分支机构。
K Line是日本历史最悠久、规模最大的航运公司之一,拥有400多艘船舶。
该公司在7月1日的官方声明中表示,“对于由此可能给我们潜在受影响的客户和利益相关者带来的任何复杂情况和担忧,我们表示最诚挚的歉意。我们意识到,据称从海外子公司系统获取的信息和数据是最近公布的。”
该公司表示,目前正在进行调查,但没有发现未经授权的访问仍在继续的迹象。“我们已经聘请了外部专家,他们目前正在对此类信息的真实性和事实细节进行调查。”
就在三个多月前,即2021年3月18日,“K” Line还报告说,它的一些企业系统正在经历系统中断。在那次事件中,该公司表示,怀疑是由于通过其海外分支机构引入的恶意软件感染所致。虽然他们认为没有数据丢失,并且他们报告称,他们的全球舰队的运营没有受到影响,但该公司被迫暂时关闭其企业系统和外部连接。
在发现先前的漏洞十天后,“K” Line报告称,其部分系统已恢复,正在逐步恢复运营,但直到4月21日才报告恢复工作已经完成。
在恢复过程中,其报告称,所有电脑上都安装了多个病毒扫描程序,以加强安全性,并加强对每台电脑的控制。他们还表示,他们正在加强针对病毒和外部攻击的安全措施,以便更好地及早期检测和更好地控制重要信息。
此次最新事件再次凸显网络犯罪分子正瞄准航运业。韩国航运公司HMM近日也报道称,其也遭受了攻击,韩国媒体有报道称,造船商大宇造船海洋工程有限公司也因潜在的网络漏洞正在接受调查。在这种情况下,人们担心犯罪分子可能一直在寻找有关该国潜艇的机密信息。去年,发生了几起备受瞩目的网络攻击事件,其中一次使航运巨头CMA CGM在全球范围内下线,另一起则中断了国际海事组织的部分会议能力。
参考来源:TheMaritimeExecutive http://t.hk.uy/5Ud
(五)美国水务公司WSSC Water遭受勒索软件攻击
美国水务公司WSSC water正在调查5月24日发生的一起勒索软件攻击事件,攻击目标是其网络中运行非必要业务系统的部分。
据巴尔的摩WJZ13报道,该公司仅在数小时后就删除了该恶意软件,并锁定了该威胁,然而攻击者已经访问了内部文件。WSSC已经通知了联邦调查局、马里兰州司法部长、州和地方国土安全官员。
该公司运营着过滤和污水处理厂,此次攻击并未影响水质,但调查仍在进行中。
WSSC及国土安全部主任David McDonough在一份声明中表示,“WSSC Water继续为蒙哥马利和乔治王子郡的180万客户生产和提供安全、清洁的水,我们饮用水的质量和可靠性从未受到威胁。这些攻击变得越来越常见,特别是在最近几周,WSSC Water已经为这类事件做好了准备。”
该公司使用了气隙网络,能够从备份中恢复加密文件。
WSSC警告客户,可能存在滥用访问数据的攻击,建议他们监控自己的财务报表,并报告任何可疑交易。该公司将为受影响的人提供5年的信用监控,并免费提供100万美元的身份盗窃保险。
参考来源:SecurityAffairs http://t.hk.uy/7hK
(六)韩国航空宇宙产业公司遭受黑客攻击,泄露大量机密文件
据韩媒报道,近期,韩国航空宇宙产业公司遭到黑客攻击,造成大量机密文件泄露。此前,韩国原子能研究所和大宇造船海洋工程公司也曾遭到不明黑客攻击。
据韩联社报道,6月30日,多名韩国政府官员对外表示,今年以来,韩国航空宇宙产业公司遭到两次不同程度的黑客攻击,已发现大量机密文件泄露。韩国情报部门消息称,韩国在研的第五代隐身战机KF-21战机设计图纸可能已泄露。不仅如此,军用无人机、FA-50轻型攻击机、直升机、电子战和雷达等诸多现役装备的相关资料也可能泄露。
遭到攻击的不止韩国航空宇宙产业公司一家。5月中旬,韩国原子能研究所被黑客侵入。6月21日,韩国大宇造船海洋工程公司发布消息称遭到不明黑客攻击。韩国防卫事业厅随后证实这起黑客攻击事件,但拒绝透露攻击行动是否成功。据了解,韩国大宇造船海洋工程公司为韩国海军建造了多艘驱逐舰和潜艇。在今年6月10日釜山举办的韩国国际海事防务工业展览会上,该公司还展示了一款“双舰岛”航母模型,意图竞争韩国海军的航母合同。
韩国借助欧美技术大力发展军工产业,其战机、潜艇、火炮等出售至多个国家,成为国际军火市场上一匹黑马。此次航空宇宙产业公司被黑客攻击,韩国军工业或将遭受不小的打击。
欧美或提赔偿要求。韩国军工企业或引进欧美技术,或与欧美大型企业合作进行技术研发,许多装备都是名副其实的“混合体”,例如KF-21战机采用美国F414涡轮风扇发动机、英国马丁·贝克公司弹射座椅、欧洲6国共同研制的“流星”空空导弹和德国的IRIS-T空空导弹……此次,航空宇宙产业公司被黑客攻击可能引发合作伙伴不满和追责。
韩国军火出口可能受挫。韩国的FA-50战机已出口至菲律宾,并在竞标马来西亚的轻型战机项目。印尼从韩国购买3艘张保皋级潜艇,还为KF-21战机投资2亿美元。如果大量装备核心技术外泄,必然影响韩国军火的后续出口。
引进先进技术或将受阻。韩国军工巨头一再被黑客攻陷且造成重要技术资料外泄,说明其网络安全防范措施存在不少漏洞,此后,欧美国家和企业在与之合作时将更加谨慎。事实上,美国在向韩国提供军事技术问题上一直不太主动,今后或将更趋消极。
本文版权归原作者所有,参考来源:中国国防报 http://t.hk.uy/7dy
(七)IT软件公司Kaseya遭受供应链勒索软件攻击
软件制造商Kaseya遭受了勒索软件攻击,敦促其VSA端点管理和网络监控工具的用户立即关闭VSA服务器。Kaseya表示,攻击始于美国东部时间7月2日下午2点左右。虽然这起事件似乎只影响到内部客户,但作为预防措施,SaaS服务器也已关闭。
截至7月3日早,美国国土安全部的CISA尚未发布正式警报,但CISA 2日晚表示,其正在采取行动,了解并解决最近针对Kaseya VSA和使用VSA软件的多家托管服务提供商(MSP)的供应链勒索软件攻击事件。
攻击的时机不是巧合,由于美国7月4日假期周末,IT和安全团队很可能人手不足,反应速度更慢。
Kaseya表示,“虽然我们的早期指标显示,只有极少数本地客户受到影响,但我们采取了保守的做法,关闭了SaaS服务器,以确保我们尽最大努力保护我们的36,000多名客户。同时他们正在为本地客户开发一个补丁,需要在VSA重启之前安装这个补丁。”
据安全公司Huntress称,至少有8家管理服务提供商(MSPs)受到攻击,200多家客户已经受到影响。Kaseya目前估计只有不到40个客户受到影响。
这次攻击似乎涉及利用漏洞进行攻击,并发送恶意的Kaseya VSA软件更新,该更新中携带了一种勒索软件,可以加密受攻击系统上的文件。
根据安全研究员Kevin Beaumont的说法,VSA以管理员权限运行,这使得攻击者也可以将勒索软件传递给受影响的MSP的客户。在受危害的系统上,恶意软件试图禁用各种Microsoft Defender for Endpoint保护,包括实时监控、IPS、脚本扫描、网络保护、云样本提交、云查找和受控文件夹访问。在部署勒索软件之前,VSA管理员帐户就已被禁用。
根据Huntress的说法,这次袭击似乎是由REvil/Sodinokibi勒索软件作为服务的附属机构实施的。Sophos和其他一些人也证实了REvil也参与其中。
有的受害者被要求的勒索赎金为50,000美元,而有的受害者被要求的勒索赎金为500万美元。REvil攻击通常还涉及从受感染系统窃取数据,以迫使受害者支付赎金。然而,考虑到攻击者在Kaseya漏洞曝光之前可能没有太多时间在受害者系统上,目前尚不清楚这些攻击中是否有任何文件被盗。
Nozomi Networks技术人员Chris Grove表示,“这种类型的供应链攻击,类似SolarWinds攻击,直接影响到组织的核心。这些类型的技术管理解决方案可能具有高度集中的风险,因为它们收集了大量具有提升权限的企业帐户、它们运行所需的不受限制的防火墙规则、以及一种文化‘信任’,即流入/流出它们的流量是合法的和应该被允许。一旦出现漏洞,受害者通常会使用这些工具来摆脱糟糕的情况,但是当工具本身存在问题或不可用时,就会增加恢复工作的复杂性。”
Kaseya证实,攻击者利用了产品中的零日漏洞,影响了多达1,500个组织,声称没有证据表明产品源代码遭到恶意修改。黑客似乎利用影响VSA Web界面的身份验证绕过漏洞上传恶意负载。然后能够在受感染的系统上执行任意代码。
CISA和FBI联合发布了针对受到Kaseya供应链攻击影响的受害者的指南。这两个机构建议组织使用Kaseya提供的检测工具来检查他们的系统是否存在入侵迹象,并启用多因素身份验证(MFA)。
参考来源:SecurityWeek http://t.hk.uy/7gH
(八)ENISA发布中小企业网络安全指南
欧盟网络和信息安全局(ENISA)发布了针对中小企业的网络安全指南。为了应对新冠疫情流行,ENISA分析了欧盟内的中小企业应对大流行带来的网络安全挑战的能力,并确定了应对这些挑战的良好做法。该指南为中小企业提供网络安全建议,但也提供了成员国应考虑采取的行动建议,以支持中小企业改善其网络安全态势。
该指南为中小型企业提供关于如何提高其基础设施和业务安全性的12项高级建议,其中包括:培养良好的网络安全文化、提供适当的安全培训、确保有效的第三方管理、制定事故响应计划、安全访问系统、确保设备安全、保护网络安全、提高物理安全性、确保备份安全、参与云计算、确保在线网站安全,以及寻求和分享信息。
新冠疫情危机显示了互联网和计算机对于中小企业维持其业务的重要性。为了在疫情中生存并继续开展业务,许多中小企业不得不采取业务连续性措施,例如采用云服务、升级互联网服务、改进网站、以及使员工能够远程工作。该指南强调,有很多网络安全挑战因新冠疫情大流行的影响而进一步加剧,而现在更需要缓解。在该指南中概述的使中小企业能够应对这些网络安全挑战的建议就是朝着这个方向制定的。该指南的建议是基于扩展的桌面研究制定的。
在为期两个月的调查研究中,有249家欧洲中小企业分享了他们对数字安全状态和新冠疫情等危机准备情况的反馈,并随后对选定的参与者进行了有针对性的采访。研究发现,中小企业面临的最大挑战是对网络安全不佳对其业务构成的威胁的认识不足、实施网络安全措施的成本往往与缺乏专门预算、缺乏ICT网络安全专家、缺乏针对中小企业部门的适当指导方针、管理支持度低。
欧盟内的中小企业似乎明白,网络安全是一个重要问题,它们非常依赖其信息和通信技术基础设施。在接受调查的中小企业中,超过80%表示,网络安全问题会在问题发生后的一周内对其业务产生严重的负面影响,其中57%表示很可能会破产或倒闭。尽管如此,中小企业似乎并不理解网络安全不仅仅影响大型组织。因此,中小企业需要意识到网络安全问题可能对其业务产生的影响。许多中小企业认为,他们购买的IT产品中包含的网络安全控制就足够了,除非法规或法律强制要求,否则不需要额外的安全控制。
参考来源:ENISA http://t.hk.uy/7e4
(九)美国NYDFS发布勒索软件安全指南
纽约金融服务部(NYDFS)6月30日发布了最新勒索软件指南,帮助组织阻止勒索软件攻击。该指南阐明了NYDFS的期望,即受NYDFS监管的公司应“尽可能实施这些控制”,并根据其既定的网络安全事件报告规定向NYDFS报告任何成功部署勒索软件或未经授权访问特权帐户的情况。
正如国土安全部部长Alejandro Mayorkas最近指出的那样,随着“2020年勒索软件攻击率增加300%”,以及NYDFS继续关注勒索软件对金融服务业构成的无声和系统性风险,这一指导意见正处于网络安全和勒索软件的拐点。在发布指南的同时,NYDFS警告称,勒索软件攻击“可能导致下一场金融危机”,并“导致对金融体系失去信心”。对此NYDFS最新指南提出了九项网络安全控制关键要点。
鉴于这些风险,NYDFS根据其《网络安全条例》发布了规范性指南,敦促每家受NYDFS监管的公司,无论其规模或复杂程度如何,尽可能实施以下九项网络安全控制措施。在其指南中,NYDFS将每个控制措施与23 NYCRR 500中的预先存在的监管要求联系起来。
1、电子邮件过滤和反钓鱼培训。该指南解释了实施和维护书面网络安全政策的要求,包括根据23 NYCRR § 500.3(h)解决受监管实体的“系统和网络监控”,以包括电子邮件过滤“以阻止垃圾邮件和恶意附件/链接到达用户。”此外,公司应根据23 NYCRR § 500.14(b)将定期网络钓鱼培训和定期网络钓鱼练习/测试作为其定期网络安全意识培训的一部分。
2、漏洞/补丁管理。该指南明确指出,维护书面网络安全政策的义务应包括“用于识别、评估、跟踪和修复其基础设施内企业资产漏洞的成文程序”。(23 NYCRR § 500.03(g))。NYDFS建议受监管的公司启用自动更新,以最大限度地减少漏洞和手动补丁管理。漏洞和补丁管理政策要求根据23 NYCRR § 500.5(a)进行定期渗透测试。因为当前的法规要求每年而不是定期渗透测试,这可能是NYDFS考虑在不久的将来修订其法规以要求每两年一次的渗透测试的一个领域,类似于PCI-DSS下的更多标准。
3.、多重身份验证(MFA)。该指南强调了MFA防止黑客访问受监管实体网络的有效性,并重申了MFA对远程访问的要求。(23 NYCRR § 500.12(b))。尽管条例本身包含MFA实施的例外情况,与NYDFS网络安全高级人员最近的言论一致,即MFA要求的可接受例外在实践中相当有限,但该指南并未承认或提及第500.12(b)小节中的MFA例外情况。
4、禁用RDP访问。作为推荐的做法,除非绝对必要,否则受监管实体应禁用RDP访问。
5、密码管理。作为受监管实体的访问控制和身份管理政策(23 NYCRR § 500.3(d))的一部分,该指南建议使用强、唯一的密码(既没有定义“强”也没有定义“唯一”)。话虽如此,该指南确实提供了有关“特权用户帐户”的密码强度的更多详细信息,要求“密码至少为16个字符,并且禁止使用常用密码。”此外,该指南建议不要缓存密码,特别是对于大型组织,建议为特权用户帐户实施密码库。
6、特权访问管理。该指南建议受监管实体向绝对最少数量的用户(23 NYCRR §§ 501.3(d) 和 500.7)提供特权用户帐户,并在此类帐户上实施强密码(见上文第五条)和MFA(见上文第三条)。
7、监测和响应。除了将电子邮件过滤作为受监管实体书面网络安全政策的一部分(参见上文第1条)之外,NYDFS指南还指出,根据23 NYCRR § 500.3(h),受监管实体“必须有一种方法来监控其系统中是否有入侵者并对可疑活动的警报做出响应”,例如利用端点检测和响应解决方案,特别是对于大型更复杂的组织,安全信息和事件管理工具。
8.、测试和隔离备份。在为勒索软件攻击做准备时,受监管公司应确保备份其系统,并将此类备份与网络和离线隔离(23 NYCRR §§ 500.3(e)、(f)和(n))。将这些备份与网络和离线隔离(并测试备份)至关重要,因为黑客几乎总是试图禁用备份,作为激励支付赎金的一种手段。
9、事件响应计划。该指南规定,根据23 NYCRR § 500.16要求,书面事件响应计划应明确解决勒索软件攻击,并且此类计划应在任何事件发生之前进行测试(即桌面演习)。
根据NYDFS网络安全条例的现有语言,受监管实体必须在72小时内向NYDFS报告“有合理可能性对所涵盖实体正常运营的任何重要部分造成实质性损害”的网络安全事件(23 NYCRR § 500.17(b))。根据NYDFS,受监管实体应“尽快并在72小时内向NYDFS报告在其内部网络上成功部署勒索软件和/或任何黑客获取特权帐户的入侵”。因此,尽管NYDFS没有引入新的明确报告要求,据推测,这将受到正式通知和评论期的制约,NYDFS已表示,可能即将对法规的报告和其他技术合规方面进行正式修订。
在此期间,在预先存在的报告期限内报告此类网络安全事件的指南与其他监管机构最近要求被许可人报告勒索软件的要求一致,例如马萨诸塞州银行部门.此外,由于本指南代表了NYDFS对其网络安全要求和适用于勒索软件预防的合理安全性的解释,因此该指南可以作为检查、调查和执法环境中的潜在路线图。因此,受监管实体可能希望评估其信息安全计划的有效性,特别是指南中规定的九项网络安全控制及其报告能力。如果受监管实体确定这些控制中的任何一个可能无法实施和维护,则该实体可以选择记录不可行性。
最后,为了加强网络安全控制,NYDFS与全球网络联盟(GCA)合作推广GCA的小型企业网络安全工具包,并提供了指向联邦网络安全和基础设施安全局资源的链接,这对中小型企业来说可能是一个特别有用的资源。
参考来源:Alston&Bird http://t.hk.uy/6pY
(十)西班牙电信巨头MasMovil遭受Revil勒索软件攻击
西班牙第四大电信运营商MasMovil遭受了Revil(又名Sodinokibi)勒索软件攻击。
Revil勒索软件团伙声称下载了属于MasMovil的数据库和其他重要数据。作为其黑客攻击的证据,该组织还分享了窃取的MasMovil数据的屏幕截图,其中显示了名为Backup、RESELLERS、PARLEM和OCU等的文件夹。
MasMovil已承认遭受了勒索软件攻击,但Revil组织并未要求赎金。
Revil勒索软件运营商的攻击结构与其他勒索软件组织相同,例如破坏目标的安全、窃取数据并锁定受害者系统上的文件、并要求支付赎金以获得解密密钥/工具。
Revil勒索软件组织以攻击知名企业和组织而闻名。2021年6月15日Revil攻击了美国核武器承包商Sol Oriens,2021年4月攻击了苹果供应商Quanta,2021年3月攻击了科技公司宏基,勒索金额为5000万美元。
电信运营商MasMovil在西班牙很大,固网ADSL户数达1800万户,光纤户数接近2600万户,其4G移动网络覆盖了98.5%的西班牙人口。该公司还拥有Yoigo、Pepephone、Llamaya、Lebara等品牌,目前尚不清楚MasMovil的下一步计划。
参考来源:HackRead http://t.hk.uy/7jd
(十一)印度公共分配系统450万公民信息遭到泄露
网络安全公司Technisanct发现,印度泰米尔纳德邦公共分配系统(PDS)超过450万公民的数据遭到泄露,个人身份信息及公民Aadhaar号码等主要详细信息已保存在一个数据共享平台中供出售。Technisanct是一家总部位于印度班加罗尔的网络安全和大数据初创公司,Aadhaar是印度居民的唯一身份号码。
6月28日,一个已知共享泄露数据库的供应商在一个热门黑客论坛上传了一个链接,其中包括一个文件共享平台泄露的520万用户数据,其中包括4,919,668个Aadhaar号码。泰米尔纳德邦PDS用户的数据包括受益人ID、Aadhaar号码、受益人及其家庭成员的姓名、地址、手机号码、关系等。
另据查明,tnpds.gov.in也是网络攻击的受害者,并被名为1945VN的网络犯罪组织入侵,有超过6800万受益人和6700万Aadhaar链接到这个特定门户。识别出的违规行为可能只是供应商发布的信息的一部分。
Technisanct已经向印度CERT报告了该数据泄露事件。Technisanct创始人兼首席执行官Nandakishore Harikumar表示,“我们的团队正在进一步评估违规的深度,特别强调公开暴露的Aadhaar记录的数量,因为这对于保护公民免遭欺诈至关重要。”
参考来源:ExpressComputer http://t.hk.uy/6n8
(十二)社交媒体网站GETTR泄露近9万用户私人信息
新推出的社交网站GETTR遭遇了数据泄露事件,此前一名黑客声称使用不安全的API抓取了近90,000名会员的私人信息,然后在黑客论坛上共享这些数据。GETTR是一个新的亲特朗普社交媒体平台,由前特朗普顾问Jason Miller创建,作为Twitter的替代品。
网络安全公司Hudson Rock联合创始人兼首席技术官Alon Gal首先发现了这一事件,一群黑客发现了一个不安全的应用程序编程接口(API),允许他们抓取87,973名GETTR成员数据。在编译信息后,这些数据被发布到一个著名的黑客论坛,该论坛通常用于共享在数据泄露期间被盗的数据库。
黑客表示,他们首先使用了不安全的API来抓取GETTR用户的公开个人资料数据,但这些数据随后得到了保护。然而,黑客论坛的另一位成员发现了另一个不安全的API,该API允许抓取公共信息以及成员的私人电子邮件地址和出生年份。
从数据样本中可以看到,抓取的信息包括会员的电子邮件地址、昵称、个人资料名称、出生年份、个人资料描述、头像URL、背景图片、位置、个人网站和其他内部站点数据。
尽管只需访问GETTR用户的个人资料即可轻松获得大部分泄露的信息,但用户的电子邮件地址、位置和出生年份并不公开。研究人员通过随机抽取泄露数据中包含的电子邮件地址,证实了账户的存在。GETTR尚未对此事进行回复。
虽然大多数泄露的GETTR帐户信息都可以公开访问,但是电子邮件地址、出生年份和位置信息其他用户并不可以访问。威胁行为者可以使用此类信息执行有针对性的网络钓鱼攻击,收集更多敏感信息,例如登录密码。
所有GETTR用户都应该注意伪装成来自GETTR的网络钓鱼电子邮件,这些电子邮件会要求用户登录一个假冒网站。如果收到此类电子邮件,应立即删除,不要输入凭据。
参考来源:BleepingComputer http://t.hk.uy/7ck
(十三)美国保险巨头AJG遭受勒索软件攻击泄露私人数据
总部位于美国的全球保险经纪和风险管理公司Arthur J. Gallagher(AJG)披露,其于2020年9月下旬遭受了勒索软件攻击,目前正在向可能受影响的个人发布数据泄露通知。
AJG是全球最大的保险经纪商之一,拥有超过33,300名员工,业务遍及49个国家/地区。该公司还在财富500强名单中排名429,为来自150多个国家的客户提供保险服务。
虽然AJG在宣布勒索软件攻击的SEC文件中没有说明攻击者是否访问或窃取了任何客户或员工数据,但随后的调查发现,在这起事件中,存储在系统上的多种类型的敏感信息遭到了攻击。
在审查过程中,在受攻击系统上发现的信息类型包括:社会保险号、税务识别号、驾照、护照或其他政府识别号、出生日期、用户名和密码、员工识别号、金融账户或信用卡信息、电子签名、医疗、索赔、诊断、药物或其他医疗信息、医疗保险信息、医疗记录或账号,以及生物特征信息。
为了进一步说明事件中可能被访问的敏感数据类型,AJG在其隐私政策中表示,它从客户那里收集以下信息:个人资料(如姓名、出生日期);联系方式(如电话号码、电子邮件地址、邮寄地址或手机号码);政府发放的身份证明资料(例如,社会保险和国民保险号、护照细节);健康和医疗细节(例如健康证明);保单详细信息(例如,保单编号和类型);银行资料(例如,付款明细、账号和分类代码);驾驶执照详细信息;在线登录信息(如用户名、密码、安全问题答案);与任何索赔有关的信息;从申请或所需问卷中收到的其他信息(如职业、现任雇主)。
根据法律要求,AJG目前正在通知数据监管当局和所有可能受到影响的个人。根据提供给缅因州总检察长办公室的信息,共有7376人受到影响。该公司还警告受影响的个人有身份被盗的风险,并建议密切关注他们的账户报表和信用报告中的异常活动。
AJG表示,“作为预防措施,我们迅速将所有全球系统下线,启动了响应协议,启动了调查,聘请了外部网络安全和取证专业人士的服务,并实施了业务连续性计划,以尽量减少对客户的干扰。只有有限数量的内部系统受到勒索软件攻击的影响。”目前,此次攻击背后的勒索软件组织仍然未知。
参考来源:BleepingComputer http://t.hk.uy/7gT
(十四)蒙古证书颁发机构MonPass遭受黑客入侵并传播恶意软件
据Avast安全研究人员称,一个未知的威胁行为者已经破坏了蒙古证书颁发机构(CA)MonPass的服务器,并滥用该组织的网站进行恶意软件分发。
作为东亚的主要CA,MonPass似乎至少在6个月前就遭到破坏,攻击者大约八次返回已被攻击的公共Web服务器。
据Avast称,攻击者利用Cobalt Strike信标,通过该组织网站分发了安装程序。甚至官方的MonPass客户端也受到了破坏,受感染的二进制文件在2021年2月8日至3月3日之间发布。
安全研究人员在受感染的公共网络服务器上发现了八种不同的webshell和后门。该公司拒绝将这些攻击归因于已知的威胁参与者,但表示,观察到的一些技术细节和IOC与NTT安全威胁情报(NTT Security Threat Intelligence)研究人员在一份关于与中国有关联的Winnti Group的报告中包括的内容重叠。
恶意安装程序旨在从官网下载合法的MonPass安装程序并执行,以避免引起怀疑。同时,恶意软件会使用隐写术获取包含隐藏在其中的代码的位图图像文件。提取的代码是一个Cobalt Strike信标。
据可靠消息来源称,攻击者似乎集中精力破坏蒙古地区的实体。MonPass已被告知此事,并已采取措施保护其服务器。
安全研究人员建议所有在2021年2月8日至3月3日期间下载MonPass客户端的用户删除该客户端,并检查他们的系统是否存在该客户端可能获取和安装的后门。
参考来源:SecurityWeek http://t.hk.uy/7ka
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
