关键信息基础设施安全动态周报【2021年第28期】
发布时间:
2021-07-16
来源:
作者:
天地和兴
访问量:
377
目 录
第一章 国内关键信息基础设施安全动态
(一)工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
(二)三部门联合发布《网络产品安全漏洞管理规定》
第二章 国外关键信息基础设施安全动态
(一)施耐德电气的Modicon PLC存在高危漏洞
(二)西门子修复了多款工业产品中存在的多个漏洞
(三)Kaseya紧急修复了VSA软件中的零日漏洞
(四)伊朗铁路系统遭受网络攻击发布虚假信息
(五)伊朗黑客组织TA453冒充英国学者收集敏感信息
(六)SolarWinds修复了Serv-U产品中被广泛利用的零日漏洞
(七)黑客使用假冒俄罗斯政府域发送钓鱼邮件
(八)哈萨克斯坦电子政务门户网站遭受Razy恶意软件攻击
(九)美国医疗服务提供商Practicefirst披露数据泄露事件
(十)摩根士丹利因第三方供应商遭受攻击泄露用户数据
(十一)美国电信公司Mint Mobile披露数据泄露事件
(十二)三菱电机修复空调系统中多个漏洞
(十三)思科修复了BPA及WSA设备中的高危漏洞
(十四)UDP Technology的IP摄像机固件中存在多个漏洞
(十五)美国共和党全国委员会遭受网络攻击
第一章 国内关键信息基础设施安全动态
(一)工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
为深入贯彻党中央、国务院关于制造强国和网络强国的战略决策部署,落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,加快推动网络安全产业高质量发展,提升网络安全产业综合实力,工业和信息化部起草了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,并向社会公开征求意见及建议。
征求意见稿显示,三年发展行动计划的发展目标是到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。
具体包括:在产业规模上,网络安全产业规模超过2500亿元,年复合增长率超过15%;在技术创新上,一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强;在企业发展上,一批质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业初步形成,一批面向车联网、工业互联网、物联网、智慧城市等新赛道的“专精特新”中小企业群体迅速成长,网络安全产品、服务、解决方案单项冠军企业数量逐步壮大;在需求释放上,电信等重点行业网络安全投入占信息化投入比例达10%。重点行业领域安全应用全面提速,中小企业网络安全能力明显提升,关键行业基础设施网络安全防护水平不断提高;在人才培养上,建成一批网络安全人才实训基地、公共服务平台和实训靶场,创新型、技能型、实战型人才培养力度显著加大,多层次网络安全人才培养体系更加健全,网络安全人才规模质量不断提高;在生态培育上,产融对接更加精准高效,资本赋能作用持续加大,网络安全产业结构进一步优化,产业聚集效应显著增强。以产品服务能力为导向的健康市场秩序不断完善,大中小企业融通发展的产业格局基本形成。
本文版权归原作者所有,参考来源:工信部 http://t.hk.uy/9Jw
(二)三部门联合发布《网络产品安全漏洞管理规定》
工业和信息化部、国家互联网信息办公室、公安部7月13日联合印发《网络产品安全漏洞管理规定》。《规定》明确提出,从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。该《规定》自2021年9月1日起施行。
《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
《规定》明确,网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。
近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟需加强管理。为此,《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
《规定》出台后,工业和信息化部将从政策宣贯、机制完善、平台建设多方面抓好落实。一是加强政策宣贯,做好对相关企业机构的政策咨询和工作指导,引导漏洞收集平台依法依规开展漏洞收集和发布。二是完善相关工作机制,建立健全漏洞评估、发布、通报等重要环节的工作机制,明确漏洞收集平台备案方式和报送内容。三是加强工业和信息化部网络安全威胁和漏洞信息共享平台建设,做好与其他漏洞平台、漏洞库的信息共享,提升平台技术支撑能力。
本文版权归原作者所有,参考来源:工信部 http://t.hk.uy/9KS
第二章 国外关键信息基础设施安全动态
(一)施耐德电气的Modicon PLC存在高危漏洞
物联网安全公司Armis研究人员发现,施耐德电气的一些Modicon PLC中存在一个身份验证绕过漏洞ModiPwn(CVE-2021-22779),攻击者可以绕过身份验证机制并接管设备。未经身份验证的攻击者可以利用该漏洞对目标PLC进行网络访问,从而完全控制易受攻击设备的PLC。
施耐德发布的安全公告显示,该漏洞为CWE-290欺骗认证绕过漏洞,通过欺骗工程软件和控制器之间的Modbus通信,该漏洞可能导致以读写模式对控制器进行未经授权的访问。
研究人员证明,将上述问题与UMAS(统一消息应用服务)协议中的其他漏洞(CVE-2018-7852、CVE-2019-6829和CVE-2020-7537)联系起来,并在过去几年中发现有可能接管该设备。
协议中的这些漏洞本质上是没有文档记录的命令,可能由于遗留的依赖关系而未被删除。施耐德增加了一种身份验证机制,以减轻被利用的风险,但效果不佳。
研究人员指出,UMAS协议是在Modbus协议上运行的,而Modbus协议缺乏适当的认证机制,也没有使用加密。
施耐德电气通过实施一种身份验证机制来防止对这些问题的利用,从而解决了以前的问题,但Armis的专家发现了新的ModiPwn漏洞,该漏洞仍然允许攻击者绕过该身份验证机制。该漏洞影响Modicon M580和M340 PLC。
施耐德发布的安全公告中包括针对该漏洞的缓解措施,然而尚未发布解决该漏洞的修补程序。Armis发布了一段视频,展示了如何将问题链起来触发该漏洞。
(二)西门子修复了多款工业产品中存在的多个漏洞
西门子7月13日发布了18个全新安全公告,涉及其多款产品中的近80个漏洞。有一些漏洞已经修复,有的漏洞正在修复中,可以使用缓解措施。其中有三个公告涉及工业产品。
其中一个公告显示,西门子多款产品的LLDP协议中存在严重漏洞。CVE-2015-8011为缓冲区溢出漏洞,CVSS评分为9.8分,远程攻击者可以发送特制的数据包,可能导致拒绝服务条件和任意代码执行。CVE-2020-27827为不受控制的资源消耗漏洞,CVSS评分为7.5分,远程攻击者发送特制的LLDP数据包。可能会导致分配数据时丢失内存,可能会导致拒绝服务情况。受影响的产品包括SIMATIC HMI及SIMATIC NET CP通信处理器等。
第二个公告显示,西门子DHCP客户端中存在缓冲区溢出漏洞CVE-2021-29998,CVSS评分为9.8分。受影响的产品包括RUGGEDCOM WIN、SCALANCE X交换机、SIMATIC RF通信模块、SIPLUSextreme等。
第三个公告显示,多款产品受到OpenSSL中的漏洞影响,许未经
身份验证的攻击者导致拒绝服务(DoS),CVE-2021-3449的CVSS评分为5.9分。受影响的产品包括SCALANCE X交换机、SIMATIC Cloud Connect 7物联网网关、工业物联网设备SCALANCE LPE等多款设备。
另一份公告涉及JT2Go和Teamcenter Visualization中与解析文件相关的40多个漏洞。如果攻击者可以说服目标用户打开特制文件,则可以使应用程序崩溃或在主机系统上实现任意代码执行。
另一份公告涉及SCALANCE无线通信设备与FragAttacks相关的12个漏洞。另一份公告涉及CodeMeter Runtime两个严重漏洞,未经验证的攻击者可以远程使服务器崩溃或获取内存内容。西门子的多个产品使用该组件进行许可证管理。
此外,西门子披露的存在漏洞的设备包括RUGGEDCOM ROS设备、SINAMICS PERFECT HARMONY GH180中压驱动器、SINUMERIK数控系统、SIMATIC软件产品、Solid Edge设计软件、SINUMERIK集成产品套件、以及使用Profinet发现和配置协议(DCP)。
参考来源:Siemens http://t.hk.uy/Aw3
(三)Kaseya紧急修复了VSA软件中的零日漏洞
软件供应商Kaseya发布了一个安全更新,以修复其VSA软件中的零日漏洞,该漏洞在大规模勒索软件供应链攻击中被REvil勒索软件团伙利用。
该公司上周宣布,受到最近供应链勒索软件攻击影响的客户不到60家,有多达1500家下游企业受到攻击影响,即使用Kaseya VSA管理平台的MSPs客户。
Kaseya发布的声明显示,“虽然影响了Kaseya的大约50名客户,但这次攻击从未构成威胁,也没有对关键基础设施产生任何影响。Kaseya的许多客户都是托管服务提供商,他们使用Kaseya的技术为员工少于30人的本地和小型企业管理IT基础设施,例如牙医办公室、小型会计办公室和当地餐馆。在Kaseya客户管理的大约80万到100万家本地和小型企业中,只有大约800到1,500家受到了威胁。”
今年4月,荷兰漏洞披露研究所(DIVD)报告了一个影响Kaseya VSA服务器的零日漏洞CVE-2021-30116。Kaseya在向客户推出该补丁前对其进行了验证,但REvil勒索软件运营商利用了大规模供应链勒索软件攻击中的漏洞。荷兰漏洞披露研究所(DIVD)披露了CVE-2021-30116以及Kaseya的其他6个漏洞。
作为对该事件的回应,Kaseya敦促客户关闭其内部的VSA服务器,直到补丁可用为止。现在,Kaseya已发布了VSA 9.5.7a(9.5.7.2994)版本,解决了以下安全漏洞:
1、CVE-2021-30116,9.5.7中包含的凭据泄漏和业务逻辑漏洞;
2、CVE-2021-30117,SQL注入漏洞,在VSA 9.5.6中修复;
3、CVE-2021-30118,一个远程代码执行漏洞,在VSA 9.5.6中修复;
4、CVE-2021-30119–一个跨站点脚本漏洞,将包含在9.5.7;
5、CVE-2021-30120–2FA旁路,在v9.5.7中解;
6、CVE-2021-30121,本地文件包含漏洞,在VSA 9.5.6中修复;
7、CVE-2021-30201,一个XML外部实体漏洞,在VSA 9.5.6中修复。
该公司还建议客户在安装安全更新之前遵循“本地VSA启动准备指南”的步骤,这些步骤对于确定他们的系统是否已经被破坏非常重要,并包括如何清理它们的说明。Kaseya发布了一个检测工具,组织可以使用它来确定基础设施是否受到了破坏。
为了增加安全性,Kaseya建议通过阻止互联网防火墙上的端口443入站,将对VSA Web GUI的访问限制为本地IP地址,从而减少攻击的表面。一旦安装了安全更新,所有用户的密码将会被重置。
(四)伊朗铁路系统遭受网络攻击发布虚假信息
据伊朗当地媒体报道,伊朗铁路系统7月9日遭受了网络攻击,黑客在全国各地车站的显示屏上发布了火车延误或取消的虚假信息。
显示屏上的信息显示,列车“由于网络攻击而延误”或“取消”。这些信息还敦促乘客打电话询问信息,并提供了该国最高领导人哈梅内伊的办公室电话号码。
法尔斯通讯社(Fars)报道称,此次网络攻击导致火车站出现了“前所未有的混乱”。到目前为止,还没有任何组织对这一事件负责。法尔斯通讯社报道称伊朗各地的火车已经失去了电子跟踪系统,但目前尚不清楚是否有关联。
随后法尔斯通讯社删除了该报道,试图淡化此次攻击的影响,并指出该事件没有造成破坏,转而引用了国家铁路公司发言人Sadegh Sekri的话说,“中断”没有给火车服务造成任何影响。
目前尚不清楚此次攻击是否对伊朗的计算机和互联网系统造成了任何损害或中断,也不清楚这是否是美国和伊朗针对对方网络的最新行动。
参考来源:The Times of Israel http://t.hk.uy/9MZ
(五)伊朗黑客组织TA453冒充英国学者收集敏感信息
Proofpoint研究人员发现,一个与伊朗有关的威胁行为者TA453发起了一场复杂的社会工程攻击,伪装成伦敦大学东方与非洲研究学院(SOAS)学者,攻击目标为智库专家、记者及教授,目的是收集敏感信息。
Proofpoint将该活动称之为Operation SpoofedScholars(欺骗学者行动),归因于APT组织TA453,该组织又名APT35、Charming Kitten、Phosphorous,该与伊朗政府有关的组织被怀疑代表伊斯兰革命卫队开展情报工作。
研究人员在7月13日发表的博客文章中表示,“确定的攻击目标包括中东事务智库专家、知名学术机构的资深教授、以及专门从事中东报道的记者。该活动显示了TA453方法的新升级和复杂性。”
在该攻击链中,威胁行为者冒充英国学者,与一群精心筛选出的受害者接触,试图诱使目标点击一个在线会议的注册链接,该链接旨在获取谷歌、微软、脸书和雅虎的各种凭据。
为使其具有合法性,凭据网络钓鱼基础设施托管在属于伦敦大学广播电台的一个真实但已受损的网站上,使用个性化凭据收集页面伪装成注册链接,然后发送给不知情的收件人。
在一个案例中,据说TA453已向目标个人电子邮件帐户发送了一封凭据收集电子邮件。研究人员表示,“TA453通过利用伪装成SOAS合法附属机构的角色来传播恶意链接,从而增强了尝试获取凭据的可信度。”
有趣的是,TA453还坚持要求目标在其在线时登录,以注册网络研讨会,这增加了攻击者“计划立即手动验证捕获凭据”的可能性。据信,攻击早在2021年1月就开始了,之后该组织在随后的电子邮件网络钓鱼诱饵中巧妙地改变了他们的策略。
这不是威胁行为者第一次发起凭据网络钓鱼攻击。今年3月初,Proofpoint详细介绍了针对以色列和美国专门从事遗传、神经病学和肿瘤学研究的高级医疗专业人员的BadBlood活动。
研究人员表示,“TA453非法获得了一家世界级学术机构网站的访问权,以利用受损的基础设施来获取其预定目标的凭据。使用合法但受损的基础设施代表了TA453的复杂性增加,几乎肯定会反映在未来的活动中。TA453继续迭代、创新和收集,以支持IRGC收集优先级。”
SOAS的一位发言人在电子邮件声明中表示,“我们了解到,黑客创建了Gmail帐户以冒充学者,并创建了一个虚拟站点,试图从目标用户那里收集数据。这个虚拟页面被放置在SOAS Radio的网站上,SOAS Radio是一个位于SOAS上独立的在线广播电台和制作公司。该网站与SOAS官方网站分开,不属于我们任何学术领域。我们了解目标不是SOAS本身,而是外部个人。需要明确的是,SOAS的学术人员当然没有参与这个过程,也没有SOAS工作人员的任何行动或声明导致他们以这种方式被欺骗。没有任何SOAS工作人员违反网络安全的迹象。关于创建虚拟站点,没有从SOAS获得任何个人信息,我们的数据系统也没有涉及或受此影响,例如教职员工和学生记录、财务信息、电子邮件和核心ac.uk网站等。我们的核心系统的网络安全系统是强大的,适合目的。一旦我们在今年早些时候意识到这个虚拟站点,我们立即以正常方式补救并报告了违规行为。我们已经审查了这是如何发生的,并采取措施进一步改善对此类外围系统的保护。”
参考来源:TheHackerNews http://t.hk.uy/9RP
(六)SolarWinds修复了Serv-U产品中被广泛利用的零日漏洞
SolarWinds于7月9日发布了安全更新,修复了其Serv-U产品中存在的一个远程代码执行漏洞,该漏洞正在野外被广泛利用。该漏洞是由微软发现的。
漏洞CVE-2021-35211是一个远程代码执行(RCE)漏洞,可通过SSH协议利用该漏洞在SolarWinds应用程序上以提升的权限运行恶意代码。
该漏洞仅影响Serv-U Managed File Transfer和Serv-U Secure FTP产品,没有其他SolarWinds应用程序受到影响,仅在“有限的、有针对性的攻击”中被积极利用,与SUNBURST供应链攻击完全无关。
该漏洞存在Serv-U版本15.2.3 HF1和所有之前的版本中,SolarWinds发布了Serv-U版本15.2.3修补程序(HF)2来修复该问题。所有其他SolarWinds和N-able都不受此问题的影响,包括Orion Platform和所有Orion Platform模块。
7月13日,微软发表博客文章称,其发现黑客组织DEV-0322正在利用该漏洞,该组织攻击目标为美国国防工业基地组织和软件公司。
参考来源:SolarWinds http://t.hk.uy/Ar7
(七)黑客使用假冒俄罗斯政府域发送钓鱼邮件
RSNet(俄罗斯国家网络)的管理人员建议,不要打开来自未知发件人的信件,不要点击来自RSNet合法用户的邮件链接,包括来自RSNet管理人员的邮件,也不要打开此类邮件中的附件文件。
据卡巴斯基实验室邮件威胁保护小组负责人Andrey Kovtun称,黑客通过gov.ru域名建立钓鱼邮件,攻击者使用了一个虚假的发送者地址webmaster@gov.ru。这种攻击通常比大规模攻击更复杂,甚至可以使用该组织雇员的真实姓名和电话号码。
相反,SearchInform信息安全部门负责人Alexey Drozd警告表示,即使是来自合法用户的电子邮件中也不要使用链接,因为帐户可能会遭到黑客入侵。最近,诈骗者发送了据称来自税务机关的网络钓鱼电子邮件。“人们信任看起来像政府域名的域名。此外,如果有任何来自政府机构的信件,我们认为这很重要。”
早些时候,俄罗斯内政部报道了逮捕一个发布房地产和高档汽车销售广告并从俄罗斯人账户中窃取资金的组织。攻击者要求潜在买家通过某些支付系统向朋友或亲戚转移一定金额以确认其偿付能力,然后向潜在卖家提供金融交易收据。因此,攻击者发现了转账接收者的个人数据,并以他们的名义制作了假护照,从而访问了信贷和金融机构,并从公民账户中提取了资金。
参考来源:ITSecurityNews http://t.hk.uy/Amf
(八)哈萨克斯坦电子政务门户网站遭受Razy恶意软件攻击
据当地媒体报道,哈萨克斯坦电子政务门户网站eGov.kz遭受了网络攻击。
据报道称,“检测到了一种恶意软件Razy。Razy恶意软件样本是一种木马下载程序,伪装成办公文档(Word、Excel和Adobe PDF)来感染用户。通常攻击者通过将恶意软件放在官方网站上的方式传播Razy。因此,攻击者从潜在受害者那里获得信任的效果。”
杀毒公司T&T Security及Zerde分析了几个案例,值得特备关注的是,攻击者通过eGov门户网站发起了“水坑攻击”。在此类攻击中,攻击者将恶意软件放置在潜在受害者经常访问的站点上,并等待恶意软件下载到受害者的计算机。
报道显示,“攻击者获得了将文件上传到网站的权限,并以办公文件为幌子发布恶意软件,包括区域akimat决议及akimat预算财务信息。这意味着攻击者正在寻找适合受害者的文件,然后将其嵌入最终的恶意文件中。”
专家已经使用一款新型网络威胁防护产品tLab阻止了恶意内容。该系统以零信任原则运行,依靠深度行为分析,高吞吐量允许每天分析数万个文件,无需过滤器或白名单,有效阻止此类威胁,甚至使用“水坑攻击”。
报道表示,“应该指出的是,tLab系统被用作哈萨克斯坦共和国网络盾牌的一部分,这意味着,可以肯定地说,国家已准备好应对此类威胁。”
参考来源:informburo http://t.hk.uy/AtK
(九)美国医疗服务提供商Practicefirst披露数据泄露事件
7月1日,总部位于美国纽约阿默斯特的医疗管理服务提供商Practicefirst向联邦监管机构报告了去年年底发生的一起违规事件。该违约通知声明似乎表明,该公司支付了赎金,以换取攻击者将破坏和不再进一步披露在该事件中被盗的文件的承诺。
卫生与公众服务部的HIPAA违规报告工具网站列出了影响500人或更多人的健康数据违规行为,显示Practicefirst报告的事件影响了120多万人的信息。
这起供应链勒索软件攻击影响了120多万人,是今年迄今为止报告给联邦监管机构的最大的健康数据泄露事件之一。截至7月13日,Practicefirst事件是卫生和公众服务部网站2021年迄今发布的第六大健康数据泄露事件。
Practicefirst在其违规通知声明中表示,该公司在2020年12月30日获悉,“一名试图部署勒索软件加密我们系统的未授权行为者从我们的系统中复制了一些文件,其中包括包含有限患者和员工个人信息的文件。”该公司表示,在得知这一情况后,立即关闭了系统,修改了密码,通知了执法机构,并保留了隐私和安全专家的协助。
Practicefirst表示,“未经授权的行为者在被永久删除之前从我们的系统中复制的信息包括姓名、地址、电子邮件地址、出生日期、驾照号码、社会安全号码、诊断、实验室和治疗信息、患者身份证号码、药物信息、健康保险身份和索赔信息、税号、带密码的员工用户名、带安全问题和答案的员工用户名,以及银行账户和/或信用卡/借记卡信息。我们不知道由于此事件而导致任何信息欺诈或滥用。窃取数据的攻击者表示信息已被销毁且未共享。”
许多安全专家强调,黑客的这种承诺是不可信的。咨询公司HITprivacy LLC的隐私律师David Holtzman表示,“渗透信息系统的网络犯罪分子没有信誉,也不可靠。就其本性而言,他们会撒谎、欺骗和窃取。医疗保健组织的供应商应该对公众和与这些供应商签约的组织保持透明,以明确声明发生了什么、哪些数据可能已被泄露,以及他们正在采取哪些步骤通知他们所服务的组织这些数据被置于危险之中。”
Practicefirst表示,该公司已实施了一些措施“以进一步提高我们系统和实践的安全性”。这包括旨在保护其网络、电子邮件环境和系统的额外安全协议。
最近发生的其他涉及医疗保健行业供应链供应商的事件包括:位于圣安东尼奥的CaptureRx的黑客事件,该公司为数百家美国医院和其他医疗保健实体提供技术和管理服务;以及位于达拉斯的MedNetworx的网络事件,该公司提供托管医疗服务软件,包括CompuGroup eMDs的Aprima电子健康记录系统。
咨询公司Pondurance首席信息安全官兼服务副总裁Dustin Hutchison表示,“对于一个组织来说,假设他们已经被攻破,并且他们的供应商已经被攻破,这是一种很好的做法,这种思想实践需要警惕和高度的意识,这应该会导致从安全和风险管理的角度做出更好的决策。”
一些专家建议,医疗保健实体应仔细重新评估其供应商安全风险管理计划和做法,以评估是否需要根据当前针对供应链的网络攻击激增进行任何更改。
Hutchison表示,“一个慎重的风险评估流程是必要的,包括评估供应商配置或流程的任何更新或更改。不了解供应商使用的第三方的完整供应链也会导致对医疗保健实体暴露的理解存在差距。此外,组织应该确保他们理解和编目他们与任何第三方共享的数据,这有助于在最坏的情况下进行量化。”
Hutchison表示,“医疗保健组织还应审查其供应商合同,以确保有条款规定供应商有义务及时通知和详细报告他们对安全事件的调查,这些安全事件可能会对他们负责创建或维护的数据造成风险。”
Holtzman补充表示,在寻求外包将创建或维护医疗保健数据的IT服务时,实体必须仔细评估供应商的信息安全和网络安全风险管理计划。“审查每个供应商的风险评估和风险管理计划,以便在进入供应商选择过程时了解哪些供应商拥有最适合您的需求和期望的信息安全策略。”
Hutchison补充表示,“即使采取了强有力的保护措施,组织也必须计划对事件做出反应并根据新的攻击趋势更新他们的计划。需要不断审查对医疗保健实体网络和数据的访问。”
参考来源:GovInfoSecurity http://t.hk.uy/ANN
(十)摩根士丹利因第三方供应商遭受攻击泄露用户数据
摩根士丹利因第三方供应商FTA遭攻击,导致该公司约108名用户资料泄露。
自今年年初爆发的Accellion第三方文件传输服务(FTA)攻击事件,陆续有企业出面表明是该产品的用户,而导致遭到攻击且数据漏洞,如今又有大型金融公司坦承受害。据媒体报导,跨国投资公司摩根士丹利于7月2日发表声明,该公司因维护StockPlan Connect服务的外部供应商Guidehouse遭到攻击,导致108名客户的数据漏洞,而原因就是Guidehouse的Accellion FTA服务器遭到入侵。
根据摩根士丹利的公告,Guidehouse服务器数据泄漏的时间点,是在今年1月,攻击者利用了Accellion FTA漏洞对其服务器下手,而这个漏洞在5天内被修补。虽然摩根士丹利的资料都以加密的方式储存,但攻击者同时取得解密密钥和加密的文件,因此能够读取加密资料的内容。
而在整个供应链攻击行动中,Accellion从2020年12月到2021年3月,多次发布补丁程序,其中在1月25日,针对CVE-2021-27102与CVE-2021-27103漏洞,推出FTA的9.12.416予以修补。换言之,Guidehouse的服务器很可能约在1月20日遭到入侵。
不过,Guidehouse直到3月,才发现漏洞遭到滥用,并在5月察觉对于摩根士丹利客户的影响。Guidehouse将这样的情况进行通报,并指出这些遭窃的数据,并未发现被对外散布的证据。
摩根士丹利指出,这起事故遭到漏洞的数据,包括了参与股票投资计划的用户姓名、地址、出生日期、社会安全码,以及公司名称等,但不包含密码或是凭证。因此,攻击者应该无法借由窃得的资料,来存取受影响投资人的金融帐户。
而对于这起事故,摩根士丹利也强调,自家应用程序没有出现数据漏洞的情况,他们与Guidehouse保持密切合作,且正在采取减轻客户潜在风险的措施。
本文版权归原作者所有,参考来源:Ithome http://t.hk.uy/AMQ
(十一)美国电信公司Mint Mobile披露数据泄露事件
美国电信公司Mint Mobile披露了一起数据泄露事件,此前一名未经授权的人获得了用户的账户信息,并将电话号码转移到了另一家运营商。
根据发送给受影响用户的数据泄露通知电子邮件,在6月8日至6月10日期间,攻击者未经授权就将一小部分Mint Mobile用户的电话号码转给了另一家运营商。除了移植号码外,黑客还可能访问了用户的个人信息,包括通话记录、姓名、地址、电子邮件和密码。
Mint Mobile披露,“在2021年6月8日和2021年6月10日之间,极少数Mint Mobile用户的电话号码被临时移植到另一家运营商。虽然我们立即采取措施,扭转流程并恢复您的服务,但未经授权的个人可能会访问您的某些信息,其中可能包括您的姓名、地址、电话号码、电子邮件地址、密码、账单金额、国际电话详情信息、电话号码、帐号和订阅功能。”
虽然Mint Mobile没有说明黑客是如何获取用户信息的,但根据获取的数据,黑客很有可能入侵了用户账户,或者破坏了Mint Mobile用于管理客户的应用程序。由于攻击者可能已经获得了目标客户Mint Mobile密码的访问权限,因此强烈建议用户更改帐户密码。
此外,攻击者可以使用端口号进行其他攻击,例如网络钓鱼,或获得访问通过文本消息发送的双因素身份验证码。因此,Mint Mobile警告受影响的用户“保护使用您的电话号码进行验证的其他帐户并重置帐户密码”。
USCellular今年1月披露了一次类似的攻击,此前威胁者欺骗员工下载软件,让他们能够远程访问该公司的设备。通过这种远程访问,黑客使用客户关系管理(CRM)软件访问用户的个人信息,并移植他们的号码。
参考来源:BleepingComputer http://t.hk.uy/AHD
(十二)三菱电机修复空调系统中多个漏洞
三菱电机(Mitsubishi Electric)7月1日发布安全公告,修复了影响其多个空调产品(主要是集中控制器)的关键和高危漏洞。
严重漏洞CVE-2021-20595会使受影响的控制系统暴露给未经身份验证的XML外部实体注入XXE攻击,可能导致拒绝服务(DoS)或信息泄露,CVSS评分为9.3。
英国专业服务公司Aon网络安全研究员Howard Mcgreehan表示,“该漏洞可以通过向侦听TCP端口号1025的进程发送XXE有效负载来触发,这会导致应用程序发出任意HTTP和/或FTP请求。利用这一漏洞可能导致受影响的系统模型和固件版本的信息泄露和/或拒绝服务。这是一个容易利用的漏洞,一个标准的XXE,可能最严重的事情是通过调用DoS条件来使控制器脱机。”
第二个漏洞CVE-2021-20593为高危漏洞,由于身份验证算法的不正确实现,经过身份验证的攻击者可以将特权升级为“管理员”。该漏洞是由TXOne IoT/ICS安全研究实验室的Chizuru Toyama发现的,并通过Trend Micro的零日倡议(ZDI)报告给供应商。
ZDI通信经理Dustin Childs表示,“该漏洞允许低特权用户(公共用户)访问三菱中央控制器EW-50A或AE-200A Web浏览器界面的管理员页面。它需要以低权限用户的身份登录。攻击者可以利用这个漏洞将特权从访客升级到管理员,从而完全控制系统。可能有些受影响的控制器可以直接从互联网访问。”
McGreehan表示,“除非网络是分段的,否则通常可以从LAN上的任何地方与这些控制器进行交互,当然有些控制器可能会暴露在互联网上。”除了补丁,三菱电气还提供了一些缓解措施,以及检查设备版本号以查看是否受漏洞影响的说明。
参考来源:SecurityWeek http://t.hk.uy/Ay7
(十三)思科修复了BPA及WSA设备中的高危漏洞
思科7月7日发布了其业务流程自动化(BPA)和网络安全设备(WSA)中存在的高危漏洞的修补程序,这些漏洞使户面临权限提升攻击。
业务流程自动化(BPA)中存在两个安全漏洞,CVSS评分均为8.8分,经过身份验证的远程攻击者能够利用这些漏洞将其权限提升为管理员。存在这些漏洞的原因是未对特定功能和对包含敏感信息的日志文件的访问正确实施授权。
漏洞CVE-2021-1574可通过向易受攻击的系统发送精心设计的HTTP消息进行攻击,从而允许攻击者以管理员身份执行未经授权的操作。当合法用户在易受攻击的系统上保持活动会话时,攻击者可以利用漏洞CVE-2021-1576从日志文件中检索敏感数据,然后攻击者可以使用该数据来冒充特权用户。早于3.1版本的思科BPA会受到影响,没有解决方法可以缓解这些漏洞,建议用户尽快更新到修补版本。
漏洞CVE-2021-1359影响AsyncOS for WSA,可以被经过身份验证的远程攻击者利用来注入命令并获得root权限。该漏洞的CVSS评分为6.3分,成功利用该漏洞需要攻击者拥有有权上传配置文件的用户帐户的有效凭据。
思科表示,WSA设备的虚拟和硬件AsyncOS都受到影响,并且不存在解决方法。建议客户将WSA版本12.0.3-005或12.5.2更新到AsyncOS,其中包括针对该漏洞的补丁,维护版本将在未来几天内发布。思科目前还没有发现这些漏洞有在野外被利用。
思科还发布了在SD-WAN、虚拟化语音浏览器、身份服务引擎(ISE)、视频监控7000系列IP摄像机、BroadWorks应用服务器和自适应安全设备管理器(ASDM)启动器中发现的多个中危漏洞的详细信息。
此外思科证实,其多个产品受到某些Broadcom MediaxChang固件TrustZone实施中的安全漏洞的影响。利用该漏洞需要物理访问受影响的设备,并且攻击者需要卸下背板以触发芯片组上的脉冲。
参考来源:SecurityWeek http://t.hk.uy/9NZ
(十四)UDP Technology的IP摄像机固件中存在多个漏洞
法国安全咨询公司Randorisec安全研究人员发现了大量来自UDP Technology的IP摄像机固件的严重漏洞。UDP固件捆绑在多个供应商的摄像头中,包括Geutebrück、VCA、Sprinx Technologies等。
Randorisec表示,他们此前在固件中发现了几个严重漏洞,包括身份验证绕过漏洞及远程代码执行(RCE)漏洞。基于这些早期的漏洞,Randorisec再次通过UDP Technology,发现了另外11个经过身份验证的RCE漏洞和一个完整的身份验证绕过漏洞。
在一篇技术博客文章中,Randorisec研究人员提供了他们如何发现命令注入和基于堆栈的缓冲区溢出缺陷的逐步解释。这一过程的进一步进展使他们能够发现身份验证绕过漏洞并开发概念验证RCE漏洞。
Randorisec在2月份披露了这些漏洞,在与Geutebrück进行了长期披露之后,这些漏洞在本月早些时候通过发布固件更新得到了解决。这些不同的漏洞编号为CVE-2021-33543到CVE-2021-33554。
Randorisec安全研究人员Davy Douhine表示,利用任何漏洞都为各种恶作剧打开了大门。“将这种身份验证绕过与任何RCE漏洞相结合,就得到了一个root shell。从那里你可以做任何你想做的事。攻击者可以停止视频流、更改它、将其用作连接网络的中继。”
参考来源:TheDailySwig http://t.hk.uy/Ank
(十五)美国共和党全国委员会遭受网络攻击
根据美国共和党全国委员会(Republican National Committee,RNC)的一份声明,网络犯罪分子入侵了该委员会承包商Synnex的IT基础设施,获得了访问权限。美国国家公共电台(NPR)称,尽管基础设施遭到破坏,但没有数据因为网络攻击而丢失。
如果攻击来源REvil得到证实,这将是俄罗斯网络在近期内对美国发起的第二次重大网络攻击。上周末,REVil俄罗斯网络犯罪团伙发动大规模勒索软件网络攻击,200多个美国组织受到影响。
共和党参谋长Richard Walters在Twitter上表示,“我们立即屏蔽了Synnex账户对我们云环境的所有访问,我们的团队与微软合作对我们的系统进行了一次审查,经过彻底的调查,没有RNC数据被访问。我们将继续与微软以及联邦执法官员就此事进行合作。”
尽管拜登声称,美国企业在这场历史上规模最大的网络攻击中只遭受了轻微的损失,但中断的余波仍在观察之中。为了加强网络安全防御,美国总统和副总统哈里斯会见了情报界的领导人,以及国务院、司法部和国土安全部的代表,讨论了美国防止和打击网络攻击的计划。
美国当局尚未确认这起网络攻击的具体责任人。目前,联邦调查局已经接到通知,但该局对此事没有任何评论。
参考来源:Softpedia http://t.hk.uy/Amw
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯