其他
20230804-5th域安全微讯早报-No.185
网络空间安全对抗资讯速递
2023年8月4日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-185 星期五
今日热点导读
1、FBI、CISA和NSA揭示2022年最容易被利用的漏洞-Fortinet SSL VPN漏洞位于榜首
2、美国政府承包商Serco披露MoveIT攻击后数据泄露
3、孟加拉国黑客活动分子针对印度和以色列发起DDoS攻击
4、微软表示对重大体育赛事日益增长的网络安全担忧
5、俄罗斯Midnight Blizzard组织利用间谍攻击来针对政府、非政府组织、离散制造业
6、施耐德电气宣布推出适用于OT环境的托管安全服务
7、CISA对UEFI安全敲响警钟
8、制造业因勒索软件的财务成本而陷入困境
9、人类无法可靠地检测深度伪造语音
10、黑莓报告:针对政府机构的网络攻击增加40%
11、OWASP发布 基于大语言模型 (LLM) 的聊天机器人中最常见漏洞的排名
12、美国大型旅游公司Mondee发生重大客户数据泄密事件
资讯详情
1、FBI、CISA和NSA揭示2022年最容易被利用的漏洞-Fortinet SSL VPN漏洞位于榜首
五眼网络安全机构8月3日与CISA、NSA和FBI合作发布了2022年12个最容易被利用的漏洞列表。美国、澳大利亚、加拿大、新西兰和英国的网络安全机构呼吁世界各地的组织解决这些安全缺陷并部署补丁管理系统,以最大程度地减少潜在攻击的风险。威胁行为者越来越多地将攻击重点放在过时的软件漏洞上,而不是去年最近披露的漏洞,特别是针对未修补并暴露在互联网上的系统。联合咨询报告称:“到2022年,恶意网络行为者利用旧软件漏洞的频率比最近披露的漏洞和针对未修补的面向互联网的系统的频率更高。”“许多软件漏洞或漏洞链的概念验证(PoC)代码是公开的,这可能会促进更广泛的恶意网络行为者的利用。”尽管截至2022年底,通用漏洞披露 (CVE)计划发布了超过25,000个新安全漏洞,但只有5个漏洞进入了同年攻击中利用的前12个漏洞列表。第一名是CVE-2018-13379,这是Fortinet SSL VPN漏洞,该公司在四年前(即 2019 年 5 月)修复。该漏洞被国家黑客滥用,破坏了美国政府选举支持系统。https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/2、美国政府承包商Serco披露MoveIT攻击后数据泄露跨国外包公司 Serco Group的美洲分公司Serco Inc披露了一起数据泄露事件,攻击者从第三方供应商的 MoveIT托管文件传输 (MFT) 服务器窃取了10,000多人的个人信息。Serco在向缅因州总检察长办公室提交的违规通知中表示,这些信息是从其福利管理提供商CBIZ的文件传输平台中泄露的。攻击中泄露的个人信息包括以下信息的任意组合:姓名、美国社会安全号码、出生日期、家庭邮寄地址、Serco和/或个人电子邮件地址以及当年选定的健康福利。Serco目前正在与CBIZ合作调查此次违规行为并评估事件的全部范围,重点是确保第三方供应商已实施安全措施以防止未来发生此类事件。Serco的客户名单包括一长串美国联邦机构,包括国土安全部、司法部和国务院,以及美国情报机构和多个美国武装部队部门(例如海军、陆军、海军陆战队、空军)。Serco也是美国州和地方政府以及加拿大政府的承包商,还为辉瑞、第一资本和富国银行等知名商业客户提供服务。该公司在35个国家拥有超过50,000名员工,2022年年收入超过57亿美元 。https://www.bleepingcomputer.com/news/security/us-govt-contractor-serco-discloses-data-breach-after-moveit-attacks/
3、孟加拉国黑客活动分子针对印度和以色列发起DDoS攻击研究人员发现,出于政治和宗教动机,孟加拉国黑客组织正在加大对印度和以色列的网络攻击力度。自去年6月以来,孟加拉国神秘团队发起了750多次分布式拒绝服务攻击 (DDoS),这些攻击以垃圾流量淹没网站,还发起了70多次篡改攻击,这些攻击改变网站外观以显示未经授权的内容。其中34%的目标是印度,18%的目标是以色列。根据网络安全公司 Group-IB的一份报告,孟加拉国黑客组织由用户名 D4RK TSN的威胁行为者于2020年创立。然而,该组织直到2022年才开始引起全世界的关注,此前该组织对印度和以色列的高层目标发动了一系列网络攻击。研究人员表示,黑客活动分子的目标包括政府、金融和运输行业,但他们主要关注特定国家,而不是个别公司或部门。与许多黑客活动分子类似,孟加拉国黑客经常受到各种新闻事件的激励,从而促使他们对特定国家发起攻击。就孟加拉国神秘团队而言,这些新闻事件通常与政治或宗教有关。https://therecord.media/bangladesh-hacktivistis-targeting-india
4、微软表示对重大体育赛事日益增长的网络安全担忧微软警告恶意网络行为者对体育场运营构成威胁,并警告现场体育赛事的网络风险面正在“迅速扩大”。该公司在与黑客新闻分享的网络信号报告中表示:“有关运动表现、竞争优势和个人信息的信息是一个利润丰厚的目标。” “运动队、大联盟和全球体育协会以及娱乐场所蕴藏着网络犯罪分子所需的大量有价值的信息。”“不幸的是,由于这些环境中连接设备和互联网络的数量,这些信息可能容易受到大规模攻击。”该公司特别指出为球迷和球员提供关键支持和健康服务的医院是勒索软件攻击的目标,导致服务中断。为了防御此类攻击,Microsoft建议:公司禁用不必要的端口并确保对恶意或临时无线接入点进行正确的网络扫描;与会者使用最新更新和补丁来保护应用程序和设备的安全,避免通过公共 Wi-Fi访问敏感数据,并避免扫描来自不受信任来源的二维码;商务系统确保销售点 (PoS) 设备已修补、处于最新状态并连接到单独的网络;场馆运营实施逻辑网络分段,划分IT和OT系统,限制设备交叉访问。微软表示:“理想情况下,组织和安全团队可以在事件发生之前配置其系统以完成测试、对系统和设备进行快照,并让IT团队随时可以在需要时快速重新部署。”https://thehackernews.com/2023/08/microsoft-flags-growing-cybersecurity.html
5、俄罗斯Midnight Blizzard组织利用间谍攻击来针对政府、非政府组织、离散制造业Microsoft威胁情报团队使用 Microsoft Teams聊天时发送的凭据盗窃网络钓鱼诱饵,识别出高度针对性的社会工程攻击,该攻击者被软件巨头追踪为Midnight Blizzard(之前追踪为Nobelium)。这次最新的攻击与过去的活动相结合,进一步证明了 Midnight Blizzard使用新技术和通用技术持续执行其目标。此活动的目标组织可能表明Midnight Blizzard针对政府、非政府组织 (NGO)、IT服务、技术、离散制造和媒体部门的特定间谍目标。Midnight Blizzard(也被追踪为Nobelium)是一个总部位于俄罗斯的威胁组织,美国和英国政府将其称为俄罗斯联邦对外情报局(也称为SVR)。“众所周知,该威胁行为者主要针对美国和欧洲的政府、外交实体、非政府组织 (NGO) 和 IT 服务提供商。他们的重点是通过长期专门针对外国利益的间谍活动来收集情报,这些活动可以追溯到2018年初。该组织黑客利用他们在之前的攻击中受到损害的小企业拥有的 Microsoft 365租户来托管和发起他们的社会工程攻击。除了身份验证鱼叉式网络钓鱼、密码喷射、暴力破解和其他凭据攻击之外,Midnight Blizzard还经常利用令牌盗窃技术来初始访问目标环境。https://industrialcyber.co/vulnerabilities/midnight-blizzard-uses-espionage-attacks-to-target-government-ngos-discrete-manufacturing-sectors/
6、施耐德电气宣布推出适用于OT环境的托管安全服务能源管理和工业自动化解决方案数字化转型供应商施耐德电气8月1日推出了托管安全服务 (MSS)产品,帮助OT(操作技术)环境中的客户应对与远程访问和连接技术需求相关的日益增加的网络风险。这些服务还可用于帮助应对复杂IT和OT环境中日益增长的威胁。新产品由施耐德电气的全球网络安全互联服务中心 (CCSH) 提供支持,提供成熟的技术作为灵活的服务来监控网络威胁并代表客户主动响应。很少有公司,尤其是OT领域的公司,拥有专门的网络安全资源或内部专业知识。施耐德网络安全解决方案和服务副总裁Jay Abdallah评论道:“托管安全服务将帮助我们的客户实施网络安全行业领先的实践、主动应对风险并符合监管要求,使他们能够专注于核心运营。”该公司在一份媒体声明中表示。“作为我们使组织更高效运行的广泛解决方案的一部分,这一新的网络安全产品不断发展,有助于保护我们的客户免受可能出现的新网络威胁。”https://industrialcyber.co/news/schneider-electric-announces-managed-security-services-for-ot-environments/
7、CISA对UEFI安全敲响警钟在缓解BlackLotus bootkit造成灾难的背景下,网络安全和基础设施安全局 (CISA) 呼吁改进统一可扩展固件接口 (UEFI)更新机制的安全性。在8月3日发布的一篇博文中,CISA敦促计算机行业全面采用安全设计方法来增强UEFI的整体安全性,UEFI是负责系统启动例程的固件。它由多个组件组成,包括安全和平台初始化程序、驱动程序、引导加载程序和电源管理接口。CISA高级技术顾问Jonathan Spring在接受Dark Reading独家采访时表示:“设计安全就是让设计软件的组织对安全负责,其中包括更新路径。”UEFI是一种流行的攻击面,因为如果它加载了恶意代码,威胁参与者就可以在系统上实现高水平的持久性,因为该代码将在操作系统或任何安全软件之前启动。这使得它对于大多数事件响应策略和操作系统级防御来说都是不可见的,并且不受系统重新启动的影响。Spring表示,CISA的行动呼吁是要求全面开展标准行动,通过创建软件和附带的本质上强化的更新路径来消除对UEFI的威胁。BlackLotus是第一个成功绕过Microsoft UEFI安全启动实施的野外恶意软件,去年秋天首次被发现在暗网上出售。https://www.darkreading.com/application-security/cisa-sounds-alarm-uefi-security
8、制造业因勒索软件的财务成本而陷入困境Comparitech的一项新分析揭示了勒索软件攻击对制造业造成的巨大全球损失。该公司审查了2018年至2023年7月期间针对制造公司的478起已确认的勒索软件攻击,并利用其全球跟踪器了解此类事件的真实成本。这包括造成的停机时间、被盗数据量、赎金要求多少以及这些要求是否得到满足。Comparitech曾在2017年的一项研究显示,所有行业的平均停机成本为每分钟8,662美元,Comparitech估计,在五年半的时间里,全球制造商因勒索软件攻击造成的停机损失估计达462亿美元。Comparitech认为,这可能被低估了,因为与许多其他行业相比,制造业的停工影响尤其大。这是因为制造业生产的停止直接影响销售。研究显示,2022年勒索软件造成的平均停机时间比2021年几乎翻了一番,从6.4天增加到12.2天。此外,两个时期记录的最长停机时间也存在较大差距——2021年为32天,2022年为76天。Comparitech数据研究主管丽贝卡·穆迪 (Rebecca Moody) 告诉Infosecurity,导致停机时间增加的一个可能因素是攻击者“不断改进其恶意软件,以领先组织一步”。此外,平均赎金需求在2021年最高,达到2190万美元。据分析,到2022年,这一数字将降至880万美元,而到2023年,这一数字目前为170万美元。令人鼓舞的是,据了解,只有四家制造公司支付了勒索要求,但研究人员指出,“许多组织会隐瞒这些信息,因为担心这会让他们更容易受到这些攻击。” 数据还显示,在此期间发生的478起攻击中,至少有750万条记录被泄露。https://www.infosecurity-magazine.com/news/manufacturing-reeling-cost/
9、人类无法可靠地检测深度伪造语音伦敦大学学院 (UCL)的研究人员在最近的一项研究中发现,人类有27%的时间无法检测到深度伪造语音。该研究向529人提供了真实和深度伪造的音频样本,并要求他们识别深度伪造的音频样本。参与者只能在73%的时间内识别出虚假音频,尽管在接受识别深度伪造语音的训练后,检测准确度平均提高了3.84%。研究人员使用在两个公开数据集上训练的文本转语音 (TTS) 算法来生成深度伪造语音样本。这些测试以英语和普通话运行,以了解语言是否会影响检测性能和决策原理。该研究的第一作者Kimberly Mai评论道:“我们的研究结果证实,人类无法可靠地检测深度伪造语音,无论他们是否接受过帮助他们识别人工内容的培训。还值得注意的是,我们在这项研究中使用的样本是使用相对较旧的算法创建的,这提出了一个问题:人类是否无法检测到使用现在和未来最先进的技术创建的深度伪造语音。”这项研究首次评估了人类检测英语以外的人工生成语音的能力。研究人员现在计划开发更好的自动化语音检测器,作为创建深度伪造音频和图像检测功能的一部分。由于深度伪造品有可能被用于欺诈和传播错误信息等邪恶活动,因此越来越多的人呼吁监管深度伪造品。例如,英国的在线安全法案包括将分享“深假色情内容”定为犯罪的条款。https://www.infosecurity-magazine.com/news/humans-detect-deefake-speech/
10、黑莓报告:针对政府机构的网络攻击增加40%黑莓网络安全公司于2023年8月2日发布了第二份季度威胁情报报告,涵盖了2023年3月至5月观察到的网络攻击。该公司声称在90天内阻止了150万次攻击,其中 55000次攻击针对公共部门组织。本报告期内,有关勒索软件组织针对并破坏北美城市和州政府系统的新闻占据主导地位。其中包括针对加利福尼亚州奥克兰市的 LockBit事件、影响德克萨斯州达拉斯和佐治亚州奥古斯塔的BlackByte、皇家勒索软件活动以及Clop的 MOVEit供应链攻击。黑莓威胁研究和情报团队高级总监德米特里·别斯图热夫 (Dmitry Bestuzhev) 告诉Infosecurity,由于政府机构处理公民的私人信息,“政府数据就是黄金,[并且]掌握这些敏感数据对两国来说都被认为是‘绝对成功’——国家和出于经济动机的威胁行为者。它还可以用于其他网络攻击,例如高质量的鱼叉式网络钓鱼攻击。”“由于资源有限和网络防御计划不成熟,这些组织正在努力防御民族国家和网络犯罪分子的双重威胁,而黑客攻击的发生频率和严重程度都更高。虽然公共部门是最具创新性的工具和漏洞利用的行业,但它在攻击总数中排名第二。https://www.infosecurity-magazine.com/news/cyberattacks-government-agencies/
11、OWASP发布 基于大语言模型 (LLM) 的聊天机器人中最常见漏洞的排名开放全球应用程序安全项目 (OWASP) 发布了基于大语言模型 (LLM)的聊天机器人中最常见漏洞的排名:ChatGPT、BERT 和 GPT-3。目标是帮助开发人员在他们的产品中安全地实施人工智能。该评级由行业代表和130多名网络安全专家共同 编制 。正如项目负责人Steve Wilson所强调的那样,“该列表为使用 LLM 识别和修复特定于应用程序的漏洞提供了实用指南。”“为了提出建议,我们进行了集思广益、仔细投票和微调。该列表包含我们团队使用各种取证方法提供的实用建议,”威尔逊在 LinkedIn帖子中写道。例如,与传统软件的开源验证相比,在机器学习框架中检测造假要困难得多。聊天机器人的创建者可能甚至没有考虑可能的攻击场景,尽管它们现在在实践中很少见到。OWASP解决了这个问题。例如,它警告攻击者可以“毒害”用于人工智能训练的数据。或者通过注入特制请求来绕过LLM保护。最终列表列出了10个最常见的漏洞。其中还提到了恶意提示的引入、拒绝服务、不安全的插件设计等威胁。专家们仍然对目前状态下能否为LLM提供可靠的保护表示怀疑。无论如何,该项目将有助于减轻潜在攻击的后果。开发人员需要知道如何自行管理模型并绕过有毒内容。https://www.securitylab.ru/news/540609.php
12、美国大型旅游公司Mondee发生重大客户数据泄密事件一家大型旅游公司Mondee最近关闭了一个数据库,该数据库之前无意中暴露在公共互联网上,其中包含敏感的客户信息,包括航班详细信息、酒店预订和未加密的信用卡号码。该漏洞的曝光得益于独立网络安全研究员Anurag Sen,他发现了该数据库并将其与TechCrunch共享。Sen表示,访问Oracle云中托管的数据库不需要密码,这样就可以通过Web浏览器访问敏感数据,只需要知道正确的IP地址。后来的事实证明,该基地也可以通过Mondee部门之一所在地的一个容易猜到的子域找到。大多数数据似乎与Mondee的TripPro子公司有关,该子公司为数以万计的旅行社和旅游初创公司提供在线航班和酒店预订服务。这个1.7TB的数据库包含客户的个人信息,包括姓名、性别、出生日期、家庭住址、航空旅行详细信息和护照号码。它还包含预订详细信息,直至并包括完整的PNR乘客数据。此外,该数据库还存储了客户信用卡的完整号码及其到期日期,未进行任何加密。TechCrunch的代表 联系了 一些受此次泄露影响的人士,他们确认泄露的数据是真实的。根据Shodan搜索引擎的数据,互联网上首次提及该数据库的可用性可以追溯到2023年7月底。目前尚不清楚该数据库是如何进入公共领域的。大多数情况下,此类泄漏的发生是由于疏忽造成的设置错误。https://www.securitylab.ru/news/540617.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement