安全研究
全部分类

关键信息基础设施安全动态周报【2021年第37期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-09-18 16:02
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第37期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第37期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第37期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-09-18 16:02
  • 访问量:
详情

目   录

第一章国外关键信息基础设施安全动态

(一)美国CISA警告三菱工业控制器易受远程攻击

(二)俄罗斯互联网巨头Yandex遭遇史上最大DDoS攻击

(三)联合国在今年早些时候遭受黑客攻击

(四)威胁行为者冒充美国交通部进行钓鱼攻击

(五)日本科技巨头奥林巴斯遭受BlackMatter勒索软件攻击

(六)美国德克萨斯州共和党网站遭受黑客组织Anonymous攻击

(七)网络服务提供商Epik遭受Anonymous黑客攻击

(八)南非国家航天局披露公共FTP服务器数据泄露

(九)南非司法和宪法发展部遭受勒索软件攻击

(十)以色列巴伊兰大学拒绝支付250万美元赎金,导致大量数据泄露

(十一)旧版IBM System X服务器存在高危漏洞

(十二)威胁组织TeamTNT开展新攻击活动Chimaera,攻击全球数千组织

(十三)OMIGOD零日漏洞使Azure用户面临风险

(十四)Bitdefender发布REvil勒索软件免费解密程序

(十五)持续集成供应商Travis CI泄露数千用户机密数据

(十六)美国密苏里州Delta医疗中心遭受Hive勒索软件攻击

(十七)惠普OMEN驱动软件漏洞影响数百万台游戏电脑

(十八)针对Chrome的新测信道攻击Spook.js可绕过站点隔离保护

(十九)新的Zloader攻击针对德国和澳大利亚的金融行业

(二十)GetHealth因数据库配置错误泄露6000万多条用户记录

(二十一)电信运营商MyRepublic泄露八万用户个人数据

 

 

 

第一章 国外关键信息基础设施安全动态

(一)美国CISA警告三菱工业控制器易受远程攻击

美国CISA发布了紧急安全通知,警告公众三菱电机(Mitsubishi Electric)生产的MELSEC iQ-R系列CPU模块存在一系列漏洞,该模块在关键制造业中使用。目前还没有针对这些漏洞的修复补丁,因此CISA敦促易受攻击产品的用户尽快采取缓解措施。如果不能快速响应紧急情况,用户将面临未经授权的远程访问、CPU模块访问、DoS、网络流量嗅探等风险。

这些漏洞如下:

1、CVE-2021-20594,暴力远程强制模块获取合法用户名,CVSS 5.9分;

2、CVE-2021-20597,通过嗅探网络流量获取未受保护的凭据,CVSS 7.4分;

3、CVE-2021-20598,通过使用已知用户名和错误密码远程尝试登录,锁定合法用户(拒绝服务),CVSS 3.7分。

易受攻击的产品是所有版本的R08/16/32/120SFCPU和所有版本的R08/16/32/120PSFCPU。三菱已经承诺推出针对前两个漏洞的固件修复,而第三个漏洞将自动修复。在此之前,建议用户应用以下缓解措施:

1、当需要访问互联网时,可以使用防火墙或VPN等方式防止未经授权的访问;

2、在局域网内使用,并通过防火墙阻止不受信任的网络和主机的访问;

3、使用IP过滤功能来限制可访问的IP地址;

4、通过USB注册用户信息或更改密码。如果已经注册了用户信息或通过网络更改了用户密码,请通过USB修改密码。此缓解措施适用于CVE-2021-20597。

由于这三个漏洞都可以被远程利用,CISA对此发布了警报。因此,最小化所有控制系统和设备的网络暴露是关键,在网络扫描中不显示漏洞是避免麻烦的关键步骤。另一个好的做法是将这些设备置于严格的防火墙之后,并将它们与业务网络的关键部分隔离。

参考来源:TechNadu http://33h.co/wvk4x

 

(二)俄罗斯互联网巨头Yandex遭遇史上最大DDoS攻击

俄罗斯互联网巨头Yandex在9月9日证实,遭遇了俄罗斯互联网历史上规模最大的DDoS攻击,俄罗斯互联网的设计宗旨是独立于万维网,并确保该国在互联网关闭时的恢复能力。

专门针对这类攻击提供保护的美国公司Cloudflare也证实了此次大规模DDoS攻击的规模。Yandex已与第三方安全公司合作,为客户提供DDoS保护。

Yandex的另一位消息来源证实了这一信息,指出该公司在遏制DDOS攻击方面遇到了困难,并在本周继续进行。

僵尸网络被称为Mēris,这波由全新僵尸网路Mēris发起的DDoS攻击,已经持续数周。目前还没有关于DDoS攻击类型和攻击量峰值的消息。

给Yandex提供DDoS保护的合作伙伴Qrator Labs首席执行官Alexander Lyamin认为,DDoS攻击是由一个新型DDoS僵尸网络发起的。Lyamin和他的团队在8月到9月间观察到一波针对其客户的大规模攻击,恶意流量是由一个全新的僵尸网络产生的,该僵尸网络由波罗的海地区一家供应商的被攻击设备组成。

波罗的海地区的供应商被怀疑是拉脱维亚公司MikroTik,该供应商泄露的设备在过去几年被多个僵尸网络使用。威胁行为者利用了目标设备中运行旧软件的已知漏洞,因为用户没有打补丁。

参考来源:SecurityAffairs http://33h.co/wvxss

 

(三)联合国在今年早些时候遭受黑客攻击

据彭博社(Bloomberg)率先报道称,联合国9月9日四证实,其计算机网络在今年早些时候遭到了一次网络攻击。

联合国秘书长发言人Stéphane Dujarric表示,“我们可以确认,不明身份的攻击者在2021年4月入侵了联合国的部分基础设施。联合国经常成为网络攻击的目标,包括持续的活动。我们还可以确认,已经检测到与早些时候的入侵有关的进一步攻击,并正在作出回应。”

威胁行为者窃取了包含敏感信息的大量文件,这些文件可能被用来攻击政府间组织内部的机构。据彭博社报道,攻击者使用了从暗网购买了窃取的联合国雇员凭证。

网络安全公司Resecurity研究人员发现,入侵点是联合国专有的项目管理软件Umoja。然后攻击者在目标网络中获得立足点,并进行横向移动,寻找敏感数据。攻击中使用的Umoja账户似乎没有受到双因素认证的保护,因为该软件供应商在7月份才提供了安全功能。

Resecurity首席执行官Gene Yoo表示,“像联合国这样的组织是网络间谍活动的高价值目标,攻击者进行入侵的目的是危及联合国网络内的大量用户,以便进一步长期收集情报。”

第一次进入联合国网络是在4月5日,攻击者一直活跃到8月7日。攻击者很可能参与了网络间谍活动,威胁的性质或目标以及没有勒索意图表明,参与攻击的是民族国家行为者。

发现此次攻击的Resecurity公司今年早些时候与联合国分享了其调查结果,并帮助该国际组织确定安全漏洞的程度。联合国发言人杜加里克宣布,联合国安全小组已经发现了这次攻击。

最初,联合国专家称没有数据被窃取,但Resecurity团队发现了数据泄露的证据。联合国和其他国际机构是网络犯罪分子和民族国家行为者的特殊目标,不幸的是,在暗网上很容易找到这些机构雇员的登录证书可供出售。

2020年1月,一份泄露给新人道主义的联合国内部机密报告显示,该组织在日内瓦和维也纳办公室的数十台服务器被“入侵”。联合国人权办公室是受到复杂网络攻击的办公室之一,黑客能够破坏活动目录、访问工作人员名单和电子邮件地址等详细信息。攻击者没有获取密码。

参考来源:SecurityAffairs http://33h.co/w1zii

 

(四)威胁行为者冒充美国交通部进行钓鱼攻击

电子邮件安全提供商INKY副总裁Roger Kay在9月15日发布的报告中表示,在8月16日至18日期间,INKY研究人员检测到41封网络钓鱼电子邮件,有威胁行为者利用美国参议院此前通过的一万亿基础设施法案为诱饵,冒充美国交通部(USDOT)开展钓鱼活动,使用多种策略来逃避安全监测,如创建新域名及模仿联邦网站,使其看起来合法。

该活动针对可能与美国交通部合作的工程、能源和建筑等行业的公司,向潜在受害者发送了一封初始电子邮件,其中告知他们美国交通部正在邀请他们提交部门项目的投标,并单击带有“单击此处投标”字样的蓝色大按钮。

Kay表示,这些电子邮件本身是从transportgov[.]net域名发起的,该域名由亚马逊于8月16日注册。WHOIS透露了该网站的创建日期,似乎表明该网站是专门为网络钓鱼活动而建立的。

对于熟悉政府网站的任何人来说,政府网站通常都有.gov后缀,该域名会显得可疑。然而Kay观察到,“对于快速通读的人来说,域名似乎至少在现实中大致范围内。”

Kay表示,“如果人们上钩并点击按钮,会被引导到transportation.gov.bidprocure.secure.akjackpot[.]com网站,该网站包含一些听起来令人放心的子域,如transportation、gov、secure等。然而该网站的基本域名akjackpot[.]com实际上是在2019年注册的,托管的可能是马来西亚在线赌场。要么网站被劫持,要么网站所有者本身就是使用它来冒充美国交通部的网络钓鱼者。”

一旦进入虚假投标网站,受害者就会被指示点击“投标”按钮,并与他们的电子邮件提供商登录,以连接到“网络”。该网站还指示他们,如果有任何问题,请联系另一个假域名的虚构人员mike.reynolds@transportationgov[.]us。

一旦受害者关闭指令,他们将被指向一个真实的USDOT网站的相同副本,攻击者通过将HTML和CSS从政府网站复制到他们的钓鱼网站上创建了该网站。

Kay表示,奇怪的是,威胁行为者还复制并粘贴了有关如何验证实际美国政府网站的真实警告,这可以提醒精明的受害者他们正在被骗,因为他们意识到网络钓鱼站点的域名以.com结尾,而不是以.gov或.mil结尾。

在假冒的USDOT网站上,受害者被邀请单击红色的“单击此处投标”按钮,该按钮会显示带有Microsoft徽标和“通过电子邮件提供商登录”的说明的凭据收集表单。第一次尝试输入凭据时会遇到ReCAPTCHA挑战,通常被合法站点用作额外的安全设备。然而Kay表示,此时攻击者已经获取了凭据。

Kay表示,如果再次尝试输入凭据,则会出现一条虚假的错误消息,然后他们会被指向真实的USDOT网站,这是钓鱼者通常作为其序列的最后一步执行,优雅但可能不必要的攻击。

Kay表示,虽然攻击者在他们的活动中没有使用任何特定的新网络钓鱼技巧,但正是一种新模式中的策略组合使他们能够通过安全的电子邮件网关获取电子邮件。“通过创建一个新域名、利用时事事件、冒充知名品牌并发起凭据收集操作,网络钓鱼者提出了一种与已知攻击完全不同的攻击,以逃避标准检测方法。”

Kay观察到,尤其是使用新创建的域名,可以让钓鱼邮件顺利通过标准电子邮件身份验证,即SPF、DKIM和DMARC。“由于这些域是全新的,代表了零日漏洞。它们以前从未出现过,也没有出现在传统反网络钓鱼工具通常引用的威胁情报源中。毫无瑕疵,这些网站看起来并没有恶意。”

参考来源:ThreatPost http://33h.co/w1x9k

 

(五)日本科技巨头奥林巴斯遭受BlackMatter勒索软件攻击

日本科技巨头奥林巴斯(Olympus)发布声明称,其欧洲、中东和非洲计算机网络遭受了勒索软件攻击,目前正在调查事件的严重程度。据Techcrunch援引知情人士的话称,勒索软件攻击发生在9月8日。被攻击计算机上留下的赎金条称,攻击来自勒索软件组织BlackMatter。

该公司在声明中写道,“在发现可疑活动后,我们立即动员了包括取证专家在内的专业应急小组,目前我们正以最高优先级努力解决这个问题。作为调查的一部分,我们已经暂停了受影响系统的数据传输,并通知了相关的外部合作伙伴。目前正在努力确定问题的严重程度,并将继续提供最新信息。我们对由此造成的任何不便表示歉意。”

BlackMatter组织于7月底开始运作,声称是Darkside和Revil的继任者。与其他勒索软件操作一样,BlackMatter也建立了泄密网站,在对受害者的系统进行加密之前,它会在泄密网站公布从受害者那里泄露的数据。

BlackMatter勒索软件最先由Record Future研究人员发现,该团伙正在利用在Develope和XSS两个网络犯罪论坛上发布的广告,建立一个附属网络。该组织正在招募能够进入大型企业网络的黑客,这些企业的年收入在1亿美元或更高,试图用其勒索软件感染他们。该集团正在美国、英国、加拿大或澳大利亚寻找企业网络。

BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防工业组织和非营利性公司。今年8月,该团伙针对VMware ESXi虚拟机平台实施了Linux加密器。

总部位于日本的奥林巴斯为医疗和生命科学行业生产光学和数字复印技术。直到最近,该公司还在生产数码相机和其他电子产品,直到1月份出售了陷入困境的相机部门。

参考来源:SecurityAffairs http://33h.co/wve60

 

(六)美国德克萨斯州共和党网站遭受黑客组织Anonymous攻击

9月11日上午,美国德克萨斯州共和党官方网站遭到了Anonymous黑客攻击,该网站随后被关闭。

在德克萨斯州限制性堕胎法于9月1日生效后,Anonymous组织发起了Operation Jane活动,目标是任何试图执行该法律的人。该组织通过入侵德克萨斯州共和党网站完成了自己的使命。

德州共和党官网Texasgop.org的主页显示着ANONYMOUS IS LEGION字样,而且网站的主菜单被改为了YourAnonNews、Operation Jane、lanned Parenthood和Mudkip(Pokemon)。被黑客入侵的网站还包含一个指向Zodiac Killer维基百科页面的链接。

在给Daily Dot的一份声明中,德克萨斯州共和党主席Matt Rinaldi表示,该组织将加强网站的安全。“支持堕胎的黑客在我们关闭网页之前更改了网页一小段时间。我们将提高安全性,并感谢黑客为我们提供筹款机会,我们将用这些资金来促进德克萨斯州更加健全的堕胎立法。”

众所周知,Anonymous会入侵网站以发表支持其信仰的声明。作为Operation Jane活动的一部分,该组织还敦促Twitter用户增加德克萨斯州生命权网站的流量,以阻止其表现。

参考来源:DailyDot http://33h.co/w109q

 

(七)网络服务提供商Epik遭受Anonymous黑客攻击

黑客组织Anonymous声称已从Epik获得了数千兆字节的数据。Epik为各种客户提供域名、托管和DNS服务,其中包括德克萨斯州共和党、Gab、Parler和8chan及其他右翼网站。被盗数据已发布。该黑客组织表示,该数据集大小超过180GB,包含该公司十年的数据。

Anonymous表示,该数据集是“追踪研究人员、活动家以及几乎所有人都无法了解的互联网法西斯一面的实际所有权和管理所需的一切。”如果这些信息是正确的,那么Epik客户的数据和身份现在可能会落入激进主义者、研究人员以及几乎任何好奇的人的手中。

Epik是一家域名注册商和网络服务提供商,以服务右翼客户而闻名。由于客户托管的令人反感。且有时是非法的内容,其中一些已被更主流的IT提供商拒绝。

在本月德克萨斯心跳法案签署成为法律后,Anonymous组织开始了名为Operation Jane的活动。限制性堕胎法允许个人(不一定是政府机构或警察)执行为期六周的堕胎禁令。根据该法案,任何德克萨斯州居民都可以对任何实施或帮助协助非法堕胎的人提起民事诉讼,并要求至少10,000美元的损失赔偿。

记者Steven Monacelli发现了Anonymous组织的“新闻稿”。

数据集中包括各种SQL数据库,其中包含与Epik托管的每个域名相关联的客户记录。其中泄露数据集的一小部分包括Epik员工邮箱,其中包含Epik首席执行官Rob Monster的信件。DDoSecrets还通过其他方式提供了数据集。

Epik表示,“我们不知道有任何违规行为。我们非常重视客户数据的安全性,我们正在调查指控。”

Anonymous还篡改了Epik的知识库,以嘲笑该公司否认违规行为。“2021年9月13日,一群自称为Anonymous的孩子说,他们设法得到了我们所有的数据,然后将其发布。修改后的知识库如存档副本所示。他们声称包括所有用户数据,包括用户名、密码、电子邮件、支持查询、破坏我们拥有的所有服务。当然这不是真的,我们不会愚蠢到让这种情况发生。”


知识库页面最后讽刺地说,“这是我们自己写的,这显然不是被黑账户的一部分。”Epik随后删除了该页面。

参考来源:ARSTechnica http://33h.co/w17p5

 

(八)南非国家航天局披露公共FTP服务器数据泄露

南非国家航天局(SANSA)证实,其知道自2021年9月6日以来在网上流传的数据,但声称共享的包中没有任何敏感信息。相反,被公开的被盗信息大多是研究文件,不会影响任何员工,也不会危及该机构的任何项目。此外,SANSA还澄清表示,他们没有遭受网络入侵,文件转储是由一个公共FTP服务器接收的,该服务器过去曾用于共享非敏感文件。

该机构删除了对该服务器的访问权限,通知了南非数据保护监管机构,并正在通知受影响的各方。大部分是在2016年向中介机构提交了一些PII的学生申请者,其他文件和论文都是研究材料和杂项文件。SANSA表示,他们已经向存储被盗数据的网站发送了删除请求。

值得注意的是,RaidForums是一个流行的明网黑客空间,大多数公开数据泄露迟早都会在这里公布。总而言之,16GB的被盗数据现在已经公开,并将继续被传播和转载。

DarkTracer还在CoomingProject泄密门户网站上找到了另一篇帖子,将SANSA列为受害者。目前尚不清楚该团伙是否威胁在RF上发布的内容之外泄露更多数据。不过,到目前为止,还没有任何证据表明任何机密或敏感数据是由任何泄密来源在网上发布的。

SANSA在声明最后表示,没有进一步试图访问其系统或数据,没有针对它们的勒索软件攻击,也没有提出任何要求。因此,这看起来像是对公开数据偶发的外泄,所以虽然这肯定是航天局的一个错误,但看起来并没有什么太严重的事情。不过,如果你是2016年在这里申请的,要警惕网络钓鱼和诈骗邮件。

参考来源:TechNadu http://33h.co/wv81f

 

(九)南非司法和宪法发展部遭受勒索软件攻击

南非司法和宪法发展部遭到勒索软件攻击,导致保释服务瘫痪。这一事件没有影响当月的儿童抚养费,因为抚养费已等到出路。该部门声称,勒索软件运营商没有窃取任何数据。

该部门透露,安全漏洞发生在9月6日,资讯科技人员通知执法部门,并正与他们合作,尽快恢复运作。

发言人在声明中表示,这导致所有信息系统都被加密,内部员工和公众都无法访问。因此该部门提供的所有电子服务,包括发出授权书、保释服务、电邮及本署网站,均受到影响。

总检察长办公室正在使用一种手动程序,为需要埋葬亲人的遗属提供必要的文件。目前还没有披露感染其系统的勒索软件家族。

参考来源:SecurityAffairs http://33h.co/wv8is

 

(十)以色列巴伊兰大学拒绝支付250万美元赎金,导致大量数据泄露

在以色列巴伊兰大学拒绝支付黑客索要的约250万美元赎金后,数十万份包含巴伊兰大学学生和讲师个人详细信息的文件和名单在网上泄露。

网络攻击大约发生在三周前,名为darkrypt的黑客勒索赎金。在Shin Bet安全机构和国家网络局的建议下,以色列中部大学进行了谈判,但没有付款。

该学校没有支付这笔钱,因此黑客在网站和Telegram群组中泄露了研究、实验室文件、论文和包含数千人个人信息的列表,总计约20 TB。

据Ynet新闻网站报道,包括支付系统在内的在线巴伊兰系统已经崩溃,但该大学表示这与网络攻击无关,将在数小时内修复。

据称一些学生的详细信息被泄露,且在线密码被更改,并将他们锁定在某些系统之外,因此他们计划起诉这所大学。

参考来源:TheTimesOfIsrael http://33h.co/wfdrq

 

(十一)旧版IBM System X服务器存在高危漏洞

IBM于2020年停产的两款旧版的旗舰服务器机型将不会因命令注入漏洞而打补丁。

联想表示,2019年停产的两款旧版IBM System X服务器机型容易受到攻击,并且不会收到安全补丁。然而,该公司正在提供缓解措施。

IBM System x 3550 M3和IBM System x 3650 M3这两个型号都容易受到命令注入攻击。该漏洞使得攻击者能够通过名为集成管理模块(IMM)的易受攻击的应用程序在任一服务器型号的操作系统上执行任意命令。

IMM用于系统管理功能。在System x型号的背板上,串行和以太网连接器使用IMM进行设备管理。根据联想发布的公告,该漏洞存在于IMM固件代码中,可能允许通过认证的SSH或Telnet会话执行操作系统命令。

SSH或Secure Shell是一种加密网络通信协议,允许两台计算机通信或共享数据。Telnet是另一种网络协议,允许远程用户登录到同一网络上的另一台计算机。默认情况下,Telnet不会加密通过其连接发送的数据。

该漏洞编号为CVE-2021-3723,是由Denver Abrey发现的。

2020年6月,IMM最新版本(称为im2)中发现了8个漏洞,其中3个是高危漏洞。这些错误与负责实现SSH2协议(称为libssh2)的客户端代码中的漏洞有关。

System x 3550 M3和System x 3650 M3都是作为中型企业解决方案于2011年4月5日推出的。2015年6月30日,联想宣布这两个系统都已停产,但将在5年内接受安全更新。

根据联想安全公告,系统x 3550和3650的软件和安全支持截至2019年12月31日。联想建议停止使用这两台服务器,但提供了缓解策略:

1、禁用SSH和Telnet。登录IMM web界面后,可以在导航窗格的安全与网络协议部分进行操作,;

2、初始化配置时,修改管理员默认密码;

3、强制执行强密码;

4、仅将访问权限授予受信任的管理员。

参考来源:ThreatPost http://33h.co/wv8r5

 

(十二)威胁组织TeamTNT开展新攻击活动Chimaera,攻击全球数千组织

AT&T的Alien Labs研究人员发现,威胁组织TeamTNT发起了一项针对多个操作系统和应用程序的新攻击活动Chimaera,该活动使用多个shell/批处理脚本、新的开源工具、加密货币矿工、TeamTNT IRC机器人等。

Alien Labs研究表明,这个新发现的活动中使用的命令和控制(C&C)服务器包含感染统计数据,表明TeamTNT自2021年7月25日以来一直在运行此活动,在短短几个月内就造成了全球数千例感染。

TeamTNT正在使用新的开源工具从受感染的机器上窃取用户名和密码。

该组织攻击目标包括各种操作系统,包括Windows、不同的Linux发行版,包括Alpine(用于容器)、AWS、Docker和Kubernetes。该运动已经活跃了大约一个月,导致全球数千例感染。截至2021年8月30日,许多恶意软件样本的防病毒(AV)检测率仍然为零,而其他恶意软件样本的检测率较低。

自2020年中以来,TeamTNT一直是最活跃的威胁组织之一,活动通常使用开源工具进行恶意活动。部分导入工具列表包含:

1、Masscan和端口扫描程序,以搜索新的感染候选者;

2、libprocesshider用于直接从内存中执行机器人;

3、7z解压下载的文件;

4、b374k shell是一个php web管理员,可用于控制受感染的系统;

5、Lazagne是一种适用于多种Web操作系统的开源工具,用于从众多应用程序中收集存储的凭据。

 


2021年7月,TeamTNT开始使用新工具运行Chimaera活动,并首次在其网站上公开发布感染统计数据。目前Alien Labs分析的许多样本在VirusTotal上的检测率为零或很低。然而防御者可以主动强化他们的系统,国家安全局(NSA)和CISA在今年8月发布了“Kubernetes强化指南”,防御者可参考本指南,以了解如何更好地防御类似TeamTNT使用的攻击。

参考来源:AT&T http://33h.co/wf75k

 

(十三)OMIGOD零日漏洞使Azure用户面临风险

在9月份的补丁星期二,微软修复了开放管理基础设施(OMI)软件代理中存在的四个零日漏洞,统称为OMIGOD,这些漏洞可使Azure用户受到攻击。这四个漏洞为:CVE-2021-38647以root身份未经身份验证的RCE漏洞(CVSS 9.8分)、CVE-2021-38648权限提升漏洞(CVSS 7.8分)、CVE-2021-38645权限提升漏洞Wiz研究团队报告了这些漏洞,攻击者可利用OMIGOD漏洞远程执行代码或提升Azure上运行的易受攻击的Linux虚拟机的权限。研究人员估计,数以千计的Azure客户和数百万个端点可能面临攻击风险。(CVSS 7.8分)、CVE-2021-38649权限提升漏洞(CVSS 7.0分)。

Wiz的研究报告表示,“当客户在云中设置Linux虚拟机时,当他们启用某些Azure服务时,OMI代理会在不知情的情况下自动部署。除非打上补丁,否则攻击者很容易利用这四个漏洞升级为root权限,并远程执行恶意代码,如加密文件以获取赎金。我们将这四个零日漏洞命名为OMIGOD,因为这是我们发现它们时的反应。我们保守估计数以千计的Azure客户和数百万个端点受到影响。在我们分析的一小部分Azure租户样本中,超过65%的租户在不知不觉中处于危险之中。”

OMI是一个用C编写的开源项目,允许用户跨环境管理配置,它用于各种Azure服务,包括Azure自动化及Azure Insights。

最严重的漏洞是CVE-2021-38647远程代码执行漏洞,CVSS得分为9.8。未经身份验证的远程攻击者可以通过HTTPS向侦听易受攻击系统上的OMI的端口发送特制消息来利用此漏洞。

研究人员表示,“使用单个数据包,攻击者只需删除身份验证标头即可成为远程机器上的root用户,就这么简单。由于简单的条件语句编码错误和未初始化的auth结构的组合,任何没有授权标头的请求的权限默认为uid=0、gid=0,即root。当OMI对外暴露HTTPS管理端口(5986/5985/1270)时,此漏洞允许远程接管。”

Microsoft发布了修补的OMI版本1.6.8.1,为了降低利用CVE-2021-38647 RCE漏洞进行攻击的风险,微软建议限制对OMI侦听端口5985、5986、1270的网络访问。

参考来源:SecurityAffairs http://33h.co/w1zmg

 

(十四)Bitdefender发布REvil勒索软件免费解密程序

网络安全公司Bitdefender与值得信赖的执法合作伙伴合作,发布了REvil勒索软件免费解密程序,适用于7月13日之前被REvil勒索软件加密的所有受害者。

今年7月13日,REvil的部分基础设施下线,导致未支付赎金的受感染受害者无法恢复其加密数据。该解密工具现在将为这些受害者提供收回对其数据和资产的控制权的能力。Bitdefender没有分享如何获得主解密密钥或所涉及的执法机构的详细信息。

Bitdefender威胁研究和报告主管Bogdan Botezatu表示,“根据我们的博客文章,我们从一个值得信赖的执法合作伙伴那里收到了密钥。不幸的是,这是我们现在可以自由披露的唯一信息。一旦调查取得进展并结束,将在批准后提供更多细节。”

REvil勒索软件受害者可以从Bitdefender下载主解密程序,并立即解密整个计算机,或指定要解密的特定文件夹。

为了测试解密程序,研究人员使用今年早些时候攻击中使用的REvil样本加密了一台虚拟机。加密文件后,可以使用Bitdefender的解密程序轻松恢复文件。

REvil勒索软件又名Sodinokibi,被认为是现已“退休”的勒索软件组织GandCrab的更名或继任者。自2019年推出以来,REvil对知名公司进行了多次攻击,包括JBS、Coop、Travelex和Grupo Fleury。最后,在7月2日使用Kaseya零日漏洞的大规模攻击中,勒索软件组织加密了全球60家托管服务提供商和1,500多家企业。

 


      在面临国际执法部门的严密审查以及俄罗斯和美国之间日益加剧的政治紧张局势后,REvil于7月13日突然停止运营并消失了。当REvil被关闭时,Kaseya神秘地收到了主解密程序,允许MSP及其客户免费恢复文件。

Bitdefender表示,在7月13日之前遭受REvil加密的受害者可以使用此解密程序,因此勒索软件操作的消失可能与此次执法调查有关。Kaseya获得针对其客户进行攻击的REvil主解密密钥也可能与同意调查有关。

虽然REvil在本月早些时候又开始攻击受害者,但这款解密程序的发布对于在勒索软件团伙消失后选择不付款或根本无法付款的现有受害者来说是一个巨大的福音。

参考来源:BLeepingComputer http://33h.co/w1jjd

 

(十五)持续集成供应商Travis CI泄露数千用户机密数据

德国持续集成供应商Travis CI修补了一个严重漏洞CVE-2021-41077,该漏洞暴露了签名密钥、API密钥和访问凭证,可使数千个组织面临风险。Travis CI建议组织应立即更改其机密。鉴于潜在影响,该公司因没有详细地描述安全问题而受到批评。

以太坊加密货币项目的团队负责人Péter Szilágyi在推特上表示,“任何人都可以泄露这些秘密,并横向移动到1000多个组织中。”该漏洞由Felix Lange发现,并于9月7日向Travis CI报告。Travis CI表示从9月3日开始修补这个问题,这表明它在收到通知之前已经发现了这个问题,但时间表尚不清楚。

持续集成测试是开发人员确保其软件构建能够跨不同系统环境运行的过程。截至2018年,约有90万个开源项目正在使用Travis CI。根据Travis CI的解释,该漏洞的影响意味着,如果公共存储库被分叉,有人可以提交拉取请求,然后访问附加到原始公共存储库的机密。

澳大利亚软件开发人员Patrick Dwyer表示,“Travis CI的文档表明,机密不应该对外部拉取请求可用。Travis CI肯定存在了一个漏洞,并使这些秘密公开。”

澳大利亚软件和DevOps工程师Geoffrey Huntley表示,Travis CI的漏洞对软件开发人员和任何使用来自使用Travis CI的项目的软件的组织构成了供应链风险。“对于CI提供者来说,泄露机密就是泄露源代码,这是你永远不想做的最糟糕的事情之一。”

Travis CI发布了一个安全公告,但有些人认为鉴于漏洞的严重性,这还不够。Szilágyi在一条推文中声称Travis CI低估了这个问题,并默默地修补了它。

Travis CI在其网站上的两个地方提到了该漏洞。第一个是在其博客上,标题为安全公告,内容只有两句话,“作为支持团队的提醒,所有用户都应该按照公司的安全流程定期循环秘密。如果您不确定如何执行此操作,请联系支持人员,我们很乐意为您提供帮助。”

此外Travis CI在社区论坛上发布了包含更多细节的帖子。但Travis CI似乎并没有警告组织如何检测他们的秘密是否被盗。

Dwyer表示,组织可以审查他们最近的拉取请求,看看它们中是否有任何可疑的。但是Travis CI的稀疏通知并没有提供很多指导。Immersive Labs首席应用程序安全SME负责人Sean Wright表示,Travis CI应该执行审计,以确定谁受到此漏洞的影响,并通知这些组织。

参考来源:InfoRiskToday http://33h.co/w1u2b

 

(十六)美国密苏里州Delta医疗中心遭受Hive勒索软件攻击

美国密苏里州Delta医疗中心(MDMC)遭受了Hive勒索软件攻击。然而,到目前为止,MDMC对攻击守口如瓶,并没有证实或否认这一说法。

Hive声称在8月23日加密了MDMC的文件,并窃取了95000名患者完整信息,包括姓名、生日、社会安全号、地址、电话、邮编、性别、种族、医疗诊断信息等,以及患者及员工的财务信息,共计400 GB。

9月10日晚上,Hive发布了据称来自MDMC的数据。对数据的检查证实了这一说法,即数据来自MDMC。威胁行为者发布了两个屏幕截图,其中一个是健康信息,还有一个10GB的转储文件,转储文件中包含多年前的带有PII和PHI的文件夹。

转储中的一个目录有62个文件夹,暴力牌每天的许可数据。每个文件夹包含多个日期。每天的登记表上都有入院日期、病人姓名、账号、诊断、住的房间和床号,以及入院医生。这些文件夹的日期从2006年到2013年不等。

泄露的数据还包括其他办理保险帐单及其他事项。研究人员确定这些数据确实来自MDMC或与他们的病人有关,并不是转储文件中的所有文件夹都有实际内容。

Hive的转储文件已经发布在一个流行的文件共享网站上,似乎很快就被删除了,但是如果周五被转储的文件只有Hive声称的400GB转储文件中的10GB,那么可能还会有更多的内容,尽管它不一定是个人身份信息或受保护的健康信息。数据也可能不是来自MDMC的系统,而是来自业务伙伴或供应商的系统,但在MDMC做出响应之前,数据将不清楚。但是有些文件看起来像是病人文件,上面满是MDMC的名称和徽标。

DataBreaches.net于11日通知MDMC,尽管他们对多次询问都没有任何回应,但该网站将公布这一泄密事件,因为患者数据正在被转储,患者需要得到警告,以便他们采取措施保护自己。

参考来源:DataBreaches http://33h.co/w10rh

 

(十七)惠普OMEN驱动软件漏洞影响数百万台游戏电脑

数百万HP OMEN笔记本电脑和台式机游戏电脑面临高度严重漏洞的攻击,该漏洞可使威胁参与者触发拒绝服务状态或提升权限并使安全解决方案失效。该安全漏洞CVE-2021-3437是在预装在所有惠普OMEN台式机和笔记本电脑上的Omen Gaming Hub软件使用的驱动程序中发现的。

CVE-2021-3437是由于HP选择使用部分复制自开源驱动程序WinRing0.sys的易受攻击的代码来构建HpPortIox64.sys驱动程序造成的,OMEN Gaming Hub软件使用该驱动程序来读/写内核内存、PCI配置、IO端口和特定型号的寄存器(MSR)。

Omen游戏中心可以通过超频、针对各种游戏配置文件优化系统设置、调整游戏设备和配件的照明等功能来提升玩家的游戏体验。

该软件也可以从微软商店下载,并安装在任何带有惠普OMERN品牌外设配件的Windows 10电脑上,全球数百万台个人电脑都会受到该漏洞的影响。

SentinelOne研究人员表示,“一个可被利用的内核驱动程序漏洞可能会导致一个未经授权的用户访问系统,因为任何人都可以在本地使用易受攻击的驱动程序。如果利用此严重漏洞,计算机上的任何用户(即使没有权限)都可以提升权限并在内核模式下运行代码。一旦攻击者获得了目标HP OMERN设备上的系统权限,他们就可以轻松地禁用安全产品、用恶意负载覆盖系统组件、破坏底层操作系统或执行他们选择的任何其他恶意任务。”

受此漏洞影响的软件产品包括:

1、HP OMEN游戏中心11.6.3.0之前的版本;

2、HP omen Gaming Hub SDK 1.0.44之前的软件包。

惠普已于7月27日通过Microsoft应用商店发布了针对此高度严重漏洞的修补程序,并在早些时候发布了安全警告。

SentinelOne还在14日的报告中分享了他们的发现,警告用户更新软件,并防范使用CVE-2021-3437漏洞的攻击者。

SentinelOne警告表示,“虽然到目前为止,我们还没有看到任何迹象表明这些漏洞已被广泛利用,但使用任何带有OMEN Gaming Hub使用的易受攻击的驱动程序的OMEN品牌PC都会使用户容易受到攻击。因此,我们敦促OMEN PC用户确保他们立即采取适当的缓解措施。”

参考来源:BleepingComputer http://33h.co/wvetn

 

(十八)针对Chrome的新测信道攻击Spook.js可绕过站点隔离保护

新发现的针对Google Chrome浏览器的旁路攻击可能允许攻击者使用Spectre攻击绕过Web浏览器的安全保护并提取敏感信息。Spook.js是一种专门针对Chrome的新型瞬时执行侧通道攻击。尽管谷歌努力通过安装严格的站点隔离来最小化Spectre,但恶意JavaScript代码在某些情况下仍然可以提取信息。

攻击者控制的网页可以获知用户当前正在查看同一网站中的哪些其他页面,从这些页面收集敏感信息,甚至恢复自动填写的登录凭据,例如用户名和密码。如果用户下载恶意扩展,攻击者可能会从Chrome扩展(如凭据管理器)获取数据。

Spectre在2018年成为全球新闻,利用当代CPU优化功能中的漏洞来绕过安全措施,这些安全措施禁止不同的程序访问彼此的内存空间。这使得攻击者能够通过攻击不同的应用程序和进程与处理器和片上存储器的交互方式,窃取多个网站的敏感信息,从而允许对不同类型的应用程序(包括网络应用程序)进行广泛的攻击。

Google Chrome实现了严格的站点隔离,禁止多个网页共享同一进程。它还将每个进程的地址空间划分为单独的32位沙箱,尽管是64位应用程序。

站点隔离是Chrome的一项安全功能,可针对某些类型的安全漏洞提供额外保护。这使得不值得信任的网站更难访问或窃取您在其他网站上的帐户的信息。

密歇根大学、阿得雷德大学、乔治亚理工学院和特拉维夫大学的研究人员表示,尽管有这些保障措施Sooj.js,但这些措施不足以保护用户免受基于浏览器的投机性攻击。

研究人员表示,“更具体地说,我们展示了Chrome的严格站点隔离实施基于其eTLD+1域整合网页,允许攻击者控制的页面从其他子域的页面中提取敏感信息。接下来,我们还将展示如何绕过Chrome的32位沙箱机制。我们通过使用类型混淆攻击来实现这一点,该攻击暂时强制Chrome的JavaScript引擎对错误类型的对象进行操作。Web开发人员可以立即将不受信任的、用户提供的JavaScript代码与其网站的所有其他内容分开,将所有用户提供的JavaScript代码托管在具有不同eTLD+1的域中。通过这种方式,Strict Site隔离不会将攻击者提供的带有潜在敏感数据的代码整合到同一个进程中,即使对于Spook.js来说,数据也是遥不可及的,因为它不能跨越进程边界。”

参考来源:EHackingNews http://33h.co/wvxu5

 

(十九)新的Zloader攻击针对德国和澳大利亚的金融行业

正在进行的Zloader攻击活动使用一种新型感染链在受害者的计算机上禁用Microsoft Defender Antivirus来以逃避检测。根据微软统计数据,Microsoft Defender Antivirus是预装在运行Windows 10的10亿多个系统上的反恶意软件解决方案。

攻击者还将恶意软件的传递媒介从垃圾邮件或钓鱼电子邮件更改为通过Google Adword发布的TeamViewer Google广告,将目标重定向到虚假下载网站。从那里,他们被诱骗下载签名和恶意MSI安装程序,这些安装程序旨在在他们的计算机上安装Zloader恶意软件有效载荷。

SentinelLabs安全研究人员Antonio Pirozzi和Antonio Cocomazzi在研究报告中表示,“这项研究中分析的攻击链表明,为了达到更高的隐蔽性,攻击的复杂性是如何增加的。第一阶段的Dropper已经从经典的恶意文档变成了隐形的、签名的MSI有效载荷。它使用反向二进制文件和一系列LOLBA来破坏防御,并代理它们有效载荷的执行。”

Zloader也称为Terdot和DELoader,是一种银行业特洛伊木马程序,最初发现于2015年8月,当时它被用来攻击几个英国金融目标的客户。与Zeus Panda和Floki Bot一样,该恶意软件几乎完全基于十多年前在线泄漏的Zeus v2特洛伊木马源代码。

银行特洛伊木马的目标是从澳大利亚、巴西到北美的世界各地的银行,试图通过网络注入获取金融数据,这些网络注入利用社会工程来说服受感染的客户分发授权码和凭据。

最近,它还被用于交付勒索软件有效载荷,如Ryuk和Egregor。Zloader还具有后门和远程访问功能,还可以用作恶意软件加载程序,在受感染的设备上进一步删除有效负载。

根据SentinelLabs的研究,这一最新活动主要针对德国和澳大利亚银行机构的客户。

参考来源:BleepingComputer http://33h.co/wv85b

 

(二十)GetHealth因数据库配置错误泄露6000万多条用户记录

一个包含超过6100万条与可穿戴技术和健身服务相关的记录的不安全数据库被暴露在网上。9月13日,WebsitePlanet与网络安全研究员Jeremiah Fowler表示,该数据库属于GetHealth。

总部位于纽约的GetHealth是一家“从数百种可穿戴设备、医疗设备和应用程序获取健康数据的统一解决方案”,该公司的平台能够从Fitbit、Misfit Wearables、Microsoft Band、Strava和Google Fit等来源获取与健康相关的数据。

2021年6月30日,该团队在网上发现了一个没有密码保护的数据库。研究人员表示,数据库中包含了超过6100万条记录,其中包括大量的用户信息,其中一些可以被认为是敏感的,例如姓名、出生日期、体重、身高、性别和GPS日志,以及其他数据集。

研究人员发现,在对一组大约20,000条记录进行抽样以验证数据时,大多数数据来源来自Fitbit和苹果的HealthKit。这些信息是纯文本的,而ID似乎是加密的。地理位置的结构与美国/纽约、欧洲/都柏林相似,显示用户分布在世界各地。这些文件还显示了数据存储的位置,以及网络如何从后端运行和配置的蓝图。

其中有16.71 GB数据引用了GetHealth,表明该公司是潜在的所有者,一旦发现当天的数据被验证,Fowler就私下将他的发现通知了该公司。GetHealth反应迅速,系统在几个小时内就得到了保护。同一天,该公司的首席技术官表示,安全问题现在已经解决了,并感谢了这位研究人员。

目前还不清楚这些记录暴露了多久,也不清楚还有谁可能访问过数据集,在数据库被禁止公众访问之前,还无法确定受影响的确切人数。

参考来源:ZDNet http://33h.co/wv8m8

 

(二十一)电信运营商MyRepublic泄露八万用户个人数据

MyRepublic是一家亚太电信运营商和互联网服务提供商,在新加坡、新西兰和澳大利亚开展业务。MyRepublic Singapore于9月10日披露,其在2021年8月29日发现了一起未经授权的数据访问事件,并已采取行动支持其客户降低任何可能的风险。未经授权的数据访问发生在用于存储MyRepublic移动客户个人数据的第三方数据存储平台上。目前对数据存储设施的未授权访问已得到保护,事件已得到控制。

MyRepublic已将此问题通知Infocomm媒体发展局和个人数据保护委员会,并将继续与这些当局合作。MyRepublic还启动了其网络事件响应团队,其中包括新加坡毕马威等外部专家顾问团队,与MyRepublic的内部IT和网络团队密切合作以解决事件。

MyRepublic首席执行官Malcolm Rodrigues表示,“在MyRepublic,客户的隐私和安全对我们非常重要。与您一样,我们对所发生的事情感到失望,对于由此造成的任何不便,我个人深表歉意。我和我的团队与相关当局和专家顾问密切合作,以确保和控制事件的发生,我们将继续支持受影响的客户的每一步,帮助他们解决这个问题。”

根据MyRepublic的调查,未经授权的访问影响了新加坡的79,388名移动用户。受影响的数据存储平台包含与客户移动服务应用相关的身份验证文件,包括:

1、对于受影响的新加坡公民、永久居民以及就业和受抚养人准证持有人:身份证正反面的扫描件;

2、对于受影响的外国人:住址证明文件,例如水电费账单的扫描件;

3、对于现有移动服务的受影响客户:姓名和手机号码。

没有迹象表明其他个人数据受到影响,例如帐户或付款信息。MyRepublic系统没有受到损害,MyRepublic的服务没有运行影响。MyRepublic将通过新加坡信用局(CBS)向所有受影响的客户提供使用免费信用监控服务的提议。

Rodrigues补充表示,“虽然没有证据表明任何个人数据被滥用,但作为预防措施,我们正在联系可能受到影响的客户,让他们了解情况,并为他们提供任何必要的支持。我们还在审查所有内部和外部系统和流程,以确保此类事件不再发生。”

参考来源:MyRepublic http://33h.co/wf8ks

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号