其他
20230727-5th域安全微讯早报-No.178
网络空间安全对抗资讯速递
2023年7月27日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-178 星期四
今日热点导读
4、CISA警告安讯士、罗克韦尔、艾默生、江森自控设备存在安全漏洞5、欧盟委员会发布确定关键部门关键实体的清单6、心脏监测技术提供商确认遭受网络攻击7、英国救护车在网络攻击后无法访问患者记录系统8、新的人工智能工具“FraudGPT”出现,专为复杂的攻击而设计9、Decoy Dog DNS恶意软件扩展了其功能变得更加危险10、2023年第二季度勒索软件攻击猛增11、摩尔多瓦因间谍指控驱逐俄罗斯外交官12、Microsof 消息队列漏洞允许远程执行代码和DoS攻击
13、俄罗斯对乌拉尔山脉以外数据中心的需求不断增长14、欧洲ETSI否认TETRA标准中存在“后门”漏洞的说法15、近40%的Ubuntu用户容易受到新的权限提升漏洞的影响
资讯详情
2、CISA:大多数针对政府和关键基础设施的网络攻击都涉及有效凭证根据CISA的一份新报告,针对政府机构、关键基础设施组织和国家级政府机构的所有网络攻击中有一半以上涉及使用有效帐户。2022年,CISA与美国海岸警卫队(USCG)合作,对联邦民事机构、高度优先的私营和公共部门关键基础设施运营商进行了121次风险和脆弱性评估(RVA)。CISA风险运营联邦负责人Gabriel Davis告诉Recorded Future News,这些评估旨在测试组织的防御能力,并使政府有机会了解他们将如何应对复杂的攻击。它们还让CISA深入了解黑客的运作方式。该机构周三(26日)发布的调查结果报告指出,威胁行为者“通过网络钓鱼和使用默认凭据等常见方法完成了最成功的攻击。” 在所研究的成功攻击中,54%使用了有效凭据,这些凭据可以是除默认管理员帐户之外尚未禁用的前员工帐户。戴维斯说,对他来说最突出的是黑客在大多数事件中基本上使用相同的方法。威胁行为者正在修改他们的TTP,但没有看到他们过去所做的活动有很大偏差。黑客还在攻击中使用鱼叉式网络钓鱼,,这是继有效帐户之后第二常见的成功攻击技术。根据RVA,鱼叉式网络钓鱼链接的成功率为33%。https://therecord.media/cisa-cyberattacks-using-valid-credentials
3、北约正在调查非机密信息共享平台的明显违规行为周三(26日),一名北约官员告诉CyberScoop,黑客发布了700多份内部文件的链接,北约正在调查一起明显的网络事件。目前尚不清楚7月23日在Telegram上发布链接的组织SiegedSec是如何获得这些文件的。CyberScoop的粗略审查显示,大约有710个文件据称是从北约利益共同体合作门户网站获得的,该机构称该门户网站是一个“非机密信息共享和协作环境”。“北约网络专家正在积极调查最近与利益社区合作门户相关的指控,”一名北约官员在一封电子邮件中表示。“我们每天都面临恶意网络活动,北约和盟国正在应对这一现实,包括加强我们检测、预防和应对此类活动的能力。”这些文件(其中一些是本月的,另一些是几年前的)揭示了机构人员的姓名和联系信息、用于各种目的的软件列表(以及供应商信息和版本号)等等。该组织还声称,对北约的攻击“与俄罗斯和乌克兰之间的战争无关,这是对北约国家侵犯人权的报复。希望这次袭击能够将信息传达给北约内的每个国家。”国防部没有立即回应置评请求。https://cyberscoop.com/nato-breach-of-unclassified-information-siegedsec/
4、CISA警告安讯士、罗克韦尔、艾默生、江森自控设备存在安全漏洞美国CISA周二(25日)发布了四份工业控制系统(ICS)公告,警告安讯士通信、罗克韦尔自动化、江森自控和艾默生设备中存在硬件漏洞。这些通知及时提供了有关ICS周围当前安全问题、漏洞和漏洞的信息。该安全机构透露,Axis Communications的AXIS A1001网络门控制器包含一个基于堆的缓冲区溢出漏洞,该漏洞可被相邻网络利用。Axis已针对受影响的设备发布了修复该漏洞的补丁版本,并建议用户更新设备软件。CISA还透露,Rockwell的ThinManager ThinServer设备中存在“相对路径遍历”漏洞,这些设备通常部署在关键制造部门。受影响的瘦客户端和远程桌面协议 (RDP)服务器管理软件系列为版本13.0.0 - 13.0.2和13.1.0。第三个通告称,艾默生ROC800系列RTU(远程终端单元)中存在身份验证绕过漏洞,包括ROC800、ROC800L和DL8000预设控制器。第四个CISA ICS通报披露,江森自控的IQ Wifi 6设备包含“对过度身份验证尝试的不当限制”漏洞。该机构透露,受影响的版本涵盖2.0.2之前的IQ Wifi 6。https://industrialcyber.co/cisa/cisa-warns-of-security-flaws-in-axis-rockwell-emerson-johnson-controls-equipment-provides-mitigations/
5、欧盟委员会发布确定关键部门关键实体的清单欧盟委员会周二(25日)通过了关键实体弹性指令(CER)涵盖的11个部门的基本服务清单,旨在增强弹性并进一步确定关键部门的关键实体。成员国必须在2026年7月17日之前确定CER指令中规定的部门的关键实体。他们将使用这份基本服务清单来进行风险评估并确定关键实体。一旦确定,关键实体将必须采取措施增强其弹性。委员会针对该指令所涵盖的11个部门和分部门提出了一份非详尽的服务清单,这些服务对于维持重要的社会功能、经济活动、公共卫生和安全或环境至关重要。它包括能源部门,提供电力生产和能源存储等服务;运输部门,提供机场或铁路基础设施管理和维护等服务;银行业,提供吸收存款和贷款等基本服务;金融市场基础设施部门,提供交易场所和清算系统运营等服务。卫生部门,包括分销、制造、提供医疗保健和医疗服务;饮用水部门,包括饮用水供应和饮用水分配;废水部门,提供废水收集、处理和处置服务;数字基础设施板块,提供互联网交换点服务、域名系统、顶级域名、云计算、数据中心等服务。该清单还涵盖公共行政部门服务;空间部门,运营地面基础设施服务;食品生产、加工和配送板块,提供大规模工业化食品生产加工、食品供应链服务、食品批发配送服务。https://industrialcyber.co/critical-infrastructure/eu-commission-publishes-list-identifying-critical-entities-for-key-sectors-helps-execute-risk-assessments/
6、心脏监测技术提供商确认遭受网络攻击一家心脏监测和医疗心电图技术提供商周三(26日)证实,黑客正在对其系统发起网络攻击。截至周三下午,该公司 CardioComm的网站已关闭。TechCrunch最先报道了这一事件。这家公司获得加拿大和美国医疗设备许可,销售用于记录、查看、分析和存储心电图(ECG)的产品,以诊断和管理心脏病患者。CardioComm在一个临时网页上指出,在努力解决该问题时,其所有在线服务均已关闭。有需要的人可以拨打电话号码。该公司的代表没有回应有关这是否是勒索软件攻击的置评请求。CardioComm在一份声明中表示,该事件似乎仅限于其自己的服务器。该公司表示:“没有证据表明客户的健康信息因此次攻击而受到损害,因为CardioComm的软件设计为在每个客户自己的服务器环境上运行。” “此外,CardioComm不会从其客户那里收集患者健康信息。如果任何员工个人信息遭到泄露,公司已启动身份盗窃预防措施,以最大程度地减少对员工的影响。”该公司表示,正在与“有关当局”和网络安全专家展开调查,以确定“任何数据泄露的来源和程度”。声明称:“CardioComm 业务运营将受到数天甚至更长时间的影响,具体取决于公司恢复数据和重新建立生产服务器环境的速度。”https://therecord.media/cardiocomm-cyberattack-heart-monitoring-ecg-products
7、英国救护车在网络攻击后无法访问患者记录系统瑞典软件公司Ortivus遭受网络攻击,导致至少两家英国救护车服务机构无法访问电子病历。Ortivus上周宣布发生了一起影响英国客户系统的事件,并表示攻击发生在7月18日。该公司没有透露攻击的性质,也没有确定哪些客户受到影响,但强调患者没有直接受到影响。The Register已经确认了英国有两家使用Ortivus的救护车服务,一位内部人士告诉该新闻网站,工作人员因此被迫使用笔和纸。Ortivus在声明中表示:“电子患者记录目前无法使用,在另行通知之前将使用手动系统进行处理。”尽管据信拨打999不会受到影响,但当救护人员将患者移交给医院工作人员时,使用手动系统可能会延迟流程。受影响的救护车服务覆盖英格兰中南部和西南部地区,从彭赞斯到牛津,负责应对约1250万人口的紧急情况。截至7月 20日,它已准备好重新启动电子病历服务,但正在等待该系统“批准和验证”以供英国NHS和救护车信托基金使用。英国国民医疗服务体系(NHS England)的一位发言人告诉《记录未来新闻》(Recorded Future News),Ortivus事件影响了“少数救护车服务”,并表示他们的网络安全运营中心正在“支持供应商重新连接系统”。https://therecord.media/british-ambulances-unable-to-access-patient-records
8、新的人工智能工具“FraudGPT”出现,专为复杂的攻击而设计追随WormGPT的脚步,威胁行为者正在各种暗网市场和Telegram频道上宣传另一种名为FraudGPT的网络犯罪生成人工智能 (AI)工具。Netenrich安全研究员Rakesh Krishnan在周二(25日)发布的一份报告中表示:“这是一个人工智能机器人,专门用于攻击目的,例如制作鱼叉式网络钓鱼电子邮件、创建破解工具、梳理等。”该网络安全公司表示,该产品至少自2023年7月22日起就开始流通,订阅费用为每月200美元(或六个月1,000美元,一年1,700美元)。“如果您[原文如此]正在寻找Chat GPT替代方案,旨在为任何人提供各种专属工具、特性和功能,没有任何限制,那么就不用再犹豫了!”这位在线别名的演员声称。作者还表示,该工具可用于编写恶意代码、创建无法检测的恶意软件、查找漏洞和漏洞,并且已经有超过3,000条确认的销售和评论。目前尚不清楚用于开发该系统的确切大语言模型(LLM)。这一进展正值威胁行为者越来越多地利用类似 OpenAI ChatGPT的人工智能工具的出现来炮制新的对抗性变体,这些变体经过明确设计,旨在促进各种不受任何限制的网络犯罪活动。https://thehackernews.com/2023/07/new-ai-tool-fraudgpt-emerges-tailored.html
9、Decoy Dog DNS恶意软件扩展了其功能变得更加危险一群不知名的黑客正在积极开发并在实际攻击中使用一套名为“诱饵狗”的新恶意软件工具。该软件利用域名系统 (DNS) 来控制和管理一小部分受感染的设备。这是由专门从事IT自动化和网络安全的Infoblox公司宣布的。在4月份首次披露这一威胁后 ,负责开发Decoy Dog的网络犯罪分子迅速做出反应并调整其系统,以确保持续运行并保持对已受感染设备的访问。黑客改变了控制器的DNS响应行为,添加了地理位置限制,并将客户端转移到新的控制器以确保持续访问它们。研究人员告诉Infoblox:“Decoy Dog是一种突破性的、以前未知的恶意软件,在受感染的设备上具有许多持久性功能。”专家们有充分理由担心,这是某个国家的行为者当前用于国家级网络攻击的秘密工具。诱饵狗的许多方面仍然是个谜,其功能的全部范围仍然未知。目前,Decoy Dog的恶意活动只能使用DNS威胁检测算法来检测。这是当今防范这一威胁的唯一方法。研究人员已经发现至少三组使用该恶意软件的攻击者。Decoy Dog基于Pupy RAT远程访问木马。然而,重大的代码更改表明经验丰富的专家参与了开发。据Infoblox称,新恶意软件基于Pupy代码这一事实只是一个烟幕弹,旨在隐藏Decoy Dog的真正功能。Infoblox强调了提高DNS安全性的迫切需要,例如通过使用DNS威胁检测和响应系统。据研究人员称,受监控的20个诱饵狗域中有一些是在上个月内注册和部署的。https://www.securitylab.ru/news/540374.php
10、2023年第二季度勒索软件攻击猛增2023年SonicWall年中网络威胁报告指出,今年迄今为止的勒索软件攻击数量存在两个“非常不平衡的季度”。SonicWall Capture Labs威胁研究人员在2023年第一季度记录了5120万次攻击,这是自2019年第四季度以来攻击数量最少的一次。然而,勒索软件在第二季度卷土重来,发生了8890万次攻击,增长了74%。与2022年上半年相比,2023年上半年勒索软件减少了41%。研究人员确定了今年秋季的一系列因素:加强执法审查:这包括2023年1月取缔Hive勒索软件团伙以及2023年2 美国和英国对Trickbot成员实施制裁,这影响了主要网络犯罪集团的活动。政治和经济环境:研究人员表示,组织不太愿意支付赎金,这既是因为财务困难日益严重,也是因为人们越来越意识到,此类支付可能会支持俄罗斯与乌克兰的持续冲突。策略转变:报告还观察到“纯粹勒索攻击”有所增加,网络犯罪分子越来越依赖数据泄露的威胁,而不是加密数据来勒索受害者。此类方案“不会触发勒索软件检测”。从趋势来看,勒索软件可能会随着2023年的继续而反弹。”2023年7月,Chainaanalysis发现,2023年上半年,勒索软件攻击者勒索的金额比2022年同期增加了1.76亿美元。与 2022年相比,2023年上半年加密劫持事件大幅增长399%。另一个重要发现是,2023年上半年物联网恶意软件增加了37%,联网设备被视为进入组织的薄弱环节。研究人员还在2023年前六个月共发现了172,146个前所未见的恶意软件变种,同比减少了36%。https://www.infosecurity-magazine.com/news/ransomware-attacks-skyrocket-q2/
11、摩尔多瓦因间谍指控驱逐俄罗斯外交官摩尔多瓦因“许多不友好行为”而下令数十名俄罗斯外交官和大使馆工作人员离开该国。26日做出这一决定之前,俄罗斯和摩尔多瓦独立新闻媒体发表的一项调查显示,俄罗斯驻摩尔多瓦首都基希讷乌大使馆的屋顶上安装了28个“间谍天线”,这些天线可能用于拦截信号和收集情报。摩尔多瓦总统马亚·桑杜本周早些时候表示,该国安全部门已发现俄罗斯间谍设备,并正在研究解决这一问题的方案。摩尔多瓦外交部在一份声明中表示:“我们认为任何间谍活动和外国干涉摩尔多瓦共和国内政的行为都是绝对不可接受的,这是对我国主权和国家安全的直接挑战。”媒体调查发现,使馆和邻近建筑物上的卫星天线可能与建筑物内的指挥中心相连。他们报告说,这些天线的旋转表明它们正在向俄罗斯卫星传输数据。据接受记者采访的专家称,卫星可以捕获并可能修改发射器和接收器之间的信号,然后再次释放它们。这些信号可以来自广播、电视、移动网络或卫星通信。记者报道称,摩尔多瓦的天线数量逐年增加,有人看到俄罗斯特工人员爬上使馆屋顶进行维护。4月初,一家跨境新闻网络发现,俄罗斯驻欧洲各国大使馆的屋顶上安装了182个类似的卫星天线。据调查,这些天线可以拦截无线电波、手机设备的数据,甚至窃听电话。俄罗斯大使馆没有回应“记录未来新闻”就间谍指控发表评论的请求。https://therecord.media/moldova-to-kick-out-russian-diplomats
12、Microsof 消息队列漏洞允许远程执行代码和DoS攻击网络安全公司Fortinet发布了最近在Microsoft消息队列(MSMQ)服务中修补的三个严重和高严重性漏洞的详细信息。其中两个缺陷(编号为CVE-2023-21554和CVE-2023-28302)可能导致远程代码执行(RCE)和拒绝服务(DoS),微软已通过 2023年4月的补丁星期二更新解决了这一问题。没有为第三个问题提供CVE标识符。MSMQ是一种专有的消息传递协议,支持运行在不同系统上的应用程序之间的通信。它将未到达目的地的消息放入队列中,并在目的地可达时立即重新发送它们。其中最严重的问题是CVE-2023-21554(CVSS评分为9.8),这是由于消息头解析器无法验证任意大小的消息头而导致的越界写入缺陷。“由于某些消息头未经过验证,因此可以将指针调整为指向任意位置,在此上下文中为无效地址,并且当在代码的后面部分取消引用指向消息头的指针时,可能会导致内存损坏,”Fortinet解释道。CVE-2023-28302(CVSS评分为7.5)被描述为导致DoS的越界读取错误,会影响相同的消息头解析器例程。问题在于,虽然大部分消息标头都经过仔细检查,但标头的数据结构并未经过验证。第三个错误是越界写入缺陷,当在特定函数中未进行任何健全性检查的情况下取消引用数据时,会发生该缺陷。这家网络安全公司表示,格式错误的数据结构可能会触发MSMQ内核模式组件中的缺陷。https://www.securityweek.com/microsoft-message-queuing-vulnerabilities-allow-remote-code-execution-dos-attacks/
13、俄罗斯对乌拉尔山脉以外数据中心的需求不断增长两位托管提供商对话者告诉《生意人报》,俄罗斯大型公司开始将重要信息的处理从莫斯科转移到乌拉尔以外的数据处理中心(DPC)。Rostelecom确认了在乌拉尔山脉以外部署数据中心的需求。在叶卡捷琳堡和新西伯利亚的云服务领域,该公司指出需求比去年增长了20-30%:“这些城市的数据中心很快就会得到容量补充,计划将机架空间数量增加一倍未来五年。”据托管提供商RUVDS称,过去一年,叶卡捷琳堡、符拉迪沃斯托克和新西伯利亚数据中心的客户数量增长了80%以上,而该国欧洲部分的客户数量增长了约17%。RUVDS创始人兼首席执行官表示,乌拉尔山脉以外数据中心的需求几乎是俄罗斯欧洲部分数据中心的五倍。同样正在乌拉尔山脉以外建设数据中心的MTS(2022 年,该公司宣布完成了新西伯利亚第一个模块化数据中心的建设),但没有回应《生意人报》的要求。《生意人报》的消息来源称,俄罗斯直升机公司(Rostec 的一部分)和阿尔罗萨公司是最近将部分数据存储和处理从莫斯科地区转移到乌拉尔以外地区的主要参与者。一位《生意人报》市场消息人士称,乌拉尔和西伯利亚地区关键数据和信息系统的复制和备份背后的因素之一已成为恐怖主义的威胁。“对莫斯科和莫斯科地区的无人机袭击,以及不稳定的政治局势,对于在该地区使用数据中心的公司来说是一个严重的风险,”他解释道。如果数据中心或适合它的电力系统被损坏,互联网被关闭并且没有信息的备份存储,数据中心客户端的工作将停止。“因此,在更安全的地区对数据复制的需求将会增长,”消息人士指出。3data代表证实,客户有兴趣在彼此远程的站点托管解决方案,以便“在发生物理攻击时,第二个备份对象不会受到影响”。https://www.securitylab.ru/news/540375.php
14、欧洲ETSI否认TETRA标准中存在“后门”漏洞的说法ETSI反驳了有关其地面集群无线电(TETRA)标准存在重大漏洞的说法,并表示在研究人员发现一系列漏洞之前就已经开始加强该标准。欧洲电信标准协会(ETSI)在一份声明中还表示,正在实施一项持续的维护计划,以确保标准在不断变化的安全环境中保持健全。这导致TETRA的修订标准于2022年10月发布。“为了适应技术创新和潜在的网络安全攻击,包括来自量子计算机的攻击,ETSI技术委员会TCCE已经完成了旨在保护TETRA网络安全的新算法的工作,”标准机构声明中表示。两个新规范ETSI TS 100 392-7和ETSI TS 100 396-6是由TCCE与ETSI 量子安全密码学小组的专家共同开发的。Midnight Blue的研究人员本周披露了TETRA 中的一系列后门漏洞,这些漏洞允许通过将80位密钥减少到更容易破解的 32位来拦截和监控通信。他们将在下个月举行的Black Hat USA演讲中更详细地讨论他们的发现。ETSI赞扬了研究人员对 TETRA标准整体实力的判断,并表示经过广泛分析后,他们没有发现TEA2和TEA3算法存在弱点。ETSI还承认TETRA协议存在一些需要改进的一般领域,以及TEA1算法的弱点。https://www.darkreading.com/dr-global/tetra-owner-dismiss-backdoor-claims-in-vulnerability-research
15、近40%的Ubuntu用户容易受到新的权限提升漏洞的影响Ubuntu内核中最近引入的两个Linux漏洞为非特权本地用户提供了在大量设备上获得提升特权的可能性。Ubuntu是使用最广泛的Linux发行版之一,在美国尤其受欢迎,大约拥有超过4000 的用户群。Wiz的研究人员S. Tzadik和S. Tamari发现的两个最新漏洞CVE-2023-32629和CVE-2023-2640最近被引入到操作系统中,影响了大约40%的Ubuntu用户群。CVE-2023-2640是Ubuntu Linux内核中的一个高严重性(CVSS v3评分:7.8)漏洞,由权限检查不足导致,允许本地攻击者获得提升的权限。CVE-2023-32629是Linux内核内存管理子系统中的一个中等严重性(CVSS v3 评分:5.4)缺陷,访问 VMA 时的竞争条件可能导致释放后使用,从而允许本地攻击者执行任意代码执行。两位分析师在发现在 Linux 内核上实现OverlayFS模块的差异后发现了问题。OverlayFS是一种联合挂载文件系统实现,由于允许通过用户命名空间进行非特权访问,并且受到容易利用的错误的困扰,因此过去多次成为威胁参与者的攻击目标。Ubuntu作为使用OverlayFS的发行版之一,在2018年对其OverlayFS模块进行了自定义更改,总体上是安全的。然而,在2019年和2022年,Linux内核项目对该模块进行了自己的修改,这与Ubuntu的更改发生了冲突。最近广泛的发行版采用了包含这些更改的代码,冲突导致了这两个缺陷的引入。不幸的是,由于这两个缺陷的PoC已经公开很长时间了,因此被利用的风险迫在眉睫。https://www.bleepingcomputer.com/news/security/almost-40-percent-of-ubuntu-users-vulnerable-to-new-privilege-elevation-flaws/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement