其他
20231012-5th域安全微讯早报-No.244
网络空间安全对抗资讯速递
2023年10月12日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-244 星期四
今日热点导读
3、美国前网络总监英格利斯谈以色列、俄罗斯和ONCD的未来4、CISA警告利用Adobe Acrobat漏洞的攻击5、cURL中的严重SOCKS5漏洞使企业系统面临风险6、变脸勒索集团声称对加拿大航空最近发生违规行为负责7、LinkedIn智能链接攻击再次瞄准Microsoft帐户8、美国辛普森制造公司在网络攻击后关闭IT系统9、欧盟警告马斯克:X在以色列与哈马斯战争中未能通过错误信息检测10、俄罗斯黑客活动分子现在瞄准以色列全球卫星和工业控制系统11、英国监管机构对进入美国的数据的保密性表示担忧12、curl和libcurl漏洞炒作以失败告终
资讯详情
1、美国国防部的范赫克表示网络漏洞和外国威胁塑造了国土防御的未来美国国防部(DOD)强调,气候变化、网络漏洞以及国家和非国家黑客在国外的行为正在构成挑战国家国土安全的重大威胁。美国北方司令部司令、空军上将格伦·D·范赫克当地时间10月10日在国土防御未来论坛上发表讲话时表示,“面对国土防御面临的这些挑战,国防部遏制威胁和维护海外稳定的能力,以及表现出韧性的能力非常关键。”他表示,当前的威胁形势是他在三十多年的服役生涯中所目睹的“最具挑战性”。范赫克说,迎接挑战需要国防部和跨机构的创新和整合。“我们正在谈论国土防御的未来,”他说。“我认为未来与过去完全不同。”“我认为国土防御的未来将更加自主,”他说。“它更加无人化。非动能效应可以产生影响潜在巡航导弹或对国家的其他威胁的精确导航和计时的效应。但今天看来并非如此。”范赫克强调美国遭受网络攻击的风险日益增加,还强调了俄罗斯和中国造成的全球不稳定对美国国土防御的影响。https://industrialcyber.co/vulnerabilities/us-dods-vanherck-says-cyber-vulnerabilities-foreign-threats-shaping-future-of-homeland-defense/
2、CISA、FBI更新与AvosLocker勒索软件变种相关的IOC、TTP和检测方法美国安全机构周三(10月11日)发布了一份联合网络安全咨询(CSA),传播已知的IOC(妥协指标)、TTP(策略、技术和程序)以及与联邦调查局(FBI)发现的AvosLocker勒索软件变体相关的检测方法。最新指南更新了2022 年3月关于AvosLocker勒索软件的公告,纳入了之前未包含的IOC和TTP,以及FBI在分析与AvosLocker泄露相关的工具后制定的YARA规则。AvosLocker附属公司在勒索软件即服务(RaaS)模式下运营,已经危害了美国多个关键基础设施部门的组织,影响了Windows、Linux和VMware ESXi环境。这些勒索软件附属公司通过使用合法软件和开源远程系统管理工具来破坏组织的网络。然后,AvosLocker附属公司使用基于渗透的数据勒索策略,威胁泄露和/或发布被盗数据。该通报详细说明,AvosLocker勒索软件附属机构在勒索软件操作期间使用合法软件和开源工具,其中包括基于渗透的数据勒索。FBI和CISA发布了一系列缓解措施,强烈建议关键基础设施组织和网络维护者实施这些措施。https://industrialcyber.co/cisa/cisa-fbi-update-iocs-ttps-detection-methods-associated-with-avoslocker-ransomware-variant/
3、美国前网络总监英格利斯谈以色列、俄罗斯和ONCD的未来首任国家网络主管克里斯·英格利斯10日表示,网络攻击可能会成为以色列和哈马斯之间不断展开的冲突的一部分,但他对以色列在战场和网络空间保卫自己的能力充满信心。“网络涉及一切......它肯定涉及到这一点,我认为有两个方面,”二月份辞职的英格利斯说。“其中一个,网络,数字基础设施,被用来同步、协调活动,无论是外交还是战场上的行动,因此需要良好运行,需要以最佳性能运行。”他补充说,美国及其盟友“将尽其所能帮助以色列”。“私营部门也没有脱离这个战场,他们正在提供实现弹性和稳健性所需的基础商品资源。”英格利斯表示,另一条战线是双方之间的“信息战”,以推动各自的观点。他说:“我对世界充满信心,以色列人完全有能力在战场上保卫自己并坚持自己的观点。”在华盛顿特区举行的Predict 2023会议上,英格利斯与Recorded Future News的Martin Matishak讨论了这一冲突和其他冲突,包括俄罗斯和乌克兰之间的战争,以及国家网络警报系统的计划和人工智能的潜在法规。https://therecord.media/chris-inglis-interview-predict-2023
4、CISA警告利用Adobe Acrobat漏洞的攻击 美国网络安全机构CISA周二(10日)宣布,在其已知利用的漏洞目录中又增加了五个安全缺陷,警告组织利用今年早些时候曝光的Adobe Acrobat和Reader缺陷进行攻击。Adobe Acrobat和Reader问题为CVE-2023-21608,这是一个释放后使用漏洞,可利用当前用户的权限实现远程代码执行(RCE)。Adobe于2023年1月发布了针对此缺陷的补丁,但此后发布了大量概念验证(PoC)漏洞和技术文章,为威胁行为者开始针对该问题进行攻击创造了机会。尽管似乎没有公开报告描述对CVE-2023-21608的野外利用,但CISA 表示,它只是根据已发生利用的确凿证据将CVE添加到KEV列表中。CISA还通过CVE-2023-20109扩展了KEV,这是Cisco IOS和IOS XE的组加密传输VPN(GET VPN)功能中的越界写入缺陷。在Microsoft发布影响Skype for Business (CVE-2023-41763)和WordPad (CVE-2023-36563)的两个零日漏洞补丁的同一天,CISA将这两个缺陷添加到了KEV中。Microsoft和CISA均未提供有关观察到的攻击的详细信息。https://www.securityweek.com/cisa-warns-of-attacks-exploiting-adobe-acrobat-vulnerability/
5、cURL中的严重SOCKS5漏洞使企业系统面临风险cURL数据传输项目的维护者周三(11日)推出了针对严重内存损坏漏洞的补丁,该漏洞使数百万企业操作系统、应用程序和设备面临恶意黑客攻击。根据高风险公告,该缺陷对cURL中的SOCKS5代理握手过程构成直接威胁,并且可以在某些非标准配置中被远程利用。该错误编号为CVE-2023-38545,存在于处理设备和服务器之间数据交换的libcurl库中。瑞典开源开发人员和curl维护者Daniel Stenberg解释说,该错误是在2020年2月cURL的SOCKS5支持的相关编码工作期间引入的。Stenberg解释说:“攻击者控制使用客户端通过SOCKS5代理(使用代理解析器模式)访问的libcurl的HTTPS服务器,可以使其通过HTTP 30x响应将精心设计的重定向返回到应用程序。”某些条件下,会触发堆缓冲区溢出。“这个问题是[libcurl]长期以来发现的最严重的安全问题,”Stenberg 说。通过HackerOne平台报告了该问题,并支付了4,600美元,这是迄今为止最大的cURL错误赏金。受影响的版本已标记为libcurl版本 7.69.0至8.3.0。该项目表示该问题已在cURL 8.4.0中得到修复。https://www.securityweek.com/critical-socks5-vulnerability-in-curl-puts-enterprise-systems-at-risk/
6、变脸勒索集团声称对加拿大航空最近发生违规行为负责变脸勒索组织声称在侵入加拿大航空(该国最大的航空公司、星空联盟创始成员)的网络后窃取了210GB数据。虽然该公司在9月份发布的一份声明中表示,此次泄露中受到损害的系统包括“部分员工的有限个人信息和某些记录”,但攻击者现在声称被盗文件包含更广泛的信息。威胁行为者还在其暗网数据泄露网站上分享了被盗数据的屏幕截图,作为从航空公司网络中被盗的证据和详细描述。变脸勒索声称窃取了从2008年到2023年的技术和运营数据,包括有关公司技术和安全挑战的详细信息、SQL 备份、员工的个人信息、有关供应商和供应商的数据、机密文件以及公司数据库的档案。该网络犯罪团伙表示:“员工个人数据只是他们失去控制的有价值数据的一小部分。”BianLian是一个自2022年6月以来针对美国和澳大利亚关键基础设施组织的勒索软件组织。2023年1月,Avast发布了勒索软件的解密器,该团伙转而进行勒索攻击。https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/
7、LinkedIn智能链接攻击再次瞄准Microsoft帐户黑客再次在网络钓鱼攻击中滥用LinkedIn智能链接(Smart Link)来绕过保护措施并逃避检测,试图窃取Microsoft帐户凭据。智能链接是LinkedIn销售导航器服务的一部分,用于营销和跟踪,允许企业帐户使用可跟踪链接通过电子邮件发送内容,以确定谁与之互动。此外,由于Smart Link使用LinkedIn的域名,后跟八个字符的代码参数,因此它们似乎来自可靠的来源并绕过电子邮件保护。LinkedIn智能链接功能的滥用并不新鲜,因为网络安全公司Cofense在2022年末针对斯洛伐克用户的一次利用虚假邮政服务诱惑的活动中发现了该技术。最受近发现LinkedIn Smart Link滥用行为激增,超过800封不同主题的电子邮件将广泛的目标引导至网络钓鱼页面。据 Cofense称,最近的攻击发生在2023年7月至8月期间,使用了80个独特的智能链接,源自新创建或受损的LinkedIn企业帐户。Cofense数据显示,此次最新活动最有针对性的行业是金融、制造、能源、建筑和医疗保健。https://www.bleepingcomputer.com/news/security/linkedin-smart-links-attacks-return-to-target-microsoft-accounts/
8、美国辛普森制造公司在网络攻击后关闭IT系统辛普森制造公司通过SEC 8-K文件披露了一起网络安全事件,该事件已导致其运营中断,预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商,也是北美结构连接件和锚栓的主要制造商之一,拥有5,150 名员工,年净销售额为21.2 亿美元(2022年)。该公司表示,上周二检测到IT问题和应用程序中断,但很快意识到这是由网络攻击引起的。针对这种情况,辛普森关闭了所有受影响的系统,以防止攻击蔓延。长时间的中断通常是由勒索软件攻击造成的,而修复起来很复杂,因为它们涉及数据加密、导致关键系统和应用程序无法使用。此外,数据被盗的可能性也将是一个重大问题,因为辛普森制造公司是该行业的领导者,可能持有大量专有信息。该公司拥有七个实验室来测试新设计和材料,并拥有两千多项专利和商标。然而,影响辛普森制造公司的网络安全事件的类型尚未确定,也没有勒索软件组织对该公司的攻击负责。该公司表示,已聘请领先的第三方专家来协助调查和恢复,但两者均处于初始阶段。该公司的声明称,该事件已经并且预计将继续对公司的部分业务运营造成干扰。https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/
9、欧盟警告马斯克:X在以色列与哈马斯战争中未能通过错误信息检测欧盟(EU)致信社交媒体网站X的所有者埃隆·马斯克(Elon Musk),警告称在哈马斯袭击以色列后,该平台允许非法内容和虚假信息传播。欧盟内部市场专员蒂埃里·布雷顿敦促马斯克更新X的内容执法政策,并及时管理违反欧盟科技法的内容。布雷顿在给马斯克的一封信中写道:“哈马斯对以色列发动恐怖袭击后,我们有迹象表明,你们的平台正被用来在欧盟传播非法内容和虚假信息。”“让我提醒您,《数字服务法》(DSA)对内容审核规定了非常精确的义务。”当然,DSA布雷顿在信中还指出,重新调整了一些不相关冲突的图像,旨在展示哈马斯与以色列冲突的恐怖。该专员提醒马斯克,违规行为可能会受到处罚。在X上非常活跃的马斯克回复了布雷顿,要求他列出所谓的违规行为。作为回应,该专员表示:“您很清楚您的用户和当局对虚假内容和美化暴力的报告。由你来证明你言行一致。”是欧盟以技术为重点的法规的一部分,其制定和设计的目的是确保用户安全并阻止有害内容的传播。https://cybernews.com/news/elon-musk-eu-x-misinformation-israel-hamas/
10、俄罗斯黑客活动分子现在瞄准以色列全球卫星和工业控制系统与俄罗斯有联系的黑客组织“匿名苏丹”周末承诺与哈马斯团结一致,现在声称对以色列工业控制系统(ICS)发动了多次攻击,试图破坏关键基础设施。据周二(10日)上午Telegram频道上的一篇帖子称,以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“以色列工业控制系统遭到了@xAnonymousSudan 的攻击!” 帖子读到。匿名苏丹接着解释了拆除每个系统将如何影响以色列的基础设施。通过针对国家的GNSS,“全国各地的各种GPS系统将离线;这可能会影响工业系统、关键基础设施和其他机器,”黑客写道。报告称,随着BACNet系统的修改或关闭,能源激增、建筑物疏散和计算机关闭也是可能的。最后,该团伙谈到了针对Modbus工业控制系统的攻击,这是一种SCADA通信协议,被关键基础设施系统(例如提供国家电力、水、石油和天然气的系统)所依赖。Cybernews本周早些时候的独家研究显示,数百个属于以色列和巴勒斯坦系统的工业控制系统目前暴露在网络上,使它们容易受到黑客的攻击。https://cybernews.com/cyber-war/russian-hacktivists-target-israel-industrial-control-system/
11、英国监管机构对进入美国的数据的保密性表示担忧10月12日,英国加入的欧盟-美国数据隐私框架(DPF)协议将生效,允许经过认证的组织轻松地将个人数据从英国转移到美国。在此协议之前,英国《通用数据保护条例》(GDPR) 禁止在不使用标准合同条款(SCC)或约束性公司规则(BCR)等传输机制的情况下跨大西洋传输个人数据。7月,欧盟委员会决定DPF为在欧盟和美国之间传输的个人数据提供充分的保护。DPF的创建是为了取代之前的欧盟-美国隐私盾协议,该协议已于2020年失效。由于英国自2020年起不再是欧盟成员,因此DPF不会自动将个人数据从英国传输到美国。为了从英国传输个人数据,已经创建了一个数据桥,以简化两国之间的数据传输过程,同时遵守数据保护要求。为了让英国数据出口商能够依赖Data Bridge,美国进口商必须获得Data Bridge认证。美国的数据进口商收到传输的个人数据后,必须按照 DPF原则进行处理。然而,英国监管机构信息专员办公室(ICO)却对Data Bridge表示了怀疑。数据桥在实践中将如何发挥作用还有待观察,特别是考虑到 ICO 引起的担忧。这样的创新可能会吸引许多寻求在英国和美国之间实现更顺畅、更合法的数据流动的公司和数据保护专家的关注。https://www.securitylab.ru/news/542622.php
12、curl和libcurl漏洞炒作以失败告终几天来,网络安全社区一直在焦急地等待有关两个安全漏洞的重大披露,据curl创始人丹尼尔·斯坦伯格(Daniel Stenberg)称,其中一个可能是“很长一段时间以来最严重的curl安全漏洞”。但安全研究人员期待下一个Log4Shell(一个具有巨大安装基础的易于利用的漏洞),但令人失望的是 ,该错误仅在极少数情况下才可利用。已公布的补丁和错误详细信息表明,这两个漏洞都没有达到宣传的效果。Redhat CentOS的维护人员比预期提前了大约14小时发布了修复程序,他透露该漏洞是一个缓冲区溢出问题,只有在非常特殊的情况下才能利用。等待补丁的研究人员要么松了一口气,要么这个错误并不像最初想象的那么严重。计算机安全专家周三得出结论,存在利用该漏洞进行攻击的风险的设置更有可能利用更易于执行的技术受到攻击。“如果你接受数据,而不验证它,只是盲目地将其传递给像curl这样的库,你可能会遇到其他更容易被利用的问题,”SANS技术研究所的研究主任约翰内斯·B·乌尔里希写道。https://cyberscoop.com/curl-vulnerability-open-source/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement