关键信息基础设施安全动态周报【2020年第37期】
发布时间:
2020-09-18
来源:
作者:
访问量:
201
目 录
第一章 国外关键信息基础设施安全动态
(一)天普大学CIRWA项目跟踪关键基础设施的勒索软件攻击
(二)飞利浦患者监护产品存在漏洞,可致患者数据泄露
(三)美国退伍军人事务部遭受网络攻击泄露4.6万退伍军人信息
(四)美国指控三名伊朗黑客窃取航空航天和卫星数据
(五)加拿大知名货运公司Manitoulin遭受勒索软件攻击
(六)微软修复有史以来最严重的漏洞Zerologon
(七)蓝牙欺骗漏洞BLESA影响数十亿物联网设备
(八)美国众议院通过《物联网网络安全改进法案》
(九)MITRE发布针对黑客组织FIN6仿真计划
(十)NSA发布关于UEFI安全启动自定义指南
(十一)英国NCSC发布漏洞披露指南
(十二)CISA分享伊朗黑客使用的Web Shell详细信息
(十三)CISA成为监督ICS和医疗设备的CVE编号颁发机构
(十四)MobileIron设备存在严重漏洞,可致服务器遭受远程攻击
(十五)近2000家Magento商店遭受大规模黑客攻击
(十六)塞舌尔银行遭受勒索软件攻击
(十七)针对教育机构的DDoS攻击数量激增
第一章 国外关键信息基础设施安全动态
(一)天普大学CIRWA项目跟踪关键基础设施的勒索软件攻击
美国天普大学(Temple University)的研究小组提出了一个名为CIRWA(关键基础设施勒索软件攻击库)的项目,旨在跟踪全球关键基础设施上的勒索软件攻击。
该项目于2019年9月启动,截至2020年8月,专家们收集了自2013年11月以来发生的687起勒索软件攻击记录。该项目的维护人员还将攻击映射到MITRE ATT&CK框架。任何人都可以请求访问数据。
对于每一次勒索软件攻击,研究人员收集了广泛的信息,包括目标组织、攻击的数据、攻击开始的日期、目标组织的位置、攻击的持续时间、勒索软件家族、赎金金额、支付方式、行业、是否支付了金额,以及信息的来源。
根据2013-2020年期间的总结调查结果,针对性最强的关键基础设施是政府设施,其次是教育和医疗保健。对关键基础设施最活跃的威胁参与者是勒索软件Maze运营商,而勒索软件攻击的典型持续时间为1周或更短,最常要求的赎金金额为50,000美元或更少。研究人员表示,在13起已知事件中,勒索软件运营商要求的赔偿额超过500万美元。
研究人员收集的数据非常有趣,对未来关于关键基础设施安全的研究项目非常有用。研究人员强调了来自安全社区的贡献的重要性,任何人都可以向CIRWA提交与攻击相关的信息。
参考来源:SecurityAffairs http://dwz.date/c6SQ
(二)飞利浦患者监护产品存在漏洞,可致患者数据泄露
CISA近日发布安全警报称,飞利浦患者监护解决方案中发现存在八个漏洞,可能为攻击者提供未经授权的患者数据访问权限,成功利用这些漏洞可能导致未经授权的访问、中断的监控和访问信息和/或患者数据的收集。尽管这些漏洞的等级为中危及低危,但即使是低技能的黑客也可利用它们。
ERNW的研究人员发现,这些安全漏洞是德国联邦信息安全办公室(BSI)监督的一个名为ManiMed的大型项目的一部分,受影响的设备包括IntelliVue患者监护仪系统、患者信息中心IX(PIC IX)软件和为远程启用提供动力的PerformanceBridge Focus Point。ManiMed项目的结果将于12月公布。
已发现的漏洞包括csv文件中公式元素的不正确中和(cve-2020-16214)、跨站点脚本(cve-2020-16218)、不正确的身份验证(cve-2020-16222)、证书吊销检查不正确(cve-2020-16228)、长度参数不一致的处理不当(cve-2020-16224)、输入语法正确性的不正确验证(cve-2020-16220)、输入验证不正确(cve-2020-16216)以及资源暴露到错误的控制范围(CVE-2020-16212)。
飞利浦已经发布了关于这些漏洞的建议,确认利用这些漏洞需要较低的技能水平。该公司还解释说,想要利用这些漏洞的攻击者需要物理访问监控站和患者监视器,或者访问医疗设备网络。目前还没有已知的针对这些问题的公开利用漏洞。到目前为止,飞利浦公司还没有收到任何利用这些问题或临床使用事件的报告,也没有收到我们能够将其与此问题联系起来的临床应用事件的报告。
飞利浦目前正在开发解决这些问题的新版本:PIC IX将于2020年底更新,IntelliVue版本N.00和N.01将于2021年第一季度更新,PerformanceBridge Focus将于2021年第二季度更新,IntelliVue版本M.04将于2021年底更新。2023年将实施证书吊销机制。
飞利浦还建议实施缓解措施:将飞利浦患者监控网络与医院局域网(LAN)物理隔离,并使用适当的安全措施限制对患者监控网络的访问;确保仅在需要注册新设备时才运行简单证书注册协议(SCEP)服务;以及在使用SCEP注册新设备时使用唯一的长质询密码。
此外,应通过物理安全控制防止未经授权登录PIC IX应用程序(服务器应保存在上了锁的数据中心),远程访问PIC IX服务器应仅在必备条件下授予;对床边监护仪和PIC IX应用程序的登录访问权限应仅授予受信任用户基于角色的最低权限。
参考来源:SecurityWeek http://dwz.date/c7fc
(三)美国退伍军人事务部遭受网络攻击泄露4.6万退伍军人信息
美国退伍军人事务部(The Department of Veterans Affairs,VA)9月14日披露其网络系统遭受网络攻击,导致近4.6万名退伍军人个人信息泄露,支付给地区医疗机构的钱也被转移。事件起于由VA金融服务中心(Financial Services Center,FSC)管理一个和军人保健有关的线上应用遭未授权人士存取,并窃走VA要支付给地区医疗机构的钱。经过初步调查,这名人士利用社交工程手法及验证协议的漏洞,成功取得权限而存取应用系统,然后变更系统内的财务信息,以便转移钱的流向。
代管的FSC发现后已经将系统下线,直到内部IT系统完成彻底安全检查才会恢复开放使用。但是VA并未说明入侵事件发生及发现的时间点。目前调查还在持续,但VA相信黑客也已窃取退伍军人的个人信息,包括社会安全号码等。VA已通知受影响的前官兵和遗属,并提供信用卡泄露监控服务。
这是VA已知第二起重大资料泄露事件。2006年5月VA一名员工家中遭窃,致使存有2,650万条退伍军人资料的笔记本电脑连带遗失。介入调查的监察长办公室曾批评,该部对于硬件资产遗失态度轻忽、毫无警觉心。
参考来源:iThome http://dwz.date/c6QR
(四)美国指控三名伊朗黑客窃取航空航天和卫星数据
美国司法部9月17日宣布对三名伊朗国民提出指控,据信他们窃取了与美国航空航天和卫星技术有关的信息。
其中一名嫌疑人是34岁的普尔卡里姆·阿拉比(Pourkarim Arabi),据说他恐怖组织伊斯兰革命卫队(IRGC)的成员。另外两人是34岁的穆罕默德·巴亚蒂(Mohammad Bayati)和年龄不详的穆罕默德·礼萨·埃斯帕格姆(Mohammad Reza Espgham)。
根据美国司法部的说法,这些人至少在2015年7月至2019年2月期间进行了网络运动,他们一度拥有一份超过1800个目标在线账户的名单,这些账户与卫星和航空航天公司以及美国、澳大利亚、英国、以色列和新加坡的政府组织有关。
该指控表示,黑客利用社会工程欺骗在航空航天和卫星部门工作的人交出信息,这些信息稍后可以用来创建虚假的电子邮件账户和域名。他们利用这些资源发送钓鱼电子邮件,目的是向他们的目标个人发送恶意软件。恶意软件通常是RAT,让他们能够访问受害者的计算机和网络。
被告随后使用额外的黑客工具来维持未经授权的访问,提升他们的权限,并窃取伊朗革命卫队寻求的数据。利用这些方法,嫌疑人成功地破坏了多个受害者网络,导致受害者公司的敏感商业信息、知识产权和个人数据被盗,其中包括一家卫星跟踪公司和一家卫星语音和数据通信公司。
嫌疑人面临各种指控,包括密谋入侵计算机、未经授权访问受保护的计算机获取信息、故意损坏受保护的计算机、加重身份盗窃和共谋进行电信诈骗。他们已经被签发逮捕令,如果他们在美国被定罪,他们可能会在监狱里呆上好几年。
这是美国政府本周宣布的针对伊朗黑客的第三轮指控。美国司法部此前宣布对两名黑客活动者提出指控,他们针对Qasem Soleimani被杀事件诽谤网站,后来又对两名国家资助的黑客提出指控,据说这两名黑客至少从2013年起就瞄准了多个行业。 美国本周还指控两名俄罗斯网络罪犯涉嫌参与一项价值1700万美元的加密货币诈骗计划,以及五名据称与中国有关联的威胁组织APT41成员。
参考来源:SecurityWeek http://dwz.date/c7me
(五)加拿大知名货运公司Manitoulin遭受勒索软件攻击
9月11日,加拿大大型货运公司Manitoulin Transport的数据被黑客泄露在网络上。7月31日,员工报告系统访问问题后,该公司意识到其遭受了勒索软件攻击。由于Manitoulin决定不向黑客付款,故其数据最终被公布在网络上。
通常,黑客使用勒索软件攻击来破坏公司的系统,窃取其数据,并阻止公司访问。随后黑客要求支付赎金,以换取恢复公司的访问权限。如果公司拒绝付款,则黑客将在网上泄露被盗数据。
Manitoulin总裁Jeff King表示:“我们不认为他们掌握了足够的与我们有关的信息,在这次攻击中似乎没有任何客户数据或信息受到损害。我们的IT团队立即响应,没有关键任务系统受到损害。但这无疑提高了我们的警惕。”King还指出,该公司此后采取了额外措施加强内部网络安全,并一直在与一家外部安全公司合作,调查和应对攻击。
幸运的是,该公司能够在攻击发生后的两天内继续正常运行。但在加拿大,针对卡车运输公司的网络攻击正在增加。自八月以来,黑客已经攻击并泄漏了加拿大各地公司的数据,包括TFI International的Canpar Express、Axxess International、Beler Holdings、Fuel Transport和Indian River Express。
Emsisoft的威胁分析师Brett Callow表示,“我怀疑这其中存在联系,这可能是因为数据是从同一来源窃取的,并且曾经用来破坏其他公司。”Callow还补充表示,以Manitoulin运输公司为目标的黑客组织Conti也是对Axxess International和Beler Holdings进行攻击的黑客组织。
加拿大皇家骑警拒绝对任何具体事件发表评论,但表示,“加拿大皇家骑警知道许多部门发生勒索软件事件。我们正在与警务合作伙伴、加拿大政府和国际执法界的合作伙伴紧密合作,以应对网络犯罪。”
Manitoulin运输公司是加拿大第14大货运公司,拥有745辆卡车。
参考来源:CDL LIFE http://dwz.date/c6h7
(六)微软修复有史以来最严重的漏洞Zerologon
近日荷兰安全公司Secura发布了关于CVE-2020-1472的详细技术报告。该漏洞名为Zerologon,是根据域控制器对用户进行身份验证协议Netlogon中的特权提升漏洞,可被滥用以轻松接管在企业网络中作为域控制器运行的Windows Server,CVSS评分为10分。上个月微软已修补了该漏洞,但此前并未公开漏洞细节。
Secura研究人员表示,该漏洞名为Zerologon,利用了Netlogon身份验证过程中使用的弱加密算法。此漏洞允许攻击者操纵Netlogon身份验证过程,并且:
l 尝试对域控制器进行身份验证时,模拟网络上任何计算机的身份;
l 在Netlogon身份验证过程中禁用安全功能;
l 更改域控制器的Active Directory上的计算机密码(所有加入域的计算机的数据库及其密码)。
攻击是通过在某些Netlogon身份验证参数中添加零字符来完成的,故该漏洞名为Zeroologon。
整个攻击速度非常快,最多可以持续三秒钟。此外,攻击者使用Zerologon攻击的方式没有任何限制。例如,攻击者还可伪装成域控制器本身并更改其密码,从而使黑客可以接管整个公司网络。
Zerologon攻击的使用方式存在一些限制。首先,它不能用于从网络外部接管Windows Server。攻击者首先需要在网络内部立足。然而,如果满足此条件,被攻击的公司就游戏结束了。
Secura研究团队说:“这种攻击产生了巨大的影响。它基本上允许本地网络上的任何攻击者(例如恶意内部人员或仅将设备插入本地网络端口的人)完全危害Windows域。”
此外,此漏洞还是恶意软件和勒索软件团伙的福音,这些团伙通常依靠感染公司网络内的一台计算机,然后再传播到其他多个计算机。使用Zerologon,此任务会大大简化。
但是,对于Microsoft而言,对Zerologon进行修补并非易事,因为该公司必须修改数十亿台设备连接到公司网络的方式,但这会扰乱无数公司的运营。
此修补过程计划分两个阶段进行。第一次发生在上个月,当时微软发布了一次针对Zerologon攻击的临时修复程序。此临时补丁使所有Netlogon身份验证都必须具有Netlogon安全功能(Zerologon已禁用),从而有效地打破了Zerologon攻击。
尽管如此,一个更完整的补丁计划在2021年2月发布,以防攻击者找到绕过8月份补丁的方法。不幸的是,微软预计稍后的补丁会破坏某些设备上的身份验证。使用Zerologon进行攻击是特定的,主要是因为该漏洞的严重性、广泛的影响以及对攻击者的好处。
Secura尚未发布用于武器化Zerologon攻击的POC,但该公司预计,在其报告在线传播之后,这些代码最终将浮出水面。截至14日下午五点,武器化的POC已经公开,这意味着该漏洞的攻击窗口现已打开。同时,该公司发布了Python脚本,该脚本可以告诉管理员他们的域控制器是否已正确修补。
参考来源:ZDNet http://dwz.date/c6k2
(七)蓝牙欺骗漏洞BLESA影响数十亿物联网设备
美国普度大学研究人员近日发表论文称,其发现了一个蓝牙低能量(BLE)漏洞,该漏洞允许欺骗攻击,可能会影响人类和机器执行任务的方式。研究人员表示,它可能会影响数十亿物联网(IoT)设备,并且在Android设备中仍未打补丁。BLESA漏洞会影响重新连接过程,重新连接过程是设备在丢失或丢失配对后重新进入范围时发生的。
BLE欺骗攻击(BLESA)漏洞源于设备重新连接过程中的身份验证问题,这是安全专家经常忽视的一个领域。重新连接发生在两个设备连接后,其中一个设备移出范围(或断开),然后再次连接。重新连接在工业物联网环境中很常见,例如,在断开连接并进入监控模式之前,传感器可能会定期连接到服务器以传输遥测数据。
成功的BLESA攻击允许恶意攻击者与设备连接(通过绕过重新连接身份验证要求),并向其发送欺骗数据。在物联网设备的情况下,这些恶意数据包可以说服机器执行不同的或新的行为。对于人类来说,攻击者可以向设备提供欺骗性信息。
这个漏洞尤其严重,因为BLE协议无处不在,因为它的能效和使用简单,被数十亿设备用来配对和连接。该研究团队包括成员 Jianliang Wu,、Yuhong、Vireshwar、Dave(Jing)Tian、Antonio Bianchi、Mathias Payer和Donyan Xu。
研究人员表示:“为了便于采用,BLE需要有限的用户交互或没有用户交互才能在两个设备之间建立连接。”不幸的是,这种简单性是几个安全问题的根本原因。
该论文描述了攻击者发起BLESA攻击的容易程度:一旦发现启用了BLE的设备所连接的服务器,威胁参与者也会与其配对以获取其属性。这很容易,因为BLE协议被设计成允许任何设备与另一BLE设备连接以获取这些信息。
研究人员表示,BLE进一步方便了攻击的访问,因为它的广告数据包总是以明文传输,所以攻击者可以很容易地通过广告相同的数据包并克隆其MAC地址来冒充良性服务器。
研究人员解释表示,在攻击的下一阶段,威胁参与者开始广播欺骗的广告数据包,以确保每当客户端试图与之前配对的服务器启动新会话时,它都会收到欺骗的广告数据包。此时,对手已经准备好向客户发起BLESA攻击。
该论文重点介绍了BLE规范中允许BLESA攻击的两个关键漏洞。如果设备重新连接期间的身份验证标记为可选而不是强制,则会发生其中一个问题。客户端和服务器可能会选择禁用特定属性的[身份验证]。因此,在基本属性的情况下,可能会违反属性访问请求和响应的机密性、完整性和真实性目标。
研究人员表示,出现另一个弱点是因为当客户端在配对后重新连接到服务器时,该规范提供了两种可能的身份验证程序,这意味着身份验证可能会被规避。他们在论文中详细描述了这两种类型的攻击。
研究人员说,攻击者可以在Linux、Android和iOS平台上的BLE实现上使用BLESA。具体来说,基于Linux的Bluez IoT设备、基于Android的Fluoride 和iOS BLE堆栈都容易受到攻击,而Windows的BLE实现仍然不受影响。
他们指出,研究人员就这些漏洞联系了苹果、谷歌和Bluez团队,苹果为该漏洞分配了CVE-2020-9770,并在6月份修复了它。然而,测试的设备,即运行Android 10的Google Pixel XL中的Android BLE实现仍然容易受到攻击。
据研究人员称,Bluez开发团队表示,他们将用使用适当的BLE重新连接程序的代码取代向BLESA攻击开放其设备的代码,这些代码不容易受到攻击。
这是本月在蓝牙领域发现的第二个重大漏洞。上周,BLURtest漏洞被公布,该漏洞允许无线范围内的攻击者绕过身份验证密钥,并在中间人攻击中窥探设备。
参考来源:threatpost http://dwz.date/c7jw
(八)美国众议院通过《物联网网络安全改进法案》
美国众议院9月15日通过了《物联网网络安全改进法案》,该法案旨在提高物联网设备的安全性。该法案于2017年首次提出,并于2019年重新提出,现在必须在参议院获得通过,然后才能由总统签署成为法律。
该两党法案得到了德克萨斯州共和党众议员威尔·赫德(Will Hurd)、伊利诺伊州民主党众议员罗宾·凯利(Robin Kelly)、弗吉尼亚州民主党参议员马克·华纳(Mark Warner)、科罗拉多州共和党议员科里·加德纳(Cory Gardner)的支持。还有几家主要的网络安全和科技公司支持这项法案,包括BSA、Mozilla、Rapid7、Cloudflare、CTIA和Tenable。
Warner在该法案在众议院获得通过后表示,“众议院通过这项立法是在打击不安全的物联网设备对我们个人和国家安全构成的威胁方面的一项重大成就。坦率地说,今天的制造商就是没有适当的市场激励措施来妥善保护他们制造和销售的设备,这就是为什么这项立法如此重要。我赞扬女议员凯利和议员赫德在过去两年里为推动这项立法所做的努力。我期待着继续努力,使这项两党两院通过的法案在参议院通过终点线。”
如果成为法律,《物联网网络安全改进法案》将要求NIST发布有关物联网产品安全开发、补丁、身份管理和配置管理的标准和指导方针。联邦政府收购的所有物联网设备都必须遵守这些建议。NIST还必须与研究人员、行业专家和国土安全部合作,发布关于协调披露物联网设备中发现的漏洞的指导意见,与美国政府合作的承包商和供应商将必须采用漏洞披露政策。
参考来源:SecurityWeek http://dwz.date/c7bK
(九)MITRE发布针对黑客组织FIN6仿真计划
近日MITRE Engenuity威胁信息防御中心与网络安全行业合作伙伴启动了一个名为对手仿真库(Adversary Emulation Library)的项目,该项目免费提供当今最大黑客组织的模拟计划,以使组织能够评估其针对现实世界威胁的防御能力,并帮助培训安全团队捍卫其网络。该项目托管在GitHub上,提供免费下载的仿真计划。
仿真计划是分步指南、脚本和命令的集合,这些指南、脚本和命令描述和执行特定对手的剧本中常见的恶意操作。仿真计划的目标是测试网络防御,并查看自动化安全系统或人工操作员是否在攻击发生之前、之中和之后检测到攻击,然后更新安全性程序以解决任何错误。
MITRE对手仿真库中的第一个内容是针对FIN6的仿真计划,FIN6是当今最大的出于财务动机的网络犯罪组织之一。FIN6自2015年以来一直活跃,主要针对运营高流量POS(销售点)支付终端的公司,而FIN6会利用内部网络来安装POS恶意软件,从而窃取支付卡信息。FIN6计划是MITRE打算在未来几个月免费提供的众多计划中的第一个。
该计划是由MITER和MITER Engenuity的一部分的多个行业合作伙伴共同制定的,MITER Engenuity是一个非营利性组织,目前由来自全球的23个组织和高度复杂的安全团队组成。微软,富士通和AttackIQ是MITER Engenuity的成员,并与MITER共同制定了今天发布的FIN6计划。
在成立非营利组织MITER Engenuity以执行这些计划并将其免费提供之前,MITRE Corporation此前发布了另外两个仿真计划,第一个是 2017年针对中国国家资助的黑客组织APT3,第二个是在2020年年初为俄罗斯国家资助的黑客组织APT29准备的。根据 MITER Corporation部门经理Jon Baker发布的博客文章,这两个版本的积极反馈激发了MITER领导者与行业合作伙伴一起编写仿真计划结构的工作 。
关于FIN6的一个鲜为人知的事实是,该组织有时还会在入侵的某些网络上部署勒索软件,以及像Magecart那样的skimmer,这些都是MITRE FIN6仿真计划中包含的小细节,这说明了该仿真计划的质量和准确性。
参考来源:ZDNet http://dwz.date/c6es
(十)NSA发布关于UEFI安全启动自定义指南
美国国家安全局(NSA)9月15日发布了关于统一可扩展固件接口(UEFI)安全启动功能的指南,该功能可满足组织定制的需求。
UEFI是传统基本输入输出系统(BIOS)的替代品,可跨多个体系结构使用,提供更广泛的定制选项、更高的性能、更高的安全性以及对更多设备的支持。在过去的几年中,针对固件的攻击在受害者系统上的持续增加,特别是在操作系统上运行的防病毒软件无法识别和阻止固件级别的威胁的情况下。这就是Secure Boot发挥作用的地方,它提供了一种验证机制来降低早期启动漏洞和固件利用的风险。
然而,根据NSA的说法,不兼容问题通常会导致安全引导被禁用,该机构建议不要禁用安全引导。此外,它强烈鼓励自定义Secure Boot以满足组织的需求。定制使管理员能够实现引导恶意软件防御、内部威胁缓解和静态数据保护的好处。出于兼容性原因,管理员应该选择自定义安全引导,而不是禁用它。根据实施情况,定制可能需要基础设施签署它们自己的引导二进制文件和驱动程序。
在该指南中,该机构建议系统管理员和基础设施所有者将他们的计算机迁移到UEFI本机模式,在所有端点上启用安全引导并对其进行自定义,并建议所有固件都得到适当的保护并定期更新。
NSA还指出,安全引导应该配置为“审核固件模块、扩展设备和可引导操作系统映像(有时称为彻底模式)”,并且应该使用可信平台模块(TPM)来确保固件和安全引导配置的完整性。
NSA的报告包括有关UEFI和Secure Boot的所有内容的技术信息,同时还提供了有关管理员如何自定义Secure Boot的广泛详细信息,包括有关可用于满足多个使用案例的可用高级自定义选项的信息。
参考来源:SecurityWeek http://dwz.date/c7dg
(十一)英国NCSC发布漏洞披露指南
英国国家网络安全中心(NCSC)发布了漏洞披露指南,已帮助公司实施漏洞披露流程,或在已经建立漏洞披露流程的情况下对其进行改进。
这份名为“漏洞披露工具包”的文件,强调了各种规模的组织都需要为负责任的错误报告提供开放的态度,并鼓励这样做。
如今,漏洞披露程序非常有意义,因为大多数网络攻击都是安全问题造成的,研究人员不断发现新的漏洞。报告问题可能特别困难,在许多情况下,大部分精力都花在寻找可以采取相关措施的联系人上。
英国NCSC称,安全漏洞一直被发现,人们希望能够直接向负责的组织报告。一家致力于减少其基础设施中漏洞数量的公司,可以提供更安全的产品和服务,并降低成为网络攻击受害者的风险。
英国NCSC发布的这份指南并不是一本更容易披露漏洞的规则手册,而是为更好的流程或实施流程提供了必要的信息。它由三个主要部分组成,描述了如何将外部漏洞信息定向给合适的人,以及报告需遵循关闭漏洞的框架标准。
NCSC建议设立一个专门的联系人(电子邮件地址或安全的网页表格),并使其易于查找。这可以使用security.txt标准轻松实现,该标准是一个发布在域根的/.well目录中的纯文本文件。该文件可以包括公司的安全联系人和漏洞披露策略,也可以链接到它们。如果需要加密通信,则其他字段可以包含公钥或首选语言。
在消除网络钓鱼的嫌疑后,及时对未经请求的漏洞报告做出响应应该是标准的做法,与发现者接触,即使只是为了感谢他们。
NCSC建议公司避免强迫发现者签署保密协议,因为个人只是想确保漏洞已得到修复。让研究人员了解解决该问题的进展情况,这表明他们对发现和报告工作的透明度和赞赏。这样做的好处是发现者可以重新测试并确认问题不再存在。
该指南的发布是将漏洞报告嵌入英国立法框架的序言。政府目前正在制定法律,要求智能设备制造商为漏洞披露政策提供公共联系人。
参考来源:BleepingComputer http://dwz.date/c6RB
(十二)CISA分享伊朗黑客使用的Web Shell详细信息
美国网络安全与基础设施安全局(CISA )09月15日发布了一篇恶意软件分析报告,详细介绍了伊朗黑客使用的Web Shell。
Web Shell使黑客能够在受害系统上执行代码、枚举目录、部署其他有效负载、窃取数据以及浏览受害网络。可以使用其他组件来扩展攻击者的命令和控制(C&C)功能。
该报告显示,其观察到一个针对美国IT、政府、医疗、金融和保险组织的伊朗威胁参与者,在攻击中使用ChunkyTuna,Tiny和China Chopper Web Shell。该参与者针对一些著名的漏洞,包括Pulse Secure虚拟专用网(VPN)、Citrix Application Delivery Controller(ADC)、Gateway以及F5的BIG-IP ADC产品。
今年8月底,Crowdstrike透露,总部位于伊朗的网络间谍组织PIONEER KITTEN、PARISITE、UNC757和FOX KITTEN,据信代表伊朗政府运营,一直在针对多个行业的机会主义攻击中存在同样的漏洞。
CISA没有提到他们报告中提到的伊朗威胁参与者的名字,详细说明了19个恶意文件的功能,其中许多是China Chopper web shell的组件。
Web Shell支持JavaScript代码的交付和执行,但也包括用于侦听来自攻击者服务器(应用程序服务提供商(ASP)应用程序)的传入HTTP连接,以及启用目录枚举、有效负载执行和数据外泄功能的组件。
开源项目FRP的一个版本也被用于隧道传输各种类型的连接(ClearSky在2020年2月的一份报告中还披露了FRP在Fox Kitten攻击中的使用),PowerShell shell脚本被用来访问由微软的KeePass密码管理软件存储的加密凭证。
CISA表示,攻击者可能已使用FRP实用程序对出站远程桌面协议(RDP)会话进行隧道传输,从而允许从防火墙边界外部持续访问网络。China Chopper Web shell还提供了在边界内持续导航受害者网络的能力。利用‘KeeThief’实用程序,可以访问敏感的用户密码凭据,并且可能能够转移到受害者网络之外的用户帐户。
CISA的报告还详细介绍了另外7个文件,这些文件被确认为ChunkyTuna和tinyWeb shell,旨在为操作员提供从远程服务器传递命令和数据的能力。
参考来源:SecurityWeek http://dwz.date/c7h9
(十三)CISA成为监督ICS和医疗设备的CVE编号颁发机构
通用漏洞披露(CVE)9月15日宣布,网络安全和基础架构安全局(CISA)被任命为顶级根CVE编号颁发机构(CNA),将监督为工业控制系统(ICS)和医疗设备中的漏洞分配CVE标识符的CNA。CNA负责为自己或第三方产品中发现的漏洞发布CVE标识符。顶级根CNA不仅可以分配CVE,而且还负责管理特定域或社区中的CNA。
赞助CVE计划的CISA现在还被指定为工业控制系统(ICS)和作为CVE编号颁发机构(CNA)参与的医疗设备供应商的顶级根CVE编号颁发机构。CNA是被授权为在特定范围内影响产品的漏洞分配CVE ID的组织。顶级根CNA(例如CISA)在给定域或社区中管理一组CNA,并且可以为漏洞分配CVE ID。
作为ICS和医疗设备的顶级根,CISA负责确保CVE ID的有效分配,实施CVE计划规则和指南以及在其管理下管理CNA。它还负责招募和加入新的CNA,并解决其范围内的纠纷。
将CISA建立为顶级根源,可以巩固有效地为ICS和医疗设备漏洞分配CVE ID所需的广泛专业知识,并能够快速识别和解决特定于这些环境的问题。
MITRE的首席系统工程师、CVE计划委员会成员Chris Levendis表示,“这与CVE计划的联合增长战略相一致,该战略以可持续的,由利益相关者驱动的方式扩展CVE计划。CVE计划很高兴能与CISA合作,发展该计划,以更好地满足利益相关者的需求。”
作为国家的风险顾问,CISA在众多公共和私人利益相关者中扮演着值得信赖的信息经纪人的角色。在这一角色中,CISA促进了更多的信息共享,以帮助这些利益相关者做出更明智的决策,以更好地理解和管理来自网络和物理威胁的风险。
CISA网络安全助理总监Bryan Ware表示:“继续鼓励工业控制系统和医疗设备漏洞的公开透明披露是CISA的关键任务。这一扩展将鼓励更多的供应商参与CVE计划,并让CISA在利益相关者参与度更高时为其提供更好的支持。”
最初,CISA将监督七个CNA,包括Alias Robotics、ABB、CERT @ VDE 、江森自控、博世、西门子、Gallagher Group。
CVE董事会创始成员Kent Landfield表示:“CVE董事会非常高兴看到CISA加强并提供正确解决和支持不断扩展的ICS和医疗控制生态系统所需的功能。漏洞不仅存在于CVE计划过去涵盖的IT平台中。今天的漏洞可能会影响生命和肢体。能够快速将CVE分配给这些漏洞,使社区可以共同协作以快速缓解这些漏洞。”
参考来源:CISA http://dwz.date/c7nT
(十四)MobileIron设备存在严重漏洞,可致服务器遭受远程攻击
安全咨询公司DEVCORE研究人员Orange Tsai 9月12日发布博客文章,披露了影响MobileIron的移动设备管理(MDM)解决方案的几个潜在的严重漏洞的详细信息,其中包括一个未经身份验证的攻击者可以利用该漏洞在受影响的服务器上远程执行代码的漏洞。
安全咨询公司DEVCORE的研究人员发现了这些漏洞,并于4月初报告给MobileIron,补丁程序于6月15日发布,供应商于7月1日发布了公告。
可以利用这些安全漏洞进行远程代码执行(CVE-2020-15505),从目标系统读取任意文件(CVE-2020-15507),并远程绕过身份验证机制(CVE-2020-15506)。受影响的产品包括MobileIron Core(版本10.6和更早版本),MobileIron Sentry,MobileIron Cloud,企业连接器和报告数据库。
在该博客中,Orange Tsai声称,由于MobileIron产品的广泛使用,他们决定对其产品进行分析,MobileIron声称有超过20,000家企业使用其解决方案。而研究人员的分析表明,全球财富500强中有超过15%的组织将其MobileIron服务器暴露于互联网,包括Facebook。
Orange Tsai表示,利用CVE-2020-15505(与反序列化相关的问题)足以使远程未经身份验证的攻击者在易受攻击的MobileIron服务器上实现任意代码执行。互联网上目前大约有10,000台可能暴露的服务器,尽管补丁已发布了数月,但Tsai声称互联网上大约30%的服务器仍未打补丁。
在看到修补程序发布两周后Facebook未能修补其MobileIron服务器后,DEVCORE通过其漏洞赏金计划向Facebook报告了此问题。通过在其中一台服务器上“弹出shell”向Facebook展示了该漏洞的影响。Facebook为这份报告提供了一笔赏金,但金额并未透露。
在Orange Tsai披露了漏洞的详细信息后不久,有人创建并发布了针对CVE-2020-15505 的概念验证(PoC)漏洞。白帽子声称知道该漏洞赏金社区成员成功进行了利用尝试。
参考来源:SecurityWeek http://dwz.date/c6vm
(十五)近2000家Magento商店遭受大规模黑客攻击
网络安全公司Sansec研究人员9月14日表示,在周末有近2000家Magento商店遭受了黑客攻击,是有史以来规模最大的攻击活动。该攻击名为CardBleed,是一种典型的Magecart攻击,注入的恶意代码会拦截未受怀疑的商店客户的付款信息。
大多数被黑客入侵的网站都运行了Magento 1版本,但在某些情况下,受感染的商店也正在运行Magento2。Sansec研究人员证实,这是自2015年以来他们观察到的最大规模的自动化攻击。专家报告说,威胁攻击者在12日攻击了1058家商店,在13日入侵了603家,在14日入侵了233家。
在此次攻击中,威胁参与者在被黑客入侵的网站上植入了一个软件分离器,该软件被窃取了用户在结帐页面上输入的支付数据。然后攻击者将其扩散到俄罗斯托管的服务器中。Sansec研究人员推测,在周末,成千上万的在线商店客户的个人和财务信息被盗。
专家认为,骗子可能正在使用一种新的漏洞攻击代码,该代码是在几周前在一个黑客论坛上由俄罗斯卖家以5,000美元的价格出售的,该黑客在线上使用的名字为“z3r0day”。z3r0day声明他只出售10个该漏洞利用程序的副本。
该漏洞利用可以在线驱动仍在95,000个网站上运行的Magento 1版本。官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,例如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。
参考来源:SecurityAffairs http://dwz.date/c6qE
(十六)塞舌尔银行遭受勒索软件攻击
塞舌尔中央银行(CBS)通过新闻声明披露,塞舌尔开发银行(DBS)于9月9日遭受了勒索软件攻击,CBS和DBS立即对事件进行了调查,并正在评估攻击的程度。该银行未提供攻击的技术细节,例如感染其系统的勒索软件家族。目前还不清楚攻击者在加密银行系统之前是否还窃取了一些数据。
塞舌尔开发银行是由塞舌尔政府和一些股东组成的合资企业,其中包括银行、法国合作银行、欧洲投资银行、DEG、渣打银行和巴克莱银行。自创建以来,渣打银行的股份由Nouvobanq接管。塞舌尔开发银行回购了巴克莱的股份,政府购买了DEG的股份,因此将其持股比例提高到60.50%。此后,政府和DBS购买了巴克莱银行和DEG的股份,使塞舌尔政府获得了对该银行60.50%股份的控制权。
CBS强调,DBS需要在整个过程中与客户和其他利益相关者保持沟通,特别是在银行业内部。一旦清楚地了解了这一现实的全部情况,CBS将向公众提供进一步的细节。CBS最后宣布采取适当措施保护金融体系的完整性,并维持对银行业的信心。CBS致力于向客户和利益相关者通报事件的发展和调查的最新情况。
最近,另一家银行披露了一起勒索软件攻击事件,智利银行BancoEstado也因感染而被迫关闭分支机构。
参考来源:SecurityAffairs http://dwz.date/c6NB
(十七)针对教育机构的DDoS攻击数量激增
Check Point研究人员发现,在过去3个月中,黑客对教育、研究和返校等领域的兴趣激增。新的学年已经开始,研究人员更深入地研究了这些攻击的特征。攻击者针对不同地区使用了不同的方法和攻击策略,美国的DDoS攻击数量增加,欧洲的信息泄露数量增加,亚洲漏洞利用次数增加。
研究人员表示,针对教育机构和学术界的DDoS攻击将激增。由于冠状病毒的流行,在线学习的普及率正在不断提高,但威胁行为体正在对世界各地的教育机构和学术界发起分布式拒绝服务(DDoS)。DDoS攻击给目标教育机构造成了严重问题,例如网络和在线课程的暂时中断。
大多数攻击的目标是美国的教育机构,在7月至8月期间,学术部门的平均每周增长30%。与5月和6月相比,攻击次数从468次增加到608次。
激增的原因是DDoS攻击,通常由黑客活动主义者部署。但是,有时候,在混乱的背后,是学生们尝试免费在线获取的专用工具。
CheckPoint的报告表示,“我们发现主要的增长来自DDos攻击。DoS/DDoS攻击呈上升趋势,是网络停机的主要原因。无论是黑客活动者为了引起人们对某个原因的关注而实施的攻击,还是试图非法获取数据或资金的欺诈者,还是地缘政治事件的结果,DDoS攻击都是一种破坏性的网络武器。除了教育和研究之外,来自各个行业的组织每天都面临这样的攻击。”
专家报告说,在佛罗里达州一名青少年黑客的案例中,该人在虚拟课堂的前三天对美国最大的学区发动了大规模的DDoS攻击,导致操作中断。
在欧洲也观察到类似情况,在7月至8月期间,每个组织在学术领域的平均每周攻击次数从638次增加到793次,增长了24%。在亚洲,专家观察到威胁行为者针对DoS、远程执行代码和信息披露问题的几种攻击。
与前两个月相比,7-8月学术部门每个组织的平均每周攻击次数从1322次增加到1598次,增长了21%。考虑到亚洲所有部门,攻击数量的总体增长率只有3.5%。CheckPoint的分析还证实,今年美国有多家教育机构是勒索软件攻击的受害者。
参考来源:SecurityAffairs http://dwz.date/c6sH
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工业网络安全,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
