20230905-5th域安全微讯早报-No.212

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年9月05日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-212 星期二

今日热点导读

1、CISA披露ARDEREG、GE Digital、PTC、Digi International设备中的ICS漏洞

2、新攻击技术“MalDoc in PDF”向专家发出警报

3、悉尼大学遭遇供应链漏洞

4、VMConnect再次瞄准Python包索引

5、Okta：黑客瞄准IT服务台以获得超级管理员权限并禁用MFA

6、德国金融机构网站自9月1日以来因DDoS攻击而中断

7、黑客利用MinIO存储系统破坏企业网络

8、瑞典保险公司因两年内泄露65万客户数据而被罚款300万美元

9、危险的错误或隐藏的功能？AtlasVPN忽略了关键漏洞

10、DuckTales：Ducktail和Duckport黑客窃取Facebook企业帐户

11、美国推出最新Crossroads超级计算机模拟核试验

12、Freecycle确认大规模数据泄露影响700万用户

13、微软计划：从TLS 1.0和1.1到新的安全标准TLS 1.3

14、勒索软件噩梦：一个口令如何摧毁整个网络

资讯详情

1、CISA披露ARDEREG、GE Digital、PTC、Digi International设备中的ICS漏洞

美国网络安全和基础设施安全局(CISA)上周四（8月31日）发布了四份ICS（工业控制系统）公告，其中及时提供了有关ICS的当前安全问题、漏洞和漏洞利用的信息。这些通知涵盖ARDEREG、GE Digital、PTC和Digi International设备中的硬件漏洞。建议各组织检查这些ICS通知并执行必要的缓解措施。在ICS通报中，CISA发现ARDEREG Sistemas SCADA 设备中存在可远程利用/低攻击复杂性的“SQL注入”漏洞，影响2.203及之前的版本。“成功利用此漏洞可能允许攻击者操纵SQL查询逻辑来提取敏感信息并在数据库中执行未经授权的操作。”第二份通报中，CISA披露了GE Digital 的 CIMPLICITY 设备中存在“过程控制”漏洞，这些设备通常部署在多个关键基础设施部门。该通知称 CIMPLICITY v2023 受到影响，“成功利用此漏洞可能允许低权限的本地攻击者将权限升级到 SYSTEM”。第三份通报中，CISA披露了全球关键制造行业使用的PTC Kepware KepServerEX 工业自动化控制平台中的可远程利用/低攻击复杂性漏洞。最后一份通报，CISA还披露了Digi International的Digi RealPort协议中存在可远程利用的“使用密码散列而不是密码进行身份验证”漏洞。“成功利用此漏洞可能使攻击者能够访问连接的设备。”

https://industrialcyber.co/cisa/cisa-discloses-ics-vulnerabilities-in-ardereg-ge-digital-ptc-digi-international-equipment/

2、新攻击技术“MalDoc in PDF”向专家发出警报

JPCERT/CC的安全专家发现了一种名为“PDF中的MalDoc”的新攻击技术，该技术可以通过在看似无害的PDF文档中嵌入恶意Word文件来逃避检测。这项在7月份的网络攻击中使用的技术由于能够绕过传统的安全措施而引起了网络安全界的警惕。从技术角度来看，尽管保留了PDF文件的常见属性，但恶意Word文件可以使用Microsoft Word打开。这会触发Visual Basic Script(VBS)宏的执行，从而实现各种恶意活动。在上周发布的一份公告中，JPCERT/CC警告称，传统的PDF分析工具（例如pdfid）可能难以检测使用PDF中的MalDoc创建的文件中的恶意组件。值得注意的是，只有在Word中打开文件时才会触发恶意行为；在标准PDF查看器中查看时，它们保持休眠状态。此外，由于该文件显示为PDF，现有的沙箱环境和防病毒软件可能不会将其标记为威胁。

https://www.infosecurity-magazine.com/news/maldoc-pdf-alarms-experts/

3、悉尼大学遭遇供应链漏洞

悉尼大学披露了一起与供应链相关的数据泄露事件，国际学生和申请人的个人信息被盗取。这所澳大利亚公立研究型大学成立于1850年，最近被评为世界前20名大学之一。它拥有约70,000名学生和9000名学术和行政人员。上周晚些时候，该大学网站上发布了一份数据泄露公告，试图淡化事件的严重性。它声称只有“有限”数量的国际教职员工和学生受到影响，并立即采取措施保护系统并遏制事件。该大学表示，它已经联系了“相关网络安全当局”，并通知了新南威尔士州隐私专员。目前还没有明确的证据表明哪些类型的数据被泄露以及有多少学生和申请人受到影响。与此同时，该大学发布了一份长长的网络安全最佳实践清单，供学生遵循。其中包括网络钓鱼意识、安全浏览、个人数据保护等。这并不是悉尼大学第一次因第三方事件而陷入困境。2020年，监考平台提供商ProctorU发生漏洞，黑客窃取并发布了440,000条用户记录，其中包括属于该大学及其几家澳大利亚同行的电子邮件地址。

https://www.infosecurity-magazine.com/news/sydney-university-suffers-supply/

4、VMConnect再次瞄准Python包索引

ReversingLabs的网络安全专家公布了臭名昭著的VMConnect活动的令人担忧的延续。这种持续的攻击最初于8月初发现，揭示了网络犯罪分子渗透Python包索引 (PyPI)（开源Python软件存储库）的阴险趋势。VMConnect活动最初涉及两打恶意Python包，现在已进一步扩大。在最新一波攻击中，犯罪者表现出了非凡的持久性和适应性，引起了网络安全界的严重担忧。现在，ReversingLabs再次敲响了警报，发现了另外三个恶意Python包，这些包被认为是此次扩展活动的一部分：tablediter、request-plus和requestspro。目前VMConnect活动的显着特征之一是网络犯罪分子巧妙地逃避检测。与通常在安装后激活的传统恶意软件不同，这些恶意Python包在合法应用程序导入和调用之前一直处于休眠状态。这种隐秘的方法是针对传统安全监控工具的巧妙防御机制，传统安全监控工具依靠动态分析来检测威胁。ReversingLabs的研究还暗示与朝鲜国家支持的威胁行为者（特别是拉撒路集团）存在潜在联系。

https://www.infosecurity-magazine.com/news/pypi-targeted-vmconnect/

5、Okta：黑客瞄准IT服务台以获得超级管理员权限并禁用MFA

身份和访问管理公司Okta发布了针对美国客户IT服务台代理的社会工程攻击的警告，试图诱骗他们为高权限用户重置多重身份验证(MFA)。攻击者的目标是劫持高权限的Okta超级管理员帐户，以访问和滥用身份联合功能，从而允许冒充受感染组织的用户。Okta提供了7月29日至8月19日期间观察到的攻击的妥协指标。该公司表示，在致电目标组织的IT服务台之前，攻击者要么拥有特权帐户的密码，要么能够通过Active Directory (AD)篡改身份验证流程。成功入侵超级管理员帐户后，威胁行为者使用匿名代理服务、新的IP地址和新设备。黑客利用其管理员访问权限提升其他帐户的权限、重置注册的身份验证器，并且还删除了某些帐户的双因素身份验证(2FA)保护。黑客使用源IdP修改用户名，以便与受感染的目标IdP中的真实用户相匹配。这使他们能够冒充目标用户并使用单点登录(SSO)身份验证机制提供对应用程序的访问。

https://www.bleepingcomputer.com/news/security/okta-hackers-target-it-help-desks-to-gain-super-admin-disable-mfa/

6、德国金融机构网站自9月1日以来因DDoS攻击而中断

德国联邦金融监管局(BaFin)4日宣布，自周五（9月1日）以来，持续的分布式拒绝服务(DDoS)攻击一直在影响其网站。BaFin是德国的金融监管机构，隶属于联邦财政部，负责监管2700家银行、800家金融和700家保险服务提供商。该监管机构以其在德国和国际上的执法作用而闻名。近年来，它因各种违规行为分别对德意志银行和美国银行处以1000万美元和500 万美元的罚款。部分应对措施是让BaFin的公共网站“bafin.de”下线；然而，本组织保证对其使命至关重要的所有其他系统都能不受限制地运行。尽管某些用户可能能够间歇性地访问BaFin的网站，但大多数情况下都无法访问。BaFin表示，其IT团队正在加紧工作，以完全恢复公众对该网站的访问，但无法估计其页面的恢复时间。目前尚不清楚谁是德国金融当局DDoS的幕后黑手。

https://www.bleepingcomputer.com/news/security/german-financial-agency-site-disrupted-by-ddos-attack-since-friday/

7、黑客利用MinIO存储系统破坏企业网络

黑客正在利用最近的两个MinIO漏洞来破坏对象存储系统并访问私人信息、执行任意代码，并可能接管服务器。MinIO是一种开源对象存储服务，提供与Amazon S3的兼容性，并能够存储大小高达50TB的非结构化数据、日志、备份和容器映像。其高性能和多功能性，特别是对于大规模AI/ML和数据湖应用程序，使MinIO成为流行的、经济高效的选择。Security Joes事件响应人员在攻击中发现的两个漏洞是CVE-2023-28432和CVE-2023-28434，这两个高严重性问题影响RELEASE.2023-03-20T20-16-18Z之前的所有MinIO版本。Security Joes分析师发现攻击者试图安装MinIO程序的修改版本，名为Evil MinIO，该版本可在GitHub上找到。作为攻击的一部分，Evil MinIO将CVE-2023-28432信息泄露和CVE-2023-28434缺陷链接起来，用修改后的代码替换MinIO软件，添加可远程访问的后门。

https://www.bleepingcomputer.com/news/security/hackers-exploit-minio-storage-system-to-breach-corporate-networks/

8、瑞典保险公司因两年内泄露65万客户数据而被罚款300万美元

瑞典隐私保护局（IMY）对保险公司Trygg-Hansa处以300万美元的罚款，原因是该公司在其在线门户网站上泄露了属于数十万客户的敏感数据。Trygg-Hansa是一家为个人、私营公司和公共组织提供服务的保险公司，同时也是一家资产管理和投资咨询公司。IMY在收到Moderna Försäkringar（现属于Trygg-Hansa）客户的举报后对该公司发起了调查，该客户发现可以通过发送给客户的报价页面上的链接访问保险公司的后端。这些信息通过短信或电子邮件发送给所有现有或潜在客户，其中包含Trygg-Hansa网站上报价页面的唯一网址(URL)。IMY确认无需身份验证即可访问后端数据库，并且可以通过修改URL中的连续客户端ID号来浏览其他个人的私人文档。大约650,000名客户受到影响。

https://www.bleepingcomputer.com/news/security/insurer-fined-3m-for-exposing-data-of-650k-clients-for-two-years/

9、危险的错误或隐藏的功能？AtlasVPN忽略了关键漏洞

日前，国外Reddit网站上出现了有关Linux操作系统的AtlasVPN客户端发现严重安全漏洞的信息。一位希望保持匿名的网络安全研究人员发布了一个有效的PoC漏洞，并向公众演示了攻击者如何通过在其恶意网站上发布漏洞代码来访问上述 Linux版本的任何用户的真实IP地址VPN客户端。“AtlasVPN并不认真对待用户的安全。他们的软件安全解决方案是如此蹩脚，以至于很难相信这是一个错误而不是一个特殊的漏洞。没有人会那么无能。”一位匿名专家批评该公司的做法。研究人员表示，该漏洞是由于应用程序架构中存在一些严重错误而引起的。AtlasVPN客户端在端口8076上的本地主机上公开API，该API完全没有身份验证。基于此，计算机上运行的任何程序（包括网络浏览器）都可以获得对该端口的完全访问权限。该专家尝试联系AtlasVPN支持人员报告该漏洞，但没有收到回复。他认为，这表明该公司对客户安全的疏忽态度。截至本新闻发布时，AtlasVPN代表尚未对此事发表评论。

https://www.securitylab.ru/news/541463.php

10、DuckTales：Ducktail和Duckport黑客窃取Facebook企业帐户

WithSecure和Zscaler ThreatLabz的安全专家表示，来自越南网络犯罪集团的威胁越来越大，该集团积极利用Facebook 广告活动来传播恶意软件。欺诈者长期以来一直利用虚假广告来瞄准用户传播诈骗和恶意软件。随着社交网络的出现以及企业积极使用社交网络进行广告，攻击者有了一种新的有利可图的攻击方法-接管企业帐户。Ducktail和Duckport等越南组织对此次袭击负责。攻击者使用多种方法来获得对用户帐户的未经授权的访问。社会工程尤其活跃：受害者通过各种平台受到攻击，包括 Facebook、LinkedIn和WhatsApp，以及Upwork等自由网站。这些网络犯罪团伙的共同特征是使用链接缩短服务、使用Telegram来管理和控制受感染的设备，以及使用Trello、Discord、Dropbox等云服务来托管恶意文件。Ducktail集团是这一非法行业中最活跃、最危险的参与者之一。另一位新玩家——Duckport，这个Ducktail的“克隆”自2023年3月以来一直活跃，还专门从事数据盗窃和Facebook账户接管活动。

https://www.securitylab.ru/news/541464.php

11、美国推出最新Crossroads超级计算机模拟核试验

美国最新的超级计算机“Crossroads”最近在洛斯阿拉莫斯国家实验室（LANL）全面部署并启动。这种超强大的设备旨在模拟美国核武库的潜在用途。由于美国无法在真实条件下测试其核武器的性能，这些武器多年来一直在军事仓库的货架上积满灰尘，因此他们使用超级计算机来模拟核弹头的存储、维护和实际使用。Crossroads成为洛斯阿拉莫斯最新的此类系统，取代了已经过时的Trinity。与其他新的美国超级计算机不同，Crossroads不使用GPU。该系统的创建者认为，对于核模拟任务来说，关键因素是内存，而不是计算能力。因此，Crossroads针对Intel Xeon Max处理器进行了优化，并在芯片上集成了大量高带宽HBM2e内存。这使得性能是之前自2016年开始运行的Trinity系统的4到8倍。Crossroads由三个较小的支持系统支持，用于测试和回归分析。目前，该实验室仍在致力于铁的诊断和调整，并计划在未来几个月内进行全面调试。Crossroads系统的启动对美国国家安全具有战略意义。它将在未来许多年显著增强该国在这一领域的能力。

https://www.securitylab.ru/news/541459.php

12、Freecycle确认大规模数据泄露影响700万用户

Freecycle是一个致力于交换旧物品而不是扔掉它们的在线论坛，该论坛证实了一次大规模数据泄露事件，影响了超过700 万用户。该非营利组织表示，在5月30日威胁行为者将窃取的数据放在黑客论坛上出售几周后，周三（8月30日）发现了这一漏洞，并警告受影响的人立即更换密码。据Freecycle称，被盗信息包括用户名、用户ID、电子邮件地址和MD5哈希密码，没有暴露其他信息。从出售被盗信息的威胁行为者分享的屏幕截图来看，Freecycle创始人兼执行董事Deron Beal的凭据在事件中被盗，从而使威胁行为者能够完全访问会员信息和论坛帖子。Freecycle表示，在得知数据泄露事件后，该公司已向有关当局报告了这一事件。该公司拥有由来自全球5,300多个当地城镇的近1100会员组成的用户群。

https://www.bleepingcomputer.com/news/security/freecycle-confirms-massive-data-breach-impacting-7-million-users/

13、微软计划：从TLS 1.0和1.1到新的安全标准TLS 1.3

微软已通知用户，未来的Windows更新将不再支持TLS 1.0和TLS 1.1协议。该公司此前已发布了有关即将发生的变更的说明。现有版本的Windows 11 22H2、21H2和Windows 10将继续支持旧版TLS协议，直到明年23H2更新和Windows 12发布。从2023年9月开始的Windows 11 Insider Preview版本将默认禁用协议版本。但是，用户将能够手动启用它们以确保兼容性。TLS是一种用于通过互联网安全传输数据的加密协议。最初的TLS 1.0规范及其后续版本TLS 1.1已使用了20多年。出于安全考虑，互联网工程任务组(IETF)于2021年3月正式弃用了这些TLS版本。TLS协议的下一个主要版本1.3于2018 年3月获得IETF批准。2021年，Apple在iOS 15、iPadOS 15、macOS 12、watchOS 8和tvOS 15以及所有未来版本中弃用了TLS 1.0和1.1 。该公司建议使用旧协议版本的应用程序开发人员立即切换到TLS 1.3，因为该版本的协议比TLS 1.2 更快、更安全。

https://www.securitylab.ru/news/541451.php

14、勒索软件噩梦：一个口令如何摧毁整个网络

网络犯罪分子使用易受攻击的Microsoft SQL(MS-SQL)服务器来分发Cobalt Strike和FreeWorld勒索软件。这是由Securonix研究人员报告的，他们给这个恶意活动起了代号“DB#Jammer”。据专家介绍，攻击者首先通过简单地暴力破解密码来访问易受攻击的服务器，然后使用它来收集有关受害者网络的信息并安装恶意软件。接下来，他们禁用防火墙并连接到远程资源以下载其他工具，例如Cobalt Strike。然后，黑客横向遍历网络，并在受感染的主机上安装合法的AnyDesk远程访问软件和FreeWorld勒索软件。另据报道，攻击者尝试使用Ngrok服务设置远程访问持久性，但无济于事。专家建议组织采取措施加强网络安全，以尽量减少此类攻击的风险。特别是，有必要使用复杂的口令、定期更新软件、备份数据以及对员工进行网络卫生基础知识培训。安装最新的反恶意软件保护并及时安装任何漏洞补丁也很重要。信息安全的综合方法是防范勒索软件和其他网络威胁的关键。

https://www.securitylab.ru/news/541443.php

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-209