20231003-5th域安全微讯早报-No.236
网络空间安全对抗资讯速递
2023年10月3日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-236 星期二
今日热点导读
1、美国白宫发布网络安全意识月公告重点保护网络空间
2、CISA对ICS、OT、医疗设备的安全公告实施OASIS CSAF2.0标准
3、白宫新的网络规则旨在标准化联邦承包商的要求
4、黑客从欧洲电信标准机构窃取用户数据库
5、欧洲连锁酒店表示勒索软件攻击因快速响应而受到限制
6、挪威敦促欧洲范围内禁止Meta的定向广告数据收集
7、伊朗APT34实施针对沙特的网络间谍活动
8、Arm警告Mali GPU缺陷可能被用于定向攻击
9、勒索软件团伙现在利用TeamCity的RCE关键漏洞
10、互联网上大约有2900台主机正在运行存在致命漏洞的WS_FTP
11、人工智能生成的网络钓鱼电子邮件几乎无法检测
12、英国王室网站因DDoS攻击而瘫痪
资讯详情
1、美国白宫发布网络安全意识月公告重点保护网络空间
美国总统乔·拜登周五(9月29日)在网络安全意识月之前发布了一份公告,强调其政府重新致力于保护网络空间并抓住数字未来的无限潜力。总统强调了为使“网络安全成为国家安全优先事项而采取的各种措施,因为网络威胁影响到社会的各个部门,从支撑我们日常生活的关键基础设施,到我们教育孩子的学校以及我们在家中使用的产品。拜登总统写道在他的公告中,在领先产品制造商和零售商的自愿参与下推出了‘美国网络信任标志’计划,帮助美国人选择更安全的智能设备带入家中,同时还为政府购买的软件制定安全标准,帮助提高市场份额数字技术的标准显而易见。自2003年以来,美国习惯将10月定为“国家网络安全意识月(NCSAM)”,目的是促使包括供应链供应商在内的工业和制造业利益相关者花点时间评估其网络安全状况。
https://industrialcyber.co/critical-infrastructure/us-white-house-publishes-proclamation-on-cybersecurity-awareness-month-focus-on-securing-cyberspace/
2、CISA对ICS、OT、医疗设备的安全公告实施OASIS CSAF2.0标准
美国网络安全和基础设施安全局(CISA)宣布正式采用OASIS通用安全咨询框架(CSAF)2.0版标准,发布与ICS(工业控制系统)、OT(运营技术)和医疗设备相关的安全咨询。此举使用 CSAF 2.0 标准提供机器可读的建议,通过加入该机构采取主动措施来实现自动化、未来工具并推动及时修复。CSAF支持安全建议的生产、分发和使用的自动化,从而缩短漏洞披露与企业修复漏洞之间的时间,并支持未来用于自动化漏洞信息共享的工具。通过使用 CSAF 2.0标准提供机器可读的建议,软件和硬件的供应商和提供商可以与 CISA一起采取主动措施来实现自动化和未来工具,从而推动及时修复。该举措建立在领先安全机构去年10月推出的举措的基础上,该举措解决了漏洞管理格局转型的需要。该机构发现,在当前的风险环境中,各种规模的组织都面临着管理新漏洞的数量和复杂性的挑战,并呼吁组织使用考虑漏洞利用状态的漏洞管理框架。
https://industrialcyber.co/cisa/cisa-implements-oasis-csaf-2-0-standard-to-security-advisories-for-ics-ot-medical-devices/
3、白宫新的网络规则旨在标准化联邦承包商的要求
白宫正在提议对《联邦采购条例》进行一系列修订,以标准化网络安全要求,并为政府承包商制定新的事件报告指南,该通知定于明天在《联邦公报》上发布。美国总务管理局、国防部和美国宇航局为联邦承包商提出了新规则,将围绕网络安全要求制定标准化合同语言,以及各种额外的信息共享和网络威胁报告措施。该提案指出,当前对非机密联邦信息系统网络安全标准的合同要求“很大程度上基于特定机构的政策和法规”,这可能导致“合同之间的安全要求不一致”。根据拟议的规则,非标准化的网络安全要求还会造成混乱、额外成本并进一步限制竞争。根据新规则,承包商将被要求提供网络安全和基础设施安全局的访问权限并与其合作,以实施该机构的威胁搜寻和事件响应计划。
https://www.nextgov.com/acquisition/2023/10/new-cyber-rules-aim-standardize-requirements-federal-contractors/390850/
4、黑客从欧洲电信标准机构窃取用户数据库
一家开发通信标准的非营利机构表示,黑客窃取了识别其用户的数据库。欧洲电信标准协会(ETSI)上周宣布了这一事件。目前尚不清楚这次攻击是否出于经济动机,或者黑客是否打算出于间谍目的获取用户列表。事件发生后,总部位于法国里维埃拉索菲亚安提波利斯科技园的ETSI表示,它聘请了法国网络安全机构ANSSI“来调查和修复信息系统”。该非营利组织表示,“攻击所依据的漏洞已得到修复”,但没有具体说明该漏洞。一位发言人拒绝澄清这是否是已知漏洞或攻击发生时的零日漏洞。“在 ANSSI专家的指导下,ETSI修复了该漏洞,采取了额外的安全措施,并显着加强了其IT安全程序。此次事件发生后,ETSI要求其在线服务用户更改口令。”该机构表示。ETSI表示,司法调查(实际上是法国刑事诉讼的调查阶段)正在进行中,法国数据保护机构已获悉数据泄露事件。
https://therecord.media/etsi-telecommunications-standards-body-hack-database-stolen
5、欧洲连锁酒店表示勒索软件攻击因快速响应而受到限制
欧洲最大的酒店公司之一表示,它限制了最近的勒索软件攻击,以免造成严重损害。汽车旅馆一集团(Motel One Group)是一家德国连锁酒店,在13个国家经营着90家经济型酒店。该集团告诉Recorded Future News,它是最近几周网络攻击的目标,但没有透露攻击发生的时间。“未知的攻击者已经访问了酒店运营商的内部系统,并试图执行所谓的勒索软件攻击。由于采取了适当的措施,影响可以降至最低,”一位发言人本周末表示。“欧洲最大的酒店集团之一的业务运营从未面临风险。作为立即行动的一部分,经过认证的 IT安全专家参与其中,我们正在与公共调查和数据保护机构合作。”该发言人补充说,数量不详的客户的地址数据以及150张信用卡的详细信息被盗取。所有受攻击影响的持卡人均已获悉。该酒店没有回应有关 AlphV/Black Cat勒索软件团伙提出的后续问题,该团伙于周六(9月30日)上午将该公司添加到其泄露网站,并表示其窃取了6TB数据,其中包括上次的所有预订确认详细信息三年。黑客表示,除了客户的联系方式之外,他们还获得了大量内部文件。
https://therecord.media/motel-one-ransomware-response-hotel-chain-europe
6、挪威敦促欧洲范围内禁止Meta的定向广告数据收集
挪威禁止大规模元用户数据收集用于广告的禁令将于下个月到期,但隐私监管机构表示,该禁令应该永久生效,并扩展到整个欧洲。挪威数据保护委员会 (EDPB) 指控Meta违反了欧盟《通用数据保护条例》(GDPR) 的规定。EDPB在最近的一份声明中表示:“我们认为,我们的临时禁令必须永久化。” “此外,我们认为《通用数据保护条例》(GDPR) 必须在整个欧盟/欧洲经济区得到一致的解释,我们要求将该禁令扩大到欧洲其他地区。”挪威不是欧盟成员国,但受欧洲高等法院欧盟法院 (CJEU) 管辖,去年7月,该法院发现Meta及其Facebook和Instagram 平台败诉。该公司正在收集有关种族、宗教、性取向等的受保护数据。《Register》报道,Meta已经在欧洲各地因违反隐私规则而被罚款,其中包括每天向EDPB缴纳约 94,000美元的罚款。
https://www.darkreading.com/application-security/norway-urges-europe-wide-ban-meta-targeted-ad-data
7、伊朗APT34实施针对沙特的网络间谍活动
一场投放网络间谍恶意软件的网络钓鱼活动正瞄准中东用户。该活动由臭名昭著的高级持续威胁APT34(又名OilRig、Helix Kitten、Cobalt Gypsy)发动,并采用了研究人员称之为“Menorah”的自定义工具。该恶意软件能够识别目标计算机,从该计算机读取和上传文件,以及下载其他文件或恶意软件。根据趋势科技的研究,攻击中使用的文件包含沙特里亚尔的定价信息,这可能表明至少有一名目标受害者位于沙特阿拉伯境内。与伊朗有关的APT34通常专注于收集敏感情报,并参与了针对中东各种目标的高调网络攻击,包括政府机构、关键基础设施、电信和关键区域实体。趋势科技的研究人员表示,战术和工具的改变是APT组织的典型特征,并展示了他们的资源和多样化的技能。能够创建新的恶意软件和工具使这些组织能够不断部署新技术,“以确保在入侵、秘密行动和网络间谍活动中取得成功”。
https://www.darkreading.com/dr-global/iran-linked-apt34-spy-campaign-targets-saudis
8、Arm警告Mali GPU缺陷可能被用于定向攻击
Arm在10月2日的安全公告中警告称,一个被积极利用的漏洞会影响广泛使用的Mali GPU驱动程序。该缺陷目前被追踪为CVE-2023-4211,由Google威胁分析小组 (TAG) 和零号项目的研究人员发现并向Arm报告。详细信息尚未公开,但安全问题被描述为对已释放内存的不当访问,该问题可能会导致敏感数据泄露或操纵。Arm在公告中解释道:“本地非特权用户可以进行不正确的 GPU 内存处理操作,以访问已释放的内存。”该公司补充说,它已经发现证据表明该漏洞“可能受到有限的、有针对性的利用”。以下驱动程序版本受该漏洞影响:Midgard GPU 内核驱动:从 r12p0到r32p0的所有版本;Bifrost GPU内核驱动程序:从r0p0到r42p0的所有版本;Valhall GPU内核驱动:从r19p0到r42p0的所有版本;Arm 5th Gen GPU架构内核驱动:从r41p0到r42p0的所有版本。Midgard、Bifrost 和 Valhall系列分别于2013年、2016年和2019年推出,因此它们涉及较旧的设备型号。易受攻击设备的补丁的可用性取决于设备制造商和供应商将其集成到可靠更新中的速度。由于供应链的复杂性各不相同,一些用户会比其他用户更快地获得修复。
https://www.bleepingcomputer.com/news/security/arm-warns-of-mali-gpu-flaws-likely-exploited-in-targeted-attacks/
9、勒索软件团伙现在利用TeamCity的RCE关键漏洞
勒索软件团伙现在瞄准了JetBrains TeamCity持续集成和部署服务器中最近修补的关键漏洞。该缺陷(编号为CVE-2023-42793,严重性评分为 9.8/10)允许未经身份验证的攻击者在不需要用户交互的低复杂性攻击中成功利用身份验证绕过漏洞后获得远程代码执行 (RCE) 。在JetBrains于9月21日发布TeamCity 2023.05.4解决关键安全问题一周后,瑞士安全公司 Sonar(其研究人员发现并报告了该漏洞)发布了完整的技术细节。JetBrains表示,该缺陷影响修补版本之前的所有TeamCity版本,但仅影响安装在Windows、Linux和macOS上或在Docker中运行的本地服务器。“这使得攻击者不仅可以窃取源代码,还可以窃取存储的服务机密和私钥,”Sonar漏洞研究 Stefan Schiller解释道。“更糟糕的是:通过访问构建过程,攻击者可以注入恶意代码,损害软件版本的完整性并影响所有下游用户。”非营利性互联网安全组织Shadowserver Foundation的安全研究人员发现1240个未打补丁的TeamCity服务器容易受到攻击。
https://www.bleepingcomputer.com/news/security/ransomware-gangs-now-exploiting-critical-teamcity-rce-flaw/
10、互联网上大约有2900台主机正在运行存在致命漏洞的WS_FTP
上周末,安全研究人员发布了针对 Progress Software 的 WS_FTP Server文件共享平台中最严重的远程代码执行漏洞的概念验证 (PoC) 漏洞。发现并报告最严重缺陷 ( CVE-2023-40044 ) 的 Assetnote研究人员于周六发表了一篇博客文章,其中包含PoC漏洞和其他技术细节。CVE-2023-40044是由Ad Hoc传输模块中的.NET反序列化漏洞引起的,该漏洞允许未经身份验证的攻击者通过简单的HTTP请求在底层操作系统上远程执行命令。Assetnote表示:“这个漏洞相对简单,代表了导致 RCE 的典型 .NET 反序列化问题。令人惊讶的是,这个漏洞已经存在了这么长时间,供应商表示大多数版本的 WS_FTP 都存在漏洞。” 。“通过对 WS_FTP 的分析,我们发现互联网上大约有2900台主机正在运行 WS_FTP(并且其网络服务器也暴露在外,这是利用的必要条件)。这些在线资产大多数属于大型企业、政府和企业。教育机构。”Shodan搜索证实了Assetnote的估计,显示目前可以通过互联网访问超过 2,000台运行WS_FTP服务器的设备。PoC漏洞发布当天,网络安全公司Rapid7还透露,攻击者于9月30日星期六晚上开始利用 CVE-2023-40044。
https://www.bleepingcomputer.com/news/security/exploit-available-for-critical-ws-ftp-bug-exploited-in-attacks/
11、人工智能生成的网络钓鱼电子邮件几乎无法检测
据电子邮件安全提供商Egress称,网络犯罪分子利用人工智能聊天机器人发起网络钓鱼活动的可能性一直令人担忧,现在发现几乎不可能检测人工智能生成的网络钓鱼电子邮件。根据10月2日发布的Egress网络钓鱼威胁趋势报告,在四分之三 (71.4%) 的情况下,人工智能检测器无法判断网络钓鱼电子邮件是由聊天机器人还是人类编写的。其原因在于人工智能探测器的工作原理。大多数这些工具都基于大型语言模型 (LLM),因此它们的准确性随着样本量的增加而提高,通常需要至少 250个字符才能工作。几乎一半 (44.9%) 的网络钓鱼电子邮件不符合 250 个字符的要求,另外26.5%的字符数低于500个字符,这意味着当前AI检测器对于71.4%的攻击要么无法可靠工作,要么根本无法工作。Egress研究人员还发现,人为生成的网络钓鱼活动越来越难以检测,2023年一半以上 (55%) 的网络钓鱼电子邮件中集成的混淆技术增加了24.4%。这些技术也变得越来越复杂,几乎一半 (47%) 的网络钓鱼威胁行为者部署了两个混淆层,不到三分之一 (31%) 的网络钓鱼威胁行为者仅使用一种技术。
https://www.infosecurity-magazine.com/news/ai-phishing-emails-almost/
12、英国王室网站因DDoS攻击而瘫痪
据报道,英国王室官方网站周日(10月1日)因分布式拒绝服务(DDoS)攻击而离线。据《独立报》报道,从当地时间上午10点开始,Royal.uk网站大约有90分钟无法访问。尽管在撰写本文时 Cloudflare检查已经到位,以确保寻求访问该网站的IP地址不是自动机器人,但很快它就再次完全正常运行。据报道,臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责,尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为,所有组织都应确保其安全状况符合目的。他说:“无论你是王子还是乞丐,网络犯罪分子都会对你下手,这起事件再次提醒人们,复杂的在线攻击所带来的危险。”“展望未来,各种类型和规模的组织都需要紧急更新其网络防御,无论是在技能还是软件方面,以防止恶意黑客实现其阴险的目标。”DDoS攻击已成为俄罗斯黑客活动分子最喜欢的工具,因为他们希望惩罚乌克兰的盟友并获得地缘政治分数。去年10月,Killnet声称对美国十多个机场的网站发起了严重的DDoS攻击。
https://www.infosecurity-magazine.com/news/royal-family-website-downed-ddos/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement