安全研究
全部分类

关键信息基础设施安全动态周报【2020年第51期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-25 16:22
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第51期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第51期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第51期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-25 16:22
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)中芯国际及大疆被列入美国“实体清单”

 

第二章 国外关键信息基础设施安全动态

(一)Treck TCP/IP协议堆栈中存在多个严重漏洞影响数百万IoT设备

(二)Kepware产品中存在严重漏洞可致工业企业遭受攻击

(三)北美电网监管机构NERC警告公用事业公司存在SolarWinds后门风险

(四)英国能源公司People's Energy泄露客户信息

(五)SolarWinds供应链攻击存在另一个后门SUPERNOVA

(六)遭受SolarWinds供应链攻击的部分组织列表

(七)美国货运物流企业Forward Air遭受新型勒索软件Hades攻击

(八)戴尔Wyse Thin客户端中存在严重漏洞可致设备接管

(九)半岛电视台记者iPhone被植入Pegasus间谍程序

(十)美国多家科技公司支持WhatsApp诉讼以色列间谍软件NSO Group

(十一)微软和McAfee等联合成立“勒索软件特别工作组”

(十二)5G的HTTP/2协议存在漏洞可致拒绝服务攻击

(十三)美国纽约州劳工部遭受钓鱼攻击

(十四)美国多政府部门警告使用新冠疫苗话题的网络钓鱼诈骗计划

(十五)NIST发布帮助医疗机构保护图片存档和通信系统的安全指南

 

第一章 国内关键信息基础设施安全动态
    (一)中芯国际及大疆被列入美国“实体清单”

      美国商务部12月18日宣布,中国芯片制造商中芯国际和其他一些中国科技公司已被列入其实体清单,其中包括出于国家安全理由禁止与美国公司交易的供应商。无人机开发商大疆科技也刚刚加入该实体名单,大概是因为大疆在向中国政府提供无人机方面发挥了作用。
      商务部长威尔伯·罗斯(Wilbur Ross)表示,对实体名单的限制是“一项必要措施,以确保中国通过中芯国际无法利用美国技术来使本土先进技术水平能够支持其破坏稳定的军事活动。我们不会允许美国的先进技术来帮助建立一支越来越好战的对手军队。在中芯国际与军工企业的关系,中国积极实施军民融合授权和国家定向补贴之间,中芯国际完美地说明了潜在的风险。中国利用美国技术来支持其军事现代化。”
      实体清单限制了中芯国际获得某些美国技术的能力,并要求美国出口商申请向该公司出售的许可证。中国要想阻止这种由军事或民用技术支撑的先进技术,将是中国唯一需要的一项技术。在先进技术节点(10纳米或以下)生产半导体所需的唯一物品将被拒绝出口,以防止这种关键的使能技术支持中国的军民融合。
     华为自2019年5月以来一直是美国实体名单。今年8月,美国政府扩大了对华为的限制,禁止华为购买使用美国技术的外国制造商生产的芯片。美国还以网络间谍活动为由,禁止美国公司购买、安装或使用外国制造的电信设备。


     参考来源:ZDNet http://dwz.date/dFpM

 

第二章 国外关键信息基础设施安全动态

(一)Treck TCP/IP协议堆栈中存在多个严重漏洞影响数百万IoT设备

美国网络安全基础设施和安全局(CISA)12月18日发布警告称,Treck开发的低级TCP/IP软件库中存在四个漏洞,如果将其武器化,远程攻击者可以运行任意命令并发动拒绝服务(DoS)攻击。

这四个漏洞会影响Treck TCP/IP堆栈6.0.1.67版及更早版本,英特尔已向该公司报告了这四个漏洞。其中两个漏洞为严重漏洞。Treck的嵌入式TCP/IP堆栈部署在世界各地的制造、信息技术、医疗保健和运输系统中。

其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞CVE-2020-25066,CVSS评分为9.8分,该漏洞允许对手崩溃或重置目标设备,甚至执行远程代码。

第二个漏洞是IPV6组件中的越界写入漏洞CVE-2020-27337,CVSS评分为9.1分,未经验证的用户可利用该漏洞通过网络访问造成DoS情况。

另外两个漏洞涉及IPv6组件中的越界读取(CVE-2020-27338,CVSS5.9分),未经验证的攻击者可利用该漏洞在同一模块(CVE-2020-27336,CVSS3.7分)中造成DoS和不正确的输入验证,从而通过网络访问导致最多3个字节的越界读取。

Treck建议用户将堆栈更新到版本6.0.1.68以解决这些漏洞。在无法应用最新补丁的情况下,建议实施防火墙规则以过滤掉HTTP报头中包含负Content-Length的数据包。

 六个月前,以色列网络安全公司JSOF在名为Ripple20的软件库中发现了19个漏洞,使攻击者有可能在不需要任何用户交互的情况下完全控制目标物联网设备。更重要的是,本月早些时候,ForeScout的研究人员发现了33个漏洞(统称为AMNESIA:33)影响开源TCP/IP协议栈,威胁行为者可能会滥用这些漏洞来接管易受攻击的系统。

 鉴于涉及的复杂物联网供应链,该公司发布了一款名为“project-Memory-Detector”的新检测工具,用于识别目标网络设备是否在实验室环境中运行易受攻击的TCP/IP协议栈。

 

 参考来源:TheHackerNews http://dwz.date/dER9

 

(二)Kepware产品中存在严重漏洞可致工业企业遭受攻击

工业网络安全公司Claroty研究人员发现,工业自动化解决方案提供商PTC的Kepware产品中存在三个严重漏洞,分别为基于堆栈的缓冲区溢出、基于堆的缓冲区溢出、释放后使用漏洞。

通过打开构建的OPC UA消息,可以利用这些严重漏洞使服务器崩溃、泄露数据并远程执行任意代码。对此CISA 12月17日发布了咨询建议,在其建议中表示,这个严重漏洞可以让攻击者通过高速创建和关闭OPC UA连接来使服务器崩溃。

Claroty高级研究员Uri Katz表示,“这些漏洞存在于KEPServerEX、ThingWorx和OPC聚合器OPC产品中。为了利用这些漏洞,攻击者需要拥有对OPC服务器的网络访问权限。OPC服务器是许多OT网络的核心部分,这使它们成为攻击者的有利可图的目标。在我们的研究中,我们能够证明可以无需利用任何身份验证就可以远程利用这些漏洞,并且成功利用这些漏洞可能导致服务器崩溃、拒绝服务情况、数据泄漏或远程代码执行。”

CISA指出,罗克韦尔自动化(Rockwell Automation)、通用电气数字(GE Digital)和Software Toolbox的产品也使用了易受攻击的组件,并建议这些公司的客户检查他们的产品是否受到影响,并应用可用的补丁。罗克韦尔(Rockwell)、通用电气(GE)和Software Toolbo发布的建议只提到了DoS和数据泄露的影响。但是,DoS攻击在工业控制系统(ICS)中可能会产生严重后果。

CISA发布的另一个咨询建议描述了Cisco Talos研究人员在Kepware LinkMaster中发现的一个严重漏洞,该漏洞旨在OPC DA服务器之间交换数据。该漏洞是在产品的默认配置中发现的,它使得本地攻击者能够以系统权限执行任意代码。就在CISA发布公告的前一天,Talos于12月16日发布了针对这一漏洞的公告。

PTC在电子邮件中声明表示,“这些漏洞是通过PTC的协调漏洞披露(CVD)计划提出和解决的,这是我们产品安全战略的重要组成部分。我们感谢我们与Claroty和Cisco Talos等安全研究公司的合作伙伴关系,以及他们愿意通过CVD计划与PTC合作。与CISA合作可以以负责任的方式公开漏洞。”

 

参考来源:SecurityWeek http://dwz.date/dEZw

 

(三)北美电网监管机构NERC警告公用事业公司存在SolarWinds后门风险

北美电网监管机构要求公用事业公司报告其对SolarWinds软件的暴露程度,SolarWinds软件是疑似俄罗斯黑客发起的供应链攻击活动的中心。该监管机构还提醒公用事业公司该漏洞对部分电力部门“构成潜在威胁”。

由美国和加拿大政府支持的非盈利监管机构北美电力可靠性公司(NERC)在12月22日向电力公司发出的咨询中表示,没有证据表明恶意篡改SolarWinds软件对电力系统造成了影响。但根据美国能源监管委员会(NERC)的说法,德州公司SolarWinds生产的软件被用于电力行业,这一事实使得提高警惕变得非常重要。

这份咨询报告表示,“目前,NERC还没有意识到任何已知的与SolarWinds事件有关的对大容量电力系统(BPS)可靠性或系统中断的影响,然而,SolarWinds Orion产品在注册实体的企业网络中的存在使它们暴露于APT行为者的漏洞和利用,并对BPS的可靠性构成潜在威胁。”

包括国务卿蓬佩奥在内的美国高级官员曾表示,他们怀疑俄罗斯是软件供应链危害的幕后黑手,这一危害导致多家联邦机构和一些私营公司遭到破坏,然而俄罗斯否认与此事有关。

例如,与俄罗斯有关联的黑客组织有针对乌克兰工业组织的破坏性行动的历史。然而,目前还不清楚是哪个特定组织负责SolarWinds的运营,也不清楚他们的最终意图是什么。SolarWinds行动的嫌疑人,Cozy Bear或APT29,没有参与2015年和2016年在乌克兰断电的所谓俄罗斯黑客活动。

     在NERC发布咨询意见之前,多家美国电力公用事业公司和联邦官员于12月14日举行了一次简报会,开始探讨该行业可能在多大程度上受到SolarWinds入侵的影响。

     专家表示,这将是一个过程。SolarWinds软件被工业组织广泛用于网络监控,从制造业到电力到石油天然气行业,其中一些组织甚至可能不知道他们在运行这个软件。一些工业安全分析师担心,SolarWinds后门实现的访问可能会被用来破坏“操作技术”(OT)网络,这些网络包括与机器交互的敏感软件。

     总部位于马里兰州的Dragos公司负责威胁情报的副总裁Sergio Caltagirone表示:“像SolarWinds这样的供应链漏洞,提供了非法和恶意进入OT环境的途径,为可能的破坏提供了便利。”

     NERC要求其管辖范围内的公用事业公司和其他电力公司在1月5日之前回答一系列关于它们是否容易受到SolarWinds黑客攻击的问题,问题包括公用事业公司的IT网络及OT网络中是否安装了易受攻击的SolarWinds产品。监管机构还要求公用事业公司提供取证数据,如果他们有恶意的IOC、攻击者使用的互联网域或IP地址。

     NERC定期从公用事业公司收集信息,以应对网络威胁。但这份特殊的调查问卷表明,私营部门和政府部门一样,都在寻找与疑似俄罗斯黑客行动有关的信息。

     NERC在一份声明中表示,它与电力行业的威胁共享中心E-ISAC一起,“继续监测先进的持续性威胁参与者最近对供应链的妥协”及其对该行业的潜在影响。

     NERC称:“我们正在与电力部门协调委员会、能源部、国土安全部、联邦能源管理委员会、我们的加拿大合作伙伴和其他机构密切合作,并将继续合作并保持在这一活动的前沿。快速的反应和参与的程度突显了强有力的公私伙伴关系,这对保障北美的大宗电力系统至关重要。”

 

     参考来源:CyberScoop http://dwz.date/dFXa

 

     (四)英国能源公司People's Energy泄露客户信息

     英国能源供应商People's Energy近日遭受了严重的数据泄露,黑客访问了该公司客户的信息,包括与以前客户有关的信息。

     该公司联合创始人Karin Sode证实了这一事件,其客户的敏感个人信息,包括姓名、地址、出生日期、电话号码、电费和电能表ID被黑客窃取。在12月16日上午发现该入侵事件后,该公司已联系所有27万名现有客户,将此事通知他们。

     此外,黑客还侵入了15名小企业客户的银行账户和分类代码,People’s Energy公司表示,他们已经通过电话分别与他们联系。没有其他客户的财务信息被访问。该公司补充说,它已经通知了信息专员办公室(ICO),以及国家网络安全中心(NCSC)和警方。它目前正在与独立专家合作,调查入侵是如何发生的,以及攻击者的身份。

     英国广播公司BBC援引Sode的话表示:“无论从哪方面来说,这都是一个巨大的打击。我们希望人们觉得他们可以信任我们。这不是计划的一部分。我们感到不安和抱歉。”

     大多数受影响的人不太可能面临任何直接的财务风险,但在未来可能会面临有针对性的网络钓鱼攻击的风险。

     隐私权倡导者Paul Bischoff在Comparitech.com评论表示,“每一次数据泄露都令人担忧,但我们应该特别担心对关键基础设施的攻击。在接下来的几天里,我希望攻击者能够被识别出来,以便我们知道这是一个国家威胁行动者,还是只是一个独立黑客。值得庆幸的是,People's Energy的实际服务基础设施没有受到影响,绝大多数受害者的财务信息没有被盗。People’s Energy客户应警惕冒充People's Energy或关联公司的欺诈者发送的有针对性的网络钓鱼信息。他们将使用数据库中存储的个人信息来定制消息,使其更具说服力。不要在未经请求的电子邮件中单击链接或附件,并在回复前始终验证发件人的身份。”

     Pixel privacy的消费者隐私拥护者Chris Hauk补充道:“像People's Energy这样的数据泄露事件,强调了不管大型还是小型公司都有必要加强他们的系统,以防范此类泄露。People's Energy应该得到赞扬,因为他们没有浪费任何时间提醒客户和官员注意违规行为。这种预先承认有助于防止他们的客户被实施破坏行为的坏人欺骗。”

     People's Energy是今年发生大规模数据泄露事件的众多企业中最新的一家,其他企业包括Marriot International、Experian、easyJet等。

 

     参考来源:InfoSecurityMagazine http://dwz.date/dFPV

 

     (五)SolarWinds供应链攻击存在另一个后门SUPERNOVA

     微软威胁情报中心12月18日发布文章称,其在SolarWinds供应链攻击活动中发现了另一个恶意软件Supernova,该恶意软件也影响SolarWinds Orion产品,但由另一个威胁参与者使用,并非俄罗斯黑客。

     原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),已作为Orion应用程序的诱骗更新分发给SolarWinds客户。在受感染的网络上,该恶意软件会对其创建者执行ping操作,然后下载名为Teardrop的第二阶段后门特洛伊木马程序,该木马程序使攻击者可以启动键盘上的手动会话,也称为人为攻击。

 

 

 

但是在公开披露SolarWinds黑客事件后的头几天,最初的报告提到了两个第二阶段有效载荷。Guidepoint、Symantec和Palo Alto Networks的报告详细说明了攻击者是如何植入名为Supernova的.NET web shell的。安全研究人员认为,攻击者正在使用Supernova Web Shell下载、编译和执行恶意Powershell脚本(有人将其命名为 CosmicGale)。

然而,在微软安全团队的后续分析中,现在已经澄清了Supernova Web Shell不属于原始攻击链的一部分。在SolarWinds装置上发现Supernova的公司需要将此事件视为单独的攻击。
根据微软安全分析师Nick Carr在GitHub上发表的一篇文章,Supernova Web Shell似乎植入了SolarWinds Orion安装中,这些安装一直暴露在网络上,并受到类似于CVE-2019-8917的漏洞的攻击。

Supernova与Sunburst + Teardrop攻击链有关的困惑来自这样一个事实,即与Sunburst一样,Supernova也被伪装成Orion应用程序的DLL,Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件中,Supernova隐藏在App_Web_logoimagehandler.ashx.b6031896.dll中。

但是在12月18日发布的分析中,微软表示与Sunburst DLL不同,Supernova DLL没有使用合法的SolarWinds数字证书进行签名。对于攻击者来说,Supernova没有签名这一事实被认为是极不典型的,在那之前攻击者表现出很高的复杂性,并在操作中注重细节。

这包括花费几个月在SolarWinds的内部网络中未被检测的时间,预先向Orion应用程序添加虚拟缓冲区代码,伪装以后添加的恶意代码,以及伪装其恶意代码以使其看起来像SolarWinds开发人员自己编写的代码。所有这些看起来都是一个初始攻击者不会犯的明显错误,因此,微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。

 

参考来源:ZDNet http://dwz.date/dFrx
 

(六)遭受SolarWinds供应链攻击的部分组织列表

多个安全研究人员和研究团队近日发布了100至280多个组织列表,这些组织安装了SolarWinds Orion平台木马版,使其内部系统感染了Sunburst恶意软件。

该列表包括科技公司、地方政府、大学、医院、银行和电信运营商的名称,该列表中的大型公司包括Cisco、SAP、Intel、Cox Communications、Deloitte、Nvidia、Fujitsu、Belkin、Amerisafe、Lukoil、Rakuten、Check Point、Optimizely、Digital Reach、Digital Sense等。世界最大的半导体公司之一联发科也受到了影响,不过安全研究人员没有100%确定将其列入名单。

安全研究人员编制这些列表的方式是对Sunburst(又名Solorigate)恶意软件进行逆向工程。该恶意软件被注入到2020年3月至2020年6月间发布的SolarWinds Orion应用程序的更新中。带有恶意软件的更新将Sunburst恶意软件植入了许多公司和政府组织的内部网络中,这些公司和组织依靠Orion应用程序来监视和保存内部IT系统的清单。

根据微软、FireEye、迈克菲、赛门铁克、卡巴斯基和美国网络安全与基础设施安全局(CISA)发布的深入研究报告,在受感染的系统上,恶意软件会收集受害者公司网络的信息,等待12至14天,然后将数据发送到远程命令和控制服务器(C&C)。

黑客(据信是俄罗斯政府资助的组织)随后将分析他们收到的数据,并仅对情报收集目标感兴趣的网络进行升级攻击。

SolarWinds承认了这一黑客攻击,并表示,基于内部遥测技术,其30万名客户中的近1.8万人下载了包含Sunburst恶意软件的Orion平台版本。

最初,人们认为只有SolarWinds才能识别并通知所有受影响的组织。但是,随着安全研究人员不断分析Sunburst的内部工作原理,他们还发现了该恶意软件操作中的一些异常,即该恶意软件对C&C服务器执行ping操作的方式。Sunburst会将从受感染网络收集的数据发送到每个受害者唯一的C&C服务器URL。

这个唯一的URL是avsvmcloud[.]com的子域,包含四个部分,其中第一部分是看起来很随机的字符串。但是安全研究人员说,这个字符串实际上并不是唯一的,但包含受害人本地网络域的编码名称。

 

 

 

自上周以来,几家安全公司和独立研究人员一直在筛选历史Web流量和被动DNS数据,以收集有关进入avsvmcloud[.]com域的流量的信息,破解子域,然后追踪安装了特洛伊木马的SolarWinds Orion应用程序的公司,并将Sunburst恶意软件从其网络内部传回攻击者的服务器。

网络安全公司TrueSec和Prevasio、安全研究员Dewan Chowdhury以及中国安全公司奇安信都现已发布了受Sunburst感染的组织或用于解码avsvmcloud[.]com子域的工具的列表。

像思科和英特尔这样的公司已经在周末接受记者采访时正式确认他们已被感染。两家公司都表示,他们没有发现证据表明黑客升级了在其系统上提供第二阶段有效载荷的访问权限。

VMWare和Microsoft的名字不在这些公开列表中,它们还确认他们在其内部网络上安装了木马Orion更新,但还指定他们也没有发现攻击者升级的任何证据。

然而,黑客确实将其对某些目标网络的攻击升级了。在上周五的一次采访中,FireEye的首席执行官Kevin Mandia在调查其内部系统漏洞时发现了SolarWinds黑客。他表示,尽管感染了将近1.8万个网络,但基于FireEye的可见性,黑客只增加了对约50个目标的访问。

在周五也发布的另一份报告中,微软还表示,它确定了自己的40位客户安装了受感染的Orion应用程序,并且攻击者升级了访问权限。“升级”通常是在avsvmcloud[.]com C&C服务器以非常特定的DNS响应(其中包含特殊的CNAME字段)回复受感染的公司时发生的。这个特殊的DNS CNAME字段包含第二台C&C服务器的位置,Sunburst恶意软件可从该服务器获取其他命令,有时还可以下载其他恶意软件。

当前,唯一一家被黑客升级访问权限的知名公司是FireEye,其漏洞响应有助于揭露整个SolarWinds黑客攻击事件。

两者之间的区别(简单的Sunburst 感染和升级)对于事件响应者至关重要。在第一种情况下,他们可能只需要删除Sunburst恶意软件,而在第二种情况下,他们可能需要查看日志,以识别黑客升级到哪些内部系统以及从其网络中窃取了什么数据。

下图是安全公司Truesec汇编表格的一部分,其中包含一些SolarWinds受害者的解码内部域名。

 

 


 

参考来源:ZDNet http://dwz.date/dFtY

 

(七)美国货运物流企业Forward Air遭受新型勒索软件Hades攻击

卡车运输和货运物流公司Forward Air 12月15日遭受了新型勒索软件Hades攻击,这对该公司的业务运营产生了影响。

Forward Air是一家位于美国田纳西州的领先货运和空运物流公司,该公司2019年的营收为14亿美元,员工超过4300人。

此前FreightWaves报告称,Forward Air遭受了一次网络攻击,迫使他们的系统离线,以防止攻击的蔓延。Forward Air随后在一份声明中证实了这次攻击。“12月15日,Forward Air检测到一个影响某些计算机系统功能的IT安全事件。根据我们的信息安全协议,我们立即使系统离线,通知执法部门,并聘请了第三方专家协助我们进行内部调查。我们的IT团队正在努力恢复受影响的系统和服务,并尽快恢复上线。”

据FreightWaves称,攻击已经导致业务中断,因为要求从海关放行货物的文件存储在关闭的系统中,无法获得。目前Forward Air的网站已关闭,只是显示了一条关于“IT安全事件”的消息,网站在恢复受影响的系统时已关闭。有消息人士称,Forward Air遭受了一种名为Hades的新型勒索软件的网络攻击。

 

 

 

随后,Forward Air向美国证券交易委员会提交了一份8-K表格,披露他们遭受了勒索软件攻击。8-K文件显示,“2020年12月15日,Forward Air Corporation检测到一个勒索软件事件,影响了其运营和信息技术系统,导致许多客户的服务延迟。在发现这起事件后,该公司立即启动了应对方案,展开了调查,并聘请了网络安全和法医专业人员提供服务。该公司还与适当的执法机构进行了合作。”

这次攻击背后的Hades勒索软件组织大约一周前开始对该企业进行人为攻击。当加密受害者时,它会创建一个名为“HOW-TO-DECRYPT-[extension].txt”的勒索通知,类似于REvil勒索软件集团所使用的勒索通知。

 

 

勒索通知中附有每个受害者唯一的Tor网站URL。此URL会将受害者带到一个Tor网站,其中包含有关攻击的信息以及受害者可以用来与攻击者联系的Tox Messenger地址,所有受害者都一样。

 

 

 

当通过Tox联系到勒索软件的参与者时,他们不愿意提供任何有关他们攻击的信息。不过,他们共享了一个Twitter账户,该帐户的名称表明他们将使用该帐户泄漏在攻击过程中被盗的文件。目前尚不清楚恢复文件需要多少钱,而且还没有找到勒索软件的样本。

 

参考来源:BleepingComputer http://dwz.date/dEeH

 

(八)戴尔Wyse Thin客户端中存在严重漏洞可致设备接管

戴尔12月21日通知其客户,其发布了某些Wyse Thin客户端产品更新,修补了几个关键漏洞,这些漏洞可以在不经过身份验证的情况下远程攻击,从而危害设备。

这些漏洞是由专门从事医疗保健网络安全的公司CyberMDX的研究人员发现的,这些漏洞可以用来访问受影响设备上的任意文件并执行恶意代码。

戴尔WyseThin客户端是一款小型PC系列,运行一个名为ThinOS的操作系统,戴尔在广告中称之为“最安全的Thin客户端操作系统”。根据CyberMDX的数据,仅在美国就有6000多家机构在使用这些产品,其中包括许多医疗保健提供商。

 

 

CyberMDX研究人员注意到,默认情况下,无需凭据即可访问Wyse Thin客户端设备用于获取新固件、软件包和配置的本地FTP服务器,网络上的任何人都可以访问该服务器。攻击者可以访问此服务器上存储的包含Thin客户端设备配置数据的INI文件,并对该文件进行修改。

CyberMDX在文件中表示,“INI文件包含戴尔官方文档在100多页上详细介绍的一长串可配置参数。读取或更改这些参数会为各种攻击场景打开大门。配置和启用VNC以进行完全远程控制、泄露远程桌面凭据以及操纵DNS结果都是需要注意的一些情况。”

攻击可能源于两个漏洞:允许未经验证的攻击者访问配置文件的CVE-2020-29491和允许他们更改文件的CVE-2020-29492。

戴尔告知客户,这些漏洞会影响运行ThinOS 8.6及更早版本的Wyse 3040、5010、5040、5060、5070、5470和7010 Thin客户端设备。随着ThinOS 8.6 MR8版本的发布,该漏洞已被修补。

本月早些时候,CyberMDX披露了一个严重的漏洞,影响了通用电气医疗保健公司(GE Healthcare)制造的100多种医疗设备。该漏洞可被利用来访问或修改健康信息。
 

参考来源:SecurityWeek http://dwz.date/dFJM
 

(九)半岛电视台记者iPhone被植入Pegasus间谍程序

加拿大多伦多大学Citizen Lab 12月21日指出,半岛电视台有36名员工的iPhone在今年7月与8月间被植入了Pegasus间谍程序,黑客利用的是iPhone的零日漏洞,且从iOS 13.5.1到iPhone 11都含有相关漏洞,呼吁iPhone用户应尽快升级到iOS 14。

Pegasus是以色列间谍软件开发商NSO Group所开发的间谍程序,而且专门销售给政府组织,它支持不同的平台,且一旦进入使用者装置,就能神不知鬼不觉的窃取装置上的信息。
半岛电视台是由卡达王室出资的半岛媒体集团所拥有,同时也是全球最有影响力的阿拉伯媒体,这36名半岛电视台的员工包括记者、主播,以及电视台高层,特别的是,他们是被4个不同的行动所攻陷,而这与卡塔尔复杂的地缘政治关系有关。

不管是沙特阿拉伯、阿联酋、巴林或埃及与卡塔尔之间的关系都很脆弱,因为这4个国家经常指控卡塔尔庇护了这些国家的异议份子,也支持这些国家政治上的伊斯兰团体,它们甚至在2017年3月发表了联合声明,对卡塔尔提出了13项要求,包括关闭卡塔尔境内的土耳其军事基地、缓和与伊朗的关系、以及关闭半岛电视台等。

总之,Citizen Lab的调查显示,在这36台感染了Pegasus的iPhone中,有18台遭受得失是由沙特政府所主导的攻击行动,15台的攻击来源为阿联酋。这些被植入Pegasus的手机除了会记录麦克风之外,也会记录加密的电话通讯,还可拍照、追踪装置位置、存取装置所存放的凭证。

安全研究人员揣测Pegasus是藉由iMessage所采用的Push Notification Service协定漏洞传送到iPhone上,该漏洞允许间谍程序假冒为使用者已下载的程序,并透过苹果的服务器传递通知,若苹果并未察觉此一已被开采的漏洞,而且它并非使用者所安装的程序,就会将间谍程序送到使用者装置上。

媒体人员并非第一次受到各国政府的监控,Citizen Lab迄今已发现包括中国、俄罗斯、衣索比亚与墨西哥政府,都曾针对记者发动攻击。
Citizen Lab表示,虽然他们并不确定相关的程序是否能在iOS 14或之后的版本上运作,但至少迄今还未观察到这些版本的iPhone遭到入侵,因此呼吁iOS装置用户应尽快升级到iOS 14与之后的版本。

 

本文版权归原作者所有,参考来源:iThome http://dwz.date/dFN2

 

(十)美国多家科技公司支持WhatsApp诉讼以色列间谍软件NSO Group

微软、思科、GitHub、谷歌、LinkedIn、VMware和互联网协会12月21日提交了一份法庭文件,共同发声支持WhatsApp针对以色列间谍软件NSO Group的诉讼。

Facebook旗下的消息服务WhatsApp于2019年10月在加州提起诉讼,指控以色列科技公司NSO Group对记者、人权活动人士等进行间谍活动。WhatsApp表示,NSO Group试图用间谍软件感染大约1400台设备,以窃取WhatsApp用户的敏感信息。

NSO Group声称,其Pegasus间谍软件实际上是一种合法的网络监视工具,旨在帮助政府组织打击恐怖主义和其他类型的犯罪。但是,安全公司和其他组织已公开披露了许多恶意使用Pegasus的事件。最近的一次攻击涉及使用iMessage零日漏洞来感染半岛电视台记者的iPhone。

微软和其他公司支持WhatsApp提交的法庭文件摘要显示,Pegasus之类的软件交易与威胁行为者可能的滥用有关,因为NSO不会共享有关在目标平台中发现的漏洞的信息,以及NSO和类似公司威胁人权。微软表示,由于NSO Group等网络监视公司被称为私营部门进攻参与者(PSOA),因此使用进攻性网络功能的国家数量已从2012年至2015年的五个增加到目前的至少18个。

微软在博客中指出:“报告还显示,外国政府正在使用从PSOA购买的监视工具来监视人权捍卫者,记者和包括美国公民在内的其他人。”诸如Pegasus之类的工具可以跟踪个人的下落。它们可用于侦听对话、阅读文本和电子邮件、访问照片、窃取联系人列表、下载敏感数据、利用互联网搜索历史记录等等。

微软还指出,隐私是记者报道事件、异见人士能够发出声音、民主得以繁荣的根本。诸如Pegasus之类的网络监视工具威胁着所有这些以及个人的生命。

微软表示,“NSO寻求扩大主权豁免权,这将进一步鼓励新兴的网络监视行业开发、出售和使用工具来利用漏洞来违反美国法律。当私营公司使用其网络监控工具违法,或故意允许其用于此类目的时,无论其客户是谁或他们试图实现什么目标,都应继续承担责任。”
 

参考来源:SecurityWeek http://dwz.date/dFxH
 

 

(十一)微软和McAfee等联合成立“勒索软件特别工作组”

以微软和McAfee为首的19家安全公司、科技公司和非营利组织12月21日宣布成立一个名为勒索软件特别工作组(RTF,Ransomware Task Force)的联盟,以应对日益严重的勒索软件威胁。RTF将重点评估在勒索软件攻击期间提供保护的现有技术解决方案。

RTF将委托专家撰写有关该主题的论文,吸引各行业的利益相关者参与,找出当前解决方案中的差距,然后制定共同的路线图,以解决所有成员之间的问题。最终结果应该是一个用于处理垂直行业勒索软件攻击的标准化框架,该框架基于行业共识,而不是基于从单独承包商那里获得的个人建议。

最初的19位创始成员反映了RTF致力于组建多元化的专家团队,成员包括:Aspen Digital(政策制定者小组)、Citrix(网络设备供应商)、The Cyber Threat Alliance(网络安全行业共享组)、Cyber​​eason(安全公司)、The CyberPeace Institute(致力于帮助网络攻击受害者的非营利组织)、The Cybersecurity Coalition(政策制定者小组)、The Global Cyber Alliance(致力于降低网络风险的非营利组织)、The Institute for Security and Technology(决策者小组)、McAfee(安全公司)、微软(安全公司)、Rapid7(安全公司)、Resilience(网络保险提供商)、SecurityScorecard(合规性和风险管理)、Shadowserver基金会(非营利性安全组织)、Stratigos Security(网络安全咨询)、Team Cymru(威胁情报)、Third Way(智库)、UT奥斯汀·史特斯中心(研究组)、Venable LLP(律师事务所)。

目前,勒索软件既不是最广泛的恶意软件形式,也不是每年给公司造成最大财务损失的网络攻击类型。尽管如此,勒索软件仍然是一个主要威胁,并且一直在上升,勒索软件的需求每季度都在增长。

安全与技术研究所(Institute for Security and Technology)表示,“这种犯罪超越了各个部门,需要将所有受影响的利益相关者摆到桌面上,以形成一个切实可行的解决方案的清晰框架,这就是为什么IST和我们的合作伙伴联盟启动这个工作组进行为期两到三个月的冲刺的原因。”

勒索软件特别工作组网站将于2021年1月启动,其中包括完整的会员详细信息和领导职务,然后进行为期2到3个月的冲刺,以使特别工作组起步。
 

参考来源:ZDNet http://dwz.date/dFyU

 

(十二)5G的HTTP/2协议存在漏洞可致拒绝服务攻击

Positive Technologies的信息安全研究人员表示,由于核心协议中存在长期漏洞,一些5G网络有遭受攻击的风险。

Positive Technologies表示,“5G技术栈可能为用户和运营商网络的攻击敞开大门。此类攻击可以通过提供服务的国际漫游网络,运营商网络或合作伙伴网络进行。”

研究人员声称用于执行包括注册和存储用户配置文件在内的重要网络功能的HTTP/2协议存在一些漏洞,这些漏洞可能让恶意攻击者对移动电话用户实施拒绝服务攻击。

在一份关于其报告的声明中,Positive特别提到了用于建立订户连接的PFCP,称其“存在一些潜在的漏洞,如拒绝服务、切断订户对互联网的访问、以及将流量重定向到攻击者,从而使他们能够将订户的数据下行。”

研究人员还强调了HTTP/2协议,称该协议包含漏洞,可能允许恶意人士“冒充任何网络服务”损害电信公司客户对网络的信任,以及删除重要的网络功能配置文件。

另外,欧盟网络安全机构ENISA近日发布了一份关于5G安全的高度技术性的报告,列出了它认为支撑5G网络的技术中需要修复的重要漏洞,无论是在无线电接入层还是核心层。

ENISA执行主任Juhan Lepsaar在一份声明中表示:“通过定期提供威胁评估,欧盟网络安全局实现了对欧盟网络安全生态系统的支持。这项工作是我们为确保5G安全的持续贡献的一部分,5G是未来几年的关键基础设施。”

或许并不令人意外的是,ENISA还得出结论称,它需要在由27个成员国组成的政治集团的5G安全努力中发挥更大作用,并表示:“至关重要的是,欧盟通过支持成员国之间的进一步合作和信息共享,继续推动定义整个5G网络的共同安全标准及其使用案例。”
 

参考来源:TheRegister http://dwz.date/dFYb

 

(十三)美国纽约州劳工部遭受钓鱼攻击

近日有攻击者冒充美国纽约州劳工部,企图向COVID救济金索取款项的州居民那里窃取居民个人信息。

攻击者向受害者发送一封带有州徽标的电子邮件,该电子邮件似乎来自“noreply@labor.ny.gov”。电子邮件中指出,通过激活其帐户,收件人将获得600美元的疫情援助。

电子邮件内容如下:“亲爱的公民,由于Covid-19相关问题,纽约将为受大流行影响的受害者支付600美元。请填写在线表格以加入该计划。请单击此处以激活您的帐户。请不要在完成帐户激活后关闭浏览器,感谢。”

电子邮件中包含的恶意链接将受害者跳转到攻击者控制的网页。该页面模仿纽约州政府站点上的页面。在该页面上要求受害者填写其名称、地址、出生日期、社会保险号和驾驶证号码的表格。

该网络钓鱼攻击是由Abnormal Security的研究人员检测到的,他们认为它可能登陆了多达10万个邮箱。

研究人员发现,这封电子邮件的真正发件人是“naij30@naija9icevibes.com”,这是一个巴拿马注册的域名,与纽约州政府没有关联。

研究人员写道:“这封电子邮件包含一个嵌入的链接,理应指向一个纽约政府网站,但实际上指向的是https://thesender[.]org/fjc4。点击超文本后,链接将重定向到bo2.cloudns.cl/nyu/cnf[.]php,这是一个伪装成合法政府网站的钓鱼网页。”尽管此登录页显示纽约州政府的官方徽标,但该URL与纽约州劳工部没有关联。

研究人员指出,攻击者利用金钱的诱惑,再加上通过冒充官方政府实体而营造的权威氛围,来激励目标迅速采取行动。他们还观察到,袭击的时机可能赋予了它更多的合法性。

研究人员写道:“美国人已经收到了来自政府的大流行刺激检查,因此,收到这封电子邮件的人可能更有可能相信,随着大流行的继续,政府正在提供额外的缓解措施。”
 

参考来源:InfoSecurityMagazine http://dwz.date/dFYP

 

(十四)美国多政府部门警告使用新冠疫苗话题的网络钓鱼诈骗计划

美国联邦调查局(FBI)、卫生和公共服务部监察长办公室(HHS-OIG)以及医疗保险和医疗补助服务中心(CMS)12月22日通过联邦调查局国家新闻办公室发布联合警告称,威胁行为者正在利用新冠肺炎疫苗相关话题来引诱潜在的受害者,以获取个人信息并窃取钱财。

虽然这些类型的操作通常会影响非企业用户,但一些人可能会从工作设备打开与这些计划相关的恶意网站或电子邮件,这也可能给企业带来风险。

美国联邦调查局(FBI)、卫生与公众服务部监察长办公室(HHS-OIG)以及医疗保险和医疗补助服务中心(CMS)已经就新出现的新冠肺炎疫苗相关欺诈计划发出了警报。威胁行为者利用公众对新冠肺炎疫苗日益增长的兴趣,诈骗者诱使毫无戒心的受害者分享个人身份信息(PII)或汇款。

FBI、HHS-OIG和CMS发布的警报称,这种欺诈活动可能采取广告的形式,声称提供提前获得疫苗的机会,以换取押金或费用,请求支付疫苗费用或在所谓的等待名单上输入个人信息,或者提出接受医疗测试以获得疫苗。一些欺诈者可能声称能够在国内或国际上运送疫苗,或者可能通过社交媒体,电子邮件,电话或其他渠道宣传疫苗。

此外,该警告建议个人警惕声称来自医疗或保险公司或疫苗中心的未经请求的电子邮件或电话,这些公司要求提供个人和/或医疗信息,以及某些疫苗是FDA批准的未经核实的声明。该警告指出,一些骗子可能会通过电话联系毫无戒备的受害者,告诉他们政府或政府官员要求民众接种新冠肺炎疫苗。

12月18日,美国司法部宣布查封两家声称属于新冠肺炎疗法开发公司的网站,这两家网站的目的是收集访问者的个人信息。这两个网站“mordernatx.com”和“eneronMedical als.com”分别是总部设在马萨诸塞州剑桥市和纽约州韦斯特切斯特县的两家生物技术公司的合法域名的副本。这些域名是本月早些时候注册的。Mordernatx.com上没有登记者的个人信息,而regonMedical als.com注册在尼日利亚Onitsha Anambra的一名居民名下。通过这些网站获得的姓名和其他个人信息可能被用来犯下更多罪行。

Skurio首席执行官Jeremy Hendy表示,“恶意域名注册是一个日益严重的问题,公司和消费者都必须警惕。这个故事特别强调了为什么对伪造域名的意识日益重要,它利用用户的监督来欺骗人们,使他们相信他们正在访问一个真正的网站。不良行为者可以将这些受损的域用于社交工程攻击,以欺骗个人并窃取个人数据。”
 

参考来源:SecurityWeek http://dwz.date/dFTS

 

(十五)NIST发布帮助医疗机构保护图片存档和通信系统的安全指南

每隔一段时间,安全研究人员就会发现暴露在网上的机密医学图像。为了帮助医疗保健组织防止这种情况在未来发生,NIST发布了网络安全实践指南《保护图片存档和通信系统》(PACS)。

医学成像是提供病人护理的关键组成部分,而PACS是这些图像和伴随的临床信息在需要时存储和传送的地方。不用说,这些信息的完整性、可用性和保密性对于提供护理和保持患者的信任至关重要。

PACS是高度复杂的医疗保健提供组织(HDO)环境的一部分,该环境包括后台系统、电子健康记录系统、药房和实验室系统、一系列电子医疗设备以及通常用于医疗图像的云存储。

NIST表示,“确保PACS的安全面临几个挑战。在人力资源管理处运作的各个部门都有独特的医学影像需求,并可能自行操作PACS或其他医学影像存档系统。此外,在审查患者医疗数据时,HDO可能会使用外部医学成像专家。因此,PACS生态系统可以包括用于管理医学成像数据的多个系统,以及从不同位置访问PACS的不同临床用户社区。这种复杂性导致了网络安全方面的挑战。”

除此之外,PACS中的漏洞可能会影响患者和HDO。NIST的国家网络安全卓越中心(NCCoE)构建了一个实验室环境来模拟医学成像环境,执行风险评估,并确定了NIST网络安全框架的控制措施,以确保医学成像生态系统的安全。它还开发了一个示例实施,演示HDOS如何使用基于标准的商用网络安全技术来更好地保护PACS生态系统。

最终的实践指南除了纳入公众和其他利益相关者的反馈外,还通过在PACS架构中增加远程存储功能,建立在指南草案的基础上。这一努力提供了更全面的安全解决方案,更贴近地反映了真实的HDO网络环境。
 

参考来源:HelpNetSecurity http://dwz.date/dFZ3

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号