安全研究
全部分类

关键信息基础设施安全动态周报【2021年第25期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-06-28 11:13
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第25期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第25期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第25期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-06-28 11:13
  • 访问量:
详情

  

第一章 国内关键信息基础设施安全动态

(一)台湾芯片制造商ADATA遭受Ragnar Locker勒索软件攻击

第二章 国外关键信息基础设施安全动态

(一)Weidmueller修补工业WLAN设备中存在的高危漏洞

(二)工业企业面临来自USB恶意软件的网络威胁显著增加

(三)韩国原子能研究所KAERI遭受朝鲜黑客攻击

(四)北约SOA & IdM机密云平台遭受黑客攻击

(五)NVIDIA Jetson芯片存在九个漏洞,可致百万IoT设备遭受DoS攻击

(六)比利时第三大城市Liege遭受Ryuk勒索软件攻击后服务中断

(七)巴西医疗保健巨头Grupo Fleury遭受REvil勒索软件攻击

(八)Palo AltoCortex XSOAR平台存在严重漏洞

(九)Lexmark打印机中存在任意代码执行漏洞

(十)NSA发布关于UC以及IP语音和视频系统的安全指南

(十一)攻击者冒充DarkSide勒索软件组织攻击能源和食品企业

(十二)戴尔BIOSConnect存在远程代码执行漏洞,影响3000万台设备

(十三)亚太互联网络信息中心由于配置错误导致数据泄露

(十四)网络安全公司Cognyte暴露50亿条数据泄露记录

 

 第一章 国内关键信息基础设施安全动态

(一)台湾芯片制造商ADATA遭受Ragnar Locker勒索软件攻击

勒索软件组织Ragnar Locker在其泄露网站上发布了从台湾储芯片制造商ADATA窃取的超过700 GB的数据下载链接。攻击者在MEGA云存储服务中公开了包含ADATA敏感信息的13个文件。

619日,Ragnar Locker勒索软件组织在其泄密网站上发布了一组新的ADATA公司文件的下载链接,并警告相关方,这些链接不会长久存在。

研究人员证实Ragnar Locker将相关数据存储于MEGA存储服务中。MEGA选择托管非法获取的数据,并关闭了威胁参与者的帐户,拒绝访问他们公开共享的任何文件。

其中两个泄露的文档相当大,超过100GB,但其中一些可以轻松下载的文件大小不到1.1GB。根据威胁行为者发布的文件元数据,最大的文档接近300GB,根据文件名称不知道包含什么内容。另一个文档的大小为117GB,根据文件名称也不知道包含什么,

从文档名称来看,Ragnar Locker可能从ADATA窃取了包含财务信息、保密协议以及其他类型细节的文件。目前尚不清楚下载链接有效的时间有多长,在MEGA云服务关闭勒索软件参与者的帐户之前,至少有几方能够获得它。尽管Ragnar LockerMEGA帐户的下载统计数据仍未公开,但MEGA存储服务代表表示,他们认为该内容并未被广泛共享。

MEGA在新西兰标准时间621日收到匿名报告后,迅速采取行动取消了该帐户。该公司只需要四分钟就可以通过存储和共享被盗文件来确定该帐户违反了MEGA的服务条款。

MEGA发言人表示,“MEGA对任何侵权或非法材料零容忍,并对违反我们条款和条件的帐户迅速有效地采取行动。MEGA在调查中与当局充分合作,并采取行动防止非法活动。

该公司表示,对ADATA的勒索软件攻击发生在2021523日,迫使他们将系统关闭。正如Ragnar Locker泄漏事件清楚地表明的那样,ADATA没有支付赎金,并自行恢复了受影响的系统。

勒索软件攻击者声称,在部署加密进程之前,其窃取了1.5TB的敏感文件,并表示由于网络防御不佳,他们在此过程中花费了时间。

Ragnar Locker表示,像往常一样,我们确实提出合作修复漏洞并恢复他们的系统,当然也要避免发表任何关于此,问题的文章,但是,他们并没有很重视自己的私人信息以及合作伙伴/客户/员工/客户信息。

最近泄露的一批文档是Ragnar Locker勒索软件为ADATA发布的第二份文档,上一个是在本月早些时候发布的,其中包括四个仍然可以下载的小型7-zip存档,总共不到250MB

参考来源:BleepingComputer http://t.hk.uy/2dW

 

 

 

第二章 国外关键信息基础设施安全动态

(一)Weidmueller修补工业WLAN设备中存在的高危漏洞

德国工业解决方案提供商Weidmueller 623日通知其客户,其已修补了十几个影响其部分工业WLAN设备的漏洞。

Weidmueller为世界各地的组织提供广泛的连接、电子、自动化、组装和工作场所产品,特别是在机械、能源、设备制造、运输、工艺和建筑基础设施领域。

Weidmueller和德国CERT@VDE 623日发布的安全公告中披露,Weidmueller在其工业WLAN设备中发现了12个漏洞。CERT@VDE负责协调与工业自动化相关的网络安全问题。

安全漏洞会影响运行1.16.21(内部版本21010513)1.11.13(内部版本21010513)之前固件版本的无线接入点/网桥/客户端设备。Weidmueller建议客户安装最新的固件来保护他们的设备。

这些漏洞的编号为从CVE-2021-33528CVE-2021-33539,可用于特权升级、流量解密、任意代码/命令执行、拒绝服务(DoS)攻击和身份验证绕过。

对许多漏洞的利用都需要身份验证,目前还不清楚身份验证绕过漏洞是否可以与其他漏洞联系在一起。然而,WeidmullerCERT@VDE将每个漏洞都评为高危漏洞。

由于Weidmueller产品在世界各地使用,美国网络安全和基础设施安全局(CISA)过去也发布了针对该公司产品漏洞的建议。不过,CISA尚未就这些漏洞发布公告。

参考来源:SecurityWeek http://t.hk.uy/2nS

 

(二)工业企业面临来自USB恶意软件的网络威胁显著增加

工业自动化巨头霍尼韦尔622日发表最新调查研究显示,使用U盘和其他外部媒体设备作为发起平台的网络威胁数量在2021年翻了一番。在这些威胁中,79%可被用于破坏OT系统,37%是专门为可移动设备专门设计的。

霍尼韦尔《2021年工业USB威胁报告》数据表明,37%的威胁是专门为利用可移动介质而设计的,几乎是2020年报告中的19%的两倍。该研究还强调,79%来自USB设备或可移动媒体的网络威胁可能会导致运营技术(OT)环境中的关键业务中断。与此同时,去年生产设施中USB设备的使用增加了30%,突显了对可移动媒体的日益依赖。

该报告基于12个月内全球数百个工业设施的网络安全威胁汇总数据。研究表明,除了USB攻击外,越来越多的网络威胁有可能对工业基础设施造成严重破坏,包括远程访问、特洛伊木马和基于内容的恶意软件。

霍尼韦尔互联企业(Honeywell Connected Enterprise)工程研究员兼网络安全研究主管Eric Knapp表示,“USB传播的恶意软件在2020年是一个严重且不断扩大的业务风险,有明显迹象表明,可移动媒体已成为攻击者使用的策略的一部分,包括那些使用勒索软件的攻击者。由于USB承载的网络入侵变得如此有效,组织必须采用正式的程序来处理可移动媒体并防止入侵,以避免潜在的代价高昂的停机时间。

许多工业和OT系统都都设置了气隙或与互联网断开连接,以保护它们免受攻击。入侵者正在使用可移动媒体和USB设备作为初始攻击媒介来渗透网络并让它们遭受重大攻击。Knapp表示,黑客正在插件设备上加载更高级的恶意软件,通过复杂的编码直接损害其预期目标,这些编码可以创建后门以建立远程访问。然后,具有远程访问权限的黑客可以命令和控制目标系统。

参考来源:霍尼韦尔 http://t.hk.uy/2gn

 

(三)韩国原子能研究所KAERI遭受朝鲜黑客攻击

韩国国营韩国原子能研究所KAERI 618日披露,其内部网络遭受了朝鲜黑客攻击者渗透。

据称,这次入侵发生在514日,通过一个未命名的虚拟专用网(VPN)供应商的漏洞,共涉及13IP地址,其中一个是“27.102.114[.]89”,与此前曾被称为Kimsuky的国家支持的威胁组织有关。

KAERI成立于1959年,位于大田市,是一家政府资助的研究机构,设计和开发与反应堆、燃料棒、辐射聚变和核安全相关的核技术。

在入侵事件发生后,该机构表示,他们采取措施屏蔽了有问题的攻击者的IP地址,并对易受攻击的VPN解决方案应用了必要的安全补丁。目前,原子能研究所正在调查黑客攻击的主题和损失金额。


在此之前,《SISA Journal》的一篇报道披露了这次入侵,声称该机构试图通过否认发生过这样的事件来掩盖这次入侵。KAERI将其归咎于工作人员的反应失误

Kimsuky又名Velvet ChollimaBlack BansheeThillium,自2012年以来一直活跃,是朝鲜的黑客组织,以其针对韩国智库和核电运营商的网络间谍活动而闻名。

本月早些时候,网络安全公司Malwarebytes披露了一系列攻击,攻击者通过安装名为AppleSeedAndroidWindows后门来收集有价值的信息,从而打击该国知名政府官员。目标实体涉及外交部、斯里兰卡驻该国大使、国际原子能机构(IAEA)核安全官员和韩国驻香港总领事馆副总领事,前述IP地址用于指挥控制(C2)通信。

目前尚不清楚利用了什么VPN漏洞来破坏网络。但值得注意的是,Pulse SecureSonicWallFortinet FortiOSCitrix的未修补VPN系统近年来受到多个威胁参与者的攻击。

参考来源:TheHackerNews http://t.hk.uy/2k9

 

(四)北约SOA & IdM机密云平台遭受黑客攻击

北约使用SOA & IdM平台,并将其列为机密,而同时被用于处理北极星项目(Polaris)中的几个基本功能。

Polaris项目是北约IT现代化计划的一部分,它使用SOAIdM平台,提供集中的安全性、集成和托管信息管理。由于它处理几个关键功能,该平台被军事联盟列为机密。

黑客声称,他们设法在这个平台上使用后门复制数据,并试图勒索Everis。甚至还开玩笑说要把窃取的数据发给俄罗斯情报机构。

Polaris项目官员Paul Howland表示,该项目有可能改变北约未来如何开发和部署其运营服务的游戏规则。它将推动创新并降低成本。通过确保更多地重用已部署的能力来实现运营

发起此次攻击的黑客表示,他们最初没有意识到他们可以利用北约平台上的漏洞。此外,他们只关注Everis在拉丁美洲的企业数据,因为北约表示,一旦受到网络威胁,它已准备好采取行动。令他们惊讶的是,一个安全的北约平台竟然是Everis的子公司。

黑客在分析了Everis公司并发现了与无人机和军事防御系统相关的文件后,开始从Everis网络窃取更多数据。

黑客要求Everis支付14,500英镑的赎金,这样他们就不会将其身份与拉塔姆航空公司(LATAM Airlines)的数据黑客事件联系起来。他们还要求这笔赎金,以换取不披露北约的任何数据。

参考来源:Softpedia http://t.hk.uy/2k8

 

(五)NVIDIA Jetson芯片存在九个漏洞,可致百万IoT设备遭受DoS攻击

NVIDIA发布了其Jetson芯片中存在的九个高危漏洞的修复补丁,这些漏洞与其处理低级加密算法的方式相关,可导致数百万使用Jetson芯片的IoT设备遭受DoS攻击及数据虹吸。

NVIDIA发布的修复程序解决了九个高危漏洞及八个低危漏洞。这些补丁程序修复了NVIDIA的大量芯片组,这些芯片组通常用于嵌入式计算系统、机器学习应用程序和机器人和无人机等自主设备。

受影响的产品包括Jetson芯片组系列;NVIDIA JetPack软件开发工具包中的AGX XavierXavier NX/TX1Jetson TX2(包括Jetson TX2 NX)和Jetson Nano设备(包括Jetson Nano 2GB)。这些补丁是618日发布的NVIDIA 6月安全公告中发布的。

最严重的漏洞CVE202134372会使Jetson框架受到攻击者的缓冲区溢出攻击。NVIDIA安全公告称,攻击者需要对系统进行网络访问才能进行攻击,但该公司警告说,该漏洞利用起来并不复杂,具有很少或较低访问权限的攻击者就能利用该漏洞。攻击可以让攻击者持续访问除目标NVIDIA芯片组以外的组件,并允许黑客操纵和/或破坏目标系统。

安全公告称,“Jetson驱动程序在NVIDIA OTE协议消息解析代码中包含一个漏洞,其中malloc()大小计算中的整数溢出导致堆上的缓冲区溢出,这可能导致信息泄露、权限升级和DoS攻击。”OTEJetso芯片组用于处理私有集交叉协议的低级加密算法,用于在芯片处理数据时保护数据。

NVIDIA修复的其他漏洞严重性等级介于7.97之间,包括CVE-2021-34373CVE-2021-34374CVE-2021-34375CVE-2021-34376CVE-2027-343CVE-2021-34378CVE-2021-34379CVE-2021-34380。其中六个漏洞如果被利用,可能允许本地攻击者触发DoS攻击。

其中CVE202134373漏洞的严重性等级为7.9,会影响Jetson受信任的Linux内核,并为基于堆的缓冲区溢出攻击打开了大门。这种类型的攻击针对芯片的堆数据内存框架,其中组件被操纵以产生错误。

NVIDIA表示,可信赖的Linux内核(TLK)包含NVIDIA TLK内核中的一个漏洞,如果缺乏堆加固可能会导致堆溢出,这可能会导致信息泄露和拒绝服务。

除了固件之外,NVIDIA还发布了CVE202134372CVE202134397的补丁,以解决Jetson TX1TX2系列、TX2 NXAGX Xavier系列、Xavier NXNanoNano 2GB的端点软件问题。

参考来源:ThreatPost http://t.hk.uy/2gy

 

(六)比利时第三大城市Liege遭受Ryuk勒索软件攻击后服务中断

比利时第三大城市Liege 22日遭受了勒索软件攻击,扰乱了该市的IT网络和在线服务。Liege官员在状态页面上表示,攻击发生后,该市的大部分公民身份和人口服务机构都关闭了。

由于工作人员无法访问该市的IT网络,导致市政厅、出生登记、婚礼和葬礼服务的预约都已被取消。官员们说,活动许可证和付费停车的在线表格的数量也在减少。

虽然官员们只把这起事件描述为计算机攻击,但两家比利时广播电台和电视台报道说,这次攻击是Ryuk勒索软件组织所为。

Liege市的攻击并不罕见。事实上,当地城市的网络经常成为勒索软件团伙的目标,因为许多城市的网络负担不起顶级的安全性和新的IT设备,往往运行着严重过时的服务器和工作站,只有少量的IT员工。

Liege是一个相当大的城市,但它并不是近年来唯一一个遭受勒索软件攻击的主要城市。在Liege勒索软件攻击事件发生的同一天,有消息称,欧盟正在考虑成立一支联合快速反应部队,帮助欧盟国家和城市应对网络攻击。

参考来源:TheRecord http://t.hk.uy/2nA

 

(七)巴西医疗保健巨头Grupo Fleury遭受REvil勒索软件攻击

巴西医疗保健巨头Grupo Fleury22日忽然中断服务,接着便于官网发布声明,表示系统遭到外部攻击而中断,将会全力恢复服务。Grupo Fleury是勒索软件REvil的受害者。目前Grupo Fleury的官网仍无法登录。

 

Grupo Fleury成立于1926年,是巴西最大的医疗服务及诊断医疗机构,也是巴西第二大企业,它设有超过200个服务中心,拥有超1万名员工。

根据Grupo Fleury发给当地新闻媒体的声明,该公司在周二遭到网络攻击,导致部分系统无法正常运作,继之根据其安全与控制守则,以最小化相关攻击可能造成的影响,目前正在缓解与评估受损范围,同时投入所有的资源与技术以期尽速恢复服务。

Grupo Fleury表示自己遭到网路攻击,但许多研究人员透露,攻击者其实是REvilSodinokibi)勒索软件,并向Grupo Fleury勒索高达500万美元的赎金,以换取解密工具及不泄露所窃取的机密信息。

2019年现身的REvil提供了勒索软件即服务(RaaS),信息安全论坛认为它出自俄罗斯黑客之手,其中一个原因是它最早是在俄语黑客论坛上张贴广告。专门提供勒索软件受害者咨询服务Coveware的报告显示,REvil为今年第一季最活跃的勒索软件,市占率为14.2%,领先Conti V210.2%Lockbit7.5%Clop7.1%。此外,REvil大多数的攻击行动始于开发软件漏洞,其次为网络钓鱼邮件,由RDP入侵企业排名第三。

今年以来,包括宏碁、日月光孙公司Asteelflash Group、广达、美国核武外包商Sol Oriens及美国再生能源Invenergy的被黑事件,据说都与REvil勒索软件有关。

本文版权归原作者所有,参考来源:iThome http://t.hk.uy/2nJ

 

(八)Palo AltoCortex XSOAR平台存在严重漏洞

Palo Alto NetworksCortex XSOAR中存在一个严重安全漏洞,使得远程攻击者能够在Cortex XSOAR作战室中运行命令和自动化,并在该平台上采取其他操作,而无需登录。

该漏洞CVE-2021-3044Palo Alto在内部发现的,是一个不正确的授权漏洞,远程未经身份验证的攻击者能够通过网络访问Cortex XSOAR服务器,通过REST API执行未经授权的操作,CVSS评分为9.8分。

Palo Alto网站称,Cortex XSOAR是一个网络安全防御平台,用于各种用例,包括安全操作自动化、威胁情报管理、自动勒索软件补救和云安全协调。Soar代表安全协调、自动化和响应,在Palo Alto案例中,该术语用于表示采用统一的方法来集中威胁情报和跨来源的安全警报。Cortex平台还实现了自动化工作流程和响应手册,并允许团队之间进行实时协作。因此,它是公司安全响应的纽带。

如果远程攻击者可以War Room里执行命令和自动化操作,他们就有可能破坏正在进行的安全调查,窃取受害者的网络防御行动计划等信息。根据Palo Alto的文档,实时调查是通过War Room进行的,它允许分析员以及易受攻击的系统上的远程攻击者执行以下工作:

1、无需切换控制台,即可通过命令行界面运行实时安全操作;

2、运行安全手册、脚本和命令;

3、跨集成产品协作并执行远程操作;

4、从不同来源捕获事件上下文;

5、将所有操作记录在一个来源中

6、与其他人交谈,进行联合调查。

该问题仅影响具有活跃API密钥集成的Cortex XSOAR配置,特别是以下版本:Cortex XSOAR 6.1.0版本早于10169231271064Cortex XSOAR 6.2.0版本早于1271065

Palo Alto指出,为了保护自己,用户应该更新到最新版本,并必须撤销所有活跃的集成API密钥,以充分减轻该问题的影响。用户可以在升级完成后创建新的API密钥。Palo Alto表示,他们还未发现这种漏洞在野外被利用的行为。

参考来源:ThreatPost http://t.hk.uy/2ns

 

(九)Lexmark打印机中存在任意代码执行漏洞

研究人员发现,Lexmark打印机存在一个未修补的漏洞,可能导致严重的、易于执行的攻击,这些攻击既不需要特权,也不需要用户交互,而且可能导致任意代码执行。

研究人员Julio AviñaIBM X-Force Exchange上发布的一份报告显示,该漏洞可能导致低复杂度的攻击,允许本地攻击者执行任意代码。该漏洞的CVSS 3.0基础得分为8.4。似乎还没有被利用,报告将漏洞的可利用性列为未经证实

Lexmark打印机软件G2安装包中发现的这个漏洞是由“LM__bdsvc”服务中的一个未引用的服务路径漏洞引起的。该包允许管理员定制用户的安装体验。

存在漏洞的安装软件包位于Microsoft Windows操作系统Vista(32/64)Server 2008(32/64)Windows 7(32/64)Server 2008 R2(64)Windows 8.1(32/64)Windows 10客户端(32/64)Windows Server 2012Server 2012(64)R2Server 2016(64)Server 2019(64)打印和扫描驱动程序上运行。

通过放置特制文件,攻击者可以利用此漏洞在系统上执行任意代码。ProcessChecker是一种显示进程运行信息的服务,LM_uubdsvc.exe是打印机通信系统的一部分。

该公告称,成功利用该漏洞需要攻击者在操作系统或某些安全应用程序未检测到的情况下将可执行文件插入服务路径。当服务或系统重新启动时,该可执行文件将以提升的权限运行。目前,修复工作正在进行中。

参考来源:ThreatPost http://t.hk.uy/2nf

 

(十)NSA发布关于UC以及IP语音和视频系统的安全指南

美国国家安全局(NSA)617日发布了系统管理员在保护统一通信(UC)IP语音和视频(VVoIP)呼叫处理系统时应遵循的缓解措施和最佳实践。

UC(Unified Communications)VVoIP(Voice and Video over IP)呼叫处理系统为企业提供通信和协作工具,将语音、视频会议和即时消息结合在一个独特的工作场所中。这些平台广泛应用于政府机构和多个政府部门供应链中的组织,因此,该机构希望支持它们确保其基础设施的安全。

然而,这些工具扩大了使用它们的组织的攻击面,攻击者可以利用漏洞和错误配置来接管目标基础设施的网络。攻击者可以将这些系统作为目标,发送恶意软件、假冒用户、窃听对话、实施欺诈等等。

然而,使UC/VVoIP系统成为可能的IP基础设施也将攻击面扩展到企业网络,带来了脆弱性和未经授权访问通信的可能性。这些漏洞在早期的电话系统中较难达到,但现在语音服务和基础设施可以被渗透到IP网络以窃听对话、冒充用户、实施通行费欺诈或实施拒绝服务效果的恶意行为者所利用。

该指南分为四个部分,并为每个部分提供了缓解措施和最佳实践。这四个部分是:准备网络、建立边界安全、使用企业会话控制器、及增加UC/VVoIP终端,用于部署UC/VVoIP系统。

该指南敦促通过设计这些工具、详细规划和部署活动来确保安全性,并建议持续测试和维护。

NSA建议使用VLAN来限制UC/VVoIP系统和数据网络之间的横向移动,并对流量类型进行访问控制。该机构还建议实施第2层保护,对所有UC/VVoIP连接实施身份验证机制,并实施有效的补丁管理流程。

使用此处介绍的缓解措施和最佳做法,组织可以享受UC/VVoIP的好处,同时将泄露敏感信息或失去服务的风险降至最低。

美国国家安全局还发布了一份信息表,总结了该指南和其中包括的建议:

1、对网络进行分段;

2、实施第二层保护;

3、保护PSTN和互联网边界;

4、通过打补丁保持最新状态;

5、对信令和媒体流量进行身份验证和加密;

6、防止欺诈行为;

7、确保可用性;

8、管理拒绝服务攻击;控制物理访问;

9、在测试台中验证功能和配置。

参考来源:美国国家安全局 http://t.hk.uy/2ma

 

(十一)攻击者冒充DarkSide勒索软件组织攻击能源和食品企业

趋势科技安全研究人员618日发布文章称,其发现有威胁行为者冒充DarkSide勒索软件组织,给能源和食品行业公司发送虚假勒索电子邮件,以骗取大笔资金。


据研究人员称,攻击者一直向一些公司发送电子邮件,声称其服务器已遭到破坏,并访问了敏感数据。该邮件还要求支付高达100 BTC400万美元或550万英镑)的赎金,并威胁如果不满足他们的要求,就会泄露数据。

然而,与DarkSide勒索软件组织不同,此次攻击没有显示任何黑客攻击证据或样本数据,DarkSide使用其网站发布黑客或泄漏数据的证据。

在博客文章中,趋势科技高级威胁研究员Cedric Pernet解释称,这次欺诈活动背后的行为与DarkSide在其之前的活动中表现出的行为大不相同。DarkSide一直能够证明他们获得了被盗的敏感数据。他们还将目标引导至托管在Tor网络上的网站。然而,在这次活动中,电子邮件没有提及任何关于证明他们确实获得了机密或敏感信息的内容。

此外,研究人员也没有发现DarkSide勒索软件组遵循的加密模式,该模式证实攻击者试图通过利用原始组已经消失而没有留下任何痕迹的情况来快速赚大钱。

此外,攻击者发送给假定的受害者的电子邮件声称对JBS勒索软件攻击事件负责。实际上,该攻击是由REvil进行的。JBS是总部位于巴西的全球最大肉类加工公司,于2021530日遭受勒索软件攻击。该公司被迫以比特币形式向Revil勒索软件运营商支付1100万美元赎金。

如果收到了电子邮件声称其是DarkSide勒索软件团伙,最好的解决方案是忽略它。

参考来源:HackRead http://t.hk.uy/2h6

 

(十二)戴尔BIOSConnect存在远程代码执行漏洞,影响3000万台设备

Eclypsium研究人员发现了四个影响戴尔客户端BIOS中的BIOSConnect功能的漏洞。这一系列漏洞的综合CVSS得分为8.3(高),因为它允许特权网络攻击者冒充Dell.com并在受影响设备的BIOS/UEFI级别获得任意代码执行。这种攻击将使攻击者能够控制设备的启动过程并破坏操作系统和更高层的安全控制。该问题影响了129款戴尔型号的消费者和商务笔记本电脑、台式机和平板电脑,包括受安全启动和戴尔安全核心PC保护的设备。

这些漏洞使攻击者能够在预启动环境中远程执行代码。此类代码可能会改变操作系统的初始状态,违反硬件/固件层的常见假设并破坏操作系统级别的安全控制。随着攻击者越来越多地将注意力转移到供应商供应链和系统固件上,组织对其设备的完整性拥有独立的可见性和控制权比以往任何时候都更加重要。

戴尔SupportAssist是一个总体支持解决方案,预装在大多数基于WindowsDell机器上。SupportAssist涵盖一系列支持功能,例如监控硬件和软件问题以及在发现问题时协助进行故障排除和恢复。

BIOSConnectSupportAssist的一项功能,允许用户执行远程操作系统恢复或更新设备上的固件。在任一情况下(固件更新或操作系统恢复),BIOSConnect使系统的BIOS能够通过互联网联系戴尔后端服务,然后协调更新或恢复过程。

固件更新和操作系统恢复过程的细节有所不同,但高级操作是相同的,BIOSConnect连接到戴尔的更新基础设施,戴尔提供更新或恢复设备上一些最敏感代码所需的内容。


研究人员发现了一个导致从BIOS到戴尔的不安全TLS连接漏洞CVE-2021-21571和三个溢出漏洞CVE-2021-21572CVE-2021-21573CVE-2021-21574

Eclypsium表示,其中两个溢出漏洞影响操作系统恢复过程,而另一个影响固件更新过程。这三个漏洞都是独立的,每个漏洞都可能导致BIOS中的任意代码执行。

Eclypsium表示,用户必须为所有受影响的系统更新系统BIOS/UEFI。研究人员还建议使用SupportAssistBIOSConnect功能以外的替代方法在他们的设备上应用BIOS更新。戴尔正在为受影响的系统提供BIOS/UEFI更新,并在Dell.com上提供受影响的可执行文件的更新。

CVE-2021-21573CVE-2021-21574不需要额外的客户操作,因为它们已于2021528日在服务器端解决。但是,CVE-2021-21571CVE-2021-21572漏洞需要戴尔客户端BIOS更新要完全解决。无法立即更新系统的用户可以从BIOS设置页面或使用Dell命令配置的远程系统管理工具禁用BIOSConnect

研究人员表示,此处所涉及的特定漏洞允许攻击者远程利用主机的UEFI固件并控制设备上的最高特权代码。这种远程可利用性和高权限的结合可能会使远程更新功能成为未来攻击者的诱人目标,组织应确保相应地监控和更新他们的设备。

参考来源:BleepingComputer http://t.hk.uy/2jS

 

(十三)亚太互联网络信息中心由于配置错误导致数据泄露

618日发布的一份安全警告中,亚太网络信息中心(APNIC)表示,其工作人员将数据库复制到私有的谷歌云存储桶时,发生了配置错误,管理员密码在三个月内可以公开访问。泄露的数据包括APNICWHOIS SQL数据库转储文件,包含用于验证数据库对象更改的哈希密码、公司联系方式、以及与内部事件响应小组相关的哈希密码和联系方式。

APNIC是亚太地区互联网地址注册机构,是会员制非营利组织,在64日收到一名独立安全研究员的警告后,纠正了配置错误,并删除了转储文件。

APNIC刚刚完成了一个为期4天的重置所有维护者和IRT密码的过程,其中一些密码是手动重置的,以最大限度地减少对网络操作的干扰

APNIC承认,恶意行为者可能会从哈希值中获得密码WHOIS数据可能会因误用而被破坏或篡改。目前还不清楚这些数据是否被访问过,因为没有完整的日志文件可用,但初步调查显示没有可疑更新活动的迹象。

APNIC还淡化了其WHOIS数据库完整性所面临的威胁,WHOIS数据库是一个公开搜索互联网号码资源的数据库,如IPv4地址、IPv6地址和亚太地区的as号码,以及资源持有者的联系方式。

安全警告称,“WHOIS上的注册内容的任何公开错误陈述都不会导致IP资源的永久转移,因为这些功能受到MyAPNIC访问机制的保护,而权威的注册数据由APNIC内部持有。在APNIC的常规公共WHOIS服务中不可见的私有WHOIS对象,其内容主要由公司联系方式组成。

参考来源:TheDailySwig http://t.hk.uy/2mJ

 

(十四)网络安全公司Cognyte暴露50亿条数据泄露记录

网络安全分析公司Cognyte未能保护其数据库安全,导致超过50亿记录被泄露在网上。

任何人都可以访问该数据库,不需要任何类型的授权或身份验证。具有讽刺意味的是,建立该数据库的目的是为了交叉核对存储在那里的已知入侵中是否存在任何客户的个人信息。然而,该数据库本身被暴露了。

Comparitech研究人员发现,泄露的信息包括:姓名、密码、电子邮件地址、泄露的原始来源。

数据存储在Elasticsearch集群上,总共有5085,132,102条记录,可能已经被许多第三方访问过。

根据Comparitech的报告,其中一些数据属于备受瞩目的数据泄露事件,例如:ZooskTumblerAntipublicMySpaceCanvaVerification.ioiMeshEdmodoVKExploitMaster Breach CompRamblerOnebipScentbirdAppen.comToondooWishboneWattpadMathwayPromo.comMGM、及Estante(Brazilian book shop)

 

 


Comparitech
安全研究团队负责人Bob Diachenko2021529日通知Cognyte有关泄漏数据事件,该数据库得到了快速响应,三天后该数据库得到了安全保护。

 

参考来源:HackRead http://t.hk.uy/2mv

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号