关键信息基础设施安全动态周报【2021年第11期】
发布时间:
2021-03-19
来源:
作者:
访问量:
157
目 录
第一章 国外关键信息基础设施安全动态
(一)Netgear交换机中存在15个漏洞
(二)Linux内核iSCSI子系统存在三个漏洞
(三)SolarWinds黑客窃取Mimecast部分源代码
(四)德国工程集团EDAG遭受网络攻击
(五)FBI发布警告称勒索软件PYSA攻击美国及英国教育机构
(六)英国伯明翰大学遭受勒索软件攻击
(七)英国加强网络安全运营
(八)Mirai僵尸网络新变体利用新披露的漏洞发起攻击
(九)俄罗斯六千多个监控摄像头可公开访问
(十)微软因Azure配置问题导致服务大规模中断
(十一)缅甸无限期关闭移动互联网通信
(十二)黑客泄露WeLeakInfo上万客户信息
(十三)南非保险公司PPS遭受网络攻击
(十四)西班牙巴塞罗那疑似遭受勒索软件攻击
(十五)美国犹他州新冠检测机构泄露超五万人敏感信息
(十六)美国运输管理软件公司Aljex因AWS配置错误泄露103GB敏感数据
第一章 国外关键信息基础设施安全动态
(一)Netgear交换机中存在15个漏洞
NCC Group研究人员近日发布技术文章称,其发现Netgear以太网交换机JGS516PE中存在的15个漏洞,其中包括未经验证的严重远程代码执行漏洞。对此Netgear已发布安全固件更新。
这些漏洞是由NCC Group IT的研究人员发现的,它们中的大多数都会影响NSDP协议,该协议由于遗留原因仍被启用,以允许客户使用ProSafe Plus。最严重的漏洞是RCE漏洞CVE-2020-26919,CVSS v3评分为9.8,其余漏洞是9个高危漏洞和5个中危漏洞。
CVE-2020-26919存在于2.6.0.43之前固件版本的交换机内部管理web应用程序中,未经身份验证的攻击者可以利用它绕过身份验证并以管理员权限执行操作。
NCC Group发布的研究结果表示,“2.6.0.43之前固件版本中的交换机内部管理Web应用程序无法在其一个端点正确实施访问控制,使得未经身份验证的攻击者能够绕过身份验证并使用管理员权限执行操作。Web的每个部分都可以用作提交POST请求的有效端点,POST请求是由submitId参数定义的操作。该问题存在于login.html网页中,该网页必须公开才能执行登录请求,但不会对执行调试操作实施任何限制。这将允许用户执行系统命令。”
另一个漏洞CVE-2020-35231是NSDP身份验证绕过漏洞,CVSS v3得分为8.8。Netgear交换机管理协议(NSDP)是一种专有协议,用作发现方法,能够管理交换机配置。NSDP由“Netgear Switch Discovery Tool”和“ProSafe Plus Configuration Utility”软件使用。未经身份验证的远程攻击者可以发送经特殊设计的身份验证程序包,以执行设备中的任何管理操作,包括通过执行出厂还原来擦除配置。
研究人员还发现了一个未经验证的固件更新机制,漏洞编号为CVE-2020-35220。研究人员发现了一个TFTP服务器,它能够更新默认情况下处于活动状态的固件,允许外部攻击者上传受污染的固件更新,而无需管理凭据。外部攻击者可利用此漏洞上载包含其他漏洞的过时固件版本、上载无效数据以使设备被砖封,甚至上载可能包含恶意代码(如后门)的自定义固件文件。
NETGEAR在其网站上发布了JGS516PE交换机的固件更新,可供下载的最新版本为2.6.0.48。
参考来源:SecurityAffairs http://dwz.date/e2pD
(二)Linux内核iSCSI子系统存在三个漏洞
GRIMM研究人员在Linux内核的iSCSI子系统中发现了三个漏洞,使得具有基本用户权限的本地攻击者能够在未打补丁的Linux系统上获得超级用户权限。这些安全漏洞只能在本地利用,这意味着潜在攻击者将不得不通过利用另一个漏洞或使用替代攻击媒介来访问易受攻击的设备。
GRIMM研究人员在2006年iSCSI内核子系统的初始开发阶段引入这些漏洞15年后发现了这些漏洞。根据Grimm安全研究员Adam Nichols的说法,这些漏洞会影响所有Linux发行版,但幸运的是,默认情况下不会加载易受攻击的scsi_Transport_iscsi内核模块。但是,根据Linux发行版攻击者可能针对的目标,可以加载并利用该模块进行权限提升。
Nichols表示,“Linux内核加载模块,要么是因为检测到新的硬件,要么是因为内核函数检测到模块丢失。后一种隐式自动加载情况很有可能被滥用,很容易被攻击者触发,从而增加内核的攻击面。”
Nichols表示,“在CentOS 8、RHEL 8和Fedora系统上,如果安装了RDMA-core软件包,非特权用户可以自动加载所需的模块。在Debian和Ubuntu系统上,只有在RDMA硬件可用的情况下,RDMA-core包才会自动加载两个必需的内核模块。因此,该漏洞的范围要有限得多。”
攻击者可以滥用这些漏洞绕过内核地址空间布局随机化(KASLR)、管理程序模式执行保护(SMEP)、管理程序模式访问保护(SMAP)和内核页表隔离(KPTI)等利用漏洞阻止安全功能。
这三个漏洞可能导致本地权限提升、信息泄露和拒绝服务:
1、CVE-2021-27365:堆缓冲区溢出(本地权限提升、信息泄漏、拒绝服务);
2、CVE-2021-27363:内核指针泄漏(信息泄漏);
3、CVE-2021-27364:越界读取(信息泄漏、拒绝服务)。
从5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260和4.4.260版本开始,所有这三个漏洞都已打上补丁,并于3月7日在主线Linux内核中提供补丁。不会为EOL不支持的内核版本(如3.x和2.6.23)发布修补程序。如果已经安装了其中一个Linux内核版本,那么设备就不会受到利用这些漏洞的攻击。
参考来源:BleepingComputer http://dwz.date/e5w9
(三)SolarWinds黑客窃取Mimecast部分源代码
电子邮件安全公司Mimecast 3月16日发布事件报告称,SolarWinds供应链攻击事件背后的黑客攻击者已成功窃取了Mimecast的部分源代码,但并未对其进行修改。
Mimecast表示,在调查过程中,Mimecast了解到,威胁参与者利用SolarWinds供应链获取了部分生产网格环境的访问权限。威胁参与者使用此入口点访问了某些由Mimecast颁发的证书以及相关的客户服务器连接信息。威胁参与者还访问了电子邮件地址和其他联系信息的子集,以及加密或哈希凭据。此外,威胁执行者访问并下载了有限数量的源代码存储库,但是没有发现对源代码进行任何修改的证据,也不认为对产品有任何影响。目前没有证据表明威胁行为者访问了代表客户持有的电子邮件或存档内容。
当Mimecast意识到安全事件后,立即展开了内部调查。调查得到了FireEye分支机构Mandiant的领先第三方取证和网络事件响应专家的支持,并与执法部门协作以协助他们对该威胁因素进行调查。随着调查的进行,Mimecast向受影响的客户发布了一系列建议,包括建议的预防措施以降低风险。
Mimecast现已完成了与Mandiant的取证调查,并排除了威胁行为者进入环境的权限。Mimecast已经采取了许多措施来防止将来进入环境的可能性,并将继续监视威胁并根据需要采取预防措施。
参考来源:Mimecast http://dwz.date/e4Cg
(四)德国工程集团EDAG遭受网络攻击
德国工程服务企业EDAG在其网站上发布通告称,EDAG集团的几家公司于3月13日遭受了网络攻击,影响了IT网络。
EDAG是全球领先的汽车行业独立工程服务企业,总部位于德国,拥有超过8600名专业设计工程师,在中国拥有300多名专业设计工程师,业务范围涵盖车辆开发、车辆生产解决方案以及车辆电子电器领域。
根据紧急协议,所有受影响的IT网络系统均立即关闭,IT应急小组聘请了所有必要的内部和外部技术专家来确定攻击的来源、范围和程度,并避免进一步的攻击。目前尚无法量化任何损害。此外,该公司正在与主管当局合作,以尽可能防止对第三方的类似攻击。IT应急小组正在与外部网络安全专家和数据取证专家合作,以恢复正常运行。
参考来源:EDAG http://dwz.date/e4Na
(五)FBI发布警告称勒索软件PYSA攻击美国及英国教育机构
美国联邦调查局3月16日发布警告称,勒索软件PYSA针对美国和英国教育机构的攻击有所增加。
去年,在政府和其他类型组织遭受攻击之后,英国和法国的当局也发布了针对PYSA勒索软件的警报。根据FBI的说法,PYSA攻击是由“身份不明的网络参与者”针对美国十几个州以及英国的高等教育、K-12学校和神学院发起的。
众所周知,PYSA攻击背后的威胁行为者会在受感染的系统上对数据进行加密,但他们也会窃取受害者的信息,并威胁会泄露这些信息,以增加他们获得报酬的机会。
PYSA也称为Mespinoza,至少自2019年10月就已经存在,FBI自2020年3月以来一直在追踪该勒索软件,已观察到的PYSA勒索软件的攻击目标包括政府组织、教育机、,医疗保健部门和私营企业。
威胁参与者经常使用网络钓鱼和RDP攻击来对目标网络进行初始访问,然后使用高级端口/IP扫描程序、PowerShell Empire、Mimikatz和Koadic等工具来获得进一步的访问权限。在从受害者的网络中窃取可能有价值的文件之后,通常包括就业记录和财务信息,网络罪犯开始在Windows和Linux设备上加密文件。
FBI的警报包含有关这些攻击的一些技术信息以及危害指标(IoC)。该机构已建议组织不要支付任何费用,但表示“它理解当受害者面对无法行使职责的能力时,将评估所有选择权,以保护股东、员工和客户。”建议PYSA勒索软件攻击的受害者向FBI提交报告。
LogRhythm的CSO James Carder表示,“教育机构是黑客的主要目标,因为可能涉及成千上万的敏感信息,而电子学习的实质性转变使其对黑客和勒索软件更具吸引力。对学校的这些攻击可能使教育陷入瘫痪,同时有可能暴露组织中每个学生和老师的个人数据。父母也是攻击目标,如果信息落入不良行为者之手,父母可能会被迫为个人信息或学校作业支付赎金。”
Carder补充表示,“此FBI警告是一个重要提醒,教育机构需要采取积极主动的方法,并投资于网络安全解决方案,以检测恶意行为并允许网络基础架构阻止任何进一步的访问尝试。机构应积极修补,创建备份,制定应对计划并优先考虑教育培训,以确保它们有能力应付攻击并继续前进而不会受到干扰。”
在过去的一年中,FBI发布了一些警告,以警告组织有关DoppelPaymer、NetWalker、和Egregor勒索软件攻击。
参考来源:SecurityWeek http://dwz.date/e47X
(六)英国伯明翰大学遭受勒索软件攻击
英国伯明翰南方城市学院3月13日披露,该学院遭受了一场重大勒索软件攻击,影响了其许多核心IT系统。
该学校在其网站上发布的一份声明中称,为了允许IT专家解决此问题,已关闭了其八个站点。该学院表示,“自15日起,在本周剩余的时间内,我们将恢复所有领域的在线教学。这段时间可能会有一些干扰,请您耐心等待,如果有任何问题,请与导师联系。”
该学院没有透露是哪一种勒索软件感染了其计算机系统,尽管该学院证实已将该事件报告给了信息专员办公室(ICO)、国家网络安全中心(NCSC)、国家犯罪局(NCA)、联合信息系统委员会(JISC)安全响应小组和行动欺诈。
据媒体报道,攻击者能够加密“许多服务器和工作站”,并从服务器中提取“大量数据”。
校长迈克·霍普金斯(Mike Hopkins)发表推文表示,“好像COVID还不够,黑客终于找到了我们的系统,并关闭了我们所有的IT系统,几个星期内所有系统都得到了整理和备份。”
这是过去一年中针对英国教育机构的网络攻击系列的最新事件。去年5月,近20所英国大学和慈善机构遭到全球勒索软件攻击,攻击目标是美国云计算提供商Blackbaud。受影响的机构包括约克大学、伦敦大学、利兹大学、雷丁大学、牛津布鲁克斯大学、拉夫堡大学和伯明翰大学。9月,纽卡斯尔大学还受到网络犯罪分子的攻击,他们威胁要暴露学生和教职员工的个人数据,除非支付赎金。
在这些事件之后,NCSC与JISC协调,于9月发布了针对大学的警报和指导,建议教育机构实施“纵深防御”策略,以保护其系统和网络免受恶意软件和勒索软件攻击。该警报表示,“组织还应该制定一个事件响应计划,其中包括勒索软件攻击的情况,并且应该加以实施。”
参考来源:Computing http://dwz.date/e4Jx
(七)英国加强网络安全运营
英国首相鲍里斯·约翰逊3月14日发表声明,呼吁提高该国对外国对手进行网络攻击的能力。该声明发布于国会发布重量级国家安全战略《综合评估》(Integrated review)的两天前。
约翰逊表示,“网络力量正在彻底改变我们的生活方式和战争方式,就像100年前的空中力量一样。我们需要增强我们的网络能力,以便我们能够抓住它所带来的机会,同时确保那些试图利用网络力量攻击我们的人民和生活方式的攻击者每一次都受到挫败。”
该《综合评估》宣布了一项新的网络战略,以创建一个适合未来的网络生态系统,并在教育、与行业的合作伙伴关系以及整个英国国防和情报服务的整合上进行更多投资。英国首相办公室发表的一份声明说,《综合评估》为政府提供了一个机会,以支持国防技术领域成千上万的新工作。
英国首相称,“我们采用全新的全频谱网络方法将改变我们保护人民,在世界范围内增进我们的利益,并使英国人民的生活每天改善的能力。”
根据先前的公告,英国于2020年11月宣布计划在未来四年内将国防开支增加241亿英镑(合315亿美元),包括为新的国家网络部队和全新的太空司令部提供资金。
英国首相宣布将在英格兰北部设立国家网络部队(NCF)总部,以在该地区建立网络走廊。这将使英国北部的工业和大学与政府专家携手合作,以防止网络攻击。
官方声明表示,“在英格兰北部开设NCF总部将推动伦敦以外的技术、数字和国防领域的发展,并帮助在该地区的政府、部门和大学之间建立新的合作伙伴关系,使其成为国际前沿发展中心,以确保我们的人民安全。”
CISO兼网络漏洞专家Phil Cracknell表示,“NCF是一项巨大的举措,它将使英国处于网络安全的顶级地位。但是现在,它可以补充国家网络安全中心,帮助英国达到合理的最低安全标准。否则,整个过程就像是在只有一半的销售车辆安装了安全带的情况下开展安全带使用活动。”
约翰逊曾在国会表示,创建NCF的目的是加强英国的网络安全态势,并赋予英国新的防御和进攻能力。约翰逊表示,“我们的敌人也在以越来越复杂的方式行动,包括在网络空间。不仅仅局限于遥远的战场,那些试图伤害我们人民的人还可以通过口袋里的手机或家中的计算机与他们接触。为了保护我们的公民,英国防务因此必须时刻行动拥有领先的尖端技术。”
目前,NCF开展了一些行动,例如干扰手机,以防止恐怖分子能够与他们的联系人通信;帮助防止网络空间被用作严重犯罪,包括对儿童的性虐待的全球平台;并确保英国军用飞机不被武器系统瞄准。除NCF外,去年,国防部还创建了英国第一个专用网络团第13信号军团,并扩大了国防网络学校。
虽然Cracknell承认拥有更多网络能力的军事力量的好处,但其表示,“我们没有坚实的安全基础,在所有企业和CNI实体都处于这一水平之前,我们会通过发动进攻来浪费资源。”
约翰逊办公室的声明指出,国防部目前在英格兰西北部提供35,000多个工作岗位,这一发展将为该地区提供帮助,并提供更多的人才库。“数字和网络工作将建立在该地区处于国防技术前沿的历史之上,英格兰北部已经是曼彻斯特GCHQ办事处的所在地,这是一个主要的技术集群,曼彻斯特超过15%的人口受雇于数字、创意和技术部门。”
NCF首次将国防部和情报机构的人员集中在一个统一的指挥之下。据网络安全情报网站称,HCF最初拥有2.5亿英镑(3.27亿美元)的经费,其中第一年将投入使用7600万英镑(1亿美元)。
参考来源:infoRiskToday http://dwz.date/e4DG
(八)Mirai僵尸网络新变体利用新披露的漏洞发起攻击
Palo Alto Networks的研究人员透露,在过去的一个月里,在公开披露新的安全漏洞后的几个小时内,就有Mirai僵尸网络的变体利用这些新漏洞开展攻击活动。
大约从2016年开始,Mirai的源代码就在网上泄露,导致多年来发布了数十个变体,每个变体都有自己的定位能力。Palo Alto Networks追踪的变种之所以能脱颖而出,是因为在4周的时间内,它开始利用今年披露的几个漏洞。
2月23日,研究人员发现Mirai变体的攻击目标是CVE-2021-27561和CVE-2021-27562,这两个漏洞是在同一天披露的Yelink DM设备管理平台中的两个漏洞。
影响Yelink DM 3.6.0.20及更早版本的漏洞分别为身份验证前SSRF和命令注入,原因是用户提供的数据未正确过滤,可利用该漏洞在未经身份验证的情况下以根用户身份执行任意命令。
3月3日,Palo Alto Networks的安全研究人员注意到,同样的样本也在利用CVE-2021-22502,这是Micro Focus Operations Bridge Reporter中的一个严重9.8分的远程代码执行漏洞。由于在处理提供给LogonResource终结点的令牌参数时没有正确验证用户提供的字符串,使得攻击者能够以超级用户身份执行代码,因此存在安全漏洞。
10天后,也就是3月13日,该样本还整合了针对CVE-2020-26919的攻击,这是一个影响NETGEARJGS516PE商用千兆交换机的严重漏洞(CVSS 9.8分),该漏洞被描述为“在功能级别缺乏访问控制”。
2020年9月,Netkit发布了针对此漏洞的公告,建议客户更新其设备上的固件。
这些攻击中利用的其他漏洞包括称为VisualDoor的SonicWall SSL-VPN漏洞、CVE-2020-25506(D-Link DNS-320防火墙)、CVE-2020-26919(Netkit Prosafe Plus)和CVE-2019-19356(Netis WF2419无线路由器)。另外三个安全问题也在被利用,但它们还没有被发现。
Palo Alto Networks透露,“直到现在攻击还在继续。成功利用该漏洞后,攻击者会尝试下载恶意Shell脚本,其中包含进一步的感染行为,如下载和执行Mirai变体和暴力强制程序。”
参考来源:SecurityWeek http://dwz.date/e5xk
(九)俄罗斯六千多个监控摄像头可公开访问
据IT安全软件公司Avast称,俄罗斯有超过6300个监控摄像头可以被公开访问,其中一些涉及工业企业和关键基础设施。这些摄像头具有开放的IP地址,因此网络犯罪分子可以访问使用这些摄像头。
Avast解释表示,“其中一些摄像头位于关键基础设施和工业企业中。大多数此类摄像机的系统都可以在没有用户名和密码的情况下进行访问,或者密码是默认设置的。这些摄像机可用于建立非法的视频监控系统。另一个威胁是,网络犯罪分子可能会使用其IP地址来访问公司或企业的网络。向公众开放的位于银行的摄像头可能会泄露信用卡和护照数据。”
专家指出,例如,来自摄像头的数据可以成为一个人的运动的信息来源。例如,攻击者可以绘制一个人在城市周围的活动地图。当然,得在摄像质量允许识别特定人的情况下。
研究人员表示,通常很少关注摄像头的安全性。“默认端口和密码以及使用最便宜的中国设备和不安全的固件是正常现象,而不是例外。”
Avast引用了来自物联网搜索引擎Shodan.io的数据,该引擎监视易受攻击的IP地址。根据Shodan.io的数据,俄罗斯的开放式IP监控摄像机数量排名第五,仅次于越南、台湾、韩国和美国。TelecomDaily分析师估计,就已安装的视频监控摄像机的总数而言,俄罗斯以1,350万台(每千人93.2台)的数量位居世界第三,只有中国和美国拥有更多的相机。
参考来源:eHackingNews http://dwz.date/e49D
(十)微软因Azure配置问题导致服务大规模中断
微软多项服务3月15日遭受了大规模中断,用户无法登录其帐户,且影响了身份验证。该大规模服务中断是由Azure Active Directory(Azure AD)配置问题引起的。
多个微软服务遭受了身份验证错误,包括包括Microsoft 365、Microsoft Teams、Exchange Online、Forms、Xbox Live、Intune、Outlook.com、Office Web、SharePoint Online、OneDrive for Business、Yammer等。
此问题使用户无法通过Microsoft 365、Exchange Online、Microsoft Teams或任何其他依赖Azure AD的服务进行身份验证。
微软在发布的初步原因分析报告中表示,“在大约2021年3月15日的19:00 UTC和2021年3月16日的09:25 UTC之间,客户可能会对依赖于Azure Active Directory的任何Microsoft和第三方应用程序执行身份验证操作时遇到错误认证。”
中断的身份验证和登录问题是由一个错误引起的,该错误影响了用于支持Azure AD使用OpenID的签名密钥的正确循环。签名密钥是专用和公用加密密钥对,用于签署来自用户的身份验证请求。为了安全起见,Microsoft的身份平台会定期轮换签名密钥,要求应用程序处理密钥循环事件,以使身份验证尝试不会失败。
微软表示,“作为标准安全措施的一部分,自动化系统将根据时间进度删除不再使用的密钥。在过去的几周中,一个特定的密钥被标记为'保留'的时间比正常时间更长,以支持复杂的跨云迁移。这暴露了一个错误,该错误使自动化系统错误地忽略了'保留'状态,导致删除了该特定的秘钥。”
删除签名密钥后,即使已将其标记为保留更长的时间,使用Azure AD身份验证服务的应用程序也立即停止信任使用已删除密钥签名的令牌。这导致所有用户登录受影响的应用程序和服务的尝试均被拒绝,因此用户不再能够访问其帐户。
Microsoft工程师在全球服务中断开始缓解此问题之前将关键元数据恢复到该状态。但是,由于存在不同的“处理缓存的方式不同的服务器实现”,因此中断并没有立即得到缓解。用户继续遇到问题,直到受影响的应用设法获取更新的关键元数据并刷新其缓存。在恢复关键更改后,虽然可以在很大程度上缓解停机带来的影响,但Microsoft仍在努力恢复Intune和Microsoft托管桌面。
微软表示:“我们了解这是多么令人难以置信的影响力和不可接受的事情,并深表歉意。我们将不断采取措施来改进Microsoft Azure平台和我们的流程,以确保将来不会发生此类事件。”
去年9月,Microsoft客户遭受全球范围内的严重故障,这些故障显示出“暂时性”错误,导致Office 365和相关服务瘫痪,包括Microsoft Teams、Office.com、Power Platform和Dynamics365。正如Microsoft当时解释的那样,中断是由Azure AD服务更新导致的,该更新错误地影响了生产环境。
尽管Redmond在9月停运后开始使用Azure AD备份身份验证系统,但它无济于事,因为它仅设计用于解决令牌发行问题,而不能解决由密钥轮换错误引起的令牌验证问题。
参考来源:BleepingComputer http://dwz.date/e5mp
(十一)缅甸无限期关闭移动互联网通信
据《自由亚洲电台》报道,缅甸3月15日封锁了移动互联网服务。自从2月1日军事政变以来,已有70人在最血腥的镇压中丧生。
根据监控服务公司NetBlocks的数据,自2月15日以来,该国每晚都会发生互联网中断的情况。NetBlocks在Twitter上表示,尽管3月15日周一早上6:30恢复了互联网连接,但该移动网络在全国范围内仍处于瘫痪状态。
人权组织政治囚犯援助协会(AAPP)获悉,在中国投资者支持的工厂在仰光的Hlaingthaya镇被焚烧之后,安全部队在周日残酷镇压了抗议活动。同时,根据AAPP的数据,在军方为期六周的镇压行动期间,总死亡人数攀升至126,有2156人被逮捕、指控或判刑。
仰光作家兼影响者Win Ko Ko Aung表示,互联网中断带来一个令人担忧的趋势,表明军政府希望限制和扼杀网上的异议。他表示,“该政权希望恐吓或吓唬抗议者,以便他们可以统治,而全国范围的抗议活动将逐渐消失,这是他们在1988年起义中所采用的策略。”
上周,当局剥夺了五个独立的数字媒体许可证,分别是“缅甸时报”、“缅甸民主之声”、Mizzima、Khit Thit、和7 Day。根据RFA的报告,Kamayut Media、Mizzima、和Myanmar Now的办公室不久后遭到突袭。
Win补充表示,“他们不希望国际社会知道他们的真实面目和对本国公民的态度。他们担心压力更大,尤其是外国军事干预。”
在连接性问题反复出现的情况下,互联网经济陷入停滞。包括新加坡的Grab和食品配送平台Foodpanda在内的科技公司15日暂停了服务。Grab在其Facebook页面上写道,“我们的运输、食品、集市服务暂时关闭。我们将继续为您提供最新信息。注意安全,缅甸!”
Win表示,科技公司和个人都遭受了干扰,只有传统公司表现出韧性。“即使他们不是基于科技的业务,他们也全都依靠Facebook来推销其产品并进行客户交流。”
电信公司Telenor上个月发表的一份声明称,缅甸的社交媒体,包括Facebook、Instagram、WhatsApp和Twitter仍被禁止,直到另行通知。
参考来源:KrASIA http://dwz.date/e4Gg
(十二)黑客泄露WeLeakInfo上万客户信息
一名黑客声称,其注册了WeLeakInfo的一个域名,获取了上万个WeLeakInfo客户的详细信息,并将其泄露。
WeLeakInfo.com是一项数据泄露通知服务,允许其客户验证他们的凭证是否在数据泄露事件中被泄露。该服务声称拥有一个数据库,其中包含1万多起数据泄露事件中的120亿条记录。2020年初,美国联邦调查局、英国国家警察局、荷兰国家警察局、德国联邦警察局、和北爱尔兰警察局协调开展了一次联合行动,查封了WeLeakInfo.com域名。在1月份查封这项服务后,两名男子被捕,一名在荷兰,另一名在北爱尔兰。
2021年1月,作为针对WeLeakInfo服务行动的一部分,英国国家警察局在英国逮捕了21人。
数据泄露通知服务是一项有利可图的业务,访问者需要付费才能访问过去数据泄露事件中暴露的数据。订阅费从2美元的试用费到70美元的三个月无限制访问账户不等,允许用户在这些公司管理的档案中搜索任何数据。
这与仅在个人数据在数据泄露中暴露时才发出警报的服务有很大不同,因此被认为是合法的。像WeLeakInfo这样的数据泄露通知服务是威胁行为者的地雷,他们可以在发动网络攻击之前收集目标的信息。
Cyble的安全专家注意到,一个黑客论坛的成员声称注册了WeLeakInfo的一个域名wli.design,该域名于2021年3月11日再次注册。然后,该行为者为该域创建了一个电子邮件地址,并使用该电子邮件地址访问了在支付服务Stripe上注册的网络犯罪组的帐户。对Stripe帐户的访问允许参与者访问客户的详细信息,包括电子邮件、地址、部分卡详细信息和购买历史记录。
黑客泄露的一份名为“top_customers.csv”的文件,包括总共100个人和“可能是专业”的电子邮件地址,而另一个文件包括买家的地址和他们信用卡的部分细节。
参考来源:SecurityAffairs http://dwz.date/e5v6
(十三)南非保险公司PPS遭受网络攻击
南非保险和投资咨询公司PPS近日遭受了未知身份的黑客网络攻击。该公司3月13日在一份声明中通知客户,他们正在试图恢复其IT基础设施功能,服务可能会中断。
PPS集团首席执行官Izak Smit告诉客户,“PPS很遗憾地通知您,我们的IT系统遭受了恶意网络攻击。我们正在进行的独立取证调查仍在继续,我们的IT专家现在正专注于恢复全部功能。”
Smit表示,PPS一直致力于通过其他方式继续向客户提供服务,以解决黑客攻击造成的问题。“在此期间,我们已经实施了一些替代流程,以尽量减少对您的影响。继续向会员提供我们一贯的高质量服务是我们的首要任务。对此给您带来的不便,我们深表歉意,并感谢您的耐心等待,因为我们预计在未来几天将继续受到延误。”
目前尚不清楚PPS是否已成为一场危及其系统的勒索软件攻击的受害者,或者是否遭受了影响客户个人信息的数据泄露。Smit没有具体说明PPS遭受了哪种类型的攻击,只是说他们正在努力解决由此产生的问题。
PPS也没有披露敏感的客户信息是否被泄露,如身份证号码、联系方式、支付信息或其他数据。此类信息对攻击者是很有价值的,因为它可用于身份盗窃和其他在线欺诈活动。
Smit建议客户,如果他们在这次网络攻击后需要任何帮助,他们可以联系公司的服务热线,具体取决于他们的套餐。
参考来源:MyBroadBand http://dwz.date/e5uU
(十四)西班牙巴塞罗那疑似遭受勒索软件攻击
西班牙巴塞罗那大都会区(AMB)近日疑似遭受了勒索软件SEPE攻击,造成了该地区数字服务暂停。
该地区行政机构在Twitter上宣布,“由于外部原因,AMB的系统受到了影响,电子处理、其他数字服务和网站更新无法使用。来自巴塞罗那市区的消息证实,这是一起勒索软件攻击,与上周遭受的SEPE攻击不同,但相似。”
电脑病毒是在3月10日星期三被检测到的,因此所有的设施都被关闭,以“防止感染蔓延”。根据相同的消息来源成,典型的响应是试图将服务器恢复到之前的进程状态,而在这个过程中,该进程仍在工作中。
因遭受勒索软件SEPE攻击而崩溃的事件发生在世界各地,原因是一个机构的数字服务非常重要,这个机构对西班牙政府的运作至关重要,是就业政策的推动者,也是大流行期间所需的失业、补贴或ERTES需求的管理者。
如果在10年前,大多数勒索软件攻击都是针对客户个人电脑,目的是获得几十美元,那么近年来,主要目标是公司和政府部门。而且越大越好。
所有这一切的结果是,两年来,勒索软件已经成为科技行业的主要网络威胁,成为机构、关键基础设施和公司的目标。巴塞罗那大都市区的行政实体似乎是倒数第二个。
参考来源:MUYSEGURIDAD http://dwz.date/e5xU
(十五)美国犹他州新冠检测机构泄露超五万人敏感信息
美国犹他州新冠肺炎检测服务机构Premier Diagnostics因将高度敏感的个人数据存储在两个不安全的亚马逊AWS S3存储桶中,泄露了超过5万人的敏感信息。
据Comparitech研究人员介绍,这些信息包括驾照、医疗保险卡、护照和其他身份证,这些信息在没有任何身份验证程序的情况下就可以在网络上获得。研究人员发现,大约52000名顾客的数据受到了影响,受影响的人最有可能来自犹他州、内华达州和科罗拉多州。
总共有超过200000张身份证扫描图像被曝光。根据Comparitech研究人员给出的时间线,这些数据被暴露了至少一周,甚至更长,这足够让攻击者找到并窃取公开暴露的数据。此外,研究人员还发现了身份证明表格,其中包含患者的详细个人信息,如姓名、年龄、地址、照片、性别、身份证号码等。
另一个称为“纸质记录”的单独存储桶包含一个数据库,其中存储了接受新冠肺炎测试的患者的姓名、出生日期和测试样本ID。然而,Comparitech的Paul Bischoff在博客中写道,这些数据并不包含任何COVID-19测试结果。
受这次数据泄露影响的患者面临着几种暴露数据的危险,包括医疗保险欺诈、身份被盗和网络钓鱼的风险。此外,医疗保险卡可以被诈骗者用来以受害者的名义获得处方药,尽管没有找到支付数据或社保号码,但加密货币交易所和在线金融服务经常需要ID扫描才能建立账户。威胁参与者可以使用这些身份扫描设置任意多的帐户,并获得注册奖金,或者将帐户用作MULE。
建议受害人继续留意有针对性的钓鱼及诈骗讯息。很可能会通过电子邮件和短信联系他们,并伪装成Premier Diagnostics,使用暴露数据中的个人详细信息来使他们的信息更具说服力。如果在Premier Diagnostics运营的机构进行了新冠肺炎测试,建议避免打开未知的电子邮件或点击通过短信发送的链接。
参考来源:HackRead http://dwz.date/e5zT
(十六)美国运输管理软件公司Aljex因AWS配置错误泄露103GB敏感数据
在日常服务器扫描潜在漏洞的过程中,Website Planet团队发现,一家专注于为跨国货运经纪公司提供运输管理软件的美国软件公司Aljex受到了数据泄露的影响,总共泄露了103 GB的数据,影响4000多人,不仅包括他们自己的客户,还包括公司的员工、销售代表和为第三方运营商工作的人员。
这些数据属于位于美国新泽西州的运输管理软件Descartes Aljex,被一个错误配置的AWS S3存储桶暴露出来,使得它不安全,容易受到入侵。这意味着,即使没有授权的用户也可能仅通过输入正确的URL来访问这些数据存储桶。这是拥有或管理数据库且未设置正确的身份验证过程的错误。
这对客户的影响非常强烈,泄露了大量的个人身份信息(PII)。当涉及到发货详细信息时,发货信息、收货人姓名、发货地和目的地、地址和电话号码都包含在泄露的数据中。
被曝光的Aljex客户账户数据包括全名、电话号码、电子邮件地址、Aljex用户名和明文密码。运营商信息、他们的全名和电子邮件地址以及他们的家庭地址和电话号码都被泄露了。此外,Aljex客户的销售代表详细信息被曝光,包括全名、公司电子邮件、Aljex用户名和销售代表ID。
这些数据可能被威胁行为者用来协助跨其他平台的欺诈性身份识别。此外,网络钓鱼和恶意软件诈骗也可以通过发送到人们电子邮件地址的电子邮件进行部署,包括个性化的“点击诱饵”,以引诱目标点击进入不安全的网站。
竞争对手可能会迁移或锁定Aljex用户名单上的潜在客户,作为一种商业间谍和反竞争做法。通过泄露的用户名和密码,黑客可能会劫持受影响的账户,并对Aljex的业务运营造成严重损害,这反过来也可能影响到他们的合作伙伴和运营商。
该漏洞于2020年12月24日首次被发现,而研究人员6天后联系了Aljex,并于2021年1月2日联系了Amazon Web Services(AWS)告知他们的发现。
Aljex声称该数据存储桶不属于他们,他们将“努力确定这可能与谁有关,并让他们知道其设置中有这个开放的AWS S3存储桶。”几小时后,该存储桶已经被保护起来。
参考来源:HackRead http://dwz.date/e5yY
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
