安全研究
全部分类

关键信息基础设施安全动态周报【2021年第16期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-04-23 17:26
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第16期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第16期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第16期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-04-23 17:26
  • 访问量:
详情

目   录

 

第一章 国内关键信息基础设施安全动态

(一)台湾电脑制造商Quanta遭受Revil勒索软件攻击泄露苹果产品图纸

第二章 国外关键信息基础设施安全动态

(一)OpENer堆栈存在严重漏洞使工业设备遭受攻击

(二)FireEye研究团队展示如何入侵公共事业公司智能电表

(三)美国能源供应商Eversource泄露客户个人信息

(四)拜登政府制定增强电力网络安全百日计划

(五)NSA发布俄罗斯黑客攻击美国网络利用的五大漏洞

(六)美国司法部成立专项工作组应对勒索软件攻击

(七)俄罗斯网络安全公司Positive Technologies遭受美国制裁

(八)代码测试平台Codecov遭受供应链攻击

(九)Junos OS操作系统存在严重RCE漏洞

(十)重大BGP泄漏导致全球数千网络短暂中断

(十一)斯洛伐克发生多起重大勒索软件攻击事件

(十二)美国汽车保险商Geico泄露客户驾照信息

(十三)日本光学制造商Hoya遭受勒索软件攻击

(十四)加拿大电信运营商Rogers大规模服务中断

(十五)英国饮料厂MCB发生网络安全事件导致IT系统关闭

(十六)巴西国家图书馆连续遭受两次勒索软件攻击

 

第一章 国内关键信息基础设施安全动态

(一)台湾电脑制造商Quanta遭受Revil勒索软件攻击泄露苹果产品图纸

台湾笔记本电脑及电子硬件制造商Quanta(广达电脑)近日遭受了Revil勒索软件攻击,然而该公司拒绝与勒索组织沟通,也拒绝支付勒索赎金,因此Revil泄露了苹果产品图纸,Quanta是Apple的制造商。

通过Tor浏览器可以访问REvil勒索软件组织在其官方网站上发布的一篇帖子,该组织声称已经窃取了千兆字节的Quanta敏感数据。该组织还表示,广达电脑已意识到这一漏洞,并表示无意保护它。因此,REvil勒索软件组织正在与几个有兴趣购买数据的第三方进行谈判,这些数据包含了苹果即将发布的产品的敏感和机密细信息。

此外,该组织还向苹果公司提出在2021年5月1日之前“回购”被盗数据。如果不支付赎金,黑客就威胁要向公众发布产品和个人数据。

REvil勒索软件组织表示,“为了不等待即将到来的苹果发布会,今天我们REvil组织将提供许多人喜爱的苹果即将发布的数据。蒂姆·库克(Tim Cook)可以感谢Quanta。我们花了很多时间来解决这个问题。Quanta已向我们明确表示,它不关心其客户和员工的数据,因此允许我们发布和销售拥有的所有数据。我们的团队正在与几个主要品牌商讨出售大量机密图纸和千兆字节的个人数据。我们建议Apple在5月1日之前回购可用数据。每天将添加越来越多的文件。”

目前,该组织已经泄露了一小部分样本数据作为“证据”。这些数据包括几张日期为2021年3月9日的苹果笔记本电脑的CAD图纸。

 

 

值得注意的是,广达的客户和合作伙伴包括一些顶尖的科技公司巨头,其中包括:LG、戴尔、索尼、Vizio、思科、富士通、联想、东芝、Gericom、Maxdata、微软、苹果、Alienware、西门子、Amazon.com、黑莓、Verizon无线、夏普、惠普。

上个月,台湾跨国硬件和电子公司宏碁遭到勒索软件团伙REvil的攻击。该组织威胁称,如果该公司不支付5000万美元的巨额赎金,就会泄露数据。去年9月,该组织又将目标对准了智利国家银行,并中断了其服务。2020年12月,REvil勒索软件黑客入侵了著名的化妆品和减肥专家the Hospital Group,窃取了客户价值600gb的个人、敏感和财务数据。

 

参考来源:HackRead http://dwz.date/eTqh

 

第二章 国外关键信息基础设施安全动态

(一)OpENer堆栈存在严重漏洞使工业设备遭受攻击

Claroty研究人员发现OpENer堆栈中存在多个漏洞,可在针对监控和数据采集(SCADA)以及其他使用OpENer的工业系统的攻击中被利用。

OpENer EtherNet/IP(ENIP)堆栈由EIPStackGroup维护,专为I/O适配器设备设计,支持多个I/O和显式连接,实现ENIP和CIP工业协议,在主要SCADA供应商中非常流行。

工业网络安全公司Claroty的研究人员披露了OpENer堆栈中的五个漏洞,通过向易受攻击的设备发送特制的ENIP/CIP数据包,这些漏洞可能被滥用。

第一个漏洞是CVE-2021-27478,CVSS分数为8.2,是数字类型错误转换,可能导致拒绝服务情况。该漏洞存在于前向开放CIP连接路径解析机制中。希望利用该漏洞的攻击者需要发送一个特制数据包,该数据包能够绕过现有检查,并最终导致巨大的CIP连接路径长度。

第二个漏洞是CVE-2020-13556,CVSS得分为9.8,Cisco Talos也报告了该漏洞,并于2020年12月发布了相关信息。思科表示,该漏洞可能通过一系列网络请求被滥用,最终实现远程代码执行。

第三个漏洞是CVE-2021-27482,CVSS分数为7.5,这是一种越界读取,因为“没有检查从提供的数据包读取的字节”。因此,能够向易受攻击的系统发送特制ENIP/CIP数据包的攻击者可以读取任意数据。

另外,其余两个漏洞(CVE-2021-27500和CVE-2021-27498)的CVSS得分均为7.5,它们被描述为“reachable assertions”,可被利用造成拒绝服务状态。

在上周四的一份公告中,网络安全和基础设施安全局(CISA)警告称,2021年2月10日之前的所有开放以太网/IP堆栈承诺和版本都容易受到攻击,同时也建议应用最新的承诺,并采取措施将利用风险降至最低。

这些措施包括确保控制系统不会暴露在互联网上,确保控制系统网络和远程设备受到防火墙保护并与业务网络隔离,以及使用安全方法进行远程访问,例如更新到最新版本的VPN。

CISA提醒组织在部署防御措施之前,要进行适当的影响分析和风险评估。观察到任何可疑的恶意活动的组织应遵循其既定的内部程序,并将其调查结果报告给CISA,以便与其他事件进行跟踪和关联。
 

参考来源:SecurityWeek http://dwz.date/eTcD

 

(二)FireEye研究团队展示如何入侵公共事业公司智能电表

FireEye Mandiant团队研究人员4月13日发表博客文章,分享了一个案例研究,研究人员入侵了北美一家公用事业公司的网络,并关闭了该公司的一款智能电表。

多年来,针对全球工业组织使用的ICS/SCADA系统的攻击数量迅速增加,许多安全公司强调了针对公用事业中使用的OT网络的攻击相关风险。在针对工业组织的最著名的攻击中,有2015年针对乌克兰电网的攻击,以及2017年针对沙特一家石化工厂的Triton攻击。

最近,FireEye的事件响应部门Mandiant团队演示了如何渗透到一家北美公用事业公司的网络,并侵入其工业控制系统,关闭其中一个智能电表。测试的范围是演示威胁参与者用来突破IT网络和OT网络之间的保护边界的策略、技术和程序。

在第一阶段的攻击中,Mandiant团队采用了TEMP.Veles使用的技术,在Triton攻击期间攻破OT网络。FireEye在报告中写道,“Mandiant在红队项目中的经验表明,从IT网络资产收集信息在有针对性的OT攻击中起着至关重要的作用。因此,针对OT目标攻击的内部侦察阶段从企业网络开始,行动者获得知识和资源,从IT网络中的初始妥协传播到OT网络中的远程访问。收集的有关目标、其安全操作及其环境的详细信息还可以支持参与者在扩展操作时保持不被检测的尝试。”

Mandiant的红队最初瞄准了面向外部的IT网络,然后试图访问OT网络。Mandiant发起鱼叉式网络钓鱼攻击,以在目标企业网络中立足。研究人员使用了两种不同的网络钓鱼方案的组合:

1、恶意文件的内嵌链接托管在Mandiant拥有的互联网域名上;

2、带有自动执行宏代码的Microsoft Office文档的电子邮件附件。

通过这种方法,红队在企业环境的用户工作站上实现了代码的执行。一旦实现了对企业环境中工作站的控制,研究人员们就会使用一套公开可用的攻击性安全工具(OST)来提升权限并获得域管理员级别的访问权限。以下是Mandiant团队使用的工具列表:

1、Ldapsearch用于枚举企业域中的信息;

2、PowerSploit利用IT中常见的安全错误配置;

3、WM在内部网络中从一个系统横向移动到另一个系统;

4、MimiKatz可提取本地用户和域管理员帐户的凭据。

然后,Mandiant的OT红队在IT网络中进行了内部侦察,以确定感兴趣的目标(人员、流程或技术),并找到从IT跳到OT的方法。在从IT传播到OT网络的过程中,参与者将利用以前受到威胁的系统、凭据或应用程序来访问更高安全区域(例如OT非军事区(DMZ))中的系统。根据在多个红队项目和研究中的观察,最有可能的传播攻击载体是:

 

 

最后,一旦映射了OT网络,研究人员就能够窃取仪表控制基础设施的人机界面门户的登录凭证,并发出断开智能电表连接的命令。
 

参考来源:SecurityAffairs http://dwz.date/eRYd

 

(三)美国能源供应商Eversource泄露客户个人信息

美国新英格兰地区最大的能源供应商Eversource发生了数据泄露事件,在不安全的云服务器上泄露了客户的个人

Eversource Energy是新英格兰地区最新的能源输送公司,为康涅狄格州、马萨诸塞州和新罕布什尔州的430万电力和天然气客户提供电力。

在数据泄露通知中,Eversource Energy警告客户,不安全的云存储服务器泄露了客户的姓名、地址、电话号码、社会安全号码、服务地址和账号。对于受到数据泄露影响的人,Eversource通过Cyberscout提供免费的1年身份监控服务。

 

 

收到数据泄露通知后,Eversource的一位客户致电Cyberscout,以了解有关泄露的更多信息。最终,他们收到了一份Cyberscout员工使用的内部常见问题文档,以回答有关违规行为的询问。

根据这份文档内容,Eversource在3月16日进行了安全审查,发现一个“云数据存储文件夹”配置错误,因此任何人都可以访问其内容。当他们发现不安全的文件夹时,立即对其进行安全保护,并开始调查该文件夹中存储了哪些数据。该文件夹包含于2019年8月创建的未加密文件,其中包含11,000名马萨诸塞州东部Eversource客户的个人信息。目前,Eversource表示,没有迹象表明这些数据被未经授权的人获取或滥用。

虽然这可能是真的,但建议用户注册Eversource提供的免费识别盗窃监视,以防其欺诈性使用其社会保险号时收到警告。受影响的用户还应注意假装来自Eversource或其他公司的网络钓鱼电子邮件,这些电子邮件利用暴露的数据来收集更多信息。

在过去的两年中,勒索软件攻击和网络漏洞已成为众多公用事业公司的攻击目标,其中包括北美EDP Renewables、巴西Centrais Eletricas Brasileiras(Eletrobras)、Paraanense de Energia Companhia(Epel)、以及 Enel Group。

更令人担忧的是,威胁行动者最近破坏了佛罗里达州Oldsmar的水处理系统,并试图将氢氧化钠(NaOH)清洁剂的浓度提高到危险水平。这些漏洞,甚至EverSource恶意程度较小的漏洞,都突显了公用事业公司需要提高其安全态势,以防止将来发生此类泄漏和攻击。
 

参考来源:BleepingComputer http://dwz.date/eSgu

 

(四)拜登政府制定增强电力网络安全百日计划

美国能源部(DOE)4月20日宣布了一项为期100天的计划,以帮助美国电力基础设施抵御网络威胁。

据美国国家安全委员会表示,该计划是与私营部门和CISA共同推出的,旨在帮助所有者和运营商开发更全面的检测、缓解和取证能力的方法。

作为该计划的一部分,能源部的网络安全、能源安全和应急响应办公室将专注于让工业控制系统(ICS)所有者和运营商选择和使用有助于获得实时网络威胁意识和响应能力的技术。能源部还将鼓励部署能够提高对ICS和运营技术网络中威胁的可见性的技术。

美国能源部长Jennifer Granholm在一份声明中表示,“美国面临着一个有据可查且日益严重的网络威胁,这些恶意行为者企图破坏美国家庭和企业供电所依赖的电力。防止危害发生取决于政府及行业,这就是为什么我们共同努力,采取这些决定性措施,使美国人可以依赖一个弹性、安全、清洁的能源系统。”

这项为期100天的计划出台之际,能源行业和能源部正在努力应对据称涉及联邦承包商SolarWinds的俄罗斯政府大规模间谍活动。美国能源部是在其网络上发现与黑客行动有关的恶意软件的几个联邦政府机构之一。官员们警告称,黑客行动可能会变得具有破坏性。

这项为期100天的计划也与美国情报界上周的警告不谋而合,美国情报界警告称,俄罗斯一直在攻击工业控制系统,同时人们担心中国黑客最近一直在调查印度的能源行业。美国情报界最近还评估称,中国政府黑客有能力对美国的关键基础设施造成破坏。

拜登政府还撤销了特朗普政府期间发布的一项行政命令,该命令旨在限制电力行业的外国采购设备。该命令针对的是处理发电和输电的大容量电力系统,它将允许能源部长在设备安装前对其进行审查,以检查潜在的国家安全威胁。这也将允许能源部检查已经在使用的装备。

拜登政府正在征求意见,然后再就此事发布新的行政命令。美国能源部也发布了一份信息请求,以接收行业和专家关于下一步改善国家电力系统供应链风险管理努力的反馈。与此同时,政府敦促行业领袖和公用事业公司对外国影响或外国来源的设备保持谨慎。
 

参考来源:CyberScoop http://dwz.date/eTjP

 

(五)NSA发布俄罗斯黑客攻击美国网络利用的五大漏洞

美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)4月15日联合发布了一份名为《俄罗斯SVR攻击美国及盟国网络》的网络安全咨询报告,披露了俄罗斯对外情报局(SVR)正在利用的五个公开的已知漏洞。该公告与美国政府对SolarWinds供应链攻击和相关网络间谍活动的正式归属一起发布。该公告重点介绍了SVR正在使用的策略、技术和程序,以便网络防御者可以采取措施抵御攻击。

 

 

缓解这些漏洞至关重要,因为俄罗斯政府支持的网络行为者不断地对美国及其盟国网络进行扫描、确定目标并加以利用。除了破坏SolarWinds Orion软件供应链之外,最近的SVR活动还包括通过WellMess恶意软件针对COVID-19研究设施,以及通过NSA披露的通过VMware漏洞攻击网络。俄罗斯政府支持的行为者利用Workspace ONE中的漏洞,使用泄露的凭证进行访问。

NSA、CISA和FBI强烈鼓励所有网络安全利益相关者检查其网络中是否存在与所有五个漏洞和通报中详述的技术有关的危害指标,并紧急实施相关的缓解措施。NSA,CISA和FBI还认可私营部门和公共部门的所有合作伙伴,为应对俄罗斯最近在网络空间的活动所作的全面协作努力。

NSA鼓励其客户针对以下众所周知的漏洞进行缓解:

1、CVE-2018-13379 Fortinet FortiGate VPN;

2、CVE-2019-9670 Synacor Zimbra协作套件;

3、CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN;

4、CVE-2019-19781 Citrix应用程序交付控制器和网关;

5、CVE-2020-4006 VMware Workspace ONE Access。
 

参考来源:NSA http://dwz.date/eSA7

 

(六)美国司法部成立专项工作组应对勒索软件攻击

据《华尔街日报》4月21日报道,美国司法部成立了一个专项工作组,以应对在新冠疫情期间激增的针对美国关键组织的勒索软件攻击事件。该工作组将由国家安全部、刑事部、民事部、美国检察官办公室和联邦调查局的官员组成。

该专项工作组将负责确保司法部优先处理涉及勒索软件攻击的案件,通过增加对员工的培训、注重在机构内共享情报、改善协调、并利用所有调查线索。

该专项工作组还将制定并实施一项战略,打击参与勒索软件攻击的犯罪企业,同时加强司法部与私营部门之间的公私合作伙伴关系,以应对勒索软件攻击并进一步与国际伙伴合作。

代理副总检察长John Carlin在一份备忘录中宣布了该特别工作组,并于20日发给了工作组成员。Carlin写道,“勒索软件攻击涉及到攻击者将关键网络扣为人质并要求付款,这可能会造成严重的人力和财力损失。当罪犯针对医院、公用事业和市政网络等关键基础设施时,他们的活动将危害美国人的安全和健康。工作组将动用美国国防部的所有资源,来支持我们的全工具方法,并与国内外的合作伙伴一道,对抗勒索软件和数字勒索的威胁,并确保追究参与传播这些罪行的人的责任。”

在新冠疫情期间,针对包括医院、学校和其他重要组织在内的组织的勒索软件攻击大幅增加,网络犯罪分子将脆弱的组织作为攻击目标,在此后一年成立了特别工作组。

美国司法部宣布了许多针对参与勒索软件攻击的网络犯罪案件,包括最近与盟国合作破坏被称为“世界上最具破坏性的恶意软件”的Emotet僵尸网络、对涉嫌盗窃数十亿美元加密货币的朝鲜黑客提出起诉、以及对总部位于中国、俄罗斯和伊朗的黑客提出多项指控。

Carlin表示,“尽管国防部已采取重要措施解决网络犯罪,但必须动用国防部的全部权力和资源来应对这种威胁的许多方面和根本原因。”

司法部不是唯一一个将处理勒索软件作为首要任务的机构。国土安全部长Alejandro Mayorkas将2月份不断升级的勒索软件攻击描述为“流行病”。Mayorkas随后在3月宣布,打击勒索软件攻击将是国土安全部将进行的60天网络安全冲刺中的第一个重点,Mayorkas强调有必要应对勒索软件的“国家安全威胁”。 Mayorkas在一次演讲中表示,“在前所未有的、持续的全球疫情中,有一些行为者恶意使用勒索软件,使数十万人死亡,扰乱了医院秩序。”
 

参考来源:TheHill http://dwz.date/eSXT

 

(七)俄罗斯网络安全公司Positive Technologies遭受美国制裁

美国总统拜登4月15日制裁了众多涉及协助俄罗斯政府干预美国总统大选、或是发动网络攻击的众多实体与个人。其中遭到制裁的网络安全公司Positive Technologies是美国多家大型科技业者的合作伙伴,包括微软、IBM、VMware与HP等。

Positive Technologies是被美国点名的6家俄罗斯科技公司之一,美国认为这6家科技公司提供了俄罗斯情报服务所需的资源,因而被纳入制裁。其中的Positive Technologies是网络安全公司,提供网络安全解决方案给俄罗斯及国际间的政府与企业,也经常举办大型的网络安全会议,并透过这些会议替俄罗斯联邦安全局(FSB)与俄罗斯情报局(GRU)招募新鲜血液。

不过,在全球30个国家拥有超过2,000名客户的Positive Technologies,除了拥有包括三星、韩国SK Telecom、英国电信(BT)等知名客户外,也是美国多家大型科技公司的合作伙伴。

例如Positive Technologies是微软主动防护计划的合作对象之一,该计划允许网络安全人员在微软发布安全公告前,取得漏洞与修补细节,以让网络安全公司可提前展开防护措施,目前全球有超过80家网络安全公司参与MAPP。但根据美联社报导,微软已在上周得知Positive Technologies遭到制裁后,将Positive Technologies踢出MAPP名单。

此外,Positive Technologies与IBM也有合作关系,允许IBM QRadar用户在该智慧威胁分析平台上,以Positive Technologies所开发的MaxPatrol扫描器来侦测安全漏洞。Positive Technologies也是VMware与HP的合作伙伴,但并不确定合作内容。

根据美国的说法,包括Positive Technologies在内的6家俄罗斯科技公司,支援了俄罗斯各种情报服务的网络计划,涵盖提供专业知识、开发工具与基础设施,以利它们展开恶意的网络活动等。

而Positive Technologies也在遭到制裁后发布了声明,表示在该公司成立20年来,其研究从未违反商业透明化准则或与安全社群之间的道德资讯交换,他们的任务是打造能够改善全球网络安全的产品与技术,尽可能地开放与合作,而不考虑地缘政治。

Positive Technologies强调,他们的研究人员每年都会找到数百个零日漏洞,这些漏洞无一例外地都交给了软件制造商以作为责任披露的一部分,认为地缘政治不应成为技术发展的障碍,而该公司也将持续进行他们最擅长的事。
 

本文版权归原作者所有,参考来源:iThome http://dwz.date/eTjp

 

(八)代码测试平台Codecov遭受供应链攻击

代码测试平台Codecov披露,其遭受了黑客入侵事件,威胁者修改了其Bash Uploader脚本,导致在客户集成环境中泄露了敏感信息。Codecov的代码测试软件在整个科技行业用来帮助测试代码错误和漏洞。调查显示,Codecov数百个客户网络已受到此事件影响。

Codecov于4月1日发现了这一事件,并调查确定该攻击事件最初始于1月31日,两个多月未被发现。Codecov提供的工具可帮助开发人员测试在过程中执行的源代码数量,该过程称为代码覆盖率,表明代码中存在未检测到的bug的可能性。

在此攻击中,威胁行为者从其有问题的Docker映像中获得了Codecov的凭据,随后使用这些映像来修改公司客户使用的Codecov的Bash Uploader脚本。通过在Bash Uploader脚本中将Codecov的IP地址替换为自己的IP地址,攻击者使用了一种方法,悄悄收集Codecov客户的凭证令牌、API密钥以及在客户的持续集成(CI)环境中作为环境变量存储的任何内容。

Codecov是一个在线软件测试平台,可以与GitHub项目集成,生成代码覆盖率报告和统计信息,受到2.9万多家软件企业青睐。Codecov拥有超过2.9万名客户,其中包括GoDaddy、Atlassian、The Washington Post、Procter&Gamble(P&G)等知名公司,使得这一事件成为值得关注的供应链事件。

Codecov初步调查显示,从2021年1月31日开始,Bash上传脚本定期发生未经授权的更改,这使威胁行为者有可能窃取了存储在其CI环境中的Codecov用户的信息。但是直到4月1日,该公司才意识到这一恶意活动,一位客户注意到托管在Codecov域上的Bash Uploader脚本的哈希(shashum)与该公司GitHub上列出的正确哈希之间存在差异。

很快,该事件就引起了美国联邦调查人员的关注,因为该违规行为已被比做美国政府归因于俄罗斯外国情报局(SVR)的最近SolarWinds攻击。根据联邦调查人员的说法,Codecov攻击者部署了自动化功能,以使用收集到的客户凭据来进入数百个客户端网络,从而将此系统漏洞的范围扩大到Codecov系统之外。

一位不愿意透露姓名的联邦调查员匿名告诉路透社记者,“黑客们在使用Codecov方面投入了很多精力,以进入其他软件开发程序制造商,以及本身为许多客户提供技术服务的公司,包括IBM。”据调查人员称,通过滥用通过Bash Uploader脚本收集的客户凭证,黑客可能会获得成千上万个其他受限制系统的凭证。

使用Codecov的公司和GitHub项目的列表非常广泛。通过简单搜索Codecov受损的Bash Uploader脚本的链接,可以发现成千上万个正在使用或正在使用该脚本的项目。但是这并不一定意味着每个项目都受到攻击,此事件的完整影响尚不清楚。因此,美国联邦政府调查人员已介入并正在对事件进行彻底调查。

 

 

包括IBM在内的Codecov客户表示,他们的代码尚未被修改,但拒绝评论其系统是否遭到破坏。但是,Atlassian的发言人的声明表示,到目前为止,还没有迹象表明系统受到损害,“我们已经意识到了这一事件,并且正在对其进行调查。目前,我们还没有发现任何证据表明我们受到了影响,也没有发现受到攻击的迹象。”

惠普公司是Codecov的29,000个客户中的一个客户,表示他们正在继续对该事件进行调查。惠普发言人Adam Bauer告诉路透社,“惠普拥有一支专门的专业人员团队来研究此问题,客户应该放心,我们会在我们知道更多信息后立即通知他们任何影响和必要的补救措施。”联邦调查局(FBI)和美国国土安全部(DHS)目前尚未对调查发表评论。

建议在任何时间使用Codecov的上传程序(Github的Codecov-actions上传程序、Codecov CircleCl Orb或Codecov Bitrise Step)的Codecov客户重置可能因此是事件而泄露的凭据和密钥,并审核其系统是否存在恶意活动迹象。
 

参考来源:BleepingComputer http://dwz.date/eRWk

 

(九)Junos OS操作系统存在严重RCE漏洞

网络安全提供商Juniper Networks近日发布安全公告称,其Junos OS操作系统存在远程代码执行漏洞CVE-2021-0254,未经身份验证的远程攻击者可以利用此漏洞执行任意代码或触发DoS条件。

Juniper Networks的Junos OS操作系统的覆盖服务存在缓冲区大小验证漏洞,未经验证的远程攻击者可以向设备发送特制的数据包,从而触发部分拒绝服务(DoS)条件,或导致远程代码执行(RCE)。继续接收和处理这些数据包将维持部分拒绝服务。
覆盖的守护程序处理发送到覆盖的覆盖OAM数据包,例如ping和traceroute。默认情况下,该服务以root用户身份运行,并在端口4789上侦听UDP连接。此问题是由于缓冲区大小验证不正确而导致的,这可能导致缓冲区溢出。未经身份验证的攻击者可以发送特制数据包来触发此漏洞,从而可能导致远程执行代码。

在MX系列、ACX系列和QFX系列平台上默认运行覆盖模式。SRX系列不支持VXLAN,因此不容易受到此问题的影响。如果配置了虚拟可扩展LAN(VXLAN)覆盖网络,则其他平台也容易受到攻击。

受影响的Junos OS操作系统版本包括15.1X49、15.1、17.3、17.4、18.1、18.2、18.3、18.4、19.1、19.2、19.3、19.4、20.1、20.2、20.3。不需要任何最低配置即可容易受到此问题的影响。

此漏洞CVE-2021-0254的CVSS得分为9.8分。该漏洞是由STAR Labs安全研究人员HoàngThạchNguyễn发现的。缓解此问题可以:

1、通过使用访问列表或防火墙过滤器来限制仅从受信任的管理网络或主机通过UDP访问设备,从而限制关键基础结构网络设备的可利用攻击面。

2、通过配置命令禁用覆盖OAM数据包:“set system processes overlay-ping-traceroute disable”。
参考来源:Juniper Network http://dwz.date/eRNT

 

 

(十)重大BGP泄漏导致全球数千网络短暂中断

4月16日晚发生了一起大型BGP路由泄漏事件,全球成千上万个主要网络和网站连发生了中断。据消息人士称,尽管BGP路由泄漏发生在印度的沃达丰自治网络(AS55410)中,但已影响到包括谷歌在内的美国公司。

16日,思科的BGPMon在一个互联网路由系统中出现了不一致,这表明可能发生一些BGP劫持活动。BGPMon在公告中表示,前缀24.152.117.0/24通常由BR的AS270497 RutMaria DA Cunha发布。但从2021年04月16日15时07分01分开始,ASN 55410也宣布了相同的前缀(24.152.117.0/24)。

Kentik互联网分析主管Doug Madory进一步证实了这些发现,称自治系统ASN 55410的入站流量激增了13倍。这是由于网络错误地宣传它支持30000多个BGP前缀或路由,而实际上它不支持,导致互联网充斥着本不打算通过它的流量。上述自主系统(AS55410)属于沃达丰印度有限公司。

 

 

根据Kentik的分析,包括谷歌在内的一些美国公司也受到了这一事件的影响,这一事件似乎从4月16日13:50前一点持续到14:00左右。“这起事件只影响了大约10分钟的流量,但在这段时间里,全世界的用户可能都遇到了无数的互联网连接问题。”

Kentik的Doug Madory在接受电子邮件采访时表示,“任何试图访问被泄露的路由中配置了IP地址的网络资源的人,其流量都会被错误地定向到印度的AS55410,然后掉线。”虽然泄密主要影响了3万多条广告路线和印度互联网用户的互联网流量误导,但泄密确实蔓延到了世界各地。

Madory将Vodafone India(AS55410)遭遇的意外入站流量激增与本质上的自创DDoS攻击进行了比较,这也可能导致Vodafone用户在这段时间访问互联网时出现问题。BGP专家Anurag Bhatia进一步分析发现,全球自治网络中有20000多个前缀受到了此次事件的影响。

 

 

BGP或边界网关协议是使现代互联网工作的原因。它类似于有一个“邮政系统”的互联网,有助于重定向流量从一个(自治)系统的网络到另一个。互联网是一个由网络组成的网络,例如,一个国家的用户想要访问另一个国家的网站,那么当用户在多个联网的系统之间重定向时,必须有一个系统知道应该采取什么路径。这类似于通过多个邮政分支在信源和目的地之间传递的信件。

但是,BGP是脆弱的,即使是少数中介系统中的任何中断或异常都可能对许多系统产生持久的影响。当恶意实体设法向其他路由器“虚假通告”它们拥有一组特定的IP地址时,就会发生BGP路由劫持。当这种情况发生时,就会出现混乱。这种路由混乱会在互联网上造成很多麻烦,并导致延误、交通堵塞或完全中断。

但是,BGP路由泄漏类似于BGP路由劫持,不同之处在于后者更具体地指发生恶意活动的实例。然而,路由泄漏更有可能是偶然的。在BGP路由泄漏或BGP劫持的任一情况下,自治系统(AS)都会宣布它知道将流量定向到实际不知道的某些目的地(AS)的“方式”或“何处”。

这可能会导致用户被带到一条互联网路由上,这将提供次优的性能或直接导致中断,并可能在恶意劫持的情况下充当窃听或流量分析活动的幌子。例如,据报道,去年BM的全球停机是由于错误的BGP路由配置造成的。

虽然事件现在已经结束,但随时可能再次发生。Kentik共享了一些常见的安全措施,公司可以使用这些措施来防止BGP泄漏:

1、设置MAXPREF:AS1273(也注册在沃达丰)和AS9498(注册在Bharti Airtel Ltd.)。可能在他们与AS55410的连接上设置了MAXPREF。这是一种简单的机制,当下游网络突然开始发送出人意料的大量BGP路由时,它会自动禁用BGP连接。

2、配置过滤器:例如,AS1273和AS9498可能使用互联网路由注册表数据过滤从AS55410接受的路由,因为它们知道它们不应该接收美国的BGP路由。

3、部署RPKI:该删除在RPKI中配置了路由原始授权(ROA)的泄漏路由。
 

参考来源:BleepingComputer http://dwz.date/eQcr

 

(十一)斯洛伐克发生多起重大勒索软件攻击事件

斯洛伐克国家安全局(NBÚ)4月16日披露,该国发生了一系列重大勒索软件攻击事件,涉及到公共管理、电信、能源和IT领域的信息技术部门。攻击者勒索数十万欧元赎金,以恢复系统全部功能。NBÚ促该国所有公司和机构立即保护和备份其系统,以免遭受潜在攻击。

斯洛伐克国家网络安全中心SK-CERT发现,在斯洛伐克发生的重大且成功的勒索软件攻击事件有所增加。最近几天,类似的活动在中欧愈演愈烈。国家安全局(NBÚ)警告公司和机构立即保护和备份其系统。如果忽略了这一步,就有可能蒙受巨大的财务损失。

勒索软件是对数据的最大威胁之一。攻击者会渗透到系统中,对系统进行加密,然后可能要求所有者支付勒索赎金以获得访问权限。

国家安全局确认此攻击活动是由几个斯洛伐克黑客组织发起的,他们设法加密了关键数据,并限制了目标机构的职能和工作活动。黑客组织正在勒索并要求数十万欧元的赎金,以重新开放系统并恢复全部功能。

因此,国家网络安全中心SK-CERT强烈建议:

1、公司需要备份重要信息,这是最佳的数据安全措施;

2、有必要检查备份系统及其功能,并且为了防止这种情况,公司有必要备份其重要信息;

3、备份的数据必须与备份的基础结构物理隔离,硬件具有在内部网络上传播和复制并主动搜索现有备份并通过加密使其无效的能力;

4、建议定期检查备份功能和还原关键系统的能力;

5、如果发生安全事件,则必须识别受影响的设备和系统,并将其与网络隔离;

6、如果多个系统和子网受到影响并关闭,请在交换机级别关闭网络。如果无法在网元级别断开网络连接,请从网络上断开各个设备的连接,如断开网络电缆的连接、关闭Wi-Fi等;

7、如果受影响的设备无法与网络基础架构完全隔离,就禁用这些设备。禁用设备会不可挽回地破坏存储在操作内存中的数据,其中可能包含有价值的数据以及进一步分析恶意软件活动和解密受影响文件所需的数据;

8、在任何怀疑的情况下,随时与国家安全局incident@nbu.gov.sk和警察联系。
 

参考来源:SK-CERT http://dwz.date/eSDb

 

(十二)美国汽车保险商Geico泄露客户驾照信息

美国第二大汽车保险公司Geico披露其遭受了数据泄露事件,威胁行为者窃取了投保人的驾照信息长达一个月以上。

Geico是美国第二大汽车保险公司,为2800多万辆汽车提供1700多万份保单。在向加州总检察长办公室提交的一份数据泄露通知中Geico表示,一个多月以来,威胁行为者滥用了一个在线销售门户网站,以获取投保人的驾照号码。

Geico的数据泄露通知表示,“我们最近确定,在2021年1月21日至2021年3月1日之间,威胁者利用从其他地方获得的关于用户的信息,通过我们网站上的在线销售系统未经授权获得了驾照号码。”

Geico声明威胁行为者利用从其他地方获得的客户信息来拉出投保人的信息,但没有说明访问在线销售门户需要哪些信息。Geico认为,威胁行为者计划使用驾驶执照号码以投保人的名义申请失业救济金。

Geico解释表示,“我们有理由相信,这些信息可能会被用来以你的名义骗取申请失业救济金。如果你收到来自你所在州的失业机构/部门的任何邮件,请仔细审查,如果有任何欺诈行为,请与该机构/部门联系。”

Geico表示,他们得知了这种滥用行为后,立即对网站安全进行了保护,并增加了额外的安全措施,以防止进一步的欺诈或非法活动。对于受影响的人,Geico将免费提供一年的身份保护服务。

Geico警告称,受影响的用户应该留意来自本州失业救济机构的意外邮件。如果收到任何消息,应立即与该机构联系,并报告可能的欺诈行为。
 

参考来源:BleepingComputer http://dwz.date/eThm

 

(十三)日本光学制造商Hoya遭受勒索软件攻击

日本光学制造商豪雅Hoya遭受了勒索软件攻击,这是该公司两年来遭受的第二起网络攻击。

Hoya发言人表示,“我们可以确认,Hoya Vision Care US遭受了网络攻击。根据我们的初步取证,破坏似乎仅限于美国系统。在识别出威胁后,我们迅速采取了行动来遏制威胁,并联系了执法部门。我们聘请了外部专家来确定此次活动的性质和范围。当有更多信息时我们将提供更新。”

豪雅(Hoya)成立于1941年,以东京西部地区名字命名,是一家玻璃制造商,在全球拥有约37,000名员工,年收入约为50亿美元。根据2020年公司的报告,该公司去年的隐形眼镜和眼镜的销售额占销售额的65%,其余的来自信息技术设备和服务,例如用于半导体和硬盘驱动器制造的玻璃基板。

名为Astro Team的黑客组织上周在其博客中表示,他们攻击了Hoya的服务器,并窃取了约300 GB的公司机密数据,包括财务、生产、电子邮件、密码和安全报告。

在2019年,Hoya曾遭受了重大网络攻击,感染了100多台计算机,并迫使公司工厂关闭三天。

Emsisoft威胁分析师Brett Callow表示,“勒索软件的攻击比以往任何时候都更具破坏性,公司不仅需要处理数据加密,还要处理数据被盗及可能泄露。这是一个越来越普遍的问题,去年全球有1300多个公共和私营部门组织的数据被盗并在网上发布。”

在2019年末,Hoya提出斥资高达1477亿日元(合13.6亿美元)收购NuFlare Technology Inc.,以寻求东芝附属公司的控制权,这是日本企业罕见的敌意收购。尽管出价更高,但Hoya还是被东芝击败。东芝在去年1月成功收购了NuFlare的其他股东,并将该部门私有化。
 

参考来源:Bloomberg http://dwz.date/eS73

 

(十四)加拿大电信运营商Rogers大规模服务中断

加拿大电信运营商Rogers发生了大规模服务中断事件,加拿大全国范围内均受影响,客户无法访问无线语音和数据服务。

中断大约从凌晨1点开始,用户在社交媒体上表达了他们无法访问语音或数据的不满。Rogers在他们的社区论坛上承认了这一故障,他们声称“一些无线用户”正在经历一次服务中断。

Rogers在社区论坛中表示,“一些无线客户正在经历无线语音和数据服务的间歇性服务中断。我们的团队正在迅速恢复服务。对于给您带来的不便,我们深表歉意,并将继续定期提供更新。在大多数情况下,您的服务将自动恢复。但是,如果仍然无法使用服务,请尝试重新启动设备。我们在rogers.com/support上提供了有关最受欢迎产品的重启说明。如果这样做不起作用,请通过rogers.com/contactus中列出的任何方式与我们联系,我们的团队将很乐意为您提供帮助。”

Rogers的首席技术官Jorge Fernandes表示,根本原因是最近的一次软件更新对其网络造成了连锁效应。“我们已经找到了服务问题的根本原因,并找出了爱立信最近的一次软件升级,该升级影响了我们无线网络中心部分的一台设备。这导致了间歇性拥堵,对全国各地许多客户的服务造成了影响。”

Rogers于4月20日发布推文称,服务目前已恢复正常。
 

参考来源:BleepingComputer http://dwz.date/eTkG

 

(十五)英国饮料厂MCB发生网络安全事件导致IT系统关闭

英国和爱尔兰饮料经销商Matthew Clark Bibendum(MCB)4月18日发表声明表示,其发生了网络攻击事件,导致所有IT系统关闭。

在4月18日发布的一份声明中,子公司Matthew Clark和Bibendum表示,在4月16日意识到这一事件后,暂时改为手动地支持客户和供应商。该声明表示,“MCB迅速做出反应,制定了网络安全响应计划,并关闭了所有IT系统。该问题并未影响到C&C集团的IT系统,系统仍在正常运行。”

由于新冠疫情的限制,MCB“业务量正在减少”,MCB表示,“已经扩展了呼叫中心功能,以方便手动执行订单。并且正在将事件告知客户和供应商,并已通知有关当局,包括信息专员办公室”。

MCB由C&C集团所有,C&C集团在40多个国家生产和分销其两个最著名的品牌,爱尔兰苹果酒Bulmers和苏格兰啤酒Tennent's。总部位于布里斯托尔的Matthew Clark为英国和爱尔兰的酒店业提供来自4,000多个产品系列的酒精和非酒精饮料。总部位于伦敦的Bibendum Wine为英国和爱尔兰提供酒店和零售业提供服务。总部位于都柏林的富时250指数公司C&C集团为英国和爱尔兰的35,000多家酒馆、酒吧、饭店和酒店提供啤酒、苹果酒、葡萄酒、烈酒和软饮料。
 

参考来源:TheDailySwig http://dwz.date/eRtC

 

(十六)巴西国家图书馆连续遭受两次勒索软件攻击

4月11日,巴西国家图书馆网站成为勒索软件的攻击目标,不得不被迫关闭。与文化事务特别秘书处有联系的该机构选择关闭服务器,以缓解可能造成的问题和新的入侵。

然而在13日,该网站再次被激活,并遭受第二次入侵。在一份说明中显示,“被窃取的文件几乎很少”,而且可能所有被提取的文件都应该被找回来。网站没有告知重新上线日期。

勒索软件攻击通常需要对被攻击者提取和加密的文件支付“赎金”。这样一来,受害者可能会失去对数据库的访问权限,除非他通过密钥支付一定的金额,通常是比特币等加密货币。数字安全专家建议不要准确地支付赎金,以防止犯罪分子从这种做法中获利。

国家图书馆表示,已通知共和国总统府机构安全办公室调查此案。此外,警方报告已经公开,并正在采取其他司法措施。

2020年11月,联邦最高法院(STF)也遭受了勒索软件攻击,劫持了进程和电子邮件,还导致法院活动中断,并呼吁联邦警察对此事进行调查。
 

参考来源:OlhharDigital http://dwz.date/eTp6
 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号