关键信息基础设施安全动态周报【2021年第33期】
发布时间:
2021-08-20
来源:
作者:
天地和兴
访问量:
260
目 录
第一章 国内关键信息基础设施安全动态
(一)国务院发布《关键信息基础设施安全保护条例》
(二)台湾厂商ThroughTek的Kalay平台存在严重漏洞,影响数百万IoT设备
(三)台湾Realtek芯片SDK中存在严重漏洞影响65家供应商
第二章国外关键信息基础设施安全动态
(一)西门子和施耐德共发布18项安全建议修复了57个漏洞
(二)美国缅因州当地两家污水处理厂遭到勒索软件攻击
(三)黑莓QNX实时操作系统存在严重安全漏洞BadAlloc
(四)立陶宛外交部机密文件在暗网出售
(五)巴基斯坦联邦税务局遭受大规模网络攻击
(六)巴西国库遭受勒索软件攻击
(七)Fortinet防火墙存在高危命令注入漏洞
(八)AMD芯片的电压故障攻击对云环境构成风险
(九)燃油管道商Colonial Pipeline在遭受勒索软件攻击后披露数据泄露
(十)时隔4年曾经最大的暗网市场AlphaBay宣布再度复出
(十一)日本保险公司Tokio Marine遭受勒索软件攻击
(十二)美国医疗机构Memorial Health System遭受Hive勒索软件攻击
(十三)美国大通银行意外泄露客户信息
(十四)福特汽车网站存在漏洞,泄露公司机密及客户信息
(十五)电信公司T-Mobile超过4000万用户数据泄露
(十六)190万名美国秘密监视名单在网络上曝光
(十七)伊朗网络间谍冒充人力资源员工攻击以色列
(十八)美国达拉斯警察局数据迁移丢失8TB数据
第一章 国内关键信息基础设施安全动态
(一)国务院发布《关键信息基础设施安全保护条例》
国务院总理李克强日前签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。制定出台《条例》,建立专门保护制度,明确各方责任,提出保障促进措施,有利于进一步健全关键信息基础设施安全保护法律制度体系。
一是明确关键信息基础设施范围和保护工作原则目标。《条例》明确,重点行业和领域重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。保护工作应当坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
二是明确了监督管理体制。《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照《条例》和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
三是完善了关键信息基础设施认定机制。《条例》明确了认定工作的组织方式和认定程序,依照行业认定规则,国家汇总并动态调整关键信息基础设施认定结果,确保重要网络设施、信息系统纳入保护范围。
四是明确运营者责任义务。《条例》对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定。
五是明确了保障和促进措施。《条例》对制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协助等作了规定。
六是明确了法律责任。《条例》对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,明确了处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚。
本文版权归原作者所有,参考来源:国务院http://adkx.net/w4uhx
(二)台湾厂商ThroughTek的Kalay平台存在严重漏洞,影响数百万IoT设备
Mandiant安全研究人员发布警告称,台湾IoT平台厂商ThroughTek的Kalay物联网云平台中存在严重漏洞,影响全球数千万台物联网设备。该安全漏洞影响到各制造商提供视频和监控解决方案的产品,以及使用Kalay网络方便与相应应用程序连接和通信的家庭自动化物联网系统。远程攻击者可以利用该漏洞访问实时音频和视频流,或控制易受攻击的设备。
ThroughTek这是一家2008年于中国台湾成立的物联网云端服务平台解决方案商。
Mandiant红色团队的研究人员在2020年底发现了该漏洞,并与美国CISA和ThroughTek合作,协调信息披露并创建缓解方案。
该漏洞CVE-2021-28372是一个设备模拟漏洞,CVSS评分为9.6分,影响作为软件开发工具包(SDK)实现的Kalay协议,该协议内置于移动和桌面应用程序中。
Mandiant的Jack Valletta、Erik Barzdukas和Dillon Franke查看了ThroughTek的Kalay协议,发现在Kalay网络上注册设备只需要设备的唯一标识符(UID)。根据这一线索,研究人员发现,Kalay客户端通常从物联网设备供应商托管的Web API接收UID。
具有目标系统UID的攻击者可以在Kalay网络上注册他们控制的设备并接收所有客户端连接尝试。这将允许他们获得登录凭据,以提供远程访问受害设备的音频和视频数据。
研究人员表示,这种类型的访问与设备实现的RPC(远程过程调用)接口中的漏洞相结合,可能导致完全的设备完全受损。
在研究该漏洞期间,Mandiant的研究人员能够开发Kalay协议的功能实现,该协议允许他们发现设备、注册设备、连接远程客户端、认证和处理音频和视频数据。他们还创建了概念验证(PoC)利用代码,允许他们在Kalay网络上模拟一个设备。
根据ThroughTek的最新数据,其Kalay平台拥有超过8300万台活跃设备,每月管理超过10亿个连接。
7月20日,ThroughTek发布了针对其软件开发工具包中另一个严重漏洞CVE-2021-32934的安全建议,并于8月13日更新。ThroughTek提供了客户可以遵循的指导,以降低与CVE-2021-28372相关的风险。
Mandiant还建议审查API或其他可以返回Kalay UID的服务上定义的安全控制。
研究人员指出,利用设备模拟漏洞的攻击者需要了解Kalay协议以及消息是如何生成和传递的。获取UID也是一项需要攻击者付出一定努力的任务,如社会工程或利用其他漏洞。
受影响设备的所有者可以做的是将其设备软件和应用程序更新到最新版本,并定义复杂、唯一的登录密码,以降低风险。
此外,他们应该避免从不受信任的网络(例如公共WiFi)连接到物联网设备。
由于Kalay平台被大量制造商的设备使用,因此很难创建一个受影响品牌的名单。
参考来源:BleepingComputer http://33h.co/whmgh
(三)台湾Realtek芯片SDK中存在严重漏洞影响65家供应商
IoT Inspector研究人员发现,台湾芯片设计商Realtek的WiFi模块附带的三个软件开发工具包(SDK)中存在四个严重漏洞,影响至少65家供应商生产的近200款数十万物联网设备,包括VoIP、无线路由器、旅行路由器、Wi-Fi中继器、IP摄像头、智能照明控制等,受影响的硬件制造商包括华硕(AsusTEK)、贝尔金(Belkin)、D-Link、Edimax、Hama、Netgear等。利用这些漏洞,未经验证的攻击者能够完全破坏目标设备,并以最高权限执行任意代码。
IoT Inspector董事总经理Florian Lukavsky表示,“我们的安全研究人员发现并分析了这个漏洞,它影响了数十万台设备。我们通知了Realtek,他们立即回应并提供了一个适当的补丁。我们强烈鼓励使用易受攻击的Wi-Fi模块的制造商检查他们的设备,并向用户提供安全补丁”。
要想成功利用漏洞,攻击者通常需要位于同一Wi-Fi网络上。但是,错误的ISP配置也会将许多易受攻击的设备直接暴露于互联网。成功的攻击将提供对Wi-Fi模块的完全控制,以及对嵌入式设备操作系统的超级用户访问权限。总共在芯片组中发现了十几个漏洞。
Lukavsky警告表示,“目前,用户和制造商对这类设备的安全意识都远远不够,他们盲目地依赖供应链上其他制造商的组件,而不进行测试。因此这些组件或产品成为不可预测的风险。”
根据Forrester的数据,全球只有38%的企业安全决策者有足够的政策和工具来恰当地管理物联网设备,敦促制造商实施物联网供应链安全指南。
受影响的版本包括:Rtl819x-SDK-v3.2.x系列、Rtl819x-SDK-v3.4.x系列、Rtl819x-SDK-v3.4T系列、Rtl819x-SDK-v3.4T-CT系列、Rtl819x-ecos-v1.5.x系列。
修复的版本包括:Realtek不再支持Realtek SDK branch 2.x。Realtek“Jungle”SDK的修补程序将由Realtek提供,需要进行后端口。Realtek“Luna”SDK的1.3.2a版本包含修复程序。
这些漏洞的编号为:CVE-2021-35392、CVE-2021-35393、CVE-2021-35394、CVE-2021-35395。
参考来源:HelpNetSecurity http://33h.co/wha66
第二章 国外关键信息基础设施安全动态
(一)西门子和施耐德共发布18项安全建议修复了57个漏洞
西门子和施耐德电气8月10日发布了18项安全建议,解决了影响其产品的共计50多个漏洞,包括补丁、缓解措施和一般安全建议,以降低攻击风险。
西门子在2021年8月补丁星期二发布了10条安全建议,共计涵盖了32个漏洞。其中最严重的是名为NAME:WRECK的DNS相关漏洞,会影响西门子SGT工业燃气轮机。这不是西门子第一次发布关于NAME:WRECK漏洞对其产品的影响的公告。
另一份安全建议关于其SIMATIC CP 1543-1和CP 1545-1设备的ProFTPD组件中的多个高危漏洞,攻击者可利用这些漏洞远程获取敏感信息或执行任意代码。
西门子SIMATIC S7-1200 PLC中存在的身份验证缺失漏洞为高危漏洞,攻击者可以利用该漏洞绕过身份验证并将任意程序下载到PLC。
JT2Go和Teamcenter Visualization中存在七个漏洞,可用于DoS攻击、信息泄露或远程代码执行,攻击者利用该漏洞需让目标用户打开一个特制的文件。其中两个可能导致DoS或任意代码执行的为高危漏洞,可能导致信息泄露的为中危漏洞。这些漏洞有不同的CVE编号,漏洞是相似的,但是触发的文件格式不同。
另一个涉及十多个CVE的安全公告描述了英特尔产品中的漏洞对西门子工业系统的影响。西门子已经发布了若干个受影响产品的更新,并正在为其余产品开发BIOS补丁。
在Solid Edge产品中,西门子修补了两个高危代码执行漏洞,可通过让用户打开特制文件来利用这些漏洞。
西门子修复的最后一个高危漏洞是影响SINEC NMS网络管理系统的操作系统命令注入问题,利用此漏洞需要管理权限。
施耐德电气8月10日发布了八个新的公告,涵盖共计25个漏洞。其中两个公告涉及Windows漏洞对其NTZ Mekhanotronika Rus控制面板的影响。一个是针对HTTP协议栈远程代码执行漏洞,微软在5月份修补了该漏洞,另一个是针对与Windows Print Spooler服务相关的两个问题,包括臭名昭著的PrintNightmare漏洞。
另一个公告描述了使用CODESYS工业自动化软件引入的三个高危漏洞。这些漏洞影响了施耐德和其他几家主要供应商的工业控制系统。
Harmony HMI漏洞可能导致拒绝服务或未经授权的访问,Pro face GP Pro EX HMI屏幕编辑器和逻辑编程软件中的权限升级问题,以及AccuSine电源稳定产品中的信息泄露漏洞也为高危漏洞。
施耐德还针对影响AT&T实验室的压缩器(XMilI)和解压缩器(XDemill)实用程序的十二个漏洞发布了公告,这些实用程序用于该公司的一些EcoStruxure和SCADAPack产品。AT&T实验室不再支持受影响的软件,因此供应商不会发布补丁,但施耐德计划在未来自己的产品中解决这些漏洞。Cisco Talos的研究人员发现了这些漏洞,并披露了每个漏洞的技术细节。
参考来源:SecurityWeek http://33h.co/w4v44
(二)美国缅因州当地两家污水处理厂遭到勒索软件攻击
美国环境保护部(Department Of Environmental Protection,DEP)警告市政当局和水务行业的专业人士,在最近的两起勒索软件入侵事件后保持警惕,据信这是缅因州第一次发生污水系统入侵事件。
DEP的废水技术援助工程师Judy Bruenjes称,攻击发生在Mount Desert Island和Limestone。Bruenjes表示,“这些攻击都相当轻微,对公众没有威胁,没有违规,没有远程攻击,没有健康和安全威胁。这不像Colonial管道攻击事件,但我们担心这些小型设施成为攻击目标。”
Limestone负责人Jim Leighton声称攻击发生在7月4日那个周末,攻击对象是一台运行Windows 7系统的电脑,该系统本应升级。目前没有居民的信息泄露。Mount Desert负责人表示攻击导致办公室的电脑停机了3天,但是处理厂没有受到影响,也没有居民的信息泄露。
参考来源:BangorDailyNews http://33h.co/whbhh
(三)黑莓QNX实时操作系统存在严重安全漏洞BadAlloc
2021年8月17日,黑莓(BlackBerry)公开披露其QNX实时操作系统(RTOS)受到BadAlloc漏洞CVE-2021-22156的影响。BadAlloc是影响多个RTOS和支持库的漏洞集合。远程攻击者可以利用CVE-2021-22156导致拒绝服务条件或在受影响的设备上执行任意代码。
黑莓QNX RTOS被广泛应用于各种产品中,其危害可能导致恶意行为者获得对高度敏感系统的控制,从而增加国家关键功能的风险。黑莓QNX实时操作系统是管理网络数据的软件,用于汽车、医疗设备和手机等嵌入式系统。使用QNX操作系统的行业和设备包括航空航天和国防、重型机械、铁路、机器人、工业控制和医疗设备。该公司称QNX系统嵌入了奥迪、福特、起亚、大众等超过1.75亿辆汽车的信息娱乐系统中。
目前CISA尚未发现该漏洞的积极利用。CISA强烈鼓励关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织尽快修补受影响的产品。
CVE-2021-22156是一个整数溢出漏洞,影响多个BlackBerry QNX产品的C运行时库中的calloc()函数。利用此漏洞可能会导致受影响设备出现拒绝服务条件或任意代码执行。要利用此漏洞,攻击者必须能够控制calloc()函数调用的参数,并能够控制分配后访问的内存。如果易受攻击的产品正在运行并且受影响的设备暴露在互联网上,则具有网络访问权限的攻击者可以远程利用此漏洞。
CVE-2021-22156是整数溢出漏洞集合BadAlloc的一部分,影响使用物联网(IoT)和操作技术(OT)/工业控制系统(ICS)设备的广泛行业。所有依赖C运行时库的BlackBerry程序都受此漏洞影响。由于许多受影响的设备包括安全关键设备,因此利用此漏洞可能会导致恶意行为者获得对敏感系统的控制,从而可能导CISA强烈鼓励关键基础设施组织和其他组织开发、维护、支持或使用受影响的基于QNX的系统,尽快修补受影响的产品。
致基础设施或关键功能受损的风险增加。
1、包含易受攻击版本的产品制造商应联系BlackBerry获取补丁。
2、开发独特版本的RTOS软件的产品制造商应联系BlackBerry以获取补丁代码。在某些情况下,制造商可能需要开发和测试自己的软件补丁。
3、安全关键系统的最终用户应联系其产品制造商以获取补丁。如果有补丁可用,用户应尽快应用补丁。如果补丁不可用,用户应使用制造商推荐的缓解措施,直到可以应用补丁程序。
4、为RTOS安装软件更新时,可能经常需要将设备停止服务或移至非现场位置,以便对集成内存进行物理更换。
美国网络安全和基础设施安全局(CISA)、食品和药物管理局(FDA)、水信息共享和分析中心(WaterISAC)、美国海岸警卫队、美国核管理委员会均针对此事件发布了安全公告。
参考来源:CISA http://33h.co/w44ca
(四)立陶宛外交部机密文件在暗网出售
有一名黑客在RaidForums黑客论坛上出售从立陶宛外交部窃取的高度敏感信息,包括超过160万封电子邮件及各类文件。黑客声称窃取的数据包括一个300GB的102个Outlook数据文件,涉及与美国总统拜登的秘密谈判,以及与白俄罗斯的战争准备,包括核打击。
外交部8月11日发布声明证实,发生了网络攻击事件,但没有进一步发表评论。12日重申“外交部无法在公共场所确认信息,因此不会发表评论”。
立陶宛总统首席外交政策顾问Asta Skaisgirytė表示,外交部有“重要文件”被盗,其中一些为机密文件。
该名黑客论坛用户声称这些文件包括“与白俄罗斯的战争准备”及“核打击”。俄罗斯和白俄罗斯的主要军事演习Zapad-2021将于9月开始,但据立陶宛国防官员称,演习的网络和信息元素已经开始。
目前尚不清楚哪些文件被盗,以及这些文件是否真实。此前与俄罗斯黑客有关的大规模泄密活动中,文件的真假混杂。
此次事件恰逢Rūdninkai移民营地以及立陶宛议会外发生骚乱。包括内政部长和总统办公室在内的高级官员表示,这些事件可能有关联。立陶宛总统首席外交政策顾问Asta Skaisgirytė表示,“塞马斯外围和雷德宁凯发生骚乱,同一天出现了重要文件从外交部被盗的消息。太多的巧合不能被认为是偶然的。”
然而该国情报部门表示,没有证据表明这两起骚乱有关联,也没有外国势力参与其中。国家安全部(VSD)负责人Darius Jauniškis表示,“如果这一证据出现,我不排除这一可能,将对其进行调查、分析并向公众展示。”
今年2月,Raidforums论坛还被用来泄露和出售立陶宛租车服务CityBee的用户数据。
立陶宛总统GitanasNausėda在8月12日表示,有一些迹象表明,有机密信息在针对外交部网络攻击期间泄漏。总统在接受采访时表示,“,调查正在进行中,毫无疑问,我们很好地评估了这次网络攻击造成的损失。但有某些迹象表明,某些信息泄露了,这些信息被视为机密信息。泄露的信息可能首先对盟友造成严重损害,但这是我仍然无法公开披露潜在损害。”
参考来源:LRT http://33h.co/w4ytd
(五)巴基斯坦联邦税务局遭受大规模网络攻击
巴基斯坦联邦收入委员会(FBR)(FBR.gov.pk)遭受了大规模网络攻击,一群不明身份的黑客在俄罗斯网络犯罪论坛上出售进入该机构1500多个电脑系统的网络权限。
就像美国国税局(IRS)一样,FBR是巴基斯坦最高的联邦执法机构,负责调查税务犯罪、洗钱等。
据知情人士透露,黑客设法攻破了微软的Hyper-V软件,并拿下了该机构的官方网站及其所有子域名。
Hackread.com还证实,黑客目前以2.6万美元的价格出售FBR的网络访问权限。该组织还出价3万美元,否则他们将感染FBR服务器上的所有设备,并将其转移给感兴趣的买家。
FBR的一名高级官员在对当地媒体的一份声明中表示,“该数据中心的虚拟机受到了攻击,攻击者设法利用了最薄弱的环节,即微软公司的hyper-V软件。”
另一方面,FBR承认了数据泄露事件,并将其描述为“类似国家危机的情况”。FBR在内部警告中表示,“FBR的数据中心遭遇了严重的网络攻击,所有应用程序都已关闭,需要所有团队的支持。”
信息技术部门的另一位负责人表示,“由于虚拟环境遭到破坏,我们正在努力创建一个新的虚拟环境,可能需要两天时间。我们正努力在明天下午之前恢复网站,在明天晚上之前恢复关键数据中心,因为我们不想因为匆忙转移数据而造成更大的损害。此次攻击是独立日(8月14日)网络恐怖主义。”
目前还不知道该黑客组织的身份和隶属关系,因此FBR与微软公司进行了联系,对此次网络攻击造成的损失进行了分析。
巴基斯坦最著名的网络安全专家之一Rafay Baloch表达了他对这个问题的担忧。Baloch表示,在数字化和互操作性的名义下,巴基斯坦正在经历一场大规模的数字革命,然而在这个过程中,网络安全受到了破坏。
Baloch表示,“我们仍处于数字化的早期阶段,因此现在开始将安全性纳入业务流程还为时不晚。FBR的服务仍然处于离线状态表明,缺乏业务连续性计划和有效的灾难恢复计划。理想情况下,这种关键的国家服务应该有一个功能齐全的操作镜像站点,我们必须使基础设施具有弹性,以便在不利的情况下继续运行。政府应立即着手组建国家网络应急响应小组(CERT),为关键服务提供援助,以有效应对网络攻击。这已成为2021年最新国家网络安全政策的一部分,需要立即实施。”
尽管巴基斯坦拥有高技能的白帽黑客和网络安全研究人员,但其网络基础设施仍然容易受到各种网络攻击。例如2019年,巴基斯坦官方护照申请跟踪网站在一次复杂的水坑攻击中遭到破坏。
截至8月15日,FBR的网站及其附属域名如巴基斯坦收入自动化有限公司(PRAL-Pral.com.pk)仍然处于离线状态。
参考来源:HackRead http://33h.co/w4i86
(六)巴西国库遭受勒索软件攻击
巴西经济部8月14日发布通知表示,巴西国库(National Treasury)秘书处内部网络8月13日晚遭受了勒索软件攻击。该部门立即采取了措施,来遏制网络攻击的影响,并通知了联邦警察局。
初步评估发现,国库的结构系统没有受到损害,包括综合财务管理系统(SIAFI)及与公共债务管理相关的平台。巴西国库和数字政府秘书处(DGS)的安全专家正在分析勒索软件攻击的影响。联邦警察局表示,将及时披露有关该事件的新信息,并保持适当的透明度。
8月16日与巴西证券交易所联合发布的另一份声明指出,此次攻击并没有以任何方式影响Tesouro Direto的运营,个人可通过Tesouro Direto购买巴西政府债券。
在此次巴西国库遭受攻击事件之前,2020年11月发生了一次针对巴西高级选举法院的重大网络攻击,导致法院的系统瘫痪了两个多星期。当时,就其复杂性和所造成损害的范围而言,该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击。
今年7月,巴西政府宣布建立一个网络攻击响应网络,旨在通过协调联邦政府各机构,促进网络威胁及漏洞快速响应。
DGS在经济部管理和数字政府特别秘书处的领导下运作,将在网络的形成中发挥战略作用。DGS是SISP的中央机构,该系统用于规划、协调、组织、运营、控制和监督联邦政府200多个机构的信息技术资源。
2021年巴西发生了多起私营企业重大勒索软件攻击事件,涉及医疗保健公司Fleury及航空航天集团Embraer等大公司。
参考来源:ZDNet http://33h.co/wg6d1
(七)Fortinet防火墙存在高危命令注入漏洞
Rapid7研究人员在Fortinet的FortiWeb Web应用程序防火墙(WAF)中发现了一个漏洞,虽然为高危漏洞,但在野外被利用的实际风险似乎很低。
该漏洞是由网络安全公司Rapid7的研究员William Vu发现的,目前尚不清楚供应商是否已修补。尽管如此,Rapid7在周二披露了其细节。
Rapid7研究主管Tod Beardsley表示,他们还没有从Fortinet看到任何有关补丁的信息,但他们确实希望该漏洞很快得到修复。
该漏洞的编号为CVE-2021-22123,是FortiWeb操作系统命令注入漏洞,由Fortinet在几个月前修复。
该漏洞影响FortiWeb WAF的管理界面,特别是SAML服务器配置页的“Name”字段,可被滥用来使用超级用户权限执行任意命令。这最终会让攻击者完全控制设备。但是,值得注意的是,攻击该漏洞需要在目标系统上对攻击者进行身份验证。
Rapid7在博客文章中表示,“攻击者可能会安装持久性Shell、加密挖掘软件或其他恶意软件。万一管理界面暴露在互联网上,他们可以使用受感染的平台进入DMZ以外的受影响网络。该漏洞只能被恶意内部人员或错误地将其管理界面暴露给互联网的设备利用。此外,攻击者需要已经通过身份验证,因此攻击者需要首先拥有用户名和密码,猜测相同的用户名和密码,或者使用另一个漏洞绕过身份验证,如CVE-2020-29015。因此,考虑到所有这些限制,我认为风险相当低。攻击者需要做很多事情,即网络配置错误和身份验证绕过或猜测,”
Rapid7指出,虽然它最近的扫描显示大约有100万台暴露在互联网上的Fortinet设备,但其中只有一部分是FortiWeb系统,而且其中只有一小部分将其管理界面暴露在网络上。Rapid7只看到了几百个FortiWeb管理界面暴露在互联网上。
鉴于Fortinet产品的广泛使用,许多国家支持和利润驱动的黑客一直在利用这些产品中的漏洞也就不足为奇了。美国政府已经就利用Fortinet漏洞发出了几次警告和建议。
参考来源:SecurityWeek http://33h.co/whmcw
(八)AMD芯片的电压故障攻击对云环境构成风险
柏林工业大学(TU Berlin)研究人员发现了一种电压故障攻击,AMD的安全加密虚拟化(SEV)技术可能无法为云环境中的机密数据提供适当的保护。研究人员在《One Glitch to Rule Them All: Fault Injection Attacks Against AMD’s Secure Encrypted Virtualization》论文中详细说明了这项研究成果。
AMD的SEV技术存在于EPYC处理器中,旨在保护虚拟机(VM)及其存储的数据免受具有提升权限的内部威胁,例如恶意管理员。SEV通常用于云环境。
SEV旨在通过加密VM的内存来保护机密数据,并且使用AMD的安全处理器(SP)来保护加密密钥,SP一种专用的安全协处理器。这应该确保只有SP可以访问内存加密密钥,而受威胁参与者控制的虚拟机管理程序则不能。
然而,柏林工业大学的研究人员表明,对目标系统具有物理访问权限的攻击者可以通过对SP发起电压故障注入攻击来访问受SEV保护的VM内存内容。
为了按预期工作,集成电路需要在特定温度、时钟稳定性、电磁场和电源电压范围内工作。有目的地操纵这些参数之一称为故障攻击。此类攻击需要对芯片进行物理访问,但它们可用于获取敏感信息、绕过安全检查或实现任意代码执行。
在电压故障攻击中,研究人员表明,通过操纵AMD芯片的输入电压,可以在SP的ROM引导加载程序中引发错误,从而获得完全控制权。研究人员描述了由于SEV未能正确保护潜在敏感信息免受恶意内部人员攻击而给云环境带来的风险。
研究人员在论文中解释表示,“我们展示了一个能够物理访问目标主机的对手如何植入一个定制的SEV固件,该固件使用SEV的调试API调用来解密VM的内存。此外,我们证明了故障攻击能够提取背书密钥。背书密钥在SEV的远程认证机制中起着核心作用,可用于发起远程攻击。即使没有物理访问目标主机的攻击者也可以使用提取的背书密钥攻击SEV保护的虚拟机。通过伪造认证报告,攻击者可以伪装成虚拟机迁移的有效目标,从而获得对虚拟机数据的访问。”
进行此类攻击所需的硬件很容易获得,而且价格低廉,但研究人员表示,他们花了4个小时来准备一个系统,这大大降低了现实世界环境中的风险。
虽然这不是第一个专注于电压故障攻击或攻击AMD的SP和SEV的研究项目,研究人员表示,据他们所知,这是第一个影响所有AMD EPYC CPU的攻击(Zen 1, Zen 2和Zen 3)。研究人员向AMD报告了他们的发现,并提出了一些可以在未来CPU中实现的缓解措施。
参考来源:SecurityWeek http://33h.co/w46q0
(九)燃油管道商Colonial Pipeline在遭受勒索软件攻击后披露数据泄露
美国最大的燃料管道商Colonial Pipeline正在向因今年5月DarkSide勒索软件攻击其网络而导致数据泄露的个人发送通知信。
该公司表示,它最近了解到,在攻击过程中,DarkSide的操作人员还收集和窃取包含5810个人个人信息的文件。受影响的记录包含某些个人信息,如姓名、联系信息、出生日期、政府签发的身份证(如社会保险、军号、税号和驾照号码),以及健康相关信息。
然而,正如管道系统首席执行官兼总裁Joseph A. Blount Jr.补充所述,并不是每个受影响的个人的所有信息都被窃取了。
DarkSide勒索软件组织于5月6日攻击而了Colonial Pipeline的网络,Colonial Pipeline供应美国东海岸大约一半的燃料。在事件发生期间,DarkSide运营商还在Colonial Pipeline系统中窃取了大约100GB的文件。随后DarkSide决定停止运营。
然而,不到两个月后,一种名为BlackMatter的新勒索软件操作浮出水面,从其他威胁行为者手中购买网络访问权,对企业受害者发动攻击,索要赎金从300万美元到400万美元不等。
Emsisoft首席技术官和勒索软件专家Fabian Wosar证实,在一个解密程序中发现的Salsa20加密算法以前只被Darkside使用,现在是BlackMatter使用。Crypto例程几乎是RSA和Salsa20实现的完全相同的副本,包括它们对自定义矩阵的使用。
臭名昭著的Darkside勒索软件团伙现在更名为BlackMatter,正在积极攻击企业实体,但表示将不会攻击石油和天然气行业(管道、炼油厂)。
参考来源:BleepingComputer http://33h.co/whbc5
(十)时隔4年曾经最大的暗网市场AlphaBay宣布再度复出
AlphaBay暗网最初于2017年被查封,但现在有人自称是AlphaBay最初的联合创始人DeSnake,宣布将该市场重新恢复运营。与此同时,管理员宣布了为暗网市场建立平台的计划,以开设非常注重匿名性的商店。
Alphabay成立于2014年,是最大的暗网市场。2017年7月5日,执法部门将其取缔后,这项业务就终止了。
在泰国,警方逮捕了加拿大公民Alexander Cazes,使用的在线名称为Alpha02/Admin,同时也是AlphaBay的两名管理员之一。另一个合伙人名叫DeSnake,负责市场安全,从未被警方抓获。
DeSnake提供了他们在非法市场全盛时期使用的原始公共PGP密钥,来证明他们的说法,允许任何人在公共PGP密钥服务器上验证身份。区块链分析公司Elliptic的联合创始人Tom Robinson发现了DeSnake在暗网市场社区传达信息,他们在暗网自我介绍说自己是“AlphaBay的安全管理员和联合创始人”。
上周末,DeSnake在暗网论坛上宣布AlphaBay市场重新开放,并已准备就绪。
一位暗网用户确认了DeSnake的密钥,并且他们是原始AlphaBay技术人员的一部分。另一位在私下谈论“只有他作为AlphaBay的工作人员才知道的事情”后确认了这位管理员的身份。
在一份由五部分组成的长篇声明中,DeSnake解释表示,他们希望为可持续模式设定新的标准,并建立一个“专业运营的、匿名的、安全的市场”。不过,DeSnake的目标是开发一个自主和匿名的分散市场网络,任何人都可以在其中建立市场。
从他们的描述来看,它看起来就像是一个暗网市场的亚马逊,允许卖家和买家使用一个账户从一个市场漫游到另一个市场,而无需信任任何一家公司的加密货币。
DeSnake表示,新的AlphaBay已经建成,使用了安全且经过审核的代码、防弹服务器,并针对硬件故障、警方突袭或扣押造成的中断提供了保障。管理员还宣传了一个名为AlphaGuard的自动化系统,该系统“确保用户/供应商可以随时在I2P/Tor上访问他们的钱包资金(包括托管资金)。”另一个到位的系统是自动纠纷解决系统,其目的是在没有调解人干预的情况下解决买卖双方之间的问题。
DeSnake还为新的AlphaBay制定了一套规则,以避免引起执法部门不必要的关注。Flashpoint研究人员指出,限制与前苏联国家有关的活动的规定对那些地区的威胁行动者来说是典型的,以避免来自当地执法部门的审查。
AlphaBay现在只使用Monero加密货币,目前只有两个特色列表,都是针对毒品的。论坛统计数据显示,共有19名成员交换了72条消息。
在其辉煌时期,AlphaBay为超过200,000名用户和40,000家供应商提供服务,仅药物和有毒化学品就有超过250,000个清单。被盗和伪造的身份证明文件、恶意软件、黑客工具、枪支和欺诈服务占另外100,000个列表。据估计,自创建以来,该市场至少交易了价值10亿美元的加密货币,主要是比特币。
参考来源:BleepingComputer http://33h.co/w46c9
(十一)日本保险公司Tokio Marine遭受勒索软件攻击
日本跨国保险控股公司Tokio Marine Holdings本周宣布,其新加坡分公司Tokio Marine Insurance Singapore(TMiS)遭受勒索软件攻击。该公告是在本周初发布的,除了为应对入侵采取的行动之外,几乎没有包含有关该事件的信息。
作为日本最大的财产和意外伤害保险集团,Tokio Marine Holdings对网络犯罪分子来说是一个有吸引力的目标,他们可以利用这次入侵来寻找和危害该组织的客户。
Tokio Marine指出,勒索软件攻击影响了新加坡分公司Tokio Marine Insurance Singapore(TMiS),该公司在该国的其他公司没有受到损害。目前尚不清楚攻击是如何或何时展开的,以及造成的损失,但TMIS在检测到攻击后立即隔离了网络,并通知了当地政府机构。
母公司表示,确认没有迹象表明有任何客户信息或集团机密信息被泄露。
如今大多数勒索软件攻击也被视为数据泄露事件,因为攻击者在加密文件之前也会从受害者网络中窃取文件。然而,已经引入了第三方来分析系统和评估攻击的影响。
该公司在其日文和英文网站上公布了这一事件,并就“造成的不便和担忧”向其客户道歉。
参考来源:BleepingComputer http://33h.co/wh24n
(十二)美国医疗机构Memorial Health System遭受Hive勒索软件攻击
美国非营利性综合医疗系统Memorial Health System在8月15日发布通知称,其发生了网络安全事件,遭受了Hive勒索软件攻击,计算机被加密,导致临床及财务运营部分中断,工作人员被迫使用纸质图表工作。
该事件发生在8月15日凌晨,IT部门发现部分基础设施没有按照预期响应,检测到了该攻击。此次攻击导致临床和财务运营中断,16日的紧急手术病例和放射学检查被取消,所有初级保健预约都如期举行。
Memorial Health System是一个小型网络,由俄亥俄州和西弗吉尼亚州的三家医院(玛丽埃塔纪念医院、塞尔比总医院、及西斯特斯维尔综合医院)、门诊服务站点及医疗机构诊所组成。该组织是一个非营利性综合卫生系统,拥有3,000多名员工,由社区成员志愿者委员会领导。
16日,在了解更多关于这次攻击的信息后,该组织发布了一份通知,向社区通知了这一事件。Memorial Health System总裁兼首席执行官Scott Cantley表示,患者或员工的数据没有泄露,调查仍在进行中,以全面了解所发生的事情。
通常,勒索软件攻击伴随着数据泄露。在部署加密程序之前,黑客通常会花时间在网络上确定最有价值的系统,并窃取数据。通过泄露信息,攻击者有更多的手段迫使受害者支付赎金,以换取不共享或泄露被盗数据的承诺,并提供解密工具。
该事件也不例外。证据表明,攻击者窃取了数据库,其中包含20万患者的信息,其中包括敏感信息,例如社会安全号码、姓名和出生日期。
Hive勒索软件组织于6月下旬出现,尽管活动时间很短,但该组织已声称有多名受害者。像大多数勒索软件组织一样,Hive在暗网上有一个名为HiveLeaks的泄密网站,已经发布了近24个没有支付赎金的受害者数据链接。
泄密网站上列出的大多数企业都是中小型企业,其中许多企业的员工人数在100人左右。最大的没有支付赎金的受害者是Altus Group,是一家为商业房地产行业提供软件和数据解决方案的供应商,拥有2,500名员工,收入为5亿美元。
参考来源:MemorialHealthSystem http://33h.co/wgcjn
(十三)美国大通银行意外泄露客户信息
美国大通银行(Chase Bank)证实,其网上银行网站和应用程序存在技术漏洞,导致客户银行信息意外泄露给其他客户。
摩根大通银行(JPMorgan Chase Bank)是一家金融服务业巨头,总部位于美国纽约,年收入达到1200亿美元,在全球拥有超过25万名员工。
大通银行客户的个人详细信息,包括对账单、交易清单、姓名和帐号,可能会暴露给其他大通银行成员。该问题一直持续到今年5月24日至7月14日之间,并影响了共享类似信息的网上银行和大通移动应用程序客户。
在数据事件通知中,大通银行将该事件归咎于技术问题,“我们了解到一个技术问题,该问题可能错误地允许另一个具有类似个人信息的客户在大通银行网站chase.com或移动应用程序中查看您的帐户信息,或接收您的帐户对帐单。”
目前尚不清楚客户如何或在什么情况下能够看到其他客户的私人信息。该通知对于该问题是否影响特定群体也含糊其辞(信用卡持有人、个人或商业银行客户、或所有人)。迄今为止,大通银行没有发现任何证据表明该信息被滥用。
作为标准的行业惯例,大通银行正在通知受影响的个人,并为他们提供免费的信用监控服务。Chase表示,“我们很抱歉让您失望,并希望通过Experian's®IdentityWorks®为您提供一年的免费信用监控。”受影响的客户将在数据事件通知信中收到一个唯一的激活码,可用于注册服务。
2014年,大通银行遭遇了大规模数据泄露事件,据信已经泄露了超过8300万个账户的数据,引发了对网络钓鱼攻击的担忧。尽管到目前为止还没有与此事件相关的数据滥用迹象,但个人应保持警惕,并密切留意在不久的将来可能收到的任何关于大通银行的网络钓鱼电子邮件。
参考来源:BleepingComputer http://33h.co/wg13t
(十四)福特汽车网站存在漏洞,泄露公司机密及客户信息
福特汽车公司网站上存在一个漏洞,可访问敏感系统并获取专有数据,如客户数据库、员工记录、内部票证等。数据泄露源于福特服务器上运行的Pega Infinity客户参与系统的错误配置实例。
研究人员Robert Willis和break3r披露了在福特网站上发现的一个漏洞,利用该漏洞可窥视公司机密记录、数据库并执行帐户接管。该漏洞由Robert Willis和break3r发现,并得到了Sakura Samurai道德黑客组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持。
CVE-2021-27653是一个信息泄露漏洞,存在于配置不当的Pega Infinity客户管理系统实例中。
研究人员分享了福特内部系统和数据库的许多截图,包括该公司的票务系统截图。
研究人员表示,一些暴露的资产包含敏感的个人身份信息(PII),包括:客户和员工记录、财务帐号、数据库名称和表、OAuth访问令牌、内部支持票证、组织内的用户配置文件、Pulse活动、内部接口、搜索栏历史记录。
要利用该问题,攻击者首先必须访问配置错误的Pega Chat Access Group门户实例的后端Web面板。作为URL参数提供的不同有效负载可以使攻击者运行查询、检索数据库表、OAuth访问令牌和执行管理操作。
攻击者可以利用在被破坏的访问控制中发现的漏洞,获取大量敏感记录,执行帐户接管。
2021年2月,研究人员向Pega报告了他们的发现,他们相对较快地修复了聊天门户中的CVE。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。
Jackson表示,随着披露时间表的进一步推进,来自福特的沟通变得越来越少,研究人员只在推特上发布了关于这个漏洞的消息后才收到了HackerOne的回复,但没有透露任何敏感的细节。
目前,福特的漏洞披露计划并不提供金钱奖励或漏洞赏金,因此,根据公众利益进行协调披露是研究人员唯一希望得到的“奖励”。披露报告副本显示,福特没有对具体的安全相关行动发表评论。
尽管福特在报告发布后的24小时内将这些终端离线,但研究人员在同一份报告中表示,即使在报告发布后,这些终端仍然可以访问,并要求进行另一次审查和补救。
目前尚不清楚是否有任何威胁行为人利用该漏洞破坏福特的系统,或者是否访问了敏感的客户/员工PII。
参考来源:BleepingComputer http://33h.co/whb5i
(十五)电信公司T-Mobile超过4000万用户数据泄露
有威胁行为者在暗网上声称入侵了T-Mobile的服务器,并窃取了大约1亿客户的个人数据。T-Mobile对此事调查后证实,黑客窃取的客户数据共计有4865万,包括4000万曾向T-Mobile提出申请的潜在客户、780万后付费用户、及85万预付费客户。
该事件于8月14日首次出现在黑客论坛上,在威胁行为者声称以6个比特币的价格出售包含3000万人的出生日期、驾驶执照号码和社会安全号码的数据库。虽然论坛帖子没有说明数据来源,但黑客表示他们在一次大规模服务器泄露事件中从T-Mobile获取了数据。
攻击者声称两周前入侵了T-Mobile的生产、登台和开发服务器,包括一个包含客户数据的Oracle数据库服务器。据称这些被盗数据包含大约1亿T-Mobile客户的数据,包括客户的IMSI、IMEI、电话号码、客户姓名、安全PIN、社会安全号码、驾驶执照号码和出生日期。IMEI(国际移动设备标识)是用于识别移动电话的唯一号码,而IMSI(国际移动用户标识)是与蜂窝网络上的用户相关联的唯一号码。
为了证明他们入侵了T-Mobile的服务器,攻击者分享了与运行Oracle的生产服务器的SSH连接截图。
当被问及是否试图利用被盗数据勒索T-Mobile时,黑客表示,他们从未联系过T-Mobile,并决定在已经有感兴趣买家的论坛上出售这些数据。T-Mobile也表示正在积极调查此事。
网络安全情报公司Cyble也表示,这名黑客声称窃取了多个数据库,总计约106 GB数据,其中包括T-Mobile的客户关系管理(CRM)数据库。最先报道这起入侵事件的Motherboard表示,他们可以核实黑客提供的数据样本是否属于T-Mobile客户。
8月17日T-Mobile发表声明证实,黑客窃取的客户数据共计有4865万,包括4000万曾向T-Mobile提出申请的潜在客户、780万后付费用户、及85万预付费客户。
参考来源:BleepingComputer http://33h.co/whaym
(十六)190万名美国秘密监视名单在网络上曝光
SecurityDiscovery.com的网络威胁情报总监Bob Diachenko在7月19日,发现了一份约190万名全球恐怖份子的观察名单,该名单是放置在一个Elasticsearch数据集上,而且没有任何密码保护,来源是美国联邦调查局(FBI)所管辖的恐怖份子审查中心(Terrorist Screening Center,TSC)。
TSC负责维护美国的禁飞名单,虽是由FBI管辖,但所搜集的资料来自美国国务院、国防部、交通安全局、海关暨边境保护局,以及美国的其它盟国等,这次被发现的190万份资料,可能只是全球恐怖份子观察名单中的一部份,该名单包含姓名、国籍、性别、生日、护照号码与禁飞指示等。
Diachenko指出,Censys与ZoomEye两大搜寻引擎是在7月19日索引了该Elasticsearch服务器,而他同一天便发现了曝光的名单,并立即通知美国国土安全部(DHS),但存放名单的服务器一直到8月9日才下线。奇怪的是,此一数据库的IP位址并非位于美国,而是中东的巴林。
此份美国恐怖份子观察名单过去属于机密文件,只有经过授权的美国机构及官员才能够读取,但在2015年之后,美国改变了相关政策,开始通知境内被列为恐怖份子观察名单的民众,但国外民众往往是在乘机时才发现,自己被怀疑是恐怖份子而被禁飞。
Diachenko表示,名单上的民众都只是涉嫌,并未被定罪,但倘若落入坏人的手上,民众或其家人可能会被压迫或骚扰,也会给无辜的人带来困扰。此外,美国有时会说服某些嫌犯转为线人,并解除他们的禁飞限制,名单的外泄也可能让线人的身份曝光。
至于不管是国土安全部或是FBI都未正式回复Diachenko。
本文版权归原作者所有,参考来源:iThome http://33h.co/whmxm
(十七)伊朗网络间谍冒充人力资源员工攻击以色列
与伊朗政府有关联的黑客将攻击目标集中在以色列的IT和通信公司,可能是试图转向他们真正的目标。
这些活动被认为是由伊朗的APT组织Lyceum、Hexane和Siamesekitten发起的,该组织至少从2018年开始就在进行间谍活动。
在5月和7月检测到的多起攻击中,黑客将社会工程技术与更新后的恶意软件变体相结合,最终使他们能够远程访问受感染的机器。
在一个案例中,黑客利用科技公司ChipPC的一名前人力资源经理的名字创建了一个伪造的LinkedIn个人资料,这清楚地表明攻击者在开始攻击之前已经做了充分的准备。
1.确定潜在受害者(员工)。
网络安全公司ClearSky的威胁研究人员在今天的一份报告中表示,Siamesekitten黑客随后以提供工作为借口,利用虚假的个人资料向潜在受害者发送恶意软件:
2.确定要冒充的人力资源部员工。
3.创建模拟目标组织的网络钓鱼网站。
4.创建与模拟组织兼容的诱饵文件。
5.以人力资源员工的名义在LinkedIn上建立一个虚假的个人资料。
6.联系潜在的受害者,提供一份“诱人的”工作机会,详细描述被冒充的组织中的一个职位。
7.将受害者发送到带有诱饵文件的钓鱼网站上。
8.后门会感染系统,并通过DNS和HTTPS连接到C&C服务器。
9.DanBot RAT被下载到受感染的系统。
10.黑客出于间谍目的获取数据,并试图在网络上传播。
Clearsky认为,Siamesekitten花了几个月的时间试图利用供应链工具攻破以色列的大量组织。虽然黑客的兴趣似乎已经从中东和非洲的组织发生了变化,但研究人员表示,以色列的IT和通信公司只是达到真正目标的一种手段。
研究人员发现了两个网站,它们是Siamesekitten针对以色列公司的网络间谍活动的基础设施的一部分。一个模仿德国企业软件公司Software AG的网站,另一个模仿ChipPC的网站。在这两种情况下,潜在的受害者都被要求下载一个Excel(XLS)文件,据称该文件包含有关工作机会或简历格式的详细信息。
这两个文件包括一个受密码保护的恶意宏,该宏通过提取名为MsNpENg的后门启动感染链。
ClearSky注意到,在5月到7月的两个活动期间,Siamesekitten从一个用c++编写的名为Milan的后门版本切换到了一个用.NET编写的名为Shark的新版本。
参考来源:BleepingComputer http://33h.co/wh2pf
(十八)美国达拉斯警察局数据迁移丢失8TB数据
据美国达拉斯县地方检察官办公室称,达拉斯警察局在4月份的数据迁移过程中有8TB数据丢失,可能无法恢复。
地方检察官John Creuzot在8月11日给辩护律师的一份披露通知中表示,该市在4月份获悉,在3月31日至4月5日期间,在警察局网络驱动器迁移过程中,删除了22TB数据。大约有14TB的数据得到了恢复,但仍有8TB的数据丢失,且无法恢复。
据达拉斯市称,受影响的数据包括单个案例文件,例如图像、视频、音频和笔记,这些文件已移动到共享文件夹中,以进行长期基于云的存储。
该市政府表示,一名IT部门员工将存档数据迁移到数据中心服务器时,由于“未能遵循适当的既定程序,导致数据文件被删除”,发生了删除事件。该市保留了一份被删除内容的记录,因为元数据中保留了包括文件名在内的基本详细信息,但是文件本身已被永久删除。
在一份声明中,Creuzot表示他正在与警察局合作,确定有多少案件受到影响,但表示现在估计这个数字或对个别案件的影响还为时过早。
8月16日,一名谋杀嫌疑人因警方丢失犯罪数据导致审判推迟而释放。德克萨斯州法律规定,如果检察官在审判时未准备好,则应将其释放。
参考来源:NBCDFW http://33h.co/w4nsg
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
