关键信息基础设施安全动态周报【2020年第41期】
发布时间:
2020-10-16
来源:
作者:
访问量:
76
目 录
第一章 国内关键信息基础设施安全动态
(一)工信部和应急管理部印发《“工业互联网+安全生产”行动计划(2021-2023年)》
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔Allen-Bradley适配器中存在多个DoS漏洞
(二)英国伦敦市议会系统遭受严重网络攻击
(三)微软联合多个安全公司摧毁僵尸网络TrickBot基础设施
(四)CISA和FBI联合发布警告称APT组织攻击美国政府网络
(五)“五眼联盟”呼吁科技公司提供访问加密应用程序的“后门”
(六)美国国土安全部警告称黑客攻击美国人口普查局网络
(七)美国网络司令部敦促用户修补“Ping of Death”漏洞
(八)伊朗政府机构遭受“重大”网络攻击
(九)挪威称俄罗斯对其国会进行网络攻击
(十)研究发现2,200个虚拟设备中存在40万个漏洞
(十一)新加坡发布针对基础设施的网络安全蓝图
(十二)Facebook启动漏洞赏金忠诚计划并简化漏洞分类
(十三)律师事务所Seyfarth Shaw遭受勒索软件攻击
(十四)美国书店Barnes&Noble遭受网络攻击并泄露客户数据
(十五)全球最大的邮轮运营商Carnival确认遭勒索攻击后导致数据泄露
第一章 国内关键信息基础设施安全动态
(一)工信部和应急管理部印发《“工业互联网+安全生产”行动计划(2021-2023年)》
10月10日,工信部和应急管理部联合印发《“工业互联网+安全生产”行动计划(2021-2023年)》。“工业互联网+安全生产”是通过工业互联网在安全生产中的融合应用,增强工业安全生产的感知、监测、预警、处置和评估能力,加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变,提升工业生产本质安全水平。为贯彻落实习近平总书记关于“深入实施工业互联网创新发展战略”“提升应急管理体系和能力现代化”“从根本上消除事故隐患”的重要指示精神,推进《关于深化新一代信息技术与制造业融合发展的指导意见》深入实施,实现发展规模、速度、质量、结构、效益、安全相统一,制定本行动计划。
该行动计划提出,到2023年底,工业互联网与安全生产协同推进发展格局基本形成,工业企业本质安全水平明显增强。一批重点行业工业互联网安全生产监管平台建成运行,“工业互联网+安全生产”快速感知、实时监测、超前预警、联动处置、系统评估等新型能力体系基本形成,数字化管理、网络化协同、智能化管控水平明显提升,形成较为完善的产业支撑和服务体系,实现更高质量、更有效率、更可持续、更为安全的发展模式。
本文版权归原作者所有,参考来源:工信部
第二章 国外关键信息基础设施安全动态
(一)罗克韦尔Allen-Bradley适配器中存在多个DoS漏洞
思科Talos的一名研究人员发现,罗克韦尔自动化(Rockwell Automation)生产的一款工业自动化产品Allen-Bradley适配器中存在几个可远程攻击的DoS漏洞。
受该漏洞影响的产品是Allen-Bradley 1794-AENT Flex I/O系列B系列适配器,该问题存在于以太网/IP请求路径端口/数据/逻辑段功能中。
思科Talos研究人员发现了五个高危缓冲区溢出漏洞,会影响运行4.003版或更早版本的Allen-Bradley设备。
Allen-Bradley Flex输入/输出系统的ENIP请求路径数据段包含多个拒绝服务漏洞。这些bug特别存在于1794-AENT FLEX I/O模块化平台中。与其他类似的硬件相比,它作为一个较小的物理设备提供了许多I/O操作和服务器。攻击者可以利用上述漏洞,向受攻击的设备发送一个特制的恶意数据包,这将导致受害者的网络和设备之间的通信中断,从而导致拒绝服务。
二月份,Talos向罗克韦尔自动化公司报告了这些漏洞,Rockwell自动化公司曾两次要求延长披露时间。当Rockwell Automation要求第三次扩展时,Talos决定在10月12日披露问题,无论供应商是否发布了安全更新。
10月12日,罗克韦尔自动化公司为其注册用户发布了一份安全建议,其中包括防止利用上述漏洞进行攻击的一般性建议。罗克韦尔建议将设备配置为只接受来自端口44818上可信来源的CIP连接。该公司还建议实施网络细分和安全控制,以最大限度地减少受影响设备的暴露。其他建议包括使用防火墙、vpn和其他网络基础设施控制。
参考来源:SecurityAffairs http://dwz.date/cQE2
(二)英国伦敦市议会系统遭受严重网络攻击
英国伦敦市哈克尼的市议会系统10月13日遭受了“严重”的网络攻击,严重影响了其许多服务和IT系统。
哈克尼市长Philip Glanville在政府网站新闻稿中表示,哈克尼议会一直是严重网络攻击的目标,这正在影响该市的许多服务和IT系统。议会官员一直与国家网络安全中心、外部专家以及社区和地方政府部密切合作,以调查和了解事件的影响。这项调查尚处于早期阶段,并且目前可获得的信息有限。随着调查的进行,政府将继续提供最新情况。该市的重点是继续提供必要的一线服务,尤其是向我们最脆弱的居民提供服务,并保护数据,同时尽快恢复受影响的服务。同时,某些市政府服务可能无法使用或比正常速度慢,并且呼叫中心非常繁忙。该市政府要求居民和企业仅在绝对必要时与政府联系,并在寻求解决问题的过程中与政府合作。
多年来,勒索软件一直是企业、地方政府和学校的祸害,但近来由于受害者支付了巨额赎金,攻击活动有了大幅增加。当组织发现其设备正在通过勒索软件攻击进行加密时,他们将关闭其IT系统,以防止勒索软件传播到其他设备。
尽管还没有关于导致Hackney网络攻击的原因的官方声明,但很有可能他们遭受了勒索软件攻击。如果是这种情况,那么在黑客开始加密设备之前,未加密的文件也有可能被盗。如果数据被盗,这不仅是对Hackney议会的IT系统的攻击,而且还可能是对可能已经暴露的居民数据的攻击。
参考来源:BleepingComputer http://dwz.date/cPZu
(三)微软联合多个安全公司摧毁僵尸网络TrickBot基础设施
微软的Defender团队、FS-ISAC、ESET、Lumen的Black Lotus Labs、NTT和Broadcom的网络安全部门Symantec 10月12日宣布,其联合开展的行动摧毁了僵尸网络TrickBot的指挥和控制基础设施。
参与此次行动的专家们几个月来一直为关闭TrickBot的后端基础架构调查提供支持。ESET威胁研究主管Jean-ianboutin表示,“通过对Trickbot活动的监控,我们收集了上万个不同的配置文件,让我们知道哪些网站是Trickbot运营商针对的。目标网址大多属于金融机构,试图破坏这一难以捉摸的威胁是非常具有挑战性的,因为它有各种后备机制,而且它与地下其他高度活跃的网络犯罪行为体的相互联系使得整个行动极其复杂。”
安全公司已经收集了超过12.5万个TrickBot恶意软件样本,并绘制了指挥和控制基础设施图。TrickBot僵尸网络被安全专家认为是最大的僵尸网络之一。
世界各地的互联网服务提供商(ISP)和计算机应急响应小组(CERT)也通过通知所有受感染的用户来支持这项行动。微软利用这家安全公司收集到的信息,获得了一份撤销TrickBot服务器的授权。
微软表示,“在美国弗吉尼亚东区地方法院批准我们的要求以法院命令停止Trickbot的运营之后,我们采取了行动。有了这些证据,法院批准了微软及其合作伙伴禁用IP地址,使存储在命令和控制服务器上的内容不可访问,暂停向僵尸网络运营商提供的所有服务,并阻止骗子运营商购买或租赁额外服务器的任何努力。”
这是继3月份的Necurs one之后,今年第二次大规模的僵尸网络攻击行动。 微软指出,这一行动代表了其DCU首次采用的一种新的法律手段,其中包括对非法使用it巨头软件代码的Trickbot运营商的版权索赔。微软选择这种方式是为了对僵尸网络运营商提起民事诉讼,并保护其在世界各地的客户。
根据参与行动的安全公司的说法,TrickBot僵尸网络在被捣毁时已经感染了100多万台设备。Trickbot自2016年以来一直活跃,当时作者设计它是为了窃取银行凭证。多年来,威胁不断演变,其运营商实施了模块化结构,允许他们以恶意软件即服务的形式提供威胁。Trickbot的基础设施被骗子用来破坏系统和进行人工操作的战役,特别是它被用来部署Ryuk勒索软件。
该恶意软件最早在2016年开始是一种银行特洛伊木马,后来演变成一种多功能恶意软件下载程序,利用称为MaaS(恶意软件即服务)的商业模式为其他犯罪集团提供访问权限。TrickBot运营商还部署了银行特洛伊木马和窃取信息的特洛伊木马,并为专注于诈骗和网络间谍活动的骗子提供对企业网络的访问。
参考来源:SecurityAffairs http://dwz.date/cQ9y
(四)CISA和FBI联合发布警告称APT组织攻击美国政府网络
美国联邦调查局(FBI)和网络安全和基础设施安全局(CISA)10月9日发布了联合安全警报,警告攻击者结合了VPN和Windows Zerologon漏洞,以政府网络作为攻击目标。
根据政府专家的说法,这些攻击针对的是联邦和州、地方、部落和领土(SLTT)政府网络,这些机构还报告了针对非政府网络的攻击。该警报没有提供关于攻击者的细节,只是将他们归类为APT组织,这表明有国家支持的黑客参与。该安全警报写道:“CISA知道某些情况下,这种活动导致未经授权访问选举支持系统;然而,CISA迄今没有证据表明选举数据的完整性受到了损害”。该联合警报包括有关黑客利用的漏洞的信息,并建议对受影响的组织采取缓解措施。这些机构警告政府网络上存放的选举信息存在风险。
根据该警报,APT参与者正在结合最近发现的Zerologon漏洞(CVE-2020-1472)利用多个传统漏洞进行攻击。CVE-2020-1472漏洞是驻留在Netlogon中的权限提升。Netlogon服务是Windows客户端身份验证体系结构中使用的一种身份验证机制,它验证登录请求,并注册、验证和定位域控制器。攻击者可以利用该漏洞模拟任何计算机(包括域控制器本身),并代表它们执行远程过程调用。攻击者还可以利用该漏洞禁用Netlogon身份验证过程中的安全功能,并更改域控制器Active Directory上的计算机密码。专家认为,选择这些目标并不是因为它们接近选举信息,不过,这些机构警告说,政府运作的选举系统存在风险。
CISA和FBI观察到了APT参与者实施的攻击,这些攻击结合了CVE-2018年-13379和CVE-13379-1472两个漏洞。CVE-2018-13379是FortiOS SSL VPN Web门户中的路径遍历漏洞,未经验证的攻击者可利用该漏洞下载FortiOS系统文件,在未打补丁的系统上上传恶意文件并接管Fortinet VPN服务器。
政府专家解释说,攻击者正在结合这两个漏洞劫持Fortinet服务器,并将其用作政府网络的切入点,然后利用Zerologon漏洞接管内部网络,以危害所有Active Directory(AD)身份服务。然后,使用合法的远程访问工具(包括远程桌面协议(RDP)和VPN)观察到威胁参与者使用被攻破的凭据访问目标环境。
最近,微软观察到与伊朗有关联的APT Mercury和俄罗斯网络犯罪团伙TA505在野外利用Zerologon漏洞进行攻击。微软公开分享了这些攻击的一些文件指标,以及其专家检测到的ZeroLogon漏洞的变体。其中许多漏洞都是众所周知的、公开可用的概念验证代码的重新编译版本。
CISA和FBI都建议私人组织和公共机构尽快为系统和设备打补丁。该警报还警告了其他可能被威胁行为者利用的漏洞,并敦促立即为易受攻击的系统打补丁。
参考来源:SecurityAffairs http://dwz.date/cQ8y
(五)“五眼联盟”呼吁科技公司提供访问加密应用程序的“后门”
五眼联盟(Five Eyes)成员国及印度和日本政府10月11日发布联合声明,要求科技公司协助在加密的应用程序中插入后门,以便执法机构访问监管网络犯罪的权限。
五眼联盟指的是情报共享以打击国际犯罪及恐怖活动的五个国家,包括美国、英国、澳大利亚、加拿大和新西兰。
这五国联同印度与日本,在10月11日发出关于端对端安全及公共安全的国际声明表示,端到端加密应用的增长使得官方无法进行监督,如Signal、Telegram、Facebook Messenger和WhatsApp,这些应用“对公共安全构成了重大挑战”。
该声明表示,“各国政府和国际机构越来越一致认为必须采取行动。虽然加密至关重要,隐私和网络安全必须得到保护,但这不应以完全阻止执法部门和科技行业本身对最严重的网上非法内容和活动采取行动为代价”。该声明呼吁科技公司“将公众的安全嵌入系统设计中”,以“可读和可用的格式”提供执法服务。
这是迄今为止对程序员最强烈的呼吁,包括对加密通信程序的“后门”访问。全球执法部门抱怨加密通信给刑事调查带来的困难。但端到端加密也为从商业到政治异见的各种活动提供了保护。支持隐私权的倡导者表示,对执法部门访问用户通信的手段进行编码可能会危及民主活动人士,并赋予独裁政府权力。
近年来,美国和欧洲施加了越来越大的压力,要求加密应用程序的制造商向执法部门提供服务。倡导互联网隐私的电子前沿基金会(Electronic Frontier Foundation)表示,欧洲国家已经向监管这类应用程序迈进了一步。
该声明表示,它的提议将需要保障和监督,这样当局就不能无缘无故地利用他们的访问权限。他们根据互联网上儿童性虐待材料的流行程度证明了这一需求的合理性。在美国,执法部门表示受到加密设备和通信阻碍的大多数著名案件都与暴力极端主义有关。
参考来源:SecurityWeek http://dwz.date/cQzM
(六)美国国土安全部警告称黑客攻击美国人口普查局网络
美国国土安全部(DHS)10月6日发布了《国土威胁评估》报告,该报告显示,在过去的一年里,不明身份的威胁攻击者攻击了美国人口普查局的网络。
美国人口普查局是美国最大的联邦政府统计机构,负责提供有关美国人、地区和经济的最新事实和数据。该机构收集的数据被联邦政府用来每年向部落、地方和州政府分配超过6750亿美元的联邦资金。
根据国土安全部的说法,威胁行为者可能会干扰即将到来的2020年美国总统选举,以及损害2020年美国人口普查。国土安全部警告说,与中国、俄罗斯、伊朗和朝鲜有关联的民族国家行为者将试图妥协或扰乱2020年关键的选举基础设施,并试图干预最终投票。该报告表示,“随着2020年总统大选的临近,先进的APT组织或其他恶意网络行为体可能会瞄准与选举相关的基础设施,主要集中在选民个人信息、市政或州政府网络或州选举官员身上。”
该报告提到了多次试图进入美国人口普查网的系统。“至少在过去一年里,身份不明的网络参与者与美国人口普查面向公众网络进行了可疑通信,包括进行漏洞扫描和试图未经授权的访问。针对美国人口普查的网络活动可能包括企图非法获取人口普查收集的大量数据;更改人口普查登记数据;破坏人口普查基础设施供应链,或进行拒绝服务攻击。”
过去,美国人口普查局曾受到攻击,例如2018年被归因于与俄罗斯有关的黑客对人口普查系统进行测试期间的黑客攻击和DDoS攻击,以及2015年被归因于匿名组织的黑客攻击。
该报告警告说,民族国家和网络犯罪集团的恶意活动正在加剧。这份文件警告称,美国关键基础设施将遭到破坏性袭击。该报告指出,民族国家行为者有不同的动机。俄罗斯、中国和伊朗更专注于网络间谍活动,而朝鲜则“仅限于犯罪获得收益”。这份年度报告提供了针对美国政府和私营部门合作伙伴的威胁信息。
参考来源:SecurityAffairs http://dwz.date/cQ2M
(七)美国网络司令部敦促用户修补“Ping of Death”漏洞
美国网络司令部(USCYBERCOM)警告称,用户应立即修补微软软件应用程序,以确保他们不会成为黑客攻击的受害者。
美国网络司令部指出,这些问题中最重要的是CVE-2020-16898,这是Windows TCP/IP栈中的一个严重漏洞,可以远程触发,从而可能在受害机器上实现远程代码执行。虽然远程代码执行可能不容易实现,但Sophos已经证明了如何利用该漏洞造成死亡蓝屏(BSoD),这就是为什么该公司将其描述为“Ping of Death”漏洞。
该漏洞在2020年10月的补丁星期二发布补丁,该漏洞该可以通过精心编制的ICMPv6路由器广告包发送到易受攻击的系统,因为这些数据包处理不当。Windows 10和Windows Server都容易受到攻击。
USCYBERCOM表示:“现在就升级你的微软软件,这样你的系统就不会被攻击:尤其是CVE-2020-16898应该立即得到补丁或缓解,因为脆弱的系统可能会被远程攻击。”
McAfee称该漏洞为“Bad Neighbor”,因为它位于一个ICMPv6邻居发现协议中。消费者的Windows 10系统可能受到影响最大,因为只有数百台Windows Server 2019机器拥有IPv6地址。McAfee表示,“我们相信这个漏洞可以通过一个简单的启发式方法检测到,该方法解析所有传入的ICMPv6流量,寻找具有ICMPv6类型字段134(表示路由器广告)和ICMPv6选项字段25(表示递归DNS服务器(RDNSS))的数据包。如果这个RDNSS选项也有一个长度字段值为偶数,那么启发式就会丢弃或标记相关的数据包,因为它很可能是一个‘Bad Neighbor’利用尝试的一部分”。
周二,微软发布了补丁,不仅解决了这个漏洞,还修复了CVE-2020-16899,这是TCP/IP驱动程序中的第二个漏洞,可能会被滥用导致服务拒绝。建议用户尽快应用现有的修补程式。如果这不是一个可行的选择,可用的解决方案包括禁用IPv6,或阻断或删除网络周边的ICMPv6路由器广告。
当启用时,Windows防御系统和Windows防火墙无法阻止概念验证。目前尚不清楚这种攻击是否能够通过使用6to4或Teredo等技术将ICMPv6通信通过IPv4隧穿而成功。到目前为止,以这种方式重复袭击的努力并没有成功。
参考来源:SecurityWeek http://dwz.date/cQGt
(八)伊朗政府机构遭受“重大”网络攻击
据伊朗媒体报道,伊朗国家计算机紧急响应小组(Maher)10月14日宣布,伊朗最近发生一起“重大”网络攻击,目标至少是伊朗两个政府机构。伊朗一些政府机构在收到有关攻击的警告后,暂停了部分服务,并进行了技术测试,作为预防措施。
这一声明是在社交媒体上传出大规模网络攻击的报道后发布的。该组织强调,有关当局正在调查这一事件。Maher否认,除提到的两个机构外,到目前为止,没有任何证据表明对其他任何机构都进行了广泛的攻击。
开源情报社交媒体帐户《 Intelli Times》报道说,这些攻击是以色列造成的。没有任何一方声称对这次攻击负责,伊朗政府官员也没有说明攻击是国内还是国外。
据Farda广播电台报道,一些较早的报道提到针对伊朗港口和航运组织的攻击以及在港口和银行出现的问题。一些报告表明,位于霍尔木兹海峡附近的阿巴斯港是这次袭击的目标。
伊朗今年早些时候报告了对霍尔木兹海峡附近的Shahid Rajaei港口的网络攻击,并在去年12月一周内发生了三次网络攻击,据称其中至少有一次是“国家资助的”。伊朗通信和信息技术部长穆罕默德·贾瓦德·阿扎里·贾赫罗米声称,12月的三起袭击中有两起被该国的安全盾击退。
据法尔斯新闻社杰鲁米声称,伊斯兰共和国的国家网络安全墙被称为数字堡垒或Dezhfa,在2019年帮助阻止了对该国的3300万次网络攻击。
参考来源:The Jerusalem Post http://dwz.date/cQb3
(九)挪威称俄罗斯对其国会进行网络攻击
挪威官员10月13日称,俄罗斯政府资助的黑客在八月份攻击了挪威议会,攻击者从立法者的电子邮件帐户中窃取了数据。
挪威外交部长伊内·埃里克森·索雷德(Ine EriksenSøreide)在一份声明中表示,“这是一个非常严重的事件,影响到我们最重要的民主制度。根据政府掌握的信息,我们认为俄罗斯应对这些活动负责。”
该事件以及外国政治干预的暗示,一直是挪威国家安全官员非常关注的话题。据当地媒体报道,此次入侵的受害者包括反对党工党和中间党的成员。
俄罗斯驻华盛顿大使馆没有立即回复对这一指控的置评请求。俄罗斯驻奥斯陆大使馆对这些指控表示反对,称这些指控“不可接受”且“破坏双边关系”。
挪威是北大西洋公约组织(North Atlantic Treaty Organization)的成员国,俄罗斯总统普京(Vladimir Putin)将该组织形容为对俄罗斯的威胁,俄罗斯情报机构一直试图破坏该组织。
挪威的指控不包括任何技术证据。关于挪威议会黑客事件的细节仍然很难获得。根据索雷德的说法,挪威的安全和情报部门仍在进行调查。挪威警察安全局发言人马丁·伯恩森(Martin Bernsen)以正在进行的调查为由拒绝置评。
挪威军方在2月的一份报告中称,“俄罗斯媒体宣扬的总体信息是,挪威越来越多地承担起北约在北极军事化的东道主和起点角色.”
俄罗斯和挪威之间的关系在过去两个月里变得更加紧张。挪威当局在8月份驱逐了一名俄罗斯外交官,因为他涉嫌与一起间谍案有关。几天后,俄罗斯进行了报复,驱逐了一名挪威外交官。
国家立法机构拥有与政策相关的数据库,经常成为网络间谍活动的目标。2019年2月,澳大利亚议会遭到总理所称的“老练的国家黑客”的攻击。
在美国,立法者已经习惯了数字跟踪。在2018年中期选举前几周,俄勒冈州民主党参议员Ron Wyden表示,与外国政府有关联的黑客曾试图侵入多名议员的私人电子邮件账户。
参考来源:CyberScoop http://dwz.date/cQCb
(十)研究发现2,200个虚拟设备中存在40万个漏洞
根据云可见性公司Orca Security 10月13日发布的报告显示,虚拟设备,即使是由主要软件或网络安全供应商提供的,也可能对组织构成严重风险。
虚拟设备对组织非常有用,因为它们消除了对专用硬件的需要,通常价格低廉或免费,易于配置和维护,并且可以轻松部署在云平台上。许多虚拟设备都可以按照提供的方式使用。
Orca Security使用其SideScanning技术检查虚拟设备的漏洞和过时的操作系统。该公司在4月和5月共扫描了来自540家供应商的2200多台虚拟设备,发现了40多万个漏洞。
这些虚拟设备是从与AWS、VMware、Google Cloud Platform和Microsoft Azure等云平台相关的市场获得的,但Orca表示,在许多情况下,这些虚拟设备与供应商直接提供的虚拟设备相同。
Orca的分析包括给每个设备的安全风险评分在0到100之间,结果发现8%的供应商的设备没有问题。这些获得A+级的供应商包括趋势科技、Pulse Secure、BeyondTrust和Versasec。
近四分之一的受测供应商的虚拟设备获得了A级,12%的供应商获得了B级。然而,15%的受测设备获得了F级,包括CA Technologies、Software AG、Intel、Zoho、Symantec、A10 Networks、Cloudflare和Micro Focus。
Orca指出,一些供应商的某些设备评级为A或A+,其他设备的评级为F。这包括英特尔、赛门铁克、SOHO、Cognosys和Tibco。
在公布调查结果之前,Orca联系了每一家受影响的供应商。该公司表示,供应商已经通过部署补丁或完全删除虚拟设备,解决了40万个识别漏洞中的大约3.6万个漏洞。具体来说,更新了287个产品,下架了53个。
已采取行动的公司包括Dell EMC、思科、IBM、赛门铁克、Splunk、甲骨文、卡巴斯基、Cloudflare、Zoho和Qualys。
另一方面,一些供应商表示,确保他们的虚拟家电打补丁是客户的事,而另一些供应商则拒绝采取任何行动,认为识别出的漏洞不可利用。不出所料,一些供应商威胁要对Orca采取法律行动。
与价格较低的甚至是免费的产品相比,价格较高的产品并没有获得更高的分数。Orca在其报告中称:“仅仅因为一家供应商得分最高,并不意味着它的所有虚拟家电都保证是无风险的。提供的数据仅供参考,为供应商如何处理其虚拟设备的支持和维护提供了思路。有些人得分很高,值得一定程度的信任。其他公司做得不好,他们的产品应该谨慎对待”。
该公司还分享了一些针对组织的建议,以降低使用虚拟设备带来的风险。这包括用于跟踪虚拟设备的资产管理、可发现弱点的漏洞管理工具,以及确定最严重问题优先级的漏洞管理流程。
参考来源:SecurityWeek http://dwz.date/cQDR
(十一)新加坡发布针对基础设施的网络安全蓝图
新加坡正在建立一个由全球专家组成的小组,就维护其运营技术(OT)系统提供意见,并公布了该国最新的网络安全蓝图,重点是数字基础设施和网络活动。它还希望与其他东盟国家一道,承认一项网络安全标签计划(CLS),该计划对家庭路由器和智能家庭集线器等智能设备的安全等级进行评级。
新加坡最新的网络安全总体规划建立在2016年的网络安全战略基础上,旨在提升新加坡民众和企业的“总体网络安全水平”。它的重点是确保国家核心数字基础设施和网络空间活动安全的必要性,并推动其联网公民采用网络卫生做法。
在今年的新加坡国际网络周上,副总理王瑞杰发起了这项新的蓝图,他说,新的蓝图对于应对民众和企业每天面临的大量网络威胁至关重要。王瑞杰在演讲中表示,COVID-19强调了数字技术在经济和社会活动中的价值,但同时也带来了必须尽早解决的风险。 他说:“作为一个相对新兴的领域,我们将需要解决诸如道德使用技术,用户隐私和日益扩大的数字鸿沟等问题。随着越来越多的人上网,犯罪和威胁也已经虚拟化。随着我们变得越来越数字化,网络安全将变得至关重要。随着全球秩序面临压力,我们必须避免对技术采取'零和'方式。”
去年新加坡的网络犯罪上升了50%以上,而网络犯罪占新加坡所有犯罪的四分之一以上,他强调必须加强新加坡的网络安全能力。
为应对网络风险所做的最新努力的一部分是将重点放在OT和物联网(IoT)上,将其描述为快速发展的格局,并可能构成独特的威胁和风险。为了应对这些风险,将建立一个由全球专家组成的新的OT网络安全专家小组,以就城市国家提高OT系统弹性的策略向政府机构和其他利益相关者提供建议。
通信和信息部长和网络安全主管S.Iswaran解释说,对OT系统进行成功的网络攻击可能表明物理世界受到严重破坏。他说,这样的系统,包括能源,水和运输部门的系统,对于提供基本服务和支持经济至关重要。在谈到去年提出的问题时,Iswaran补充说,网络安全工作通常集中在ICT方面,尽管OT系统同样重要,值得新加坡现在在国家和地区层面予以重视。
该部长进一步指出,物联网设备也构成了大规模防御的挑战,因为智能设备的普及以及5G的出现将造成巨大的攻击面。
政府希望帮助消费者在3月份首次宣布的CLS中进行更明智的购买。该计划根据注册的智能设备的网络安全规定水平对其进行评估和评级。该计划由网络安全局(CSA)发起,旨在激励制造商开发更安全的产品,而不仅仅是设计此类设备来优化功能和成本。 CLS最初将用于评估Wi-Fi路由器和智能家居集线器,由于这些设备的广泛采用以及安全性折衷对用户的影响,CSA已将其优先考虑。该计划是自愿性的,根据星号的数量包括四个等级,每个等级表示产品已通过的测试和评估的另外一层。
例如,级别1表示产品已满足基本的安全要求,例如确保唯一的默认密码和提供软件更新,而级别4的产品已通过认可的第三方测试实验室的结构化渗透测试并满足级别3的要求。
据Iswaran表示,CSA将与东盟成员国和其他国际伙伴合作,建立相互承认协议。 他说,随着各国开始利用由全球流行病带动的数字发展轨迹,在该地区进行更深入的合作尤其重要。王瑞杰强调需要“强有力的”国际合作,并指出网络威胁已经超越了国界,需要全球合作来减轻这些风险。
参考来源:ZDNet http://dwz.date/cQJz
(十二)Facebook启动漏洞赏金忠诚计划并简化漏洞分类
为了通过额外的奖励和福利来激励网络安全研究人员,Facebook启动了一项名为Hacker Plus的行业首个忠诚度计划。
作为Hacker Plus的一部分,研究人员将有资格获得漏洞赏金奖励的额外奖金,获得更多即将发布的产品和功能,他们可以进行压力测试,以及独家邀请参加公司的年度活动。Hacker Plus有五个级别,其中入门级级别为青铜级,最高级别为钻石级。
该公司在10月9日的一份声明中表示,研究人员已根据过去24个月的累计提交数量、分数和信噪比被安排在联盟中。研究人员有资格在标准奖金之外获得奖金。“例如,铜牌联赛的研究人员将在获得每项奖金的基础上再获得5%的奖金。钻石联盟成员将在获得每项奖金的基础上再获得20%的奖金”。
从10月9日开始,赏金将在原有赏金总额的基础上包括相关的Hacker Plus奖金。Facebook安全工程经理Dan Gurfinkel表示,“我们将通过分析研究人员在过去12个月内的得分、信号和提交错误报告的数量,定期评估他们的联盟排名”。
这意味着,如果研究人员提交更多高质量的bug提交文件,他们可以提升一个级别。一旦研究人员达到更高级别的标准,他们将立即被列入该级别。黄金、铂金和钻石等更高级别联盟的研究人员将收到独家邀请,在新功能和新产品发布前进行压力测试。为了纪念Hacker Plus的推出,Facebook还将一款Oculus Quest 2耳机授予在年底前达到钻石联赛的研究人员。
自2011年成立以来,Facebook的漏洞赏金计划提供了一系列举措,以表彰帮助Facebook安全的有才华的研究人员群体的贡献。Facebook的漏洞赏金计划即将迎来10周年纪念日。
参考来源:ETCIO http://dwz.date/cQAH
(十三)律师事务所Seyfarth Shaw遭受勒索软件攻击
全球领先的律师事务所之一Seyfarth Shaw宣布,其成为了恶意软件攻击的受害者,很有可能是勒索软件攻击。攻击发生在2020年10月10日。
Seyfarth Shaw LLP是一家总部设在伊利诺伊州芝加哥的国际AMLaw 100强律师事务所,其客户包括财富500强中的300多家公司,其业务几乎反映了经济的每个行业和部门。
该公司发布的声明表示,“2020年10月10日,Seyfarth成为了一次复杂而激进的恶意软件攻击的受害者。目前,我们的电子邮件系统处于关闭状态。我们了解到,许多其他实体也受到相同的攻击。我们的监控系统检测到了未经授权的活动,我们的IT团队迅速采取了行动以防止其传播并保护我们的系统。”
该公司证实,其许多系统都是加密的,尚未发现对其客户或公司数据的未经授权的访问。该公司表示,“我们没有发现任何证据表明我们的客户或公司的数据被访问或删除。然而,我们的许多系统都是加密的,作为预防措施,我们已经关闭了它们。”
该公司已通知了执法部门,并正在支持联邦调查局进行的调查。有一些公司“同时”受到了同一个威胁行为体的打击,具体数目不详。
该律师事务所并未披露此次攻击的细节,目前尚不清楚袭击该公司的勒索软件家族以及安全事件的程度。在过去,其他律师事务所遭受过勒索软件攻击,有时会给他们的业务带来戏剧性的后果,比如莫萨克·丰塞卡(Mossack Fonseca)案。
今年5月,Sodinokibi勒索软件团伙从明星律师事务所Grubman Shire Meiselas&Sacks(GSMLaw)窃取了数十亿字节的法律文件。2017年6月,全球律师事务所DLA Piper在一次勒索软件攻击后,其系统出现了严重问题。
参考来源:SecurityAffairs http://dwz.date/cQDb
(十四)美国书店Barnes&Noble遭受网络攻击并泄露客户数据
美国书店Barnes & Noble披露其遭受了网络攻击事件,泄露了客户数据。
Barnes&Noble是美国最大的图书销售商,在美国50个州拥有最多的零售网点。这家书商还经营着Nook Digital,这是一个出售电子书和电子阅读器平台的子公司。
上周末,用户一直在Nook的Facebook页面和Twitter上抱怨说,他们无法访问自己购买的电子书和杂志订阅库。Barnes & Noble在其Nook社交媒体账户上发布的一系列消息称,该公司遭遇了系统故障,目前正在通过恢复服务器备份来恢复操作。
在给Fast Company的一份声明中,Barnes&Noble证实其客户的财务数据没有泄露。该声明表示,“我们存在严重的网络问题,正在恢复我们的服务器备份。我们的系统已在商店和BN.com上重新上线,我们正在调查原因。请放心,客户付款详细信息不会受到任何损害,这些信息是加密和标记化的。”
在一系列的更新中,GoodReader透露,根据商店经理的说法,Barnes & Noble的“网络中存在病毒”。
据证实,该公司在2020年10月10日受到了网络攻击,并在10月14日深夜给客户发送了电子邮件。威胁攻击者侵入了Barnes & Noble的网络,并进入了其公司系统。该邮件表示,“我们非常遗憾的通知您,我们已在2020年10月10日得知Barnes&Noble是网络安全攻击的受害者,该攻击导致未经授权和非法访问某些Barnes&Noble公司系统。我们现在非常谨慎地通知您,以便让您知道这可能会暴露出我们掌握的有关您的个人详细信息的信息。”
该公司透露,黑客可以访问客户的电子邮件地址、账单地址、送货地址和购买历史记录。该公司还没有提供攻击的细节,比如感染其系统的恶意软件家族。有关网络攻击的共享信息表明,该公司是勒索软件攻击的受害者。
今年8月,在一个俄语黑客论坛上分享了900多个企业VPN服务器的密码。专家指出,利用CVE-2019-11510漏洞收集到的Pulse VPN证书列表中,还包含了Barnes & Noble的账户。根据据称感染了公司系统的勒索软件家族,我们不能排除勒索软件运营商会在泄露网站上泄露被盗数据来威胁Barnes & Noble。
参考来源:SecurityAffairs http://dwz.date/cQFq
(十五)全球最大的邮轮运营商Carnival确认遭勒索攻击后导致数据泄露
全球最大的邮轮运营商嘉年华公司(Carnival Corporation)证实,其8月15日发生的勒索软件攻击事件导致了数据泄露。勒索软件在攻击期间窃取了客户、员工和船员的个人信息。
嘉年华公司是一家英美邮轮运营商,目前是世界上最大的旅游休闲公司,拥有10个邮轮品牌的100多艘船。一家两地上市的公司,嘉年华公司每年有超过15万名员工和1300万名客人。嘉年华公司经营九个邮轮品牌:嘉年华邮轮、科斯塔、P&O Australia、P&O邮轮、公主邮轮、荷兰美国游轮、AIDA、Cunard、Seabourn和一家旅游公司:荷兰美国公主阿拉斯加旅游。
在提交给美国证券交易委员会(SEC)的8-K文件中,邮轮运营商透露,事件发生在8月15日。该8-K文件显示,“在2020年8月15日,嘉年华公司检测到一个勒索软件攻击,该攻击访问并加密了其某品牌的信息技术系统的一部分。未经授权的访问还包括某些数据文件的下载。尽管如此,该公司预计安全事件包括未经授权访问客人和员工的个人数据,这可能导致客人、员工、股东或监管机构提出索赔。”该公司还通知了执法机构和数据监管机构。当时,该公司透露,只有一个邮轮品牌受到安全漏洞的影响。
在发现安全事件后,公司展开了调查,并通知了执法部门,并聘请了法律顾问和网络安全专业人员。该公司还宣布,已经实施了一系列遏制和补救措施,以应对这起事件,并加强其信息技术系统的安全。
现在该公司向SEC提交了一份新的10-Q表格,证实一个未知的勒索软件团伙也窃取了其客户和员工的个人信息。该公司补充说,它不知道暴露的信息有任何滥用。该10-Q文件显示,“2020年8月15日,我们检测到勒索软件攻击并未经授权访问了我们的信息技术系统。我们聘请了一家大型网络安全公司来调查此事,并就此事件通知了执法部门和监管机构。调查仍在进行中,但早期迹象表明,未经授权的第三方可以访问某些与我们某些运营中的客人,员工和船员有关的个人信息。目前没有迹象表明对该信息有任何滥用。虽然目前我们不认为此信息会被误用,或者该事件不会对我们的业务,运营或财务业绩造成重大不利影响,但我们无法保证,而且,我们可能会受到可能会造成重大不利影响的未来攻击或事件。”该公司警告其客户未来可能与此次安全漏洞有关的攻击或事件。
今年8月,网络安全情报公司Bad Packets的研究人员注意到,嘉年华在攻击发生时正在利用易受攻击的Citrix设备。专家推测,这些易受攻击的设备是攻击者访问公司网络的目标。BadPackets还推测,嘉年华网络的另一个切入点可能是PAN-OS操作系统中的CVE-2020-2021问题。
2020年3月,嘉年华公司披露了另一起发生在2019年的数据泄露事件。该公司告知客户该事件后,第三方未经授权获取了他们的个人信息。暴露的客人的个人信息包括姓名、地址、社保号码、政府身份号码,如护照号码或驾照号码,以及与健康相关的信息。对于某些客户,信用卡和金融账户信息可能已被泄露。
参考来源:SecurityAffairs http://dwz.date/cQ3P
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
