20230812-5th域安全微讯早报-No.192

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月12日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-192 星期六

今日热点导读

1、美国国土安全部网络审查委员会将审查微软Exchange漏洞导致的网络攻击案

2、新型人工智能激光系统保护美国首都地区免受未经授权的飞机攻击

3、NSA和Viasat表示2022年黑客攻击卫星是两起事件

4、CISA就ReadySetCyber行动发布为期60天的问卷调查

5、全球工业PLC受到CODESYS V3 RCE漏洞的影响

6、南部非洲发电机成为DroxiDat恶意软件的攻击目标

7、Atlassian禁用俄罗斯和白俄罗斯用户

8、谷歌开始阻止俄罗斯公司使用Workspace服务

9、OneDrive存储的安全漏洞可能成为勒索软件的后门

10、印度通过数据保护立法但批评者担心侵犯隐私

11、北爱尔兰高级警官为“工业规模”数据泄露道歉

12、研究人员提出应对热攻击的方法

资讯详情

1、美国国土安全部网络审查委员会将审查微软Exchange漏洞导致的网络攻击案

美国国土安全部的网络安全审查委员会将对云安全进行下一次调查，并检查最近针对通过微软软件提供的政府电子邮件帐户的网络攻击。该审查委员会由公共和私营部门的15名网络安全领导者组成，将调查威胁行为者如何以云计算环境为恶意目的。此次审查还将评估黑客组织如何利用Microsoft Exchange Online中的漏洞访问非机密政府电子邮件，这是一次网络攻击，网络安全和基础设施安全局的一名高级官员当时将其描述为针对“外科手术”的“外科手术”。国土安全部部长亚历杭德罗·马约卡斯在周五（8月11日）宣布新审查的声明中将云安全描述为“我们一些最关键系统的支柱”。“各类组织越来越依赖云计算为美国人民提供服务，这使得我们必须了解该技术的漏洞，”马约卡斯说。在此消息发布之前，国会呼吁对网络攻击进行联邦调查，其中包括俄勒冈州民主党参议员罗恩·怀登 (Ron Wyden)，他敦促CISA和总检察长对微软采取行动，指控他在一封信中声称存在网络安全疏忽行为。

https://www.nextgov.com/cybersecurity/2023/08/dhs-cyber-review-board-examine-china-linked-cyberattacks-microsoft/389351/

2、新型人工智能激光系统保护美国首都地区免受未经授权的飞机攻击

一个已有数十年历史的政府系统即将对美国首都地区上空未经授权的飞机进行监控，以加快运行速度。Teleidscope是一家来自加利福尼亚州的公司，专注于增强现实游戏的自动瞄准软件，该公司赢得了一份价值高达1亿美元的合同，用于更换部分国家首都地区综合防空系统(NCR-IADS )。由国防创新部门(DIU)领导的为期18个月的原型阶段。Teleidscope创始人Matt Rabinovitch表示，该系统将人工智能应用于全动态视频线程，以发现未以安全方式运行的飞机，然后识别飞机的类型并告诉操作员其航向。拉宾诺维奇在接受采访时表示，它还具有“各种图像增强功能”，例如除雾和整理。最初的NCR-IADS系统是在9/11之后安装的，当时“显然，飞机飞到了不应该飞的地方。因此，以前的大部分焦点都是面向外的，他们在该国的边界上安装了摄像头系统，但在该国的关键基础设施上或周围并没有那么多。”监视无人机并不是当前合同的一部分，但拉比诺维奇表示，空军等其他客户正在探索如何使用该系统跟踪基地附近的小型无人机。

https://www.nextgov.com/defense/2023/08/new-ai-laser-system-guard-us-capital-region-unauthorized-aircraft/389338/

3、NSA和Viasat表示2022年黑客攻击卫星是两起事件

美国国家安全局(NSA)和卫星互联网提供商Viasat的官员提供了有关俄罗斯入侵乌克兰之初该公司遭受的引人注目的网络攻击的新细节。Viasat副总裁兼首席信息安全官Mark Colaluca与NSA国防工业基地(DIB)网络安全主管Kristina Walter 在周四（8月10日）的黑帽会议上发表了讲话。两人概述了袭击前夕的细节、从该事件中吸取的教训等等。Colaluca在谈话中透露，实际上是两次独立的攻击扰乱了公司的运营。2月23日，黑客攻击了意大利都灵的一个管理中心，目标是为管理员和操作员提供网络访问的VPN安装。当地时间下午5点，分析显示，黑客尝试登录VPN，但多次失败后才成功获得访问权限。黑客侵入了管理服务器，从而可以广泛访问有关该公司有多少调制解调器在线等信息。通过访问用于与散布在欧洲和中东的调制解调器进行通信的计算机系统，攻击者继续发送一款名为“酸雨”的恶意软件，导致40,000到45,000个调制解调器无法运行。第二阶段的攻击直到后来才被发现。俄罗斯黑客不仅部署了擦除器恶意软件，还向Viasat服务器发送了大量请求，很快就淹没了他们的网络。Viasat服务器在五分钟内收到了超过100,000个请求。Colaluca说，这意味着任何时候调制解调器从网络上被踢出时都无法重新连接，因为服务器无法响应。黑客针对特定终端，但该公司无法准确确定哪些调制解调器受到攻击。“攻击者似乎有特定的目标，”科拉卢卡说。Viasat系统的攻击持续到去年2月以后。导致其服务器瘫痪的网络请求在入侵发生后持续了数周，在过去的一年里，该公司观察到射频领域发生了几起事件。但他未透露更多细节。

https://therecord.media/viasat-hack-was-two-incidents-and-resulted-in-sanctions

4、CISA就ReadySetCyber行动发布为期60天的问卷调查

国网络安全和基础设施安全局(CISA)周四（8月10日）发布了一份涉及ReadySetCyber行动的调查问卷的60天通知和机构信息收集活动。该机构旨在利用ReadySetCyber Initiative提供专业服务，满足政府和关键基础设施实体的独特网络安全需求。意见截止日期为2023年10月10日。CISA的 ReadySetCyber Initiative将收集信息，以便根据关键基础设施(CI)组织和州、地方、部落和领地(SLTT)各自网络安全计划的特点，为其提供量身定制的技术援助、服务和资源。CISA 寻求在自愿和完全电子化的基础上从美国CI和SLTT组织收集这些信息，以便每个组织都能得到最好的支持，获得量身定制的网络安全建议和服务。在联邦公报通知中，国土安全部(DHS)概述了CISA ReadySetCyber计划的总体目标是帮助CI和SLTT组织访问针对其特定网络安全需求量身定制的信息和服务。此外，CISA将向管理和预算办公室(OMB)提交信息收集请求(ICR)，以供审查和批准。

https://industrialcyber.co/cisa/cisa-releases-60-day-notice-on-readysetcyber-initiative-questionnaire-input-to-be-submitted-by-oct-10/

5、全球工业PLC受到CODESYS V3 RCE漏洞的影响

全球工业环境中使用的数百万个PLC（可编程逻辑控制器）面临CODESYS V3软件开发套件中15个漏洞的风险，这些漏洞允许远程代码执行(RCE)和拒绝服务(DoS)攻击。超过500家设备制造商使用CODESYS V3 SDK根据IEC 61131-3标准对1,000 多种PLC型号进行编程，从而允许用户开发自定义自动化序列。该SDK还提供Windows管理界面和模拟器，允许用户在将其部署到生产中之前测试其PLC配置和编程。Microsoft研究人员发现了CODESYS V3 SDK中的15个缺陷，并于2022年9月向 CODESYS报告了这些缺陷。该供应商于2023年4月发布了安全更新以解决已发现的问题。由于这些设备的性质，它们不会经常更新来解决安全问题，因此微软的安全团队昨天发布了一篇详细的帖子，以提高人们对风险的认识并帮助加快修补速度。Microsoft检查了Schnieder Electric和WAGO的两个使用CODESYS V3的PLC，发现了15个高严重性漏洞（CVSS v3：7.5–8.8）。这些漏洞是：CVE-2022-47378、CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022- 47385、CVE-2022-47386、CVE-2022-47387、CVE 2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47392、CVE-2022-47393。主要问题在于SDK的标签解码机制，特别是标签在没有验证其大小的情况下被复制到设备缓冲区中，从而为攻击者提供了缓冲区溢出的机会。

https://www.bleepingcomputer.com/news/security/industrial-plcs-worldwide-impacted-by-codesys-v3-rce-flaws/

6、南部非洲发电机成为DroxiDat恶意软件的攻击目标

研究人员发现了一起针对南部非洲发电机的疑似网络攻击，该攻击使用了SystemBC恶意软件的新变种。根据网络安全公司Securelist的报告，这次攻击是由一个未知的黑客组织于今年3月发起的。黑客使用Cobalt Strike工具和DroxiDat（SystemBC有效负载的新变体）来分析受感染的系统并在电力公司上建立远程连接。然而，没有勒索软件被交付给该组织。根据Securelist的说法，SystemBC有效负载是一个“不断变化的恶意后门，经常被用作勒索软件事件的一部分”。至少自2018年以来，它就作为“恶意软件即服务”在各种暗网论坛上出售。该恶意软件的新变体允许攻击者使用自动化任务同时处理多个目标。如果他们获得正确的凭据，他们可以使用内置的Windows工具部署勒索软件，而无需手动控制该过程。与之前的SystemBC变体相比，该DroxiDat变体更加紧凑。它可以检索活动计算机名称和用户名以及IP地址信息。然后它加密这些数据并将其发送到黑客的通信和控制系统。研究人员还在同一天和与DroxiDat相同的系统中发现了用于远程控制受感染设备的Cobalt Strike信标。这次攻击并未归因于任何特定组织，但Securelist表示，这可能与讲俄语的网络犯罪分子有关。

https://therecord.media/southern-africa-utility-targeted-cyberattack

7、Atlassian禁用俄罗斯和白俄罗斯用户

软件开发商Atlassian（Trello、Jira等）警告在俄罗斯和白俄罗斯注册的帐户不要断开服务。这是在该公司服务用户的邮件列表中报道的，塔斯社可以查看该邮件列表。发给用户的邮件中写道：“我们正在联系您，通知您Atlassian正在结束其在俄罗斯和白俄罗斯的业务。”收到通知后30天账户将被禁用，但开发者已明确用户可以在截止日期前导出数据。此外，正如塔斯社记者确信的那样，当试图在Trello网站上注册新帐户时，出现一条通知，表明该公司已暂停在俄罗斯和白俄罗斯销售新软件。早些时候，Kommersant写道，Atlassian警告用户不要断开在俄罗斯和白俄罗斯注册的帐户与该公司服务的连接。今年三月，澳大利亚Atlassian宣布将减少在俄罗斯和白俄罗斯的活动。自2022年10月底以来，其三个知名产品 -Trello、Jira和Confluence -以及其他解决方案已在这些州停止使用。

https://tass.ru/ekonomika/18469521

8、谷歌开始阻止俄罗斯公司使用Workspace服务

谷歌公司出人意料地开始大规模封锁俄罗斯公司的企业工作空间服务。我们谈论的是Gmail、Google Docs、Google Drive和Workspac 包中组合的其他服务。据公开数据显示，封锁从8月10日晚开始，没有任何预警。这些限制主要影响企业客户。此前曾受到西方制裁的公司都遭受了损失。这些公司的员工不再能够访问公司邮件和文件。据粗略估计，俄罗斯企业约30%的企业信息存储在谷歌服务器上。尽管有国内服务，许多公司仍然更喜欢使用Workspace，但现在如果不保留备份，他们将面临失去重要信息的危险。作为阻止的原因，谷歌指出所谓的“垃圾邮件”。但专家认为，西方制裁才是罪魁祸首。未来这种封锁可能只会持续下去。显然，俄罗斯公司应该加速向替代服务的过渡，即使对其工作空间的访问仍然有效。预防性解决方案将最大限度地降低数据丢失和员工中断的风险。

https://www.securitylab.ru/news/540843.php

9、OneDrive存储的安全漏洞可能成为勒索软件的后门

最近的研究发现了对Microsoft用户的威胁-OneDrive应用程序中的一个漏洞可能成为勒索软件病毒的后门。OneDrive是最著名的Microsoft产品之一，可让您在本地设备和云服务器之间同步文件。从公司的角度来看，这是一种安全的信息存储方式：微软积极建议将重要文档转移到OneDrive，并承诺为它们提供高水平的保护。不过，近日，SafeBreach的安全专家 Or Yair在黑帽会议上公布了他的研究结果，OneDrive可以被攻击者用作网络攻击的工具。根据Yar的说法，危害一个用户的帐户就足够了。应用程序本身将会话日志存储在单独的文件夹中，其中还包含会话令牌。这些令牌将促进未经授权的访问。然后，利用OneDrive的文件管理功能，黑客可以轻松绕过安全系统创建、修改或删除数据。更糟糕的是，大多数现代事件检测和响应(EDR) 系统并不将OneDrive的行为视为威胁。目前只有SentinelOne可以检测异常行为，但即使它也并不总是能成功阻止恶意活动。微软反应迅速：专家已经发布了OneDrive必要的修复程序，许多开发公司也更新了他们的EDR系统。但情况表明，即使是受信任的应用程序也可能成为威胁源，这需要公司修改安全方法。

https://www.securitylab.ru/news/540836.php

10、印度通过数据保护立法但批评者担心侵犯隐私

印度立法者周三（8月9日）批准了一项数据保护立法，“旨在更好地监管大型科技公司并惩罚数据泄露的公司”，因为一些团体对公民的隐私权表示担忧。信息技术和电信部长Ashwini Vaishnaw表示，该立法将限制数据跨境传输，并为建立数据保护机构提供框架，以确保科技公司合规。几位反对派议员和数字专家表示，该立法将允许政府及其机构在未经公司同意的情况下访问公司的用户数据和个人的个人数据，并在自纳伦德拉·莫迪总理以来数字自由不断萎缩的国家收集私人数据。数字专家还担心，这项立法将削弱2005年通过的具有里程碑意义的《信息权法》，该法允许公民向公职人员索取数据，例如国家雇员的工资。数字版权组织Access Now在一份声明中表示：“它危害隐私，给予政府过多的豁免，并且未能建立独立的监管机构。”并补充说，这将加强政府对个人数据的控制并加强审查。议会上院通过了《数字个人数据保护法案》，该法案随后由该国礼仪总统签署，成为法律。该法案于周一获得议会下院通过。这项立法是政府第三次尝试通过此类立法，近六年前，印度最高法院裁定隐私是每个公民的基本权利，这一具有里程碑意义的判决被广泛誉为个人自由的胜利。

https://www.securityweek.com/india-passes-data-protection-legislation-in-parliament-critics-fear-privacy-violation/

11、北爱尔兰高级警官为“工业规模”数据泄露道歉

北爱尔兰最高警官周四（8月10日）就他所说的“工业规模”数据泄露事件道歉，该事件中超过10,000名警察和工作人员的个人信息被公开。鉴于北爱尔兰脆弱的安全局势，这一事件尤其敏感，北爱尔兰仍在努力克服数十年来被称为“麻烦”的宗派暴力。警察局长Simon Byrne告诉记者，持不同政见的共和党人声称掌握了事件发生后在WhatsApp上流传的有关警察的信息，当局正在“就如何处理这一事件以及他们面临的任何进一步风险向警察和工作人员提供建议”。伯恩在参加北方联盟紧急会议后表示：“我们一直在处理的早期最坏情况是，第三方会试图获取这些数据来恐吓、腐败或确实对我们的官员和工作人员造成伤害。”此次违规事件发生于周二，当时警方回应了信息自由请求，寻求有关北爱尔兰警察局各级警官和工作人员人数的信息。回复意外地包含了一个表格，其中包含所有员工的姓氏、姓名缩写、地点和部门，以及所要求的信息。周三披露了7月份发生的第二次违规事件。此次泄露事件涉及文件被盗，其中包括一份包含200多名在职警官和工作人员姓名的电子表格，以及警方发放的笔记本电脑和收音机。

https://www.securityweek.com/northern-irelands-top-police-officer-apologizes-for-industrial-scale-data-breach/

12、研究人员提出应对热攻击的方法

格拉斯哥大学的研究人员确定了用户和制造商可以降低热攻击风险以提高登录安全性的15种方法。热攻击涉及使用热成像摄像机来识别用户最后一次触摸的密码键盘或键盘上的按键，从而使攻击者能够猜测用户的PIN或密码。研究团队去年发表的一篇论文显示，三分之二的16个字符以下的密码可以通过这种方式被破解，12个字符的密码的破解率为82%，6个字符的登录密码的破解率为100%。它还声称，在20秒内拍摄热图像时，86%的密码被泄露；在30秒内拍摄图像时，密码被泄露 76%；在60秒内拍摄热图像时，密码被泄露62%。现在，穆罕默德·哈米斯和他的同事在调查用户偏好并审查现有安全策略后，制定了一系列建议来减轻此类风险。在本文列出的15种方法中，有些方法比其他方法更实用。比如戴手套或橡胶顶针；打字前触摸冷的东西来改变手的温度；将手按在表面上；打字后在表面上呼吸以掩盖指纹热量；将加热元件放置在表面后面；使用散热更快的材料制造表面；引入物理屏蔽罩覆盖按键直至热量消散；使用眼动追踪输入或生物识别安全。

https://www.infosecurity-magazine.com/news/researchers-tackle-thermal-attacks/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-189