其他
5th域安全微讯早报【20240522】123期
2024-05-22 星期三 Vol-2024-123
今日热点导读
1. 英国提议强制报告勒索软件攻击以及所有付款的许可制度
2. 美国环保局表示将加强执法力度,解决水务部门的“严重”漏洞
3. 黑客利用勒索软件攻击菲律宾政府
4. 国土安全部在四年内收集了150万移民的DNA数据
5. 半导体巨头OmniVision称个人信息在勒索软件攻击中被盗
6. 威胁行为者USDoD和SXUL声称拥有7000万行监狱泄露数据
7. 俄罗斯的“DoppelGänger”活动操纵社交媒体
8. QNAP紧急修补NAS设备中的代码执行漏洞
9. CISA警告利用NextGen Healthcare Mirth Connect漏洞进行攻击
10. 政府EPA在发现饮用水系统的严重漏洞后发出警报
11. 研究人员发现Firefox使用的AI模型Python包和PDF.js中的漏洞
12. 网络安全公司和物联网设备制造商联合修复软件漏洞
13. GitHub Enterprise Server严重漏洞允许绕过身份验证
14. 超过60%的网络安全设备缺陷被利用为零日漏洞
15. SolarMarker恶意软件通过多层基础设施抵御对抗检测
资讯详情
2. 美国环保局表示将加强执法力度,解决水务部门的“严重”漏洞继最近发生一系列网络攻击后,美国环境保护署周一(5月20日)敦促水务公司采取行动,加强其数字防御能力。该机构的“执法警报”称,最近对供水系统的检查发现,超过70%的供水系统未能达到基本的网络安全标准,其中一些存在“严重”漏洞,例如依赖未更新的默认密码和单次登录“很容易受到损害。”该公告是在俄罗斯黑客组织声称对德克萨斯州和印第安纳州水站进行数字攻击后发布的。该机构警告说,“鉴于系统的漏洞和攻击,美国环保局还将增加”对社区供水系统的检查次数,“重点关注网络安全”。今年早些时候,美国环保局(EPA)与联邦调查局(FBI)以及网络安全和基础设施安全局(CISA)一起发布了一份水行业手册,其中包含有关网络事件响应的更多信息。美国环保署还正在努力建立水利部门网络安全工作组,制定降低水系统遭受网络攻击风险的策略。来源:https://therecord.media/epa-enforcement-vulnerabilities-critical-water-sector
3. 黑客利用勒索软件攻击菲律宾政府黑客组织“Ikaruz Red Team”正在利用泄露的勒索软件构建者对菲律宾的关键基础设施发起攻击,这是出于政治动机的团体试图扰乱该国生活的一部分趋势。SentinelOne的研究人员指出,该组织利用了LockBit、Vice Society、Clop和AlphV等勒索软件构建者进行攻击,并在网上宣传数据泄露情况。研究人员认为,这些攻击可能是与中国紧张的地区关系及破坏菲律宾关键基础设施稳定的愿望有关。Resecurity报告称,针对菲律宾的恶意网络活动激增,与中国有关的组织野马熊猫发起了复杂的信息战活动。4月,菲律宾科学技术部遭到自称#opEDSA的黑客组织攻击,窃取了至少2TB数据。这些攻击显示了黑客行动主义与官方支持活动之间在菲律宾的模糊界限。来源:https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware
4. 国土安全部在四年内收集了150万移民的DNA数据根据乔治城隐私与技术法律中心的研究,美国国土安全部(DHS)在过去四年中收集了超过150万移民的DNA数据,并将其存储在刑事调查数据库中。自2020年特朗普政府规定强制收集所有被拘留移民的DNA以来,收集的DNA样本数量激增50倍。研究人员指出,许多移民并不知晓他们的DNA被用于填充名为"组合DNA索引系统"(CODIS)的犯罪数据库。报告作者呼吁拜登政府撤销特朗普时期的DNA收集规定,并删除已收集的移民DNA数据。研究发现,许多移民在未得到适当通知的情况下被采集DNA,且DNA的无限期存储可能导致隐私和宪法问题。此外,DNA收集计划不仅限于试图入境的移民,也适用于几乎任何环境下被拘留的移民,包括在边境检查站或机场被拦截的人。研究人员还指出,DHS没有报告其收集DNA的人群的种族、族裔和国籍数据,但推测该计划对有色人种社区的影响不成比例。来源:https://therecord.media/homeland-security-collected-dna-millions-immigrants
5. 半导体巨头OmniVision称个人信息在勒索软件攻击中被盗半导体制造公司OmniVision Technologies在2023年9月遭受勒索软件攻击后,披露了一起数据泄露事件。该事件在系统被加密后被发现,OmniVision迅速展开调查并通知执法部门。调查确定攻击者在9月4日至30日窃取了个人信息。尽管未明确威胁行为者身份,Cactus勒索软件组织声称对此事件负责,并声称窃取了约3.5TB数据,于12月公开了这些数据。OmniVision将为受影响个人提供24个月的免费信用监控和身份恢复服务,但未透露受影响人数。Cactus勒索软件团伙以逃避检测而知名,今年早些时候还声称对施耐德电气的攻击负责。来源:https://www.securityweek.com/omnivision-says-personal-information-stolen-in-ransomware-attack/
6. 威胁行为者USDoD和SXUL声称拥有7000万行监狱泄露数据威胁行为者USDoD和SXUL声称对LeakBase上涉嫌的重大监狱数据泄露事件负责,该事件泄露了与犯罪数据库相关的约7000万行敏感数据。虽然没有透露有关具体监狱的更多细节,但威胁行为者分享了据称源自所声称的监狱数据泄露的样本数据。据报道,监狱数据泄露包括唯一的身份证号码、社会安全号码、全名、出生日期、出生州、身体特征、家庭和备用地址、犯罪代码、犯罪日期、犯罪描述、法院处理、定罪日期和指控日期。数据以 .csv格式共享,压缩后文件大小为3GB,未压缩时文件大小为 22GB 。据称,该数据由2020年至2024年的数据组成,并且共享的样本数据据称是至少三名被定罪者的详细信息。虽然这标志着威胁行为者USDoD首次在LeakBase上发帖,但威胁行为者声称他们只会在自己的论坛活跃之前才会使用它。美国国防部早些时候宣布创建一个新的泄密论坛,并选择将其命名为“Breach Nation”。虽然攻击细节及其涉嫌参与情况尚不清楚,但USDoD将监狱数据泄露事件归咎于威胁行为者SXUL。在后来对该帖子的回复中,他澄清说,此次泄露源自美国。来源:https://thecyberexpress.com/usdod-sxul-70-million-prison-data-breach/
7. 俄罗斯的“DoppelGänger”活动操纵社交媒体自2022年5月以来,名为“Matriochka行动”的DoppelGänger活动通过挑战记者和事实核查人员的可信度,传播虚假信息。该活动利用X(前身为Twitter)和Facebook等平台,不仅散布虚假文章,还通过评论和分享促进进一步调查。DoppelGänger在2022年8月转变策略,使用不真实的账户(燃烧账户)在Facebook上大规模传播虚假信息,并扩展到TikTok、Instagram、YouTube等平台,采用深度造假和圆桌会议等形式。该活动的基础设施多层运作,使用社交僵尸网络和URL重定向掩盖虚假信息传播,显示出强大的适应性和弹性。同时,发现了支持俄语宣传的并行基础设施,表明DoppelGänger的目标更广泛。尽管监管日益严格,DoppelGänger仍利用平台监管的弱点和机构反应的迟缓,其复杂性不断发展,引发对公众舆论和民主进程影响的担忧。《欧洲数字服务法案》等举措强调了平台、民间社会和政府机构之间合作的必要性,以保护民主进程免受虚假信息威胁。来源:https://www.infosecurity-magazine.com/news/russias-doppelganger-campaign/
8. QNAP紧急修补NAS设备中的代码执行漏洞QNAP设备中存在一个严重的安全漏洞CVE-2024-27130,该漏洞涉及No_Support_ACL函数中不安全的strcpy函数使用,可导致堆栈缓冲区溢出和远程代码执行。WatchTowr发现并披露了该漏洞,同时提供了针对禁用ASLR功能的设备的POC代码。QNAP通过发布QTS 5.1.7.2770 build 20240520和QuTS Hero h5.1.7.2770 build 20240520解决了该漏洞及其他四个漏洞。尽管ASLR默认启用增加了攻击难度,QNAP仍将漏洞严重程度评为"中",并强烈建议用户更新系统。WatchTowr在过去半年内共发现15个QNAP设备漏洞,其中14个在2023年12月和2024年1月报告,5月11日报告了另一个。QNAP在4月底修复了四个问题,并在5月21日的更新中修复了另外五个,计划在即将到来的更新中解决其他两个,而其他三个尚未确认。QNAP对产品发布和漏洞披露时间表之间的协调问题表示遗憾,并承诺改进流程。来源:https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices/
9. CISA警告利用NextGen Healthcare Mirth Connect漏洞进行攻击美国网络安全机构CISA在其已知利用漏洞(KEV)目录中添加了一个影响NextGen Healthcare的Mirth Connect产品的漏洞CVE-2023-43208。Mirth Connect是一个跨平台界面引擎,用于医疗保健组织的信息管理。该漏洞是数据反序列化问题,可能允许未经身份验证的远程代码执行,已于2023年10月发布补丁。网络安全公司Horizon3.ai于2023年10月警告该漏洞的潜在影响,并于2024年1月提供技术细节和PoC代码。Shadowserver基金会报告称,发现超过440个暴露在互联网上的实例似乎受到该漏洞影响。CISA指示政府机构在6月10日前解决此问题,但未分享有关攻击的具体信息。微软在4月的报告中提到,Mirth Connect和其他缺陷被威胁行为者Storm-1175利用进行初始访问,该行为者以部署Medusa勒索软件而闻名。尽管CISA的KEV目录未提及勒索软件利用,但CVE-2023-37679也与此相关。来源:https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/
10. 政府EPA在发现饮用水系统的严重漏洞后发出警报美国环境保护署(EPA)发布执法警报,强调保护饮用水系统免受网络威胁的重要性。自2023年9月以来的检查发现,超过70%的供水系统不符合《安全饮用水法》,存在严重的网络安全漏洞,如使用默认密码等。EPA建议饮用水系统运营商采取措施,包括减少系统在互联网上的暴露、定期评估、更改默认密码、清点IT和OT资产、制定事件响应和恢复计划、备份系统、解决漏洞和进行意识培训。EPA表示将增加检查次数,并在必要时采取民事和刑事执法行动,以确保供水系统满足相关要求。此前,美国水务部门遭受了一系列潜在破坏性网络攻击,包括勒索软件攻击和国家支持的黑客攻击。Check Point的全球CISO Pete Nicoletti建议水务部门采取安全措施,如扫描物联网设备、分类风险、将物联网设备归入专用部分、严格管理访问、保护设备,并建议资源有限的公司外包安全计划。来源:https://www.securityweek.com/epa-issues-alert-after-finding-critical-vulnerabilities-in-drinking-water-systems/
11. 研究人员发现Firefox使用的AI模型Python包和PDF.js中的漏洞llama_cpp_python Python包中存在一个严重的安全漏洞CVE-2024-34359(Llama Drama),可能导致任意代码执行,CVSS评分高达9.7。该漏洞源于Jinja2模板引擎的滥用,允许服务器端模板注入。llama_cpp_python是llama.cpp库的Python绑定,允许开发人员集成AI模型,下载量超300万次。安全研究员Patrick Peng(retr0reg)发现并报告了该漏洞,已于0.2.72版本中修复。Checkmarx强调,此漏洞凸显了AI和供应链安全融合时可能出现的漏洞,强调了采取安全措施的必要性。此外,Mozilla的PDF.js JavaScript库(CVE-2024-4367)也发现了一个高度严重的缺陷,可能允许执行任意代码。该漏洞由字体渲染代码中缺少类型检查引起,允许在PDF.js上下文中执行任意JavaScript。该问题已在Firefox 126、Firefox ESR 115.11、Thunderbird 115.11和npm模块pdfjs-dist 4.2.67中解决。安全研究员Thomas Rinsma建议检查node_modules文件夹中是否有pdf.js文件,确保安全。来源:https://thehackernews.com/2024/05/researchers-uncover-flaws-in-python.html
12. 网络安全公司和物联网设备制造商联合修复软件漏洞网络安全公司Bitdefender与物联网技术公司ThroughTek合作,成功修复了Kalay工具中的四个软件漏洞,这些漏洞可能被恶意黑客利用以深入访问网络。Kalay是一种广泛用于管理生产的物联网设备,全球超过1亿台设备可能受到影响。Bitdefender于10月向ThroughTek披露了这些漏洞,后者在四月中旬发布了所有软件版本的修复补丁。受影响的公司包括设备制造商Roku、婴儿监视器制造商Owlet和无线相机销售商Wyze。Owlet和Roku已确认漏洞已修复,并敦促客户更新设备并采取安全措施。ThroughTek强调其对网络安全的承诺,并实施了多层保护措施。此次协作展示了物联网行业在面对潜在安全威胁时的响应能力和合作精神。通过及时的漏洞修复和用户安全意识的提升,可以显著降低网络攻击的风险,保护用户隐私和安全。来源:https://therecord.media/throughtek-kalay-software-vulnerabilities-roku-wyze-owlet
13. GitHub Enterprise Server严重漏洞允许绕过身份验证GitHub发布了针对GitHub Enterprise Server (GHES)中的严重身份验证绕过漏洞CVE-2024-4985的修复程序,该漏洞CVSS评分达到最高等级10.0。该漏洞可能允许攻击者在无需事先身份验证的情况下,通过伪造SAML响应来配置或获得管理员权限。此问题影响3.13.0之前的所有GHES版本,已在版本3.9.15、3.10.12、3.11.10和3.12.4中得到解决。漏洞仅在特定配置下存在,即在使用带加密断言的SAML单点登录(SSO)认证的实例中。GitHub建议使用受影响版本的组织立即更新到最新版本,以确保安全。来源:https://thehackernews.com/2024/05/critical-github-enterprise-server-flaw.html
14. 超过60%的网络安全设备缺陷被利用为零日漏洞Rapid7的最新报告显示,2023年超过60%的网络和安全设备中发现的漏洞被利用为零日漏洞,表明攻击者在补丁发布之前就擅长利用这些漏洞。零日漏洞引起的大规模泄露事件数量超过已知漏洞(53% vs 47%)。这一趋势表明,零日攻击的利用已从偶尔发生的事件转变为常态。报告指出,2023年初以来,大规模泄露事件的实施方式发生了明显转变,近四分之一的广泛威胁来自精心策划的零日攻击,通常有数百个组织受到单个攻击者的危害。例如,Clop勒索软件团伙利用零日漏洞攻击MOVEit和GoAnywhere MFT文件传输解决方案,单个威胁参与者利用零日命令注入漏洞破坏Barracuda Networks的电子邮件安全网关设备。超过三分之一的广泛利用漏洞出现在网络外围技术中,大多数被广泛利用的CVE都是由易于利用的根本原因引起的。Rapid7观察到的事件中有41%是由于面向互联网的系统(特别是VPN和虚拟桌面基础设施)缺失或未强制执行多重身份验证(MFA)造成的。报告还指出,软件开发人员的“倒退做法”日益增多,包括在几天或几周后默默地保留建议和CVE描述,以及故意混淆漏洞详细信息,这可能是由于认为默默无闻可以威慑对手并减轻声誉风险。更广泛的安全市场开始更多地转向以闭环方式而不是公开方式共享漏洞和利用信息。来源:https://www.infosecurity-magazine.com/news/network-security-flaws-exploited/
15. SolarMarker恶意软件通过多层基础设施抵御对抗检测Recorded Future新发现显示,SolarMarker信息窃取恶意软件背后的持续威胁行为者已经建立了多层基础设施,使执法部门的打击行动变得更加复杂。该公司在发布的一份报告中表示:“SolarMarker运营的核心是其分层基础设施,它至少由两个集群组成:一个主要集群用于主动运营,另一个集群可能用于测试新战略或针对特定地区或行业。”“这种分离增强了恶意软件适应和响应对策的能力,使其特别难以根除。”SolarMarker的名称为Deimos、Jupyter Infostealer、Polazert和Yellow Cockatoo,是一种复杂的威胁,自2020年9月出现以来一直在不断发展。它能够从多个网络浏览器和加密货币钱包窃取数据,例如以及目标VPN和RDP配置。根据自2023年9月以来收集的数据,首要目标垂直行业包括教育、政府、医疗保健、酒店和中小企业。其中包括著名大学、政府部门、全球连锁酒店和医疗保健提供商。大多数受害者位于美国。多年来,恶意软件作者一直致力于通过增加有效负载大小、使用有效的Authenticode证书、新颖的Windows 注册表更改以及直接从内存而不是磁盘运行它的能力来使其更加隐蔽。来源:https://thehackernews.com/2024/05/solarmarker-malware-evolves-to-resist.html
往期推荐
2024-05-16
2024-05-17
2024-05-18
2024-05-20
2024-05-21