关键信息基础设施安全动态周报【2020年第45期】
发布时间:
2020-11-13
来源:
作者:
访问量:
298
目 录
第一章 国内关键信息基础设施安全动态
(一)TCL安卓电视中存在严重安全漏洞
(二)台湾笔记本电脑制造商仁宝遭受勒索软件攻击
第二章 国外关键信息基础设施安全动态
(一)施耐德PLC中存在两个安全漏洞
(二)PcVue SCADA产品中存在严重漏洞可致工业组织遭受攻击
(三)新型蠕虫Gitpaste-12针对Linux服务器和IoT设备
(四)黑客利用SonarQube配置错误从美国政府机构和私人企业窃取源代码
(五)特朗普诉讼网站存在SQL注入漏洞可泄露选民信息
(六)巴西高级选举法院遭受重大网络攻击
(七)Cisco IOS XR软件存在严重DoS漏洞可致黑客远程攻击ASR路由器
(八)澳大利亚发布关键基础设施安全立法修正案征求意见稿
(九)欧盟网络安全局发布《保护物联网准则》
(十)新型银行木马Ghimob攻击112个金融应用程序
(十一)针对以色列的勒索软件攻击疑似与伊朗威胁组织有关
(十二)黑客雇佣组织CostaRicto使用定制恶意软件攻击南亚机构
(十三)新型模块化后门ModPipe针对餐饮和酒店业管理软件
(十四)Palo Alto Networks将以8亿美元收购数字资产监控公司Expanse
第一章 国内关键信息基础设施安全动态
(一)TCL安卓电视中存在严重安全漏洞
TCL是全球第三大电视制造商,近日安全研究人员发布安全报告称,发现了TCL Android TV中存在的几个严重漏洞。在研究低端Android机顶盒时,研究人员发现这些设备的设计方式存在一些严重漏洞。
在不检查每个设备的细微差别的情况下,所有智能电视产品都是基于Android的。电视市场中有四种电视产品,如电视棒、电视盒、智能电视和Android电视。它们都是基于ARM的单板计算机(SBC)。多数芯片是32位的,有些是64位的,但它们都像Raspberry Pi的竞争对手一样,它们通过微型但功能强大的Mali GPU专注于GPU性能。
每个被测试的产品至少存在一个以下安全漏洞:端口22打开,并允许以root用户身份进行SSH访问;端口5555打开,并允许未经身份验证的安卓(adb)作为root用户;根目录设备,在多个位置具有世界可执行的二进制文件;运行adb和ssh守护进程的开放WiFi网络。
安全研究人员表示,“在目睹这些设备的安全性多么糟糕或缺乏这些安全性之后,我计划以一种实际的基于Shell的蠕虫形式编写一个真正的POC,它可以在我拥有的4到5个电视棒之间跳跃。”
TCL是一家中国大型电子制造公司。该公司一直在以惊人的速度增长其全球市场份额。研究人员进行了一次远程桌面会话,并在电视上进行了一次简单的nmap扫描,以确定它已经开箱即用。
如果我们nmap安卓手机,我们通常会发现0个开放的TCP端口。但是在这种情况下,它显示了许多开放的端口。尽管有某些理由使电视具有开放端口,但上述许多服务值得深入研究。
在“远程桌面”会话中,当将所有URL手动输入到联机浏览器时,某些页面为空白页面。这可以指示API端点。有些页面只是挂在浏览器上。获得其余的nmap扫描后,端口7989显示404错误。这意味着该文件存在,但我们无权查看它。Http://10.0.0.117:7989没有在浏览器中返回页面。
互联网号码分配机构(IANA)未将端口7989列在标准TCP / UDP端口列表中。这意味着,如果不扫描所有65,535个端口,大多数扫描仪将跳过该端口。其次,特定的根页面为空白。因此,要在每个端口扫描相当多的页面,端口扫描时间将成倍增加。
TCL已识别并接受了该漏洞,并表示已修补此问题。最后,研究人员对该设备进行了初步测试,未发送任何更新警告。
参考来源:GBHackers http://dwz.date/djg8
(二)台湾笔记本电脑制造商仁宝遭受勒索软件攻击
台湾笔记本电脑制造商仁宝电子(Compal Electronics)近日遭受了勒索软件DoppelPaymer攻击,攻击者要求近1700万美元的赎金。
仁宝是全球第二大笔记本电脑原创设计制造商(ODM),包括苹果、惠普、戴尔、联想和宏基在内的知名公司都在重新打造其设备或设计的品牌。
上周末,台湾媒体报道仁宝遭受了网络攻击,但仁宝声称这只是他们办公室自动化系统的“异常”。UDN报道称,“Lu Qingxiong表示主要原因是办公自动化系统出现异常,怀疑公司被黑客入侵。该公司已紧急修复了大部分,预计今天将恢复正常。Lu Qingxiong强调,康柏并没有像外界报道的那样受到黑客的勒索,目前生产一切正常。”
研究人员在获得了一张用于攻击的勒索单据,证实Compal遭受了DoppelPaymer勒索软件攻击。
DoupelPaymer是一种勒索软件操作,通过访问管理员凭据并利用这些凭据在整个Windows网络中传播来攻击企业目标。一旦他们获得对Windows域控制器的访问权限,就会将勒索软件有效负载部署到网络上的所有设备。根据勒索通知中链接的DoppelPaymer Tor网站的消息,勒索软件团伙索要1100比特币(约为16725500.00美元)才能收到解密器。
根据赎金纸条和DoppelPaymer过去的历史记录,攻击者很可能窃取了未加密的数据作为攻击的一部分。然后,这些被盗数据被用作双重勒索策略,勒索软件团伙威胁称,如果不支付赎金,就会在数据泄露网站上发布这些文件。最初的勒索赎金只是一个“起步价”,对于决定支付赎金的受害者来说,通常会协商到一个低得多的金额。
其他在过去被DoppelPaymer攻击的受害者还包括墨西哥国家石油公司、加州Torrance、纽卡斯尔大学、佐治亚州霍尔县和Bretagne Télécom。
参考来源:BleepingComputer http://dwz.date/djNS
第二章 国外关键信息基础设施安全动态
(一)施耐德PLC中存在两个安全漏洞
Trustwave安全研究人员11月12日发布博客文章称,其在施耐德EcoStruxure Machine Expert v1.0和Schneider Electric M221(固件1.10.2.2)可编程逻辑控制器(PLC)中发现了两个漏洞,攻击者可能会利用这些漏洞来危害PLC,进而攻击更复杂的关键基础设施。
PLC是电力公用事业和工厂等环境中的关键设备。它们控制工厂装配线和其他工业环境中的物理机械占地面积,是运营技术(OT)网络的关键部分。
第一个漏洞CVE-2020-7566是small-space seed 漏洞,使得攻击者能够发现EcoStruxure Machine-Expert Basic用于应用程序保护的加密密钥。有两种类型的应用程序保护可用:读保护保护控制器的应用程序不被工程工作站上的任何未经授权的人员读取;写保护控制器的应用程序不被未经授权的更改。
研究人员指出,暴力破解之所以成为可能,要归功于两个漏洞:第一,加密过程中使用的随机随机数和密钥是以明文交换的。其次,用于生成密钥的种子只有两个字节长。这意味着只有65,535种可能的种子组合。
第二个漏洞CVE-2020-7568是应用程序保护机制的安全绕过问题,这可能会为更大规模的攻击打开大门。研究人员发现了一个替代通道来绕过控制器上的读保护功能。研究人员表示,“这种读保护功能是为了保护部署在控制器上的应用程序不被未经授权的人员下载。恶意攻击者可以利用[绕过]绕过保护,从m221控制器下载应用程序。”备用通道是作为第三方直接向控制器发送应用程序数据请求的能力。
TrustWave研究人员表示,这反过来将允许攻击者对M221的核心应用进行侦察,为更复杂的后续攻击铺平道路。这是因为应用程序包含部署在控制器上的控制逻辑。这种逻辑使用工业控制系统(ICS)中的“标签”,通过操作技术(OT)网络进行通信。
施耐德电气建议为工程软件打补丁,更新控制器固件,并拦截防火墙上的端口。TrustWave补充称,客户还应该为不同的应用程序保护使用两个不同的复杂密码,并采取措施确保只有工程工作站和授权的客户才能直接与PLC通信。
ICS引起了安全研究人员和联邦政府越来越多的关注。例如,美国国土安全部宣布,关键基础设施已成为今年CISA的主要重点。
事实上,随着关注度的提高,越来越多的漏洞在ICS设备中被发现。例如,像Pwn2Own这样的黑客竞赛已经开始聚焦于ICS。
这些努力正在取得成果:今年3月,罗克韦尔自动化(Rockwell Automation)和江森自控(Johnson Controls)发现了影响PLC和物理访问控制系统的关键漏洞。今年7月,在CISA就即将发生的关键基础设施攻击发出可怕警告之后,ICS-CERT就施耐德电气Triconex TriStation和Tricon通信模块中的一个关键安全漏洞发布了一份咨询报告。这些安全仪表系统(SIS)控制器负责在出现问题时关闭工厂运行,并充当工业设施的自动安全防御系统,旨在防止设备故障和爆炸或火灾等灾难性事件。他们过去曾在2017年的Triton攻击中成为攻击目标。
参考来源:ThreatPost http://dwz.date/djVc
(二)PcVue SCADA产品中存在严重漏洞可致工业组织遭受攻击
卡巴斯基研究人员在法国ARC Informatique开发的PcVue SCADA/HMI解决方案中发现了三个潜在的严重漏洞,包括允许攻击者控制工业流程或造成破坏的漏洞。
卡巴斯基的研究人员对PcVue产品进行了分析,他们总共发现了三个漏洞。随着12.0.17版本的发布,供应商已经修补了安全漏洞,并共享了一些缓解措施和解决办法,以帮助客户防止攻击。
卡巴斯基高级安全研究员Andrey Muravitsky是发现PcVue漏洞的功臣之一。他表示ARC Informatique“做得非常出色”,并在接到通知5个月后修补了所有漏洞,工业解决方案提供商修复漏洞通常需要更长的时间。
最严重的漏洞与接口中接收到的消息的不安全反序列化有关,它可能导致远程代码执行。另外两个漏洞被评为高危漏洞,一个可用于DoS攻击,另一个是信息泄露问题,使得攻击者能够访问合法用户的会话数据。
卡巴斯基在10月份发布了针对这些漏洞的警告,并表示利用这些漏洞很容易,不需要任何用户交互。美国网络安全和基础设施安全局(CISA)上周发布了一份咨询报告,警告各组织注意这些漏洞带来的风险。
Muravitsky称,拥有TCP端口8090网络访问权限的攻击者可以利用这些漏洞,并在网络和移动后端服务器上实现任意代码执行。如果易受攻击的组件暴露在网络上,也可能从互联网进行远程攻击。“攻击者可以在与OT网络相连的计算机上执行命令,并扩大攻击面,在某些情况下,攻击者可以控制工业过程并造成破坏。”
参考来源:SecurityWeek http://dwz.date/dhKg
(三)新型蠕虫Gitpaste-12针对Linux服务器和IoT设备
Juniper Threat Labs研究人员11月5日发布博客文章称,其发现了一种针对基于Linux x86服务器以及基于Linux的IoT设备(基于ARM和MIPS CPU)的新型蠕虫病毒,该恶意软件使用GitHub和Pastebin来存储组件代码,并包含至少12种不同的初始攻击媒介,故研究人员称之为“Gitpaste-12”。Juniper Threat Labs研究人员在2020年10月15日的攻击中首次检测到它。
Juniper Threat Labs研究人员在11月5日的博客文章中表示,“没有哪款恶意软件是好东西,但蠕虫尤其令人讨厌。他们以自动方式传播的能力可能导致组织内部横向传播,或者导致主机试图感染互联网上的其他网络,从而给组织带来不良声誉。”
攻击的第一阶段是系统的初始破坏阶段。该恶意软件的各种攻击模块包括11个先前披露的漏洞。其中包括Apache Struts(CVE-2017-5638)、 Asus路由器(CVE-2013-5948)、opendreambox的Webadmin插件(CVE-2017-14135)和Tenda路由器(CVE-2020-10987)中的漏洞。
研究人员表示,该恶意软件将尝试利用已知的漏洞利用这些漏洞来破坏系统,还可能尝试暴力破解密码。破坏系统后,一个主Shell脚本随后将被上载到受害机器,并开始下载并执行Gitpaste-12的其他组件。
该脚本设置了一个从Pastebin下载的cron job。cron job是类似Unix的计算机操作系统中的基于时间的作业调度程序。cron job会调用脚本并每分钟再次执行一次。研究人员认为,该脚本大概是一种可以将更新推送到僵尸网络的机制。
然后,它从GitHub(https:// raw [.] githubusercontent [.] com / cnmnmsl-001 /-/ master / shadu1)下载脚本并执行。该脚本包含中文注释,并且攻击者可以使用多个命令来禁用不同的安全功能。这些措施包括剥离系统防御,包括防火墙规则、selinux(LinuxR系统的安全体系结构)、apparmor(Linux内核安全模块,允许系统管理员限制程序的功能)、以及常见的攻击预防和监视软件。Gitpaste-12的初始攻击媒介利用了11个漏洞。
研究人员表示,该恶意软件还具有一些禁用云安全代理的命令,“这清楚地表明威胁者打算针对阿里云和腾讯提供的公共云计算基础架构。”
Gitpaste-12还具有允许其运行针对Monero加密货币的加密矿机的命令。研究人员表示,“它还通过拦截'readdir'系统调用并跳过'/ proc'中tcpdump,sudo,openssl等进程的目录来防止管理员收集有关正在运行的进程的信息。 Linux中的'/ proc'目录包含有关正在运行的进程的信息。例如,“ps”命令使用它来显示有关正在运行的进程的信息。但不幸的是,对于这个威胁参与者,此实现未达到他们预期的目标。”
最终,该恶意软件还包含一个以LD_PRELOAD加载的库(hide.so),该库下载并执行Pastebin文件(https:// pastebin [.] com / raw / Tg5FQHhf),该库可承载更多的恶意代码。
研究人员表示,他们报告了Pastebin URL以及上面提到的Git存储库,该存储库下载了该恶意软件的恶意脚本。Git仓库于2020年10月30日关闭。“这将阻止该僵尸网络的扩散。”
就其蠕虫功能而言,Gitpaste-12还包含一个脚本,该脚本对其他计算机发起攻击,以尝试复制和传播恶意软件。研究人员称,“该恶意软件会选择一个随机的/ 8 CIDR进行攻击,并将尝试该范围内的所有地址。”无类域间路由(CIDR)是一种分配IP地址和进行IP路由的方法,这意味着攻击针对的是随机CIDR范围内的所有IP地址。
研究人员表示,该脚本的另一个版本还为反向Shell命令打开了端口30004和30005。端口30004使用传输控制协议(TCP),它是TCP / IP网络中的主要协议之一;端口30005是基于双向SOAP / HTTP的协议,可在路由器或网络交换机等设备与自动配置服务器之间提供通信。
蠕虫会产生广泛的影响,如在2019年的一项活动中所看到的那样,该蠕虫利用Exim邮件传输代理(MTA)中的漏洞使用可蠕虫攻击在受害者的Linux系统上获得远程命令执行。研究人员说,目前有超过350万台服务器受到攻击的威胁。
到目前为止,2020年已出现了几种新的蠕虫,包括旨在安装加密矿工的Golang蠕虫,并且最近改变了其策略以增加对Windows服务器的攻击,并增加了一系列新的漏洞利用方法。8月份,发现了一个名为TeamTNT的蠕虫,它通过Amazon Web Services(AWS)云传播并收集凭据。一旦收集到登录信息,恶意软件就会登录并部署XMRig挖掘工具来挖掘Monero加密货币。
参考来源:ThreatPost http://dwz.date/djp7
(四)黑客利用SonarQube配置错误从美国政府机构和私人企业窃取源代码
美国FBI近日发布安全警报称,警告威胁者正在滥用配置错误的SonarQube应用程序,以从美国政府机构和私营企业访问和窃取源代码存储库。
FBI在该警报中表示,该入侵事件至少从2020年4月开始发生。该警报特别警告SonarQube的所有者, SonarQube是一个基于Web的应用程序,公司已将其集成到其软件构建链中,以测试源代码并发现安全漏洞,然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上,并连接到源代码托管系统,如BitBucket、GitHub或GitLab帐户或Azure DevOps系统。
但是FBI表示,一些公司没有保护这些系统,在他们的默认配置(端口9000)上运行,并带有默认的管理员凭据(admin/admin)。威胁行动者滥用了这些错误配置来访问SonarQube实例,转到连接的源代码存储库,然后访问和窃取专有或私有/敏感应用程序。
FBI官员提供了两个关于该事件的两个案例:“2020年8月,未知威胁参与者通过公共生命周期存储库工具从两个组织泄漏了内部数据。被盗数据来自SonarQube实例,该实例使用了受影响组织网络上运行的默认端口设置和管理员凭据。该活动类似于2020年7月的一次数据泄漏,在该事件中,一个确定的网络参与者通过安全性较差的SonarQube实例从企业中窃取了专有源代码,并在自托管的公共存储库中发布了该源代码。”
该FBI警报涉及软件开发人员和安全研究人员中鲜为人知的问题。虽然网络安全行业经常警告称,将MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网络上的危险性,但SonarQube却并没有经常警告。但是,自2018年5月以来,一些安全研究人员就一直在警告将SonarQube应用程序在线暴露给默认凭据的危险。
当时,数据泄露猎人鲍勃·迪亚琴科(Bob Diachenko)警告称,当时在线提供的约3000个SonarQube实例中大约有30%到40%没有启用密码或身份验证机制。今年,一位名叫Till Kottmann的瑞士安全研究人员也提出了配置错误的SonarQube实例的同一问题。全年以来,Kottmann在公共门户网站上收集了数十家科技公司的源代码,其中许多来自SonarQube应用程序。
Kottmann表示,“大多数人似乎绝对没有改变任何设置,而实际上在SonarQube的设置指南中对此进行了正确解释 。我不知道当前公开的SonarQube实例的数量,但是我怀疑它的变化量很大。我猜想它仍然远远超过1,000台服务器(由Shodan索引),这些服务器都是很容易受到攻击,因为这些服务器要么不需要授权,要么留下了默认凭据。”
为防止此类泄漏,FBI警报列出了公司可以采取的一系列步骤来保护其SonarQube服务器,首先是更改应用程序的默认配置和凭据,然后使用防火墙来防止未经授权的用户未经授权访问该应用程序。
参考来源:ZDNet http://dwz.date/dhyN
(五)特朗普诉讼网站存在SQL注入漏洞可泄露选民信息
安全研究人员Todd Rossin偶然发现,为特朗普竞选活动建立的DontTouchTheGreenButton.com网站存在SQL注入漏洞,可泄露亚利桑那州选民数据,包括投票者姓名、生日、地址、ID、SSN号码等信息。
美国总统大选的结果使唐纳德·特朗普感到不悦,因此在不同州提起多起诉讼,指责各州的民调结果腐败。其中一个针对亚利桑那州马里科帕县(Maricopa County,Arizona),旨在让选民举报欺诈行为。但是,发现该网站泄漏了选民个人信息,包括姓名、地址。该DontTouchTheGreenButton.com网站存在SQL注入漏洞,可以收集选民的社会保险号码和出生日期。
特朗普指控选民欺诈,希望获得律师和竞选团队的所需的证据,使之变成清晰的诉讼。此类网站的创建帮助团队从报告任何违规行为的选民那里收集信息,但是发现该平台泄漏了声称拒绝投票的选民数据。
该选民欺诈报告网站有一个Google表单,您以使用该表单搜索姓名,其他详细信息会根据姓名自动显示,任何人都可以看到。用户自己也注意到了SQL注入漏洞。使用该技术有助于获取个人信息,例如姓名,地址,生日和社会保险号。
进一步分析表明,请求中公开的API密钥和应用程序ID导致运行任何查询和公开投票者数据的机会。该信息可以很容易地从服务中窃取。但是,最初的报告和新闻报道发布后,该API已从网站上删除。
任何人都可以公开获得有关选民的信息,但是隐私问题是Hastily网站批量数据收集的问题。个人信息的泄漏引发了有关隐私和安全性的问题。该网站要求提供姓名、地址、SSN、电话号码、电子邮件。任何想举报涉嫌选民欺诈的人都会透露很多细节。
不幸的是,所揭示的暴露技术非常简单,因此黑客可以获得大量数据,并将其用于以后的网络钓鱼诈骗、直接的垃圾邮件活动。一些报告指出,许多用户测试了该漏洞,并成功访问了数千名选民的个人信息。它是通过随机选择参数,字母组合并运行有缺陷的脚本来实现的。
该问题已报告给亚利桑那州选举委员会和马里科帕郡县记录员。特朗普竞选团队设法解决了这个问题,并从诉讼站点中删除了该API。不幸的是,这花了超过12个小时。这意味着,任何不良行为者都可以从网站上抓取数据并存储这些详细信息以供恶意使用。
参考来源:2SPYWARE http://dwz.date/djm3
(六)巴西高级选举法院遭受重大网络攻击
巴西高级法院(STJ)近日遭受了重大网络攻击,致使其业务运营停滞了整整一周。
该事件是在11月3日进行数次审判时检测到的。据STJ称,在法院的网络中发现了一种病毒,作为预防措施,已断开与互联网的链接,导致审理程序被取消,包括电子邮件在内的所有法院系统以及电话系统也都无法使用。
STJ部长温贝托·马丁斯(Humberto Martins)11月5日就此事件发表了声明,称此次攻击事件并没有影响有关法院正在进行的诉讼的信息。据部长的声明称,该攻击对数据访问进行了加密,但是STJ有适当的备份。
此后有消息称,该攻击还影响了法院的备份,该事件是巴西有史以来最严重的网络安全事件。除巴西陆军的网络防御中心和STJ的技术供应商(包括微软等公司)外,该机构现在正在使用磁带备份来恢复系统环境。
事实上,几乎所有正在进行的STJ会议都已暂停。据法院称,在恢复工作进展的过程中,只有紧急案件会被处理,预计系统将于在11月10日启动并运行。
应STJ的要求,联邦警察展开了调查。巴西总统贾尔·博尔索纳罗(Jair Bolsonaro)11月5日在直播会议中表示,攻击者要求支付勒索赎金,并且已经找到了负责该事件的威胁者。但是,该说法尚未得到警方的证实。
在该事件发生之前,11月1日有消息称巴西全国司法委员会是其服务器“未经授权访问”的目标。
参考来源:ZDNet http://dwz.date/dhwH
(七)Cisco IOS XR软件存在严重DoS漏洞可致黑客远程攻击ASR路由器
思科11月10日发布安全公告称,其IOS XR软件中存在一个严重漏洞,可使未经验证的远程攻击者破坏思科聚合服务路由器(ASR)。
该漏洞源于Cisco iOS XR,这是Cisco Systems广泛部署的网络互连操作系统(IOS)的一系列产品。该操作系统为思科ASR9000系列提供动力,该系列是完全分布式的路由器,旨在解决视频流量的大量激增。
思科在安全公告中表示,“成功利用该漏洞可能导致受影响的设备耗尽缓冲区资源,从而使设备无法处理或转发流量,从而造成拒绝服务状态。”
该漏洞(CVE-2020-26070)是由Cisco IOS XR软件的入口数据包处理功能问题造成的,CVSS得分8.6分。入口数据包处理是一种用于对来自不同网络的传入数据包进行排序的技术。
该漏洞是由于受影响设备处理网络通信量时资源分配不当造成的。攻击者可以通过向受影响的设备发送特定的第2层或第3层协议数据单元(PDU)流来攻击该漏洞,最终耗尽其缓冲区资源并使设备崩溃。
当设备遇到缓冲区资源耗尽时,可能会在系统日志中看到以下消息:%PKT_INFRA-SPP-4-PKT_ALLOC_FAIL:无法分配n个数据包进行发送。
思科表示:“该错误消息表明,设备无法在软件交换模式下分配缓冲区资源和转发网络流量。建议客户联系他们的支持组织以查看错误消息,并确定设备是否已受到利用此漏洞的攻击。”思科表示,该设备需要重新启动才能恢复功能。如果Cisco ASR 9000系列路由器运行的Cisco IOS XR软件版本早于版本6.7.2或7.1.2,则该漏洞会影响这些路由器。Cisco在Cisco IOS XR软件版本6.7.2及更高版本以及版本7.1.2及更高版本中修复了此漏洞。
值得注意的是,IOS软件、IOS XE软件、IOS XRv 9000路由器和NX-OS软件不受影响。思科表示:“思科产品安全事件响应团队(PSIRT)没有发现有任何公开声明或恶意使用本公告中描述的漏洞。”
思科最近处理了其产品线上的各种漏洞。上周,思科披露其AnyConnect安全移动客户端软件的Windows、MacOS和Linux版本中存在零日漏洞。几周前,思科发现了一个严重漏洞,未经身份验证的远程攻击者可以利用该漏洞发起一系列恶意攻击-从拒绝服务(DoS)到跨站点请求伪造(CSRF)。
思科最近还发出了警告,称Cisco IOS XR软件的思科发现协议实施存在一个漏洞(CVE-2020-3118),攻击者正在积极利用该漏洞。未经验证的相邻攻击者可以利用该漏洞在受影响的设备上执行任意代码或重新加载。
参考来源:ThreatPost http://dwz.date/djUc
(八)澳大利亚发布关键基础设施安全立法修正案征求意见稿
澳大利亚联邦政府11月9日发布了《2020年安全立法修正案(关键基础设施)法案》的征求意见稿,该法案旨在修订《2018年关键基础设施安全法》,以实施“增强澳大利亚关键基础设施的安全性和弹性的框架。”
澳大利亚政府的关键基础设施弹性战略(Critical Infrastructure Resilience Strategy)目前将关键基础设施定义为:“那些物理设施、供应链、信息技术和通信网络,如果遭到破坏、退化或长时间无法使用,将严重影响国家的社会或经济福祉,或影响澳大利亚进行国防和确保国家安全的能力”。
在关键基础设施的广泛定义范围内,该法案目前对电力、天然气、水和海运港口部门的特定实体规定了监管义务。该条例草案的解释性文件表示,“但是,随着安全形势的发展,我们在所有关键基础设施领域管理风险的方法也必须如此。”
因此,该法案的修正旨在加强该法案中的义务,并将其覆盖范围扩大到通信、金融服务和市场、数据存储和处理、国防工业、高等教育和研究、能源、食品和杂货、保健和医疗、空间技术、运输以及供水和污水处理部门。该草案建议将对这些资产负责的实体也纳入拟议的“国家安全业务”新定义范围。内政部长还将有权宣布一项关键基础设施资产为“具有国家意义的系统”。
条例草案对通讯业的定义是:提供运载服务;提供广播服务;拥有或经营与提供运载服务有关的资产;拥有或经营与传送广播服务有关的资产;或管理澳洲域名系统。
该法案还将对该部门的三类关键基础设施资产进行定义:电信、广播传输和域名系统。根据该法案,“数据存储或处理部门”的定义是指澳大利亚经济中涉及在商业基础上提供数据存储或处理服务的部门。这包括企业数据中心、托管服务数据中心、托管数据中心和云数据中心。行业定义还包括三种类型的云服务:基础设施即服务(IaaS)、软件即服务(SaaS)和平台即服务(PaaS)。
根据该文件,如果资产由作为数据存储或处理提供商的实体拥有或运营,则该资产是“关键数据存储或处理资产”;该资产完全或主要用于在商业基础上提供给最终用户的数据存储或处理服务,该最终用户是联邦、州或领地,或由联邦、州或领地的法律设立的法人团体。
“该定义涵盖了管理对澳大利亚国家利益具有重要意义的数据的数据中心和云服务提供商。它不打算涵盖数据存储是所提供的主要服务(例如可能导致存储其客户的某些数据的会计服务)的次要产品或只是其副产品的实例。”
在条例草案中,“关键业务资料”的定义为:与最少20,000名个人有关的个人资料;敏感资料;与关键基建资产有关的任何研究及发展的资料;与运作关键基建资产所需的任何系统有关的资料;或与关键基建资产有关的风险管理及业务连续性的资料。
对于“关键数据存储或处理资产”,责任实体是向联邦、州或领地政府客户以及其他关键基础设施资产提供数据存储或处理的实体。但是,只有在责任实体知道其正在存储或处理关键基础设施资产的业务关键数据的情况下,该资产才会成为关键数据存储或处理资产。
内政部了解到,这一门槛将涵盖至少100个数据中心实体,包括数字转型局政府供应小组中的那些实体和至少30个云服务提供商。同时,空间部门将被定义为澳大利亚经济中涉及商业提供与空间有关的服务的部门,并反映了对维持澳大利亚与空间有关的服务的供应和供应至关重要的那些职能。
条例草案还介绍了金融服务及市场部门、国防工业部门、食品及杂货、高等教育及研究、医疗保健部门、运输部门、能源部门,以及供水及污水处理部门的定义。
如果该法案获得通过,还将为关键基础设施实体引入积极的安全义务(PSO),并得到特定行业要求和强制性报告要求的支持;加强对国家最重要的实体的网络安全义务;以及政府为应对澳大利亚系统遭受的重大网络攻击而向实体提供的援助。
这一框架将适用于关键基础设施的所有者和运营商,而不考虑所有权安排。该征求意见稿指出,“这为关键基础设施的所有者和运营商创造了一个公平的竞争环境,并保持了澳大利亚现有的开放投资环境,从而确保了采用安全措施的企业不会处于商业劣势。”
PSO将在该法案现有义务的基础上,进一步“将准备、预防和缓解活动纳入关键基础设施资产的正常运营,确保基本服务的弹性得到加强”。政府希望它也能提高对关键基础设施资产威胁的态势感知能力。
PSO涉及三个方面:采用和维护一个全危害关键基础设施风险管理计划;强制向澳大利亚信号局报告严重网络安全事件;以及在需要时,向关键基础设施资产登记册提供所有权和运营信息。政府表示,将与业界合作,设计支撑风险管理计划义务的行业具体要求。条例草案亦会扩大“关键基础设施资产登记册”的范围,并赋予内政部长“随时准备”的权力,以确保“公共服务条例”只在适当的情况下适用。
在“加强网络安全义务”的标题下,民政事务大臣可要求对国家具有重大意义的系统的责任实体开展一项或多项规定的网络安全活动,例如制定网络安全事件应对计划、进行网络安全演习以建立网络准备、脆弱性评估和提供系统信息。
该法案还引入了一个政府援助制度,以应对适用于所有关键基础设施部门资产的严重网络安全事件。“政府认识到,在大多数情况下,行业应在政府的支持下对绝大多数网络安全事件做出响应。但是,政府对保护澳大利亚的国家利益负有最终责任。作为最后的手段,该法案为政府提供了援助,以在重大网络攻击期间或之后保护资产。”
内政部公布了在发布征求意见稿之前收到的194份意见书中的128份。有关该法案的磋商将持续到2020年11月27日。
参考来源:ZDNet http://dwz.date/djEj
(九)欧盟网络安全局发布《保护物联网准则》
物联网供应链已成为网络安全中的薄弱环节,有可能使组织通过他们未意识到的漏洞来面对网络攻击。11月9日,欧盟网络安全局(ENISA)发布《保护物联网准则》,对整个物联网供应链提出了建议,以帮助保护组织免受构建互联事物时可能出现的漏洞的影响,旨在确保安全性构成物联网产品开发整个生命周期的一部分。
该准则的一项关键建议是,应将网络安全专业知识进一步整合到组织的各个层面,包括工程、管理、营销和其他部门,以便供应链任何部分的任何人都能够识别潜在风险,希望在产品开发周期的早期阶段发现并解决这些风险,并防止它们成为一个重大问题。
同时该准则还建议在物联网开发过程的每个阶段都采用“设计安全”,重点是仔细计划和风险管理,以确保尽早发现设备的任何潜在安全问题。该报告表示,“在设计阶段做出的早期决定通常会对后期阶段产生影响,尤其是在维护阶段。”
另外一个建议是,组织在整个产品开发和部署周期中应建立更好的关系,以解决当相关人员之间没有通信时可能出现的安全漏洞。其中包括由于零部件供应链中缺乏可见性而导致的设计错误,在零件制造商与IoT供应商之间存在误解或缺乏协调时,可能会发生这种情况。
但是,并非所有责任都应由物联网制造商承担。该文件还建议客户和最终用户组织应在供应链实施中发挥作用,并且“可以从专用资源到研究当前形势并根据具体情况调整现有最佳实践而受益匪浅”。
ENISA执行主任Juhan Lepassaar表示,“确保信通技术产品和服务供应链应是进一步采用信息和通信技术产品和服务的先决条件,尤其是对于关键基础设施和服务。只有这样,我们才能像IoT那样从广泛部署中获得收益。”
参考来源:ZDNet http://dwz.date/djgf
(十)新型银行木马Ghimob攻击112个金融应用程序
卡巴斯基实验室研究人员发现了一个名为Ghimob的新型银行木马,能够从112个金融应用中窃取数据。
卡巴斯基实验室(Kaspersky Lab)的网络安全研究人员在7月详细介绍了四个不同的巴西银行木马家族,名为Tetrade,针对巴西、拉丁美洲和欧洲的金融机构。这四个恶意软件家族分别是Guildma、Javali、Melcoz和Grandoreiro,攻击目标为巴西一家银行集团,组织正在发展针对海外银行用户的功能。巴西地下网络犯罪被认为是最专注于开发和商业化银行特洛伊木马程序的组织。
现在,卡巴斯基全球研究和分析团队(GReAT)的专家们收集了进一步的证据,证明Tetrade背后的恶意软件运营商(追踪名称为Guildma)已经扩大了他们的策略,用间谍软件感染移动设备。Ghimob旨在针对来自巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所。
卡巴斯基发布的报告显示,“Ghimob是口袋里的成熟间谍:一旦感染完成,黑客可以远程访问受感染的设备,用受害者的智能手机完成欺诈交易,从而避免机器识别,金融机构采取的安全措施以及所有他们的反欺诈行为系统。”
Ghimob Trojan能够在适当的位置记录屏幕锁定图案,然后重新播放以解锁设备。当攻击者必须执行交易时,他们可以将黑屏显示为覆盖或全屏打开某些网站,以诱骗受害者使用后台运行的金融应用程序之一在后台执行交易的同时查看该屏幕。在用户打开或登录的受害者设备上。
专家注意到,Ghimob与Guildma共享C2基础架构,威胁者使用相同的TTP继续发送网络钓鱼电子邮件来传播恶意软件。这些邮件旨在诱使毫无戒心的用户点击下载Ghimob APK安装程序的恶意URL。
Ghimob还有一个有趣的地方,它使用C2s和Cloudflare保护的fallback,用DGA隐藏真实的C2,并使用其他一些技巧。与其他BRATA或Basbanke相比,Ghimob要先进得多,并且实现了广泛的功能。该特洛伊木马支持与其他移动RAT类似的常见功能,比如可以通过在应用程序抽屉中隐藏图标来掩盖其存在,并滥用Android的可访问性功能。
在监视Guildma Windows恶意软件活动时,研究人员还发现了用于分发Windows盒的ZIP文件和APK文件的恶意URL,它们都来自同一个URL。如果点击恶意链接的用户代理是基于Android的浏览器,则下载的文件将是Ghimob APK安装程序。这样分发的APK被伪装成流行应用的安装者;它们不在Google Play上,而是托管在Guildma运营商注册的几个恶意域中。一旦安装到手机上,该应用程序将滥用可访问性模式来获得持久性,禁用手动卸载,并允许银行木马捕获数据、操纵屏幕内容并为欺诈者提供完全远程控制:这是一种非常典型的移动RAT。
Ghimob是第一个巴西移动银行特洛伊木马程序,它可以从许多国家的银行、金融科技公司、交易所、加密交易所和金融机构的信用卡中窃取凭证。
参考来源:SecurityAffairs http://dwz.date/djQx
(十一)针对以色列的勒索软件攻击疑似与伊朗威胁组织有关
多消息来源显示,近日针对以色列公司的两次勒索软件攻击已被追踪到与伊朗威胁组织有关。自10月份以来,以色列各种规模的公司成为了勒索软件攻击目标,攻击者使用Pay2Key和WannaScreen勒索软件,侵入公司网络、窃取公司数据、加密文件,并要求支付巨额费用以提供解密密钥。
此外,以色列网络安全咨询公司Konfidas的创始人兼首席执行官Ram Levi表示,除了这一策略,Pay2Key勒索软件组织本周还在暗网上推出了一个“泄密目录”,该组织现在正在泄露他们从拒绝支付赎金的公司那里窃取的数据。
Pay2Key的攻击是一个特别的案例,因为与最近发生的大多数其他勒索软件行动不同,这些攻击反复发生,主要集中在攻击以色列公司。
全球各地都发现了WannaScream勒索软件的攻击事件,但以色列安全公司Proflo的创始人兼首席执行官Omri Segev Moyal表示,目前这种勒索软件是通过一种勒索软件即服务(RaaS)模式提供的,一个从勒索软件的创造者那里租用勒索软件的组织特别针对以色列公司。Proflo是当地安全公司之一,目前正在为许多陷入困境的以色列公司提供事件响应(IR)服务。该公司表示,它跟踪了以色列公司向位于伊朗的加密货币交易所Excoino支付的数笔款项。
Moyal表示,“WannaScream和Pay2Key勒索软件的整体复杂度非常平均。Pay2Key的复杂度较低,这使我们能够轻松跟踪比特币流量 。我们的团队在位于伊朗的加密货币交易所Excoino上确定了退出策略。这种行为对于主要的勒索软件运营商而言非常罕见。经验丰富的运营商将进行混合服务,通过Binance子交易所(如ChangeNow)或其他不太熟悉的交易所(如coin2cards)在不同硬币之间交换。在这种情况下,我们还没有看到任何此类攻击。这可能表明了攻击者的来历,尽管众所周知,这可能是一个错误的标志。”
Moyal认为,Pay2Key和WannaScream都是不成熟的简单操作。例如,在某些早期的Pay2Key事件中,勒索软件的命令和控制服务器没有向某些支付了赎金要求的受害者释放解密密钥,从而使公司无法恢复其文件。以WannaScream为例,勒索软件解密程序是受害者在支付赎金要求后收到的解密文件的应用程序,在某些情况下也出现了错误,同样,即使在付款后,公司也无法恢复数据。
几个月来,以色列和伊朗都指责对方对彼此的重要基础设施开展网络攻击。然而到目前为止,没有任何证将在以色列发生的Pay2Key或WannaScream攻击与伊朗政府实体联系起来。
参考来源:ZDNet http://dwz.date/djR3
(十二)黑客雇佣组织CostaRicto使用定制恶意软件攻击南亚机构
黑莓(BlackBerry)研究人员发现了一个名为CostaRicto的雇佣黑客组织的活动,该组织被发现使用一款此前未被记录的恶意软件攻击南亚金融机构和全球娱乐公司。
BlackBerry的研究报告显示,“在过去的六个月里,黑莓研究和情报小组一直在监视一场针对全球不同受害者的网络间谍活动。这场被黑莓称为CostaRicto的活动似乎是由‘雇佣黑客’操作的,他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道功能。”
对全球范围内的目标实体而言,它们中的大多数位于印度、孟加拉国、新加坡和中国,这表明威胁行为体可能位于南亚。
在使用窃取的凭证进入目标的基础设施后,网络雇佣兵建立了一个SSH隧道来下载后门和一个名为CostaBricks的有效载荷装载器。CostaBricks是一个定制的基于VM的有效负载加载程序,它执行一个嵌入式字节码来解码并将有效负载直接注入目标系统的内存中。CostaRicto被观察到使用CostaBricks加载器交付一个名为SombRAT的C++编译可执行文件(这个名称来自Overwatch游戏角色Sombra)。
后门实现了模块化结构,它实现了RAT功能,并能够以插件或独立二进制文件的形式执行其他恶意有效负载。恶意软件支持50种不同的命令,并能够执行多个操作,例如收集系统信息、将恶意DLL注入内存、枚举存储中的文件、渗漏数据、列出和杀死进程以及将文件上传到C2。
研究人员分析了SombRAT的六个版本,第一个版本可以追溯到2019年10月,而最新的变体是在8月份发现的。专家认为,该恶意软件正在积极开发中。黑莓(BlackBerry)分析师注意到,该集团攻击中使用的一个IP地址与早些时候的一次钓鱼行动有关,最初被认为是与俄罗斯有关联的APT28组织所为。这种情况表明,Costaricto APT代表其他威胁行为者发动了攻击。
参考来源:SecurityAffairs http://dwz.date/djWV
(十三)新型模块化后门ModPipe针对餐饮和酒店业管理软件
ESET研究人员发现了一款新型模块化后门ModPipe,专为针对运行Oracle MICROS Restaurant Enterprise Series(RES)3700的POS系统而设计,这是一款广泛用于餐厅和酒店业的管理套件。
后门的突出特点是在于其模块化结构,允许实现高级功能。自2019年底ESET的专家首次发现恶意软件的“基本”组件以来,ESET就已经意识到这些模块的存在。专家们分析的其中一个模块名为GetMicInfo,它实现了一种算法,允许操作员通过从Windows注册表值解密数据库密码来收集密码。
ESET的分析报告显示,“后门的独特之处在于它的可下载模块及其功能,因为它包含一种自定义算法,旨在通过从Windows注册表值解密来收集RES 3700 POS数据库密码。这表明后门程序的作者对目标软件有很深的了解,他们选择了这种复杂的方法,而不是通过更简单但更响亮的方法来收集数据,比如键盘记录。”
通过ModPipe渗出的凭证,操作员可以访问数据库内容,包括各种定义和配置、状态表以及有关POS交易的信息。虽然金融数据,如信用卡号码和到期日,受到了在Res3700POS系统中实施的加密的保护,但威胁制造者可以使用另一个可下载的模块来解密数据库的内容。
分析报告表示,“根据文件,要实现这一点,攻击者必须对“特定于站点的密码短语”的生成过程进行反向工程,该密码短语用于导出敏感数据的加密密钥。然后,这个过程必须在模块中实现,并且由于使用了Windows数据保护API(DPAPI),直接在受害者的机器上执行。”
ModPipe的模块化架构由基本组件和可下载模块组成:
1、初始删除程序,包含下一阶段永久加载程序的二进制文件(32位和64位)的初始Dropper,并将相应版本安装到受危害的计算机上。
2、持久加载器解包并加载主模块的下一阶段。
3、主模块是执行恶意软件主要功能的核心组件。它创建一个用于与其他恶意模块通信的管道,卸载/安装这些模块,并充当调度器来处理模块和攻击者的C&C服务器之间的通信。
4、联网模块用于与中央控制中心进行通信。
5、可下载模块是那些旨在为后门添加特定功能的组件,例如窃取数据库密码和配置信息、扫描特定IP地址或获取正在运行的进程及其加载模块的列表的功能。
ESET详细介绍的其他模块包括“ModScan 2.20”,用于收集有关已安装的POS系统的附加信息(例如,版本、数据库服务器数据),以及“Proclist”,用于收集有关当前运行的进程的详细信息。
研究人员总结表示,“ModPipe的架构、模块及其功能也表明,它的编写者对目标RES3700POS软件有广泛的了解。运营商的熟练程度可能来自多个场景,包括窃取和反向工程专有软件产品、滥用其泄露的部分或从地下市场购买代码。”
参考来源:SecurityAffairs http://dwz.date/djWw
(十四)Palo Alto Networks将以8亿美元收购数字资产监控公司Expanse
硅谷网络安全巨头帕洛阿尔托网络公司(Palo Alto Networks)计划通过收购Expanse来增强其保护客户的能力。Expanse是一家擅长监控互联网上可能面临网络攻击的资产的公司。
Palo Alto Networks预计将在2月底前完成这笔8亿美元的交易,旨在提升该公司名为Cortex的安全运营中心(SOC)产品。Expanse的强项是绘制和管理公司、政府机构和其他组织的数字攻击面。此次收购发生在涉及网络安全公司的大型交易相对平静的一年,此前在2019年底出现了一波并购热潮。
Palo Alto Networks表示,总部位于旧金山的Expanse的技术将帮助其保护部分网络,而当客户对IT进行现代化改造时,这些部分可能会被忽视。随着越来越多的企业和政府机构将业务转移到云端,并在冠状病毒大流行期间保持大规模的远程工作能力,这一过程只会加速。
Palo Alto Networks董事长兼首席执行官Nikesh Arora在新闻发布会上表示,这项交易将使Palo Alto Networks提供“第一个将组织攻击面外部视图与内部视图相结合的解决方案,以主动应对所有安全威胁。”该新闻稿称,公司的客户包括财富500强公司和美国军方。公司联合创始人Tim Junio和Matt Kraning将加入Palo Alto Networks。
今年的其他网络安全大交易包括Forescout出售给一家私募股权公司,Fastly收购Signal Sciences,以及Checkmarx从一家私募股权公司转到另一家。与2019年相比,此类交易仍在稳步进行。分析师指出,风险资本对较小公司的投资有所下降。DataTribe的一份报告称,今年前两个季度,整个科技行业的早期投资下降了约45%。
参考来源:CyberScoop http://dwz.date/djTy
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,关键信息基础设施,安全周报,工业网络安全
相关信息
2022-09-16
2022-09-09
2022-09-02
