其他
20230725-5th域安全微讯早报-NO.176
网络空间安全对抗资讯速递
2023年7月25日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-176 星期二
今日热点导读
7、网络安全公司Perimeter81无视对其macOS应用程序中权限升级漏洞的披露8、主要通信标准TETRA中发现漏洞可控制所有紧急服务9、Zyxel(合勤)网络设备仍然运行旧软件并容易受到网络攻击10、人工智能打击犯罪分子:ChatGPT现在调查网络犯罪11、超过20,000台Citrix设备容易受到零日漏洞CVE-2023-3519的攻击12、Atera Windows安装程序中的关键零日漏洞使用户面临权限升级攻击13、Google Messages通过MLS协议实现跨平台端到端加密14、涉俄著名黑客组织KillNet与克里姆林宫的联系尚不清楚
资讯详情
2、美国国防承包商博思艾伦支付3.77亿美元和解政府欺诈案美国国防承包商Booz Allen Hamilton已同意支付3.775 亿美元巨额资金来解决采购欺诈指控,这是有史以来达成的此类最大和解协议之一。Booz Allen Hamilton专注于网络和数字情报。这家收入数十亿美元的公司是举报人爱德华·斯诺登在国家安全局工作时的雇主。这家承包巨头被指控向政府合同和分包合同收取成本,而这些成本本应计入其商业和国际合同。被指控的不当行为发生在2011年至2021年的十年间。政府声称,博思艾伦将其商业和国际合同的间接成本附加到与他们没有关系的政府合同中,或者这些成本“以不成比例的数额”分配。政府还声称博思艾伦未能披露其如何核算其商业和国际业务产生的成本。美国司法部表示,最终结果是美国纳税人间接偿还了对美国没有任何好处的商业活动。哥伦比亚特区美国检察官马修·格雷夫斯 (Matthew Graves) 表示:“这项和解协议是历史上最大的采购欺诈和解协议之一,表明美国将追究纳税人资金被盗的最大公司和最复杂的案件。”“司法部致力于查出政府项目中的所有欺诈、浪费和滥用行为——无论大小,简单还是复杂。”作为《虚假申报法》规定的一部分,揭发此案的举报人是博思艾伦 (Booz Allen) 前员工,他将获得近7000万美元的赔偿。就在这一消息发布一周前,一家美国医疗保健技术供应商同意支付3100万美元,以和解对其违反《虚假申报法》并贿赂客户推荐其产品的指控。https://www.infosecurity-magazine.com/news/booz-allen-377m-settle-government/
3、欧盟各国政府拒绝要求制造商向中央网络机构报告漏洞欧盟各国政府拒绝了最初建议欧盟网络安全机构发挥核心作用,拒绝了要求制造商向欧盟网络安全机构 (ENISA) 报告被主动利用的漏洞的提议。相反,在拟议的《网络弹性法案》(CRA)修订版中,欧洲理事会呼吁制造商向其所在国家/地区的国家计算机安全事件响应小组(CSIRT)披露漏洞。然后,CSIRT将使用由ENISA运营和维护的新情报共享平台向其他成员国当局传播此警告。欧洲理事会是欧盟的执行机构,由政府首脑组成。在这些提案成为法律之前,将于今年晚些时候与欧洲议会进行谈判。目前尚不清楚,让总部位于希腊、只有100多名员工的ENISA运营和维护一个平台,而不是直接接收报告,此举是否会解决人们对该机构储存有关正在进行的黑客活动的信息的一些担忧。欧洲议会网络安全报告员Bart Groothuis此前曾对Recorded Future News表示,该提议可能会让ENISA成为敌对国家和犯罪分子的目标。“这本身就是对互联网安全的威胁,因为其他机构可能会这么做,”他说。ENISA已负责根据今年1月生效的网络和信息安全(NIS2)指令的最新更新,建立和维护欧盟漏洞数据库(类似于MITRE运行的CVE数据库) 。该机构仍在围绕该数据库制定政策和程序,以确保其安全性和完整性。ENISA有责任“立即向 CSIRT网络通知影响单一报告平台的任何安全事件”。该立法可能会引发欧洲各个事件响应团队之间的冲突,其中一些团队是本国情报部门的一部分,例如意大利,并且也可能参与国内漏洞披露流程,而其他团队(例如德国联邦信息安全办公室)则独立于安全部门。https://therecord.media/eu-rejects-requirements-for-manufacturers
4、CISA表示不断发展的CDM改变了联邦网络安全响应美国网络安全和基础设施安全局(CISA)宣布,当一家联邦机构最近发现针对其网络的主动攻击时,该机构部署了持续诊断和缓解(CDM)联邦仪表板。此举使CISA能够检测到联邦政府中与此漏洞相关的其他几个易受攻击的系统。CISA能力建设副主任迈克尔·达菲(Michael Duffy)在上周五(21日)的博客文章中写道:“几分钟之内,我们就利用这种对联邦机构基础设施的主机级可见性来确认潜在风险,向受影响的机构发出警报,并积极跟踪缓解措施,防止主动利用对机构系统造成广泛损害并影响美国人所依赖的基本服务。” “如今清洁发展机制的能力与几年前形成了鲜明的对比。”本月,Duffy 透露,CISA利用CDM功能作为对两起相关网络事件的更广泛响应的一部分。他补充道:“CISA操作员分析了近乎实时的机构仪表板报告,以协调MOVEit Transfer漏洞的有针对性的通知,并在几分钟内了解流行情况,这与仪表板出现之前相比又是一个重大改进。”Duffy还强调,CDM机构仪表板可视化从机构环境中部署的传感器和工具收集的网络风险信息。“每个机构仪表板都与我们的联邦仪表板共享数据,使 CISA能够全面了解联邦企业非机密域的动态状态,从而使整个联邦政府的网络运营商能够在应对网络威胁时更有效地进行协作。”在过去三年中,CDM对联邦网络安全的范围、规模和影响显著增长。https://industrialcyber.co/cisa/cisa-says-evolving-cdm-transforms-federal-cybersecurity-response-enables-interactive-cyber-defense/
5、雅马哈加拿大音乐公司遭网络攻击致未经授权的访问和数据被盗雅马哈加拿大音乐部门证实,在两个不同的勒索软件组织声称攻击该公司后,该部门最近确认遭遇了网络攻击。雅马哈公司与分拆出来的摩托车部门不同,是一家生产乐器和音频设备的日本制造巨头。它被认为是世界上最大的音乐设备生产商。雅马哈加拿大音乐公司在上周四(20日)的一份声明中表示,“最近遇到了一次网络攻击,导致未经授权的访问和数据被盗。”该公司表示:“作为回应,我们迅速采取措施遏制攻击,并与外部专家和我们的IT团队合作,防止重大损害或恶意软件渗透到我们的网络中。”该公司补充说,目前的主要重点是“减轻这种犯罪行为造成的任何不利后果”。网络安全专家Dominic Alvieri表示,6月14日,该公司被列入Black Byte勒索软件团伙的受害者名单。但周五(21日),雅马哈出现在Akira勒索软件组织的泄露网站上。阿尔维里表示,受害组织被两个不同的勒索软件组织发布的情况越来越常见。他指出,今年至少有一个组织是由三个不同的团体发布的。“这是今年的一个主要趋势,”他说。“重复发布的情况越来越多。”类似的例子还有奥克兰市勒索事件,它出现在Play和LockBit勒索软件团伙的泄密网站上。Recorded Future勒索软件研究员艾伦·利斯卡(Allan Liska)表示,重复发布的情况似乎确实更频繁地发生。真实目的就是更好地强制受害者支付赎金,并且赋予勒索软件即服务团体更大的“影响力”。https://therecord.media/yamaha-confirms-cyberattack-after-multiple-ransomware-gangs-claim
6、漏洞Atlassian修补Confluence、Bamboo中的远程代码执行漏洞Atlassian已针对Confluence数据中心和服务器中的两个远程代码执行(RCE)漏洞以及Bamboo数据中心中的另一个漏洞发布了补丁。其中最严重的问题是CVE-2023-22508(CVSS评分为8.5),是在Confluence 7.4.0版本中引入的。第二个错误编号为CVE-2023-22505(CVSS评分为 8.0),是在Confluence版本 8.0.0中引入的。利用这两个漏洞可能允许攻击者执行任意代码,从而影响机密性、完整性和可用性。利用该漏洞不需要用户交互,但攻击者需要被验证为有效用户。Confluence 8.3.2和8.4.0 版本的发布解决了这两个缺陷。无法升级到这些版本之一的客户至少应更新到版本 8.2.0,该版本修补了CVE-2023-22508。据Atlassian 称,这两个漏洞都是由私人用户发现的,并通过该公司的错误赏金计划进行报告。该公司还发布了针对CVE-2023-22506(CVSS 评分为7.5)的补丁,这是Bamboo数据中心中的一个高严重性RCE漏洞。该漏洞在Bamboo版本 8.0.0中引入,并在企业解决方案版本9.2.3和9.3.1中得到解决。Atlassia 解释说:“这种注入和RCE漏洞允许经过身份验证的攻击者修改系统调用所采取的操作并执行任意代码,这对机密性、完整性、可用性都有很大影响,并且没有用户交互。”美国网络安全和基础设施安全局 (CISA)指出,成功利用这些漏洞可能会导致系统被接管。https://www.securityweek.com/atlassian-patches-remote-code-execution-vulnerabilities-in-confluence-bamboo/
7、网络安全公司Perimeter81无视对其macOS应用程序中权限升级漏洞的披露网络安全公司Perimeter81显然需要改进其产品中发现的漏洞的负责任的披露流程。网络安全研究员Erhad Husovic在6月下旬发表了一篇博文,披露了Perimeter81的macOS应用程序中发现的本地权限升级漏洞的详细信息。研究人员表示,权限升级利用了错误配置的XPC服务以及命令注入漏洞。利用该漏洞,攻击者可以使用root权限执行任意命令。Husovic当时表示,他于3月中旬首次向Perimeter81报告了他的发现。随后又联系了该供应商四次,但研究人员声称他只收到一次回复,称该问题“被错误地转移了方向”。随后,研究人员向卡内基梅隆大学CERT协调中心(CERT/CC)的漏洞信息和协调环境(VINCE)报告了该安全漏洞。在未能得到供应商的回应后, CERT/CC发布了自己的针对该漏洞的公告,该漏洞的编号为CVE-2023-33298。“当时,最新的Perimeter81 MacOS应用程序(10.0.0.19)的com.perimeter81.osx.HelperTool内部存在本地权限提升漏洞。这个HelperTool允许主应用程序设置需要管理权限的内容,例如VPN 连接、更改路由表等,”CERT/CC在其通报中表示。首次披露三个多月后,研究人员决定披露该漏洞以及概念验证(PoC)漏洞。该缺陷似乎尚未得到修复。https://www.securityweek.com/perimeter81-vulnerability-disclosed-after-botched-disclosure-process/
8、主要通信标准TETRA中发现漏洞可控制所有紧急服务荷兰信息安全公司Midnight Blue的研究团队发现了国际无线通信标准TETRA中的危险漏洞,该标准被世界各地的警察、军队和关键基础设施运营商使用。这些缺陷可能允许攻击者拦截、欺骗或破坏秘密通信。TETRA(地面集群无线电)通信标准在170个国家/地区使用。它由欧洲电信标准协会(ETSI)开发,并得到包括Motorola Solutions、Airbus、Hytera等在内的多家无线电制造商的支持。TETRA用于应急响应系统、公共安全、军事和关键基础设施中设备之间的无线通信。该标准自20世纪90年代以来一直用于无线电通信,但由于TETRA中使用的加密算法仍然保密,因此漏洞仍然未知。Midnight Blue研究人员发现了该标准中的多个漏洞,其中包括一种加密算法中的后门,该算法允许低级主机拦截加密消息。其他漏洞与时间戳处理和密钥流创建不正确有关,这可能允许攻击者欺骗消息。专家指出,存在以下缺陷:一是TEA1算法中的漏洞;二是处理时间戳和密钥流中的漏洞:TETRA 使用时间戳来同步无线电和基站之间的通信。漏洞可用于虚假信息、破坏或间谍活动,它们对公共安全系统和关键基础设施网络构成真正的威胁。研究人员不知道他们发现的漏洞是否被积极利用。但他们在爱德华·斯诺登 (Edward Snowden) 泄密事件中发现的证据表明,美国国家安全局(NSA)和英国情报机构(GCHQ)过去曾使用TETRA进行窃听。https://www.securitylab.ru/news/540278.php
9、Zyxel(合勤)网络设备仍然运行旧软件并容易受到网络攻击自4月份发现严重漏洞以来一直没有更新的合勤网络设备已成为黑客利用其创建僵尸网络并进行DDoS攻击的主要目标。该漏洞编号为CVE-2023-28771,允许攻击者使用特制的IKEv2包在Zyxel设备上执行任意代码。它会影响默认设置的防火墙和Zyxel VPN服务器。4月25日,Zyxel发布了针对该漏洞的补丁,但许多组织仍未更新其设备。5月底,实时监控互联网威胁的组织Shadowserver警告称 ,数十台Zyxel设备已在持续至今的攻击中受到损害。Shadowserver建议将所有易受攻击的设备视为受感染。上周,Fortinet发布了自己的研究报告 ,报告称近几周来各种黑客组织发起的攻击活动急剧增加。大多数攻击都是基于Mirai的变体。一旦成功利用,Mirai就会将设备组合成僵尸网络,可以实施大规模 DDoS攻击。与此同时,研究人员早在6月初就发布了PoC——针对易受攻击的Zyxel设备的漏洞利用,以某种方式刺激该网络设备的所有者更新其设备。但从仍受影响的设备数量来看,该计划似乎行不通。Fortinet的Lin特别指出,在过去的一个月中,已从各种IP地址检测到使用CVE-2023-28771的攻击,这些攻击专门针对在Zyxel设备传输的互联网密钥交换数据包中注入命令的能力。这些攻击是使用curl和wget等工具进行的,这些工具从黑客控制的服务器下载恶意脚本。除Dark.IoT外,其他利用该漏洞的僵尸网络程序还包括Rapperbot和Katana。遗憾的是,持续不断的成功利用尝试表明,相当多的公司由于某种原因尚未修复。https://www.securitylab.ru/news/540272.php
10、人工智能打击犯罪分子:ChatGPT现在调查网络犯罪来自多所大学的网络安全研究人员评估了ChatGPT 尤其是GPT-4)对数字取证的影响。包括GPT-3.5、GPT-4、BERT、Bard等在内的大型语言模型(Large Language Model,LLM) 发展的快速进展,为AI在数字取证领域的应用开辟了新的视野。如今,人工智能的功能可用于:数据分类;网络取证;恶意软件分析;人脸识别系统。然而,尽管这些技术潜力巨大,但它们也可能会犯错误,从而引发了过度依赖技术的法律、伦理和研究问题。此外,还应考虑技术限制。科学家们强调了能够在资源有限的环境中快速创建脚本的重要性,这对于解决文件恢复、使用RAID阵列-独立磁盘冗余阵列-独立磁盘的冗余阵列、破解密码和恢复加密密钥等问题至关重要。文章作者指出,尽管在数字取证领域使用ChatGPT具有明显的优势,但AI仍存在许多功能限制。该研究并不详尽,实际的复杂性可能与实验条件有很大差异。此外,结果在很大程度上取决于任务集,并且由于ChatGPT的不确定性,可能无法完全重现。尽管如此,人工智能在网络安全领域继续积极发展, WormGPT工具的出现就证明了这一点——类似于用于渗透测试的ChatGPT。https://www.securitylab.ru/news/540263.php
11、超过20,000台Citrix设备容易受到零日漏洞CVE-2023-3519的攻击网络安全公司Bishop Fox声称,针对最近的Citrix应用程序交付控制器(ADC)和网关漏洞的新漏洞利用技术可用于攻击数千个未修补的设备。该漏洞编号为CVE-2023-3519,并于上周进行了修补,可被利用在配置为网关或AAA虚拟服务器的易受攻击的设备上远程执行任意代码,无需身份验证。上周,CISA警告称,自2023年6月以来,已发现利用该缺陷的攻击,其中至少有一起针对关键基础设施组织的攻击。21日,Bishop Fox警告称,存在一种利用该漏洞的新方法,该方法可用于攻击任何设置为网关或AAA虚拟服务器的设备,并暴露在某些安装中默认启用的特定路由。“该漏洞是一个简单的未经身份验证的堆栈溢出。由于漏洞缓解措施无法保护某些版本上的易受攻击的功能,这一事实使情况变得更加糟糕。”Bishop Fox指出。“存在漏洞的二进制文件是在没有PIE的情况下使用可执行堆栈进行编译的,并且在VPX版本上,没有堆栈金丝雀。该公司表示,该漏洞与之前详细的漏洞技术不同,并且不需要启用SAML。然而,目前尚未披露已确定的易受攻击路线的技术细节。Bishop Fox 还指出,他们对易受攻击的设备的分析显示,存在约61,00 个可通过互联网访问的Citrix Gateway登录页面,其中一半以上的设备(约 32,000个)未针对CVE-2023-3519打补丁。大约21,000台未打补丁的设备也暴露了易受攻击的路线,这使得它们容易受到新的利用技术的攻击。https://www.securityweek.com/over-20000-citrix-appliances-vulnerable-to-new-exploit/
12、Atera Windows安装程序中的关键零日漏洞使用户面临权限升级攻击Atera远程监控和管理软件的Windows安装程序中的零日漏洞可能成为发起权限升级攻击的跳板。Mandiant于2023年2月28日发现的这些缺陷已分配了标识符CVE-2023-26077和CVE-2023-26078,Atera分别于2023年4月17日和2023年6月26日发布的1.8.3.7和1.8.4.9版本中修复了这些问题。安全研究员Andrew Oliveau表示:“如果管理不当,从NT AUTHORITY\SYSTEM上下文启动操作的能力可能会带来潜在的安全风险。” “例如,以NT AUTHORITY\SYSTEM身份运行的错误配置的自定义操作可能会被攻击者利用来执行本地权限提升攻击。”成功利用这些弱点可能会为以提升的权限执行任意代码铺平道路。这两个缺陷都存在于MSI安装程序的修复功能中,可能会导致操作从NT AUTHORITY\SYSTEM上下文触发,即使这些操作是由标准用户启动的。据Mandiant称,Atera Agent容易受到本地权限提升攻击,该攻击可通过DLL劫持(CVE-2023-26077) 来利用,然后可被滥用以以NT AUTHORITY\SYSTEM用户身份获取命令提示符。另一方面,CVE-2023-26078涉及“执行触发Windows控制台主机 (conhost.exe) 作为子进程的系统命令”,从而打开“命令窗口,如果以提升的权限执行该命令窗口,则攻击者可以利用该窗口执行本地权限升级攻击”。软件开发人员必须彻底检查其自定义操作,以防止攻击者劫持由MSI修复触发的NT AUTHORITY\SYSTEM操作。https://thehackernews.com/2023/07/critical-zero-days-in-atera-windows.html
13、Google Messages通过MLS协议实现跨平台端到端加密谷歌宣布打算在其Android消息服务中添加对消息层安全性(MLS)的支持,并开源该规范的实现。谷歌隐私工程总监贾尔斯·霍格本 (Giles Hogben)表示:“大多数现代消费者消息平台(包括Google Messages)都支持端到端加密,但如今的用户仅限于与使用同一平台的联系人进行通信。” “这就是为什么谷歌强烈支持需要大型端到端消息平台互操作性的监管工作。”这一开发是在互联网工程任务组(IETF)以征求意见(RFC 9420 ) 的形式发布消息层安全(MLS)协议的核心规范之际进行的。其他一些大力支持该协议的主要公司包括 Amazon Web Services (AWS) Wickr、Cisco、Cloudflare、Matrix.org Foundation、Mozilla、Phoenix R&D和Wire。值得注意的是,该列表中缺少提供iMessage的Apple。MLS 是一个用于端到端加密的安全层,可促进跨消息传递服务和平台的互操作性。它于2023年3月被IETF批准作为标准发布。MLS的核心是一种称为连续组密钥协议(CGKA) 的方法,该方法允许多个消息传递客户端就共享密钥达成一致,该共享密钥可以满足从2到100 人规模的组,无论加入和离开组对话的个人如何,都可以提供前向保密保证。https://thehackernews.com/2023/07/google-messages-getting-cross-platform.html
14、涉俄著名黑客组织KillNet与克里姆林宫的联系尚不清楚尽管俄罗斯威胁组织KillNet与克里姆林宫之间的确切联系仍然模糊,但其高调且日益有效的网络攻击仍然符合俄罗斯的国家利益。其精心策划的公关活动正在吸引其他网络犯罪分子及其技能参与其中。Mandiant本周发布的一份新报告发现KillNet的媒体品牌战略正在发挥作用,帮助该组织将俄罗斯黑客力量整合到一个组织之下。值得注意的是,正如其他分析人士所指出的那样,除了反映乌克兰入侵后克里姆林宫的利益之外,几乎没有确凿的证据表明 KillNet 与俄罗斯政府之间存在协调。然而,在虚假信息充斥的环境中,事实可能很难追踪,Mandiant报告发布之前,英国就网络犯罪雇佣兵与政府合作成为国家代理人发出警告。英国国家犯罪局局长格雷姆·比格在声明中表示:“朝鲜一段时间以来一直利用网络犯罪窃取资金,最近又窃取加密货币。” “俄罗斯国家长期以来一直容忍并偶尔向其领土上的网络犯罪团体发出任务,并与其寡头及其支持者有联系。但去年我们开始看到敌对国家开始利用有组织犯罪团体(并不总是同一国籍)作为代理人。我们和军情五处和反恐警务部门的同事正在密切关注这一事态发展。”KillNet可能是也可能不是该现象的一部分。Mandiant的威胁情报团队在一份媒体声明中告诉Dark Reading:“我们尚未发现[KillNet]组织与俄罗斯安全部门合作或受到俄罗斯安全部门指导的直接证据,但俄罗斯和许多其他国家在其行动中利用代理来混淆归属。”https://www.darkreading.com/threat-intelligence/killnet-kremlin-connection-unclear-cybercrime-collective-grows
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement