安全研究
全部分类

关键信息基础设施安全动态周报【2022年第1期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-01-07 16:14
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第1期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第1期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第1期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-01-07 16:14
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)国家网信办等十三个部门发布《网络安全审查办法》

第二章国外关键信息基础设施安全动态

(一)Elephant Beetle威胁组织潜伏数月进行金融盗窃

(二)固件攻击可在SSD隐藏区域植入恶意软件

(三)FTC警告企业未修复Log4j漏洞将面临法律诉讼

(四)黑客利用凭证填充攻击从17家公司窃取了110万客户信息

(五)Purple Fox后门通过恶意Telegram应用安装程序传播

(六)美国佛罗里达州Broward Breach医院泄露超130万个人信息

(七)葡萄牙最大媒体集团Impresa遭受Lapsus$勒索软件攻击

(八)以色列主要媒体遭受黑客攻击

(九)Netgear Nighthawk R6700路由器存在六个高危漏洞

(十)日本京都大学因备份错误丢失77 TB研究数据

(十一)本田和讴歌汽车受Y2K22漏洞影响导航系统时钟退回2002年

 

第一章 国内关键信息基础设施安全动态

(一)国家网信办等十三个部门发布《网络安全审查办法》

1月4日,国家互联网信息办公室等十三个部门联合修订发布《网络安全审查办法》。该办法共23条,在2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,自2022年2月15日起施行。

网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。

《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。

国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。

本文版权归原作者所有,参考来源:网信办http://33h.co/kxzn9

 

第二章 国外关键信息基础设施安全动态

(一)Elephant Beetle威胁组织潜伏数月进行金融盗窃

Sygnia研究人员发现了一个出于经济动机的威胁组织Elephant Beetle,使用了80多种独特的工具和脚本,针对全球组织进行重大金融盗窃行动。该组织非常老练和有耐心,花费数月时间研究受害者的环境和金融交易流程,然后才开始利用行动中的漏洞。攻击者向网络中创建欺诈性交易,并在长时间内盗取少量资金,整体盗窃了数百万美元。

Sygnia事件响应团队确定了一个有组织且经验丰富的威胁组织,该组织从拉丁美洲金融部门的企业中窃取资金,Sygnia将此威胁行为者称为Elephant Beetle或TG2003。该组织长期在不被发现的情况下运作,耐心地研究目标金融系统,在常规活动中进行隐藏的欺诈交易,并最终窃取数百万美元。

Elephant Beetle非常精通基于Java的攻击,并且在许多情况下,将运行在基于Linux的机器上的遗留Java应用程序作为初始进入环境的手段。虽然主要专注于拉丁美洲市场,但Elephant Beetle可以将其攻击范围扩大到全球组织,研究人员已发现了一家美国公司在拉丁美洲业务中的漏洞。

在过去的两年里,Sygnia的事件响应团队一直在跟踪一个以经济为动机的威胁组织,目标是和渗透来自拉丁美洲金融和商业部门的组织。攻击是无情的,依靠简单性隐藏在显眼的地方,无需开发复杂的工具或漏洞利用。该组织使用包含80多种独特工具和脚本的武器库,在很长一段时间内耐心地执行攻击,融入目标环境,完全不被发现,同时悄悄地解放了组织的大量资金。

Elephant Beetle似乎主要关注拉丁美洲的目标,但这并不意味着不在那里的组织是安全的。研究人员发现一家美国公司的拉丁美洲业务遭到破坏,因此区域和全球组织都应该保持警惕。该组织非常精通基于Java的攻击,并且在许多情况下,将运行在基于Linux的机器上的遗留Java应用程序作为初始进入环境的手段。除此之外,该组织甚至在受害机器上部署他们自己完整的Java Web应用程序,来进满足他们的要求,同时机器也运行合法的应用程序。

Elephant Beetle以组织良好且隐秘的模式运行,一旦进入受感染环境,就可以有效地执行其攻击计划的每个阶段:

1、在可能长达一个月的第一阶段,该小组专注于在受感染的环境中建立可操作的网络能力。该小组研究数字环境并植入后门,同时定制其工具以在受害者环境中工作。

2、该小组随后花费数月时间研究受害者的环境,重点关注财务运作并找出任何漏洞。在此阶段,他们观察受害者软件和基础设施,以了解合法金融交易的技术流程。

3、然后该组织在环境中创建欺诈性交易。这些交易模仿合法行为,从受害者身上吸走大量资金。尽管单笔交易中被盗的金额看起来微不足道,但该组织将大量交易叠加在一起,金额高达数百万美元。

4、如果其过程中任何盗窃活动被发现并被阻止,该组织就会简单地低调几个月,然后返回并瞄准不同的系统。

参考来源:Sygnia http://33h.co/kxzkb
 

 

(二)固件攻击可在SSD隐藏区域植入恶意软件

韩国首尔高丽大学研究人员针对一些固态驱动器(SSD)设计了一些攻击,可将恶意软件植入用户和安全解决方案无法监控的位置。这些攻击针对具有灵活容量(Flex Capacity)功能的驱动器,并允许在SSD的隐藏区域(过度配置)中植入恶意代码。此内存位置用于优化基于NAND闪存的存储系统的性能。

Micron Flex Capacity功能旨在释放存储介质的真正功能,使IT管理员能够调整其SSD以满足特定的工作负载特征,如性能、容量和耐久性。操作系统及其上运行的任何应用程序都无法看到过度配置,这意味着安全软件无法检查其内容以寻找恶意代码。

许多存储设备可以实时改变过度配置(OP)区域的大小以优化性能。更大尺寸的OP区域可以保证更好的性能。例如,OP区域最多可设置为50%。通过改变可由用户或固件管理器更改的OP区域来创建无效数据区域。但是攻击者可以使用生成无效数据区域的固件管理器来减小OP区域的大小。这种攻击可能导致信息泄露攻击。

研究人员表示,“假设黑客可以访问存储设备的管理表,黑客就可以不受任何限制地访问这个无效数据区域。不需要特殊的取证设备,作为计算机用户,黑客可以访问NAND闪存的这些无效数据区域。根据敏感信息存储在无效数据区,计算机用户或多或少会对此感到震惊。”

研究人员指出,SSD厂商通常不会为了节省资源而擦除无效数据区,他们只是断开映射表的链接以防止恶意访问。对NAND闪存的取证分析,可以检索六个月以上未删除的数据。

在第二名为TEMPERING ATTACK MODEL的攻击模型中,用户可以对隐藏区域执行任意操作,包括植入恶意软件。具有固件和闪存转换层权限的用户可以在将存储的秘密信息存储在用户区后随后使其无效。该信息不会从用户区物理删除,只会删除映射表条目。

研究论文显示,“黑客可能会在OP区域隐藏恶意代码。为了简化描述,假设两个存储设备SSD1和SSD2连接到一个通道。每个存储设备都有50%的OP区域。黑客将恶意代码存储到SSD2后,立即将SSD1的OP面积缩小到25%,将SSD2的OP面积扩大到75%。此时,恶意软件代码包含在SSD2的隐藏区域中。获得SSD访问权限的黑客可以通过调整OP区域的大小随时激活嵌入的恶意软件代码。由于普通用户在频道上保持着100%的用户区域,因研究人员还提供了针对攻击的建议。为了防止信息泄露,可以擦除OP区域,而对于第二种攻击,建议实时监控OP区域的任何有效/无效数据速率监控。无效数据比率的激增可能代表恶意活动的指标。专家还建议保护SSD管理应用程序免受未经授权的访问。

此黑客的这种恶意行为并不容易被发现。”

参考来源:SecurityAffairs http://33h.co/kxt0j

 

(三)FTC警告企业未修复Log4j漏洞将面临法律诉讼

美国联邦贸易委员会(FTC)发布警告称,督促企业尽快修复Log4j漏洞,如果未能采取合理措施保护消费者数据免遭Log4j影响,FTC将追究其法律责任。此举旨在敦促组织保护其基础设施,因为民族国家行为者和网络犯罪分子都在利用Log4j漏洞开展活动。FTC建议公司将Log4j软件包更新到最新版本,并遵循CISA发布的关于缓解此漏洞的指南。

Log4j是一种无处不在的软件,用于记录面向消费者的产品和服务中的各种系统中的活动。最近,流行的Java日志包Log4j(CVE-2021-44228)中的一个严重漏洞被披露,对企业软件和Web应用程序的数百万消费产品构成严重威胁。越来越多的攻击者正在广泛利用此漏洞。

当漏洞被发现和利用时,可能会导致个人信息丢失或泄露、经济损失和其他不可逆转的伤害。采取合理措施减轻已知软件漏洞的责任涉及法律,其中包括《联邦贸易委员会法》和《格拉姆·里奇·布莱利法》。依赖Log4j的公司及其供应商现在采取行动至关重要,以减少对消费者造成伤害的可能性,并避免FTC采取法律行动。例如根据Equifax的投诉,未能修补已知漏洞不可逆转地暴露了1.47亿消费者的个人信息。Equifax同意支付7亿美元以解决联邦贸易委员会、 消费者金融保护局的诉讼。FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或未来类似已知漏洞暴露的公司。 

FTC建议公司遵循CISA关于减轻Log4j漏洞的指南,并且:

1、将Log4j软件包更新到最新版本;

2、参阅CISA指南以缓解此漏洞;

3、确保采取补救措施,以确保做法不违反法律,未能识别和修补此软件的实例可能违反FTC法案;

4、将此信息分发给向可能易受攻击的消费者销售产品或服务的任何相关第三方子公司。

Log4j漏洞是更广泛的结构性问题的一部分。它是数以千计的鲜为人知但极为重要的开源服务之一,这些服务已在几乎无数的互联网公司中使用。这些项目通常由志愿者创建和维护,尽管他们的项目对互联网经济至关重要,但他们并不总是拥有足够的资源和人员来进行事件响应和主动维护。

参考来源:FTC http://33h.co/kxjsp

 

(四)黑客利用凭证填充攻击从17家公司窃取了110万客户信息

美国纽约州总检察长办公室(NY OAG)1月5日发布警告称,其调查发现有17家知名公司的110万客户的用户账户在撞库攻击中遭受入侵。

纽约州总检察长Letitia James在1月5日宣布了对凭证填充的全面调查结果,该调查发现17家知名公司有超过110万个在线账户在网络攻击中遭到入侵。James发布了一份凭证填充攻击的商业指南,详细说明了攻击,涉及使用从其他在线服务窃取的用户名和密码重复和自动尝试访问在线帐户,以及企业如何保护自己。凭证填充已迅速成为在线的主要攻击媒介之一,几乎每个网站和应用程序都使用密码作为对其用户进行身份验证的手段。不幸的是,用户倾向于在多个在线服务中重复使用相同的密码。这允许网络犯罪分子将从一家公司窃取的密码用于其他在线帐户。发现攻击事件后,总检察长办公室(OAG)向相关公司发出警报,以便可以重置密码并通知消费者。今该指南分享了OAG调查过程中的经验教训,包括企业可以采取哪些措施更好地防范凭证填充攻击的具体指导。
在撞库攻击中,威胁行为者使用从其他在线服务窃取的凭据(通常是用户/密码对)自动重复尝试数百万次访问用户帐户,这种策略特别适用于在多个平台上重复使用其凭据的帐户。攻击者的最终目标是获得尽可能多的帐户访问权限,以窃取相关的个人和财务信息,这些信息可以在黑客论坛或暗网上出售。威胁行为者还可以在各种身份盗用诈骗中自行使用这些信息,或进行未经授权的购买。

James表示,“目前,有超过150亿份被盗凭证在互联网上流传,用户的个人信息处于危险之中。企业有责任采取适当的行动来保护其客户的在线帐户,本指南列出了公司在打击撞库过程中可以使用的关键保护措施。我们必须竭尽全力保护消费者的个人信息和隐私。”

凭证填充是一种网络攻击,涉及尝试使用从其他不相关的在线服务窃取的用户名和密码登录在线帐户。它依赖于重复使用密码的普遍做法,因为在一个网站上使用的密码很可能也被用于另一个网站。

在典型的凭证填充攻击中,攻击者可能会使用自动化的凭证填充软件以及从暗网或黑客论坛下载的被盗凭证列表提交数十万甚至数百万次登录尝试。尽管这些尝试中只有一小部分会成功,但通过大量的登录尝试,单次攻击仍然可以产生数千个被盗帐户。

获得帐户访问权限的攻击者可以通过多种方式使用它。例如,攻击者可以查看与帐户关联的个人信息,包括姓名、地址和过去的购买记录,并在网络钓鱼攻击中使用这些信息。如果帐户中存储有信用卡或礼品卡,攻击者可能会进行欺诈性购买。或者攻击者可以简单地将登录凭据出售给暗网上的另一个人。凭证填充是最常见的网络攻击形式之一。一家大型内容交付网络的运营商报告称,仅在2020年,就见证了超过1930亿次此类攻击。

鉴于凭证填充威胁的日益严重,OAG发起了一项调查,以确定受此攻击媒介影响的企业和消费者。在几个月的时间里,OAG监控了几个致力于凭证填充的在线社区。OAG发现了数千个包含客户登录凭据的帖子,攻击者在凭据填充攻击中测试了这些凭据,并确认可用于访问网站或应用程序上的客户帐户。从这些帖子中,OAG收集了17家知名在线零售商、连锁餐厅和食品配送服务的被盗账户的凭据。总的来说,OAG收集了超过110万个客户帐户的凭据,所有这些似乎都在凭据填充攻击中遭到破坏。

OAG向17家公司中的每一家发出了被盗账户的警报,并敦促这些公司进行调查并立即采取措施保护受影响的客户。每个公司都是这样做的。这些公司的调查显示,大多数攻击以前未被发现。OAG还与这些公司合作,确定攻击者如何规避现有保护措施,并提供建议,以加强他们的数据安全计划,以在未来更好地保护客户帐户。在OAG的调查过程中,几乎所有公司都实施或计划实施额外的保障措施。

撞库攻击已经变得如此普遍,以至于对于大多数企业来说,它们是不可避免的。因此,每个维护在线客户帐户的企业都应该有一个数据安全计划,其中包括保护客户免受撞库攻击的有效保障措施。应在以下四个领域中的每一个领域实施保障措施:防御撞库攻击、检测凭证填充漏洞、防止欺诈和滥用客户信息、以及响应凭证填充事件。

参考来源:NY OAG http://33h.co/kxj2z

 

(五)Purple Fox后门通过恶意Telegram应用安装程序传播

Minerva Labs研究人员发现,多个恶意安装程序使用相同的攻击链传播Purple Fox后门,可能通过电子邮件或网络钓鱼网站分发。威胁行为者正在使用Telegram消息应用程序的武器化安装程序在Windows系统上传播Purple Fox后门,可通过将攻击拆分成多个小模块来逃避防病毒软件检测。

Minerva Labs研究人员指出,与利用合法软件传播恶意软件的类似活动不同,该活动的检测率非常低。对该活动的调查始于发现MalwareHunterTeam制作的武器化安装程序。Minerva Labs表示,“我们经常观察到威胁行为者使用合法软件来传播恶意文件。然而这次有所不同,通过将攻击分成几个小文件,该威胁行为者能够将大部分攻击置逃避检测,其中大部分文件的防病毒引擎检测率非常低,最后阶段导致Purple Fox rootkit感染。”

Purple Fox恶意软件于2018年3月首次被发现,它以恶意.msi软件包的形式分发,研究人员在近2,000台受感染的Windows服务器上发现了该软件包。安装程序将从MSI包中提取有效负载,并对其进行解密。2021年3月,Guardicore研究人员发现了Purple Fox Windows恶意软件的一个新变体,实现了类似蠕虫的传播功能。

Minerva Labs研究人员分析的安装程序是一个名为Telegram Desktop.exe的编译AutoIt脚本,是一种类似BASIC的免费软件脚本语言,用于自动化Windows GUI和通用脚本。执行脚本后,它会在C:\Users\Username\AppData\Local\Temp\下创建一个名为TextInputh的新文件夹,并传播一个合法的Telegram安装程序和恶意下载程序TextInputh.exe。

执行时,TextInputh.exe会在C:\Users\Public\Videos\目录下创建一个名为1640618495的文件夹,然后从C2下载文件到新建的文件夹中,包含下一阶段的文件1.rar,以及合法的7z归档程序7zz.exe。7zz.exe用于解压1.rar。

然后TextInputh.exe将名称为360.dll的360.tct、rundll3222.exe、svchost.txt复制到ProgramData文件夹中

,使用ojbk.exe-a命令行执行ojbk.exe,并传播1.rar和7zz.exe,然后退出ojbk.exe进程。

当使用-a参数执行时,该文件仅用于反射加载恶意360.dll文件继续分析。攻击链继续将另外五个文件放入ProgramData文件夹中,包括Calldriver.exe、Driver.sys、dll.dll、kill.bat和speedmem2.hg。这些文件用于阻止360防病毒软件进程的启动,并阻止检测最终有效载荷,即Purple Fox。

Purple Fox禁用UAC以执行广泛的恶意活动,例如中断进程、下载和执行其他有效负载。Minerva Labs表示,“我们发现大量恶意安装程序使用相同的攻击链提供相同的Purple Fox rootkit版本。似乎有些是通过电子邮件发送的,而我们认为有些是从网络钓鱼网站下载的。这种攻击的美妙之处在于,每个阶段都被分离到一个不同的文件中,如果没有整个文件集,这些文件就毫无用处。这有助于攻击者保护他的文件免受杀毒软件检测。”

然后恶意软件收集基本系统信息,检查在入侵系统上运行的任何安全工具,并将其发送到硬编码的C2。在最后阶段,Purple Fox作为.msi文件从C2下载,其中包含适用于32位和64位系统的加密shellcode。

参考来源:SecurityAffairs http://33h.co/kxyft

 

(六)美国佛罗里达州Broward Breach医院泄露超130万个人信息

美国佛罗里达州Broward Health公立医院系统在1月1日披露了一起大规模数据泄露事件,其在去年10月份遭受了黑客攻击事件,泄露了超过130万人的个人信息,没有证据表明事件中泄露的个人信息被滥用。

Broward Health在违规通知声明中表示,去年10月份的事件影响了部分患者和员工,美国司法部要求其“暂时推迟”有关违规的通知,由于正在进行的执法调查。

Broward Health总部位于美国佛罗里达州劳德代尔堡,是一个由北布劳沃德医院地区专员委员会管理的公共且非营利的三医院系统,该委员会由佛罗里达州州长任命,由七名成员组成。该医院拥有30多个地点,提供广泛的医疗服务,每年有超过60,000人入院。

Broward Health在向缅因州总检察长办公室提交的一份报告中表示,该事件影响了1,357,879人,其中包括473名缅因州居民。该事件尚未在美国卫生与公众服务部的HIPAA违规报告工具网站上发布。

Broward Health在其声明中表示,2021年10月15日,一名攻击者通过获准访问该系统以提供医疗保健服务的第三方医疗提供商的办公室进入其网络,访问了医院的网络和患者数据。Broward Health在四天后2021年10月19日发现了入侵,并迅速控制了事件。Broward Health还通知了FBI和司法部,要求为所有员工重置密码,并聘请了一家独立的网络安全公司进行调查。

一些患者和员工的个人信息可能受到影响,包括姓名、出生日期、地址、电话号码、财务或银行账户信息、社会安全号码、保险信息和帐号,病史和病情、治疗和诊断、病历编号、驾照编号和电子邮件地址等信息。

Broward Health为受影响的个人提供两年的免费身份和信用监控服务。事件发生后,Broward Health还采取措施防止未来发生类似事件,包括在整个企业范围内加强安全措施的密码重置,以及对其系统的所有用户实施多因素身份验证。

参考来源:InfoRiskToday http://33h.co/kxhir

 

(七)葡萄牙最大媒体集团Impresa遭受Lapsus$勒索软件攻击

葡萄牙最大媒体集团Impresa遭受了Lapsus$勒索软件攻击,攻击发生在新年假期期间,影响了该公司的在线IT服务器基础设施。Impressa集团及其拥有的Expresso周刊和SIC电视频道的网站目前都处于离线状态。国家广播和有线电视广播正常运行,但此次攻击已破坏了SIC的互联网流媒体功能。Impresa是葡萄牙最大的电视频道和周刊SIC和Expresso的所有者。

Impresa攻击是葡萄牙历史上最大的网络安全事件之一。Impresa是迄今为止该国最大的媒体集团。根据2021年9月的电视收视率,SIC及其所有二级频道主导着电视市场,而Expresso周刊的发行量最大。Impressa还拥有许多其他媒体公司和杂志,所有这些公司和杂志目前也最有可能受到攻击的影响。

Lapsus$组织攻击了Impressa的所有网站,并留下了一张勒索信件。除了赎金请求外,该消息还声称已获得对Impresa亚马逊网络服务帐户的访问权限。1月2日早些时候,当所有站点都进入维护模式时,Impresa的员工似乎已经重新控制了这个帐户,但攻击者立即从Expresso的经过验证的Twitter帐户发推文,表明他们仍然可以访问公司资源。

在Impressa攻击之前,Lapsus$组织还入侵并勒索了巴西卫生部以及两家南美电信提供商Claro和Embratel。这是继Ryuk组织于2018年12月袭击洛杉矶时报的所有者Tribune Publishing之后,寒假期间第二次袭击媒体集团。

参考来源:TheRecord http://33h.co/kxh5k

 

(八)以色列主要媒体遭受黑客攻击

此次攻击发生在美国政府杀害伊朗武装部队伊斯兰革命卫队圣城旅前指挥官卡西姆·苏莱曼尼两周年之际。据报道,以色列官员协助了美国的行动,该行动在苏莱曼尼抵达巴格达后不久就用无人机袭击了他。

以色列两家主要媒体遭受了黑客攻击。耶路撒冷邮报的网站主页被黑客篡改,发布了一张迪莫纳核设施被炸毁的图片,并配有英文及希伯来语“我们就在你身边看不到的地方”。以色列新闻网站Maariv的推特账户也遭受了攻击,转发了一条带有苏莱曼尼图片的推文。目前尚不清楚黑客是来自伊朗还是来自国外的支持者,以及是否受到国家支持。

苏莱曼尼是一名伊朗军官,曾在伊斯兰革命卫队服役。从1998年到2020年被暗杀,他是圣城旅的指挥官,圣城旅是伊斯兰革命卫队的一个部门,主要负责域外和秘密军事行动。苏莱曼尼戴着一枚镶有红色宝石的戒指,这与黑客发布的图片相同。

耶路撒冷邮报1月3日发表推特表示,“我们知道我们的网站明显遭到黑客攻击,以及以色列的直接威胁。我们正在努力解决该问题,并感谢读者的耐心和理解。”

目前尚不清楚谁应对网站被篡改负责,但一名前以色列国防军网络官员推测,这是苏莱曼尼去世的影响行动的一部分,并且恰逢维也纳正在进行的核谈判。这些会谈涉及伊朗和五个主要世界政府,以及美国政府间接参与,寻求找到一种方法来恢复美国政府在前总统特朗普领导下放弃的伊朗核协议。

参考来源:CyberScoop http://33h.co/kxyg5

 

(九)Netgear Nighthawk R6700路由器存在六个高危漏洞

Tenable研究人员在Netgear Nighthawk R6700v3路由器的最新固件版本中发现了六个高危漏洞,目前这些漏洞仍未修补。其中最严重的漏洞可导致经过身份验证的攻击者能够注入将在设备检查更新时执行的命令。

Netgear Nighthawk R6700是一款广受欢迎的双路WiFi路由器,具有专注于游戏的功能、智能家长控制和强大的内部硬件,足以满足家庭高级用户的需求。这六个漏洞是由网络安全公司Tenable的研究人员发现的,可以让网络上的攻击者完全控制设备:

1、CVE-2021-20173:设备更新功能中存在身份验证后命令注入漏洞,使其容易受到命令注入影响。

2、CVE-2021-20174:默认情况下,设备Web界面的所有通信都使用HTTP,存在以明文形式截获用户名和密码的风险。

3、CVE-2021-20175:SOAP接口(端口5000)默认使用HTTP进行通信,存在以明文形式截获用户名和密码的风险。

4、CVE-2021-23147:命令以root身份执行,无需通过UART端口连接进行身份验证。利用此漏洞需要对设备进行物理访问。

5、CVE-2021-45732:通过硬编码加密例程进行配置操作,允许更改出于安全原因锁定的设置。

6、CVE-2021-45077:设备服务的所有用户名和密码都以纯文本形式存储在配置文件中。

最近披露的漏洞影响固件版本1.0.4.120,这是该设备的最新版本。建议用户将默认凭据更改为唯一且强大的凭据,并遵循推荐的安全实践,以更强健地防御恶意软件感染。此外,请定期检查Netgear的固件下载门户,并在新版本可用时立即安装,还建议打开路由器上的自动更新。

除了上述安全问题之外,Tenable还发现了几个依赖1.4.2版本的jQuery库实例,该版本已知存在漏洞。该设备使用的是MiniDLNA具有已知漏洞的服务器版本。

当前的安全报告指的是仍在支持中的Netgear R6700 v3,而不是已达到生命周期的Netgear R6700 v1和R6700 v2,如果仍在使用旧型号,建议立即更换。Tenable于2021年9月30日向供应商披露了上述问题,尽管随后以澄清和建议的形式进行了一些信息交流,但问题仍未得到解决。

参考来源:BleepingComputer http://33h.co/kxyqz

 

(十)日本京都大学因备份错误丢失77 TB研究数据

日本京都大学丢失了大约77 TB的研究数据,由于惠普超级计算机的备份系统出现错误。该事件发生在2021年12月14日至16日之间,导致14个研究小组的3400万份文件从系统和备份文件中擦除。在调查确定损失的影响后,京都大学得出结论,四个受影响群体的工作已无法恢复。

所有受影响的用户都已通过电子邮件单独收到有关该事件的通知,但没有发布有关丢失工作类型的详细信息。目前备份过程已停止。为防止数据再次丢失,该大学已废弃备份系统,并计划在2022年1月进行改进,并重新引入。除了完整备份镜像之外,该计划还保留增量备份,涵盖自上次备份发生以来已更改的文件。

虽然丢失的数据类型的细节没有向公众透露,但超级计算机的研究每小时花费数百美元,所以这次事件一定给受影响的群体造成了困扰。

京都大学是日本最重要的研究机构之一,享有国家拨款第二大科研投资。京都大学的研究卓越性和重要性在化学领域尤为突出,在世界排名第四,同时还对生物学、药理学、免疫学、材料科学和物理学做出了贡献。

日本拥有目前世界上最强大的超级计算机,名为Fugaku,由位于神户的日本理研计算科学中心运营。Fugaku是富士通制造的exascale系统,计算性能可达442 PFLOPS,全球排名第二的IBM的Summit的算力为148 PFLOPS,这一数字要小得多。Fugaku耗资12亿美元建造,迄今为止已用于新冠病毒、诊断、治疗和病毒传播模拟的研究。

参考来源:BleepingComputer http://33h.co/kxtnt

 

(十一)本田和讴歌汽车受Y2K22漏洞影响导航系统时钟退回2002年

本田和讴歌汽车都遭遇了2022年漏洞Y2K22,它将导航系统的时钟重置为2002年1月1日,而且无法更改。从1月1日开始,讴歌和本田导航系统的日期将自动更改为2002年1月1日,时间重置为12:00、2:00、4:00或其他时间,具体取决于车型或车辆所在地区。

虽然尚不清楚是什么导致了本田和讴歌的漏洞,但在上周末,Microsoft Exchange受到了Y2K22漏洞的攻击,导致电子邮件的交付冻结。Microsoft的错误是由存储在int32变量中的日期引起的,该变量只能容纳2,147,483,647的最大值。但是2022年1月1日午夜的日期最小值为2,201,010,001,导致软件崩溃。

本田和讴歌车主报告称,Y2K22漏洞影响了几乎所有旧车型,包括本田的Pilot、奥德赛、CRV、Ridgeline、奥德赛和讴歌的MDX、RDX、CSX和TL车型。

同样的错误可能会影响本田和讴歌汽车,但本田客服表示该问题应该会在2022年8月自行解决,这表明这可能是一个不同的问题。本田客服告诉一位车主,“是的,对于您在车辆上遇到的问题,我们深表歉意。我们已将导航时钟问题上报给我们的工程团队,他们已通知我们,您将在2022年1月至2022年8月期间遇到问题,然后它会自动更正。”

另一位本田车主得到了类似的回应,称该问题将在2022年8月自动修复。“我们的工程师正在调查这个问题。他们建议这与导航的日历有关,该问题将在8月结束时自行解决,但他们正在寻找一种策略,尽快纠正该问题。”

讴歌和本田是否会强迫车主等待7个月进行修复,以及是否会发布导航系统更新以解决问题,这一点值得怀疑。

参考来源:BleepingComputer http://33h.co/kx72r

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号