其他
20231005-5th域安全微讯早报-No.238
网络空间安全对抗资讯速递
2023年10月5日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-238 星期四
今日热点导读
3、新型EvilProxy网络钓鱼攻击专门攻击企业高管4、美商务部长表示随着11月政府停摆的临近CHIPS法案的实施面临风险5、Apple针对最新被利用的iOS 17内核零日漏洞发布警告6、Atlassian针对Confluence零日漏洞发布紧急补丁7、新的Supermicro BMC漏洞可能使许多服务器遭受远程攻击8、Claroty的Team82揭示了ConnectedIO边缘路由器、设备平台中的严重漏洞9、微软:黑客通过被攻破的SQL服务器瞄准Azure云虚拟机10、研究人员警告称100,000个工业控制系统在线暴露11、科学家向科技巨头解释标记人工智能内容是一个坏主意12、影子市场的秘密:35美元将打开海湾公司的大门
资讯详情
1、英国电信巨头Lyca遭受网络攻击导致客户无法拨打电话、充值周末发生的网络攻击扰乱了英国电信巨头Lyca的网络,导致客户无法购买更多通话时间。Lyca自称是全球最大的国际移动虚拟网络运营商,拥有超过1600万客户。他们在欧洲、非洲和亚洲的23个国家/地区提供即用即付SIM卡。本周,该公司表示,在意识到客户购买更多通话时间以及拨打国际和国内电话的问题后,开始调查。该公司表示:“这些问题影响了除美国、澳大利亚、乌克兰和突尼斯之外的所有Lyca Mobile市场。”该公司聘请了技术专家与执法机构一起帮助应对。Lyca表示,受攻击影响的移动电信服务现已在所有市场恢复,但“还有一些运营服务尚未完全解决”。该公司没有回应有关这是否是勒索软件攻击的置评请求,也没有攻击者站出来承认该事件是其所为。https://therecord.media/cyberattack-on-lyca-stops-calls
2、红十字会发布战时黑客活动规则红十字国际委员会(红十字委员会)发布了一套新规则,敦促黑客活动分子在冲突时期遵守国际人道法。红十字国际委员会在《欧洲国际法杂志》EJIL)上撰文警告称,战时平民实施的网络攻击日益对医院、药店和银行等非军事目标造成干扰,从而影响到无辜的社会成员。该非营利组织补充说,此类攻击还可能意味着黑客活动分子向敌对势力发出信号,表明他们是合法的军事目标,从而将自己置于危险之中。因此,红十字国际委员会要求各国政府限制这种黑客活动。它发布了新的网络空间参与规则,以明确平民黑客的禁区。红十字国际委员会的干预行动被视为对亲俄团体和乌克兰IT军不断升级的攻击活动的回应——乌克兰IT军在其Telegram频道上拥有数万名成员。然而,红十字国际委员会的呼吁不太可能被听到,因为网络篡改、DDoS攻击和其他黑客活动对于卷入冲突的国家来说是一种有用的宣传工具,这也在一定程度上扰乱了敌人的生活方式。BBC采访的几个团体表示,他们无意遵守红十字国际委员会的规则。https://www.infosecurity-magazine.com/news/red-cross-issues-wartime/
3、新型EvilProxy网络钓鱼攻击专门攻击企业高管一种新的EvilProxy网络钓鱼攻击瞄准了求职平台Indeed,同时重点针对各行业的高管。网络安全研究团队Menlo Labs在周二(10月1日)发布的一份公告中披露了这一发现,他们在其中揭示了从7月开始并持续到2023年8月的一场活动的复杂运作方式。这种复杂的攻击利用了名为EvilProxy的网络钓鱼工具包,该工具包充当反向代理,使其能够拦截用户与合法网站之间的请求。EvilProxy展示了收集会话cookie的能力,使其能够绕过多重身份验证(MFA)。此次恶意活动的主要目标似乎是位于美国的组织,攻击者狡猾地利用Indeed.com上的开放重定向漏洞。研究显示,银行和金融服务、保险提供商、物业管理和房地产以及制造业等行业的高管特别关注高管,尤其是高管。攻击者的感染媒介涉及带有欺骗性链接的网络钓鱼电子邮件。单击这些链接后,受害者会被引导至伪造的Microsoft Online登录页面。该研究是通过分析从 URLScan、Phishtank和VirusTotal源收集的数据来进行的。这一事件凸显了开放重定向漏洞所带来的严重威胁,用户被诱骗相信自己被定向到Indeed.com等可信来源,结果却发现自己身处网络钓鱼页面。https://www.infosecurity-magazine.com/news/evilproxy-phishing-attack-strikes/
4、美商务部长表示随着11月政府停摆的临近CHIPS法案的实施面临风险商务部部长吉娜·雷蒙多表示,政府关门将对商务部造成“巨大破坏”,因为商务部将继续支付《芯片和科学法案》中规定的关键资金,以促进美国的半导体研究和开发。雷蒙德周三(10月4日)在参议院商业、科学和运输委员会作证时表示,该机构正在“进行历史上大胆的战略投资,以加强国家和经济安全”,并计划在今年秋天宣布额外的《CHIPS法案》投资。雷蒙多表示,国会通过短期支出法案后,周六深夜勉强避免了政府关门,这可能会严重阻碍投资以及该部门实施《CHIPS法案》的持续努力。她还强调了即将到来的政府关门给商务部员工带来的巨大“压力”和担忧。《CHIPS 法案》中所做的工作对国家安全至关重要,任何关闭都会严重破坏美国保持执行这项非常重要工作的步伐的能力。《创造半导体生产激励措施(CHIPS)法案》于去年获得通过。雷蒙多表示,商务部将在未来几周内就“技术中心计划”发布一项重大公告,这是《CHIPS 法案》中包含的一项价值100亿美元的经济发展计划,该计划将提供赠款,以加速整个美国以技术为主导的经济增长。https://www.nextgov.com/modernization/2023/10/chips-act-implementation-risk-november-shutdown-looms-raimondo-warns/390936/
5、Apple针对最新被利用的iOS 17内核零日漏洞发布警告苹果公司在其旗舰iOS平台上与零日漏洞进行的猫捉老鼠斗争并没有显示出放缓的迹象。这家库比蒂诺设备制造商周三(10月4日)匆忙发布了一个新补丁来修复两个严重漏洞,并警告说其中一个问题已被利用为零日漏洞。苹果在一份准系统通报中表示,被利用的CVE-2023-42824内核漏洞允许本地攻击者提升权限,这表明该漏洞被用于观察到的攻击中的漏洞利用链中。该公司表示:“苹果公司了解到一份报告称,iOS 16.6之前的iOS版本可能已积极利用此问题。”但该公司未提供更多详细信息。根据SecurityWeek跟踪的数据,这是第16个针对Apple iOS、iPadOS和macOS设备的野外零日漏洞记录。这些攻击大部分归因于销售监控产品的雇佣间谍软件供应商。最新的iOS 17.0.3和iPadOS 17.0.3更新还涵盖了WebRTC中的缓冲区溢出漏洞,该漏洞使移动设备遭受任意代码执行攻击。Apple表示,该问题已通过更新至libvpx 1.13.1得到解决。苹果鼓励经常被瞄准的用户启用锁定模式,以减少遭受雇佣间谍软件攻击的风险。https://www.securityweek.com/apple-warns-of-newly-exploited-ios-17-kernel-zero-day/
6、Atlassian针对Confluence零日漏洞发布紧急补丁商业软件制造商Atlassian周三(10月4日)呼吁立即关注其Confluence数据中心和服务器产品中的一个重大安全缺陷,并警告称该问题已被利用为零日漏洞。Atlassian的一份紧急报告证实,“少数客户”受到了针对Confluence数据中心和服务器实例中可远程利用的缺陷的攻击。这家澳大利亚公司表示:“Atlassian已意识到少数客户报告的一个问题,外部攻击者可能利用可公开访问的Confluence数据中心和服务器实例中的一个先前未知的漏洞来创建未经授权的Confluence管理员帐户并访问Confluence 实例。”该漏洞被跟踪为CVE-2023-22515,被描述为影响Confluence Server和Confluence Data Center本地实例的可远程利用的权限升级问题。Atlassian警告说:“公共互联网上的实例尤其面临风险,因为该漏洞可以匿名利用。” “如果一个实例已经受到损害,升级不会消除损害。”该公司表示Atlassian Cloud站点不易受到此问题的影响。安全供应商Rapid7强调企业应用可用补丁和缓解措施的紧迫性。通报暗示该漏洞可远程利用,这通常更符合身份验证绕过或远程代码执行链,而不是权限升级问题本身。https://www.securityweek.com/atlassian-ships-urgent-patch-for-exploited-confluence-zero-day/
7、新的Supermicro BMC漏洞可能使许多服务器遭受远程攻击服务器和计算机硬件巨头Supermicro发布了更新,以解决基板管理控制器(BMC)IPMI固件中的多个漏洞。发现这些漏洞的固件供应链安全公司Binarly解释说,这些问题(编号为CVE-2023-40284至CVE-2023-40290)可能允许远程攻击者获得BMC系统的root访问权限。BMC是服务器主板上支持远程管理的特殊芯片,允许管理员监控各种硬件变量,甚至更新UEFI系统固件。即使系统电源关闭,BMC芯片仍保持运行。其中最严重的漏洞是BMC服务器前端中的三个跨站点脚本(XSS)漏洞,无需身份验证即可远程利用这些漏洞来执行任意JS代码。这些缺陷被追踪为CVE-2023-40284、CVE-2023-40287和CVE-2023-40288,根据Supermicro的通报,CVSS评分为8.3。Supermicro指出:“攻击者可以发送不需要登录的网络钓鱼链接,诱骗BMC管理员在仍处于登录状态时单击该链接,从而通过BMC Web UI进行身份验证。”然而,Binarly认为这些问题非常严重(critical severity),CVSS评分为9.6。该安全公司假设攻击者知道BMC Web服务器的IP地址和管理员的电子邮件地址,并使用这些地址发送网络钓鱼电子邮件。https://www.securityweek.com/new-supermicro-bmc-vulnerabilities-could-expose-many-servers-to-remote-attacks/
8、Claroty的Team82揭示了ConnectedIO边缘路由器、设备平台中的严重漏洞Claroty的Team82研究人员发现并披露了ConnectedIO ER2000 3G/4G边缘路由器中的关键漏洞,这些路由器充当网关,将IoT(物联网)设备连接到互联网。这些漏洞影响边缘路由器和基于云的设备管理平台以及将设备连接到云的通信协议。研究还指出,攻击者可能利用这些缺陷完全破坏云基础设施、远程执行代码并泄露所有客户和设备信息。Claroty漏洞研究员Noam Moshe在公司博客文章中写道:“ConnectedIO提供了固件更新,解决了Team82发现的所有漏洞。” Moshe解释称,所披露的漏洞“影响所有未修补的设备,使攻击者能够在这些设备上执行任意代码,而无需直接访问它们或将它们暴露在互联网上。此外,我们还发现了使ConnectedIO云平台面临风险的漏洞。”他补充说,这些漏洞已向ConnectedIO披露,该公司已提供解决所有漏洞的固件更新。当对云基础设施和边缘设备进行这些更新时,用户会自动受到保护。ConnectedIO提供一系列连接解决方案,重点关注支持4G的路由器,旨在使IoT/IIoT设备保持与互联网的连接。https://industrialcyber.co/threats-attacks/clarotys-team82-reveals-critical-vulnerabilities-in-connectedio-edge-routers-device-platform/
9、微软:黑客通过被攻破的SQL服务器瞄准Azure云虚拟机据观察,黑客试图通过容易受到SQL注入攻击的Microsoft SQL Server来破坏云环境。微软的安全研究人员报告称,这种横向移动技术之前曾在针对虚拟机和Kubernetes集群等其他服务的攻击中出现过。然而,这是他们第一次看到SQL Server用于此目的。Microsoft观察到的攻击始于利用目标环境中应用程序中的SQL注入漏洞。这使得威胁参与者能够访问Azure虚拟机上托管的SQL Server实例,并具有执行SQL命令和提取有价值数据的提升权限。这包括数据库、表名称、模式、数据库版本、网络配置和读/写/删除权限的数据。如果受感染的应用程序具有提升的权限,攻击者可能会激活“xp_cmdshell”命令以通过SQL运行操作系统(OS)命令,从而在主机中为它们提供 shell。使用合法服务进行数据泄露可以使该活动不太可能显得可疑或被安全产品引发任何标记,从而使攻击者能够谨慎地从主机窃取数据。接下来,攻击者试图利用SQL Server实例的云身份访问IMDS(即时元数据服务)并获取云身份访问密钥。在Azure中,通常会为资源分配托管标识,以便与其他云资源和服务进行身份验证。如果攻击者持有该令牌,他们就可以使用它来访问该身份有权访问的任何云资源。https://www.bleepingcomputer.com/news/security/microsoft-hackers-target-azure-cloud-vms-via-breached-sql-servers/
10、研究人员警告称100,000个工业控制系统在线暴露在公共网络上发现了大约100,000个工业控制系统(ICS),攻击者会探测它们的漏洞,并面临未经授权访问的风险。其中包括电网、交通灯系统、安全和供水系统。暴露的ICS包括关键基础设施系统的单元(传感器、执行器、开关、楼宇管理系统和自动罐表)。网络安全公司BitSight在发现多个行业的问题并影响96个国家/地区的许多财富 1000强公司后发出了威胁警报。Bitsight告诉BleepingComputer,其分析师可以从整个IP地址空间的大规模扫描以及由此产生的日志中提取数据,从而使他们能够识别多个协议并确定每个地址的系统类型。Bitsight表示,它每天处理大约4000亿个安全事件,并积极监控全球超过4000万个组织,其大量数据集可以追溯到几年前。从国家排名看,由高到低依次是美国、加拿大、意大利、英国、法国、荷兰、德国、西班牙、波兰、瑞典。受影响的行业排名依次是教育、技术、政府、商业服务、制造、公用事业、房地产、能源、酒店和金融。仅根据Bitsight的数据,很难估计10万个暴露的ICS中有多少是可被利用的,以及黑客攻击可能造成的损害程度。https://www.bleepingcomputer.com/news/security/researchers-warn-of-100-000-industrial-control-systems-exposed-online/
11、科学家向科技巨头解释标记人工智能内容是一个坏主意谷歌、亚马逊和OpenAI等主要科技公司早在7月份就表示,出于安全目的,他们将为人工智能生成的内容添加水印。然而,马里兰大学的研究人员警告说 ,这种方法不太可能有效。水印是创作者插入图像、视频或音频中以建立信誉的不可见或微妙的标记。企业的目标是让人们能够识别人工智能内容(使用特殊机制),即使有人试图将其冒充为人类。根据最近发表的一项研究,问题在于标签检测的可靠性和准确性之间的紧张关系。准确度越高(误报越少),可靠性越低(遗漏越多)。测试了两种潜在的攻击模型。第一个方案专注于完全隐形的标志。通常,为了创建它们,开发人员会添加轻微的噪点或轻微的像素失真。研究人员使用了一种称为“扩散图像清洁”的方法,可以有效消除失真。将额外的噪声应用于受保护的图像,然后使用数学算法将其去除,“同时”擦除了水印。对于水印清晰可见、不受“扩散”方式影响的图片,创建了模仿机制。它使干净的图像看起来就像已经有标记一样。研究人员表示,未来可能会出现新的、更先进的标记方法,但诈骗者肯定会用更复杂的攻击来应对。事实证明,这一领域的“军备竞赛”不可避免。此外,科学家们注意到所描述的问题与验证码测试的情况之间存在相似之处,随着计算机视觉的发展,验证码测试也会失去其有效性。https://www.securitylab.ru/news/542423.php
12、影子市场的秘密:35美元将打开海湾公司的大门Positive Technologies的专家对网络服务影子市场进行了研究,结果表明海湾国家网络犯罪分子的兴趣日益浓厚。犯罪分子的主要目标是来自阿联酋和沙特阿拉伯的公司。研究表明,暗网广告中最常见的主题是出售公司基础设施的访问权限和出售数据。最低访问费用仅为35美元,其中一半以上的售价在100至1,000美元之间。绝大多数访问权限都是通过管理权限授予的,这使得即使是缺乏经验且财力有限的攻击者也可以更轻松地攻击公司。这些广告主要针对来自阿联酋(46%)和沙特阿拉伯(23%)的公司。专家认为,这些国家与石油工业和金融财富相关,这吸引了网络犯罪分子。出售公司基础设施的访问权在暗网上受欢迎程度排名第二(22%)。而且,此类服务的费用可达35至4万美元。“值得注意的是,在大多数情况下,网络犯罪分子以非常便宜的价格(100-1,000美元)向公司出售访问权限,其中绝大多数访问权限 (90%) 都提供了管理员权限。与此同时,该地区大公司的昂贵访问权限也在暗网上出售。这些访问权限可以被更老练的黑客用来实施复杂的攻击。”https://www.securitylab.ru/news/542424.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement