关键信息基础设施安全动态周报【2020年第22期】 – 作者:北京天地和兴科技有限公司

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)2000万台湾公民个人信息在暗网泄露

  第二章 国外关键信息基础设施安全动态

  (一)思科修补工业路由器中的数十个漏洞

  (二)美国铁路公司Amtrak泄露用户个人信息

  (三)美国核**承包商Westech遭受黑客攻击

  (四)勒索软件Sodinokibi泄露英国电网中间商Elexon数据

  (五)勒索软件DopplePaymer祝贺SpaceX火箭发射成功并攻击NASA的IT供应商

  (六)俄罗斯黑客攻击波兰政府机构 发布虚假北约演习信息

  (七)日本电报电话公司NTT泄露****

  (八)美国明尼阿波利斯城市系统因网络攻击而暂时瘫痪

  (九)针对倡导团体的DoS攻击激增1120倍

  (十)俄罗斯黑客组织Sandworm利用Exim漏洞进行攻击

  (十一)IP-in-IP漏洞影响思科及其他供应商设备

  (十二)企业移动网络钓鱼攻击急剧增加

  (十三)暗网托管提供商Daniel’s Hosting数据库遭黑客泄露

  (十四)700万印度电子政务服务用户数据泄露

  (十五)Dragos推出Dragos平台v1.6版本

  第一章 国内关键信息基础设施安全动态

  (一)2000万台湾公民个人信息在暗网泄露

  近日,威胁情报公司Cyble的研究人员在暗网中发现了一个泄露的数据库,该数据库包含过2000万台湾公民的详细信息。

  1台湾.jpg

  泄露的数据库有3.5 GB,包含姓名、地址、ID、性别、出生日期、电话号码等个人详细信息。研究人员表示该数据是由知名黑客组织Toogod泄露的。

  Toogod声称该数据泄露事件发生在2019年。但Cyble研究人员分析指出,最后一个DOB记录是2008年,该数据库包含一些带有空值的DOB记录,故很难确定该数据库的泄露时间。

  Cyble的研究人员还在研究分析该事件,且已获得了该泄露的数据,并将很快将其数据添加到其AmIBreached 数据泄露查找服务中。

  6月2日,Cyble已将该信息提交给台湾CERT,且威胁组织Toogod也已从其网站中删除了该泄露的数据。

  天地和兴工业网络安全研究院编译,参考来源:cyble http://dwz.date/aUqy

  第二章 国外关键信息基础设施安全动态

  (一)思科修补工业路由器中的数十个漏洞

  6月3日,思科宣布已修补了其IOS软件中的数十个漏洞,其中包括十二个影响该公司工业路由器和交换机的安全漏洞。

  思科在6月3日发布了每半年一次的捆绑发行的IOS和IOS XE软件安全公告。该公告描述了25个被评为严重或高严重性的漏洞。此外,该公司还发布了其他数十条有关影响IOS和其他软件的高危漏洞的公告。

  12个漏洞影响了该公司的工业产品。评级为严重的安全漏洞CVE-2020-3205允许未经身份验证的具有网络访问权限的攻击者在受影响的设备的虚拟设备服务器上执行任意Shell命令。攻击者可以通过将特制数据包发送到目标设备来利用此漏洞,成功利用该漏洞可能导致系统完全受到威胁。漏洞CVE-2020-3198也被评为严重。它可以允许未经身份验证的远程攻击者在系统上执行任意代码,或通过向其发送恶意数据包来使其崩溃并重新加载。这两个严重的漏洞都会影响Cisco 809和829工业集成多业务路由器(ISR)和1000系列连接的网格路由器(CGR)。

  可以利用影响工业网络设备的高危漏洞来利用硬编码凭据来升级特权,通过发送特制的CIP(通用工业协议)流量来引起DoS条件,执行任意的shell命令,以及启动恶意软件映像。但是,对于这些漏洞,利用漏洞需要身份验证,本地访问或默认启用的功能。影响工业产品的某些高危漏洞与IOx应用环境有关。它们允许攻击者编写或修改任意文件,发起DoS攻击或以提升的特权执行任意代码。

  经过身份验证的攻击者可以利用影响思科工业产品的中危漏洞来进行跨站点脚本(XSS)攻击,并覆盖任意文件。受这些漏洞影响的工业Cisco产品列表包括800、809和829系列工业ISR,1000系列CGR,IC3000工业计算网关,工业以太网(IE)4000系列交换机,Catalyst IE3400加固系列交换机和IR510 WPAN路由器。大多数漏洞仅影响809和829系列工业ISR和1000系列CGR设备。

  思科还告知客户,其用于IOS XE软件的IOx应用程序托管基础结构受到一个严重漏洞的影响,该漏洞可由未经身份验证的远程攻击者利用以执行IOx API命令。思科表示,没有发现证据表明这些漏洞已被利用。

  天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/aVap

  (二)美国铁路公司Amtrak泄露用户个人信息

  美国国家铁路旅客公司Amtrak披露了一项数据泄露事件,导致一些客运会员的个人信息被曝光。

  Amtrak是一家高速城际客运铁路供应商,也是一家独立的美国政府机构,在46个州,哥伦比亚特区和加拿大三个省运营着一个全国性的铁路网络,在过去九年中拥有3000万客户。它还拥有超过20,000辆火车,每天运营300列火车前往500多个目的地,在2019财年的收入为35亿美元。

  Amtrak Guest Rewards高级总监Vicky Radke在向佛蒙特州司法部长办公室和加州总检察长办公室提交的数据泄露通知中表示,“在2020年4月16日晚,Amtrak确认一个未知的第三方获得了对某些Amtrak Guest Rewards帐户的未授权访问。我们已经确定,被泄露的用户名和密码被用来访问某些帐户,一些个人信息可能已被查看。”

  2Amtrak network.jpg

  正如违规通知信中所解释的那样,在这起事件中,没有泄露任何财务数据、***信息或社会保险号码。该公司的安全团队在检测到可疑活动后的几个小时内,阻止了未经授权的第三方访问受感染的Amtrak Guest Rewards帐户。

  Amtrak没有披露受该漏洞影响的帐户总数或可能暴露的个人信息类型,但确实重置了所有可能受影响的Guest Rewards帐户的密码。城际铁路客运服务部门还聘请了第三方安全专家,实施旨在保护其客户免遭未来违规企图的保障措施,并确认事件已得到控制。受Amtrak Guest Rewards数据泄露影响的客户还获得了Experian的IdentityWorks身份盗用保护服务的免费一年会员资格。

  根据美国铁路公司监察长办公室2014年发布的一份报告,一名美国铁路公司员工从1995年开始,以85万美元的价格,向美国药物管制局(DEA)代理商出售了近二十年的机密乘客姓名预订***。作为与美铁警察署(APD)联合毒品执法工作队的一部分,DEA将免费获得这些信息。2018年5月,Amtrak在2017年10月1日至2017年12月22日期间,一家旅行网站Orbitz被入侵,随后又发布了一项数据泄露通知。这导致潜在的客户个人信息暴露,如全名、支付卡数据、出生日期、电话号码、电子邮件地址、实际和/或帐单邮寄地址以及性别。

  攻击性安全测试公司Bishop Fox去年发现了严重的API漏洞,影响了Amtrak的iOS应用程序,估计利用该漏洞的攻击者可能已经破坏了至少600万个Amtrak Guest Rewards会员。针对Amtrak的iOS应用程序进行的成功攻击会暴露出个人身份信息(PII),包括全名、地址、电话号码以及部分付款数据。

  天地和兴工业网络安全研究院编译,参考来源:bleepingcomputer http://dwz.date/aVmw

  (三)美国核**承包商Westech遭受黑客攻击

  据报道,黑客组织未经授权访问了美国新墨西哥州美军承包商Westech的计算机网络, 窃取了机密文件。Westech为美国民兵三号核威慑力量提供了重要支持。

  在进入Westech的计算机网络后,黑客组织对公司的机器进行了加密,并开始在线泄漏文件以迫使公司支付勒索赎金。目前尚不清楚罪犯窃取的文件是否包含军事机密信息,但是已经在网上泄露的文件表明,黑客可以访问极其敏感的数据,包括工资和电子邮件。

  也有人担心,攻击背后的讲俄语的运营商可能试图通过将有关核威慑的信息出售给敌对国家,从而从其获利中获利。美国法院文件称,有经济动机的俄罗斯网络罪犯已与情报部门合作,以窃取机密的政府文件。

  Westech的一位发言人证实,该公司已被黑客入侵,其计算机已加密,并且正在进行调查以查明罪犯设法窃取了哪些数据。

  Westech总部位于阿尔伯克基的路易斯安那大道,由创始人Betty Chao博士于1995年成立,旨在为联邦机构和商业企业提供服务。该公司拥有150名员工,雇用他们在美国11个州的15个地点执行各种能源部(DOE)和国防部(DoD)合同。 作为Northrup Grumman的分包商,Westech为美国的Minuteman III核威慑力量提供了关键支持。洲际弹道**LGM-30G民兵III是三级**,射程超过6,000英里。 截至2018年2月,美国洲际弹道**部队由位于怀俄明州FE沃伦空军基地第90**联队的400名民兵III**组成; 蒙大拿州马尔姆斯特伦空军基地第341联队;以及北达科他州米诺特空军基地的第91**联队。 Westech为Minuteman III洲际弹道**提供工程和维护支持。

  Emsisoft专门研究勒索软件事件的研究员Brett Callow表示,这不是承包商泄漏数据的第一个事件,除非采取措施,否则不会是最后一个。这些事件中暴露的信息可能会引起其他民族国家的关注,并给国家安全和服务人员的安全带来风险。即使一家公司支付了赎金,也无法保证犯罪分子会销毁所窃取的数据,尤其是当它具有很高的市场价值时。Callow警告表示,“他们仍可能将其出售给其他政府,或与其他犯罪企业进行交易。”

  Westech的计算机使用MAZE勒索软件进行了加密,该勒索软件在一系列讲俄语的地下网络犯罪市场上进行交易,仅在过去的一年中,它就已被用于攻击数十家西方公司。根据网络安全公司FireEye的研究,MAZE的创建者似乎在一种联盟模式下运作,允许黑客使用其工具来交换一部分利润。

  FireEye事件响应部门Mandiant的Charles Carmakal表示,勒索软件的创建者与运行该勒索软件的组织绝对是分开的,尽管它们之间存在一些协调。创作者通过其命名和羞辱网站拥有集中的声音,他们在此处泄漏文件以勒索受害者。但是,有各种各样的组织自己进行攻击,FireEye已在俄语网络犯罪论坛上找到了一些招募合作者的组织。Carmakal先生表示,如果这类犯罪分子希望出售特别有价值的数据,往往很难与他们的政府取得联系。Carmakal补充表示,“真正的风险是,正如这些组织证明的那样,威胁参与者将发布他们窃取的数据。”

  Westech的发言人表示,“我们最近发生了勒索软件事件,该事件影响了我们的某些系统并加密了一些文件。得知该问题后,我们立即开始调查并控制我们的系统。我们还一直在与一家独立的计算机取证公司紧密合作,以分析我们的系统是否受到任何损害,并确定是否有任何个人信息受到威胁。”

  天地和兴工业网络安全研究院编译,参考来源:Sky News http://dwz.date/aVav

  (四)勒索软件Sodinokibi泄露英国电网中间商Elexon数据

  近日,勒索软件REvil/Sodinokibi运营商泄露了从英国电网中间商Elexon那里窃取的文件。5月份,英国电网网络中间商Elexon遭受了网络攻击,其系统被Sodinokibi勒索软件感染。该事件仅影响了内部IT网络,包括公司的电子邮件服务器和员工笔记本电脑。

  英国《每日电讯报》发表的一篇文章说:“黑客已经锁定了英国电网的一个关键部分,将工作人员锁在系统之外,使他们无法收发电子邮件。”

  Elexon在一份声明中表示,其内部系统和公司笔记本电脑受到网络攻击的影响。Elexon是发电站运营商和为家庭和企业供电的公司之间能源市场的关键参与者。它拒绝透露更多细节。公司对电力供需进行管理,并根据需求在整个电网中分配电力。

  该公司在其网站上发表的一篇文章写道,“今天ELEXON的内部IT系统受到网络攻击的影响。BSC中央系统和EMR目前未受影响,可以正常工作。该攻击仅针对我们的内部IT系统和ELEXON的笔记本电脑。我们目前正在努力解决这一问题。但请注意,目前我们无法发送或接收任何电子邮件。”

  Elexon表示,该公司为应对攻击而关闭了电子邮件服务器,用于管理英国电力运输的系统没有受到影响。该公司发布了第二条消息,宣布已发现事件的根本原因,并且正在努力恢复内部网络和员工笔记本电脑。Elexon还补充说,BSC中央系统(及其数据)和EMR均未受到影响,并继续正常运行。

  两周后,Sodinokibi运营商在其泄密网站上公布了1280份据称从该公司被盗的文件。这些文件包括Elexon员工的**和一份明显的商业保险申请表。

  即使该公司没有透露有关攻击的细节,来自安全公司Bad Packets的专家报告说 ,如果确认的威胁参与者可以利用Elexon运行的 Pulse Secure VPN服务器访问内部网络,那么Elexon运行的是过时版本的Pulse Secure VPN服务器。

  Elexon没有支付赎金,也没有从备份中恢复操作,因此,Sodinokibi运营商决定泄漏被盗的文件。

  最近,Sodinokibi勒索软件集团声称,从娱乐和律师事务所Grubman Shire Meiselas&Sacks(GSMLaw)窃取了数十亿字节的法律文件,该公司的客户中有数十位国际明星和名人。这家律师事务所的****包括克里斯·布朗、麦当娜、Lady Gaga、尼基·米纳伊、埃尔顿·约翰、廷巴兰、Robert de Niro、Usher、U2和廷巴兰等著名艺术家。

  Sodinokibi并不是唯一一个威胁要公布受害者数据以迫使他们支付赎金的勒索软件团伙,其他团伙有DopplePaymer、 Maze、Nefilim、Nemty、RagnarLocker和NetWalker。

  天地和兴工业网络安全研究院编译,参考来源:securityaffairs http://dwz.date/aVng

  (五)勒索软件DopplePaymer祝贺SpaceX火箭发射成功并攻击NASA的IT供应商

  勒索软件DopplePaymer的运营者在其网站上表示,首先祝贺SpaceX及NASA首次载人火箭发射成功,然后立即宣布他们成功攻击了NASA的IT承包商Digital Management Inc.(DMI)的网络。

  DMI总部位于美国马里兰州,可提供托管的IT和网络安全服务。DMI的****中包括一些财富100强企业和许多政府机构,其中包括NASA。

  3DopplePaymer111.png

  目前尚不清楚DopplePaymer在DMI网络内部入侵程度有多深,以及他们成功入侵了多少个客户网络。很清楚的一点是,他们已经获得了与NASA相关的文件,这表明它们破坏了DMI与NASA相关的基础架构。

  4DopplePaymer222.png

  为了支持他们的说法,DopplePaymer运营者在该组织运营的一个暗网门户网站上发布了20个存档文件。这些档案包括从HR文档到项目计划的所有内容,包含的员工详细信息与LinkedIn公开记录匹配。

  此外,DopplePaymer组织还发布了一份2583台服务器和工作站的列表,黑客声称这些服务器和工作站是DMI内部网络的一部分,他们已经对其进行了加密,现在正勒索赎金。

  发布所有这些文件的目的是为了勒索。DopplePaymer勒索软件是几个运营泄漏站点的勒索软件犯罪团伙之一,他们在这些漏洞站点中发布被黑客攻击的公司的数据。DopplePaymer运营商首先公开数据的小样本,如果受害者没有受到威胁并且仍然拒绝支付文件解密费用,他们作为报复将所有文件泄漏出去。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/aUv8

  (六)俄罗斯黑客攻击波兰政府机构 发布虚假北约演习信息

  波兰政府宣布,遭受了俄罗斯大规模信息攻击,目的是逐渐恶化华沙和华盛顿以及波兰军队之间的关系。波兰的一些互联网页面遭受了黑客攻击,并在波兰及外国资源上发布有关北约演习“保卫欧洲2020”的虚假和操纵性信息。

  波兰政府特别事务协调部长发言人斯坦尼斯拉夫·扎林表示,“波兰再次成为克里姆林宫针对西方,特别是对北约国家的行动相吻合的信息攻击的目标。此类行动的组织者使用了众所周知的方法:黑客攻击、在网页上发布欺骗内容、以及对一位美国将军的虚假采访。”他还表示,这种虚假信息的攻击恰逢“保卫欧洲2020”演习下一阶段的开始之际,涉及波兰与美国之间的军事合作。

  受到黑客攻击并发布“保卫欧洲2020”培训材料的网站包括Niezalezna[dot]pl,、Olsztyn24[dot]com、RadioSzczecin[dot]pl、ePoznan[dot]pl。这些页面都在取笑波兰及其军队。这些材料被信息资源管理员屏蔽,但此后其中一些材料又成为网络攻击的目标。

  协调部长发言人指出,文章中发表的论文与俄罗斯联邦对波兰的长期行动相吻合。扎林认为,这样做的目的是为了打击北约的统一,以及美军和波兰部队采取联合行动的可能性,破坏华沙和华盛顿之间的关系稳定,并质疑有关对波兰构成威胁的官方文件。

  波兰计划从2022年起完全放弃俄罗斯的天然气。

  天地和兴工业网络安全研究院编译,参考来源:ehackingnews http://dwz.date/aUtc

  (七)日本电报电话公司NTT泄露****

  近日,日本电报电话公司NTT遭受黑客攻击,获得了访问其内部网络的信息,并从其通信子公司NTT Communications窃取了621个客户的信息。

  日本电报电话公司NTT在财富500强榜单上排名第64位,其通信子公司NTT Communications是日本最大的电信公司,也是全球最大的电信公司之一。NTT是全球最大的托管IT服务提供商之一。它管理几种云服务和企业网络管理解决方案。

  5NTT.png

  该黑客攻击事件发生在5月7日。黑客破坏了其IT基础架构的多个层次,并到达内部Active Directory以窃取数据,然后将其上传到远程服务器。

  据信这起袭击事件来自新加坡的NTT基地。攻击者使用此入口点到达位于日本的云服务器(服务器B),然后移至NTT Communication内部网络上的服务器(服务器A),然后访问AD服务器。

  NTT表示,他们一得知这一事件后就立即下架了被黑客攻击的系统。目前该公司仍在调查该违规行为,表示计划在明确应通知的内容时通知所有客户。NTT表示,它也在升级其IT基础架构。

  该公司是最近几个月最新披露安全漏洞的日本公司。三菱电机和NEC在1月份也披露了类似的入侵事件,Pasco和Kobe Steel在2月份也披露了类似事件。与以前的案例一样,该攻击被认为具有针对性的防御相关信息。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/aU3Q

  (八)美国明尼阿波利斯城市系统因网络攻击而暂时瘫痪

  美国明尼阿波利斯市政府系统在5月28日早些时候因网络攻击而暂时瘫痪,与此同时,该市正努力应对警方杀害乔治·弗洛伊德的激烈**。

  该市的一位发言人表示,该市的一些公共网站和系统因拒绝服务(DoS)攻击而暂时关闭,该攻击涉及恶意黑客向服务器注入流量,直到服务器崩溃。 该市官员在攻击后的数小时内恢复95%的受影响网站和系统,发言人指出,该市预计到一天结束时100%的系统将重新联机。

  该发言人没有透露是谁对这座城市进行了网络攻击,也没有确定这是否与该城市的任何**活动有关。这位官员表示,没有证据表明任何数据被盗或泄露。

  发言人表示,“尽管并非完全避免这类攻击,但它们相当普遍,明尼阿波利斯市已采取积极措施来应对和减轻干扰的发生。明尼阿波利斯市IT部门继续监视其网络平台,以确保不会再发生进一步的破坏。”

  此前在Facebook上发布的一段视频显示,这些攻击似乎是黑客主义者Anonymous成员的活动,该视频指责明尼阿波利斯警察“暴力和腐败的可怕记录”。在视频中,戴着连帽衫和盖伊·福克斯面具的发言人表示,“人们已经从一个承诺保证他们安全的组织中受够了这种腐败和暴力。不幸的是,我们不信任您的腐败组织进行正义,因此我们会将您的许多罪行暴露给全世界。我们是军团。期待我们。”

  随着动荡继续,泄露信息浮出水面,Anonymous可能在其网络攻击期间泄露了从明尼阿波利斯警察系统窃取的电子邮件地址和密码。

  Have I Been Pawned网站的维护者特洛伊·亨特表示,根据他对这些泄露数据的分析,他认为这些数据为伪造。Have I Been Pawned网站允许用户检查其凭据是否已在数据泄露中被暴露,

  根据Hunt的说法,事实上,该数据集是从先前的数据泄露中提取出来的,并聚集在一起看起来很新鲜。数据集中的大多数电子邮件地址已经存在于Have I Been Pawned网站中,并且在以前的许多数据泄露中都可以看到密码。

  天地和兴工业网络安全研究院编译,参考来源:TheHill http://dwz.date/aU6c

  (九)针对倡导团体的DoS攻击激增1120倍

  自从美国明尼阿波利斯市一名警官杀死乔治·弗洛伊德并在美国各地引发**活动以来,针对宣传组织的DoS攻击增加了1,120%。6月2日,互联网安全公司Cloudflare表示,他们阻止了超过1,350亿个针对倡导性网站的恶意Web请求,相比之下,针对美国政府网站(例如警察和军事组织)的阻止请求为3,000万个。该公司没有透露具体受影响的网站。

  loudflare首席执行官Matthew Prince和首席技术官John Graham-Cumming在博客中表示,“正如我们过去经常看到的那样,现实世界中的**和暴力通常伴随着互联网攻击。过去的一周也不例外。”

  当匿名Web用户用伪造流量向站点泛洪以试图使其脱机,从而使站点处于静默状态,直到站点恢复时,就会发生 DDoS 攻击。Web安全服务通常可以相对轻松地阻止除最强大的DDoS攻击以外的所有攻击。

  DDoS攻击的激增对于倡导组织而言并不是什么新鲜事。通过暗网提供的各种服务会根据需要提供DDoS服务,使用户可以用比特币付款来租用能够将流量分配到任何站点的计算机网络。某些服务的价格低至19.99美元。

  总部位于蒙特利尔的安全公司Deflect Labs表示,2016年,攻击者在7个月内对BlackLivesMatter.com进行了100多次DDoS攻击,该攻击可追溯到一个黑客组织。

  明尼苏达州官员于5月31日表示,由于DDoS攻击,一些政府机构已被暂时关闭。这些袭击在几个小时内被击退,但未能破坏政府的行动。

  天地和兴工业网络安全研究院编译,参考来源:cyberscoop http://dwz.date/aVbD

  (十)俄罗斯黑客组织Sandworm利用Exim漏洞进行攻击

  NSA在5月28日发布的安全公告中警告称,自2019年8月以来,俄罗斯APT组织Sandworm一直在利用一个严重的Exim漏洞CVE-2019-10149攻击邮件服务器。

  成功利用CVE-2019-10149后,攻击者可以执行他们选择的代码。当Sandworm利用CVE-2019-10149时,受害计算机随后会从Sandworm控制的域中下载并执行Shell脚本。然后,该脚本将尝试添加特权用户、禁用网络安全设置、更新SSH配置以启用其他远程访问,并执行其他脚本以启用后续攻击。

  Exim是一种邮件传输代理(MTA),通常用于基于Unix的系统,并已预先安装在某些Linux发行版中。它是使用最广泛的MTA,部署在超过一半的面向Internet的邮件服务器上。

  尽管其高效且高度可配置,但它的广泛使用使其成为攻击者的常见目标,攻击者一直在寻找可以利用的漏洞。在2019年第二季度,出现了一些问题,包括最严重的漏洞CVE-2019-10149。它的存在是在2019年6月披露的,当时为支持的版本和现在不再支持的几个版本提供了补丁程序。

  不久之后,攻击者开始利用该漏洞来危害Linux服务器,并在其上安装加密币挖掘器,微软警告称,Linux蠕虫利用该漏洞以运行受影响版本的Exim的Azure虚拟机(VM)为目标。

  美国国家安全局(NSA)提供了缓解建议以及危害指标,以便组织可以保护自己并检查它们是否已受到Sandworm攻击者(又名BlackEnergy APT、Telebots)的攻击,这些攻击者过去曾与网络攻击相关,针对北约、欧盟、白宫、各种美国ICS运营商以及乌克兰能源公司、金融部门的组织和新闻媒体公司的间谍活动。

  6sandworm-exim-exploitation.jpg

  首先,建议管理员将其Exim安装更新到最新的稳定版本(v4.93),以减少此漏洞和其他漏洞。NSA 表示: “存在其他漏洞,并且很可能会利用这些漏洞,因此应使用最新的完全修补版本。” 并建议系统管理员不断检查软件版本,并在新版本可用时进行更新。他们解释说:“攻击者通过在SMTP(简单邮件传输协议)消息的“ MAIL FROM”字段中发送命令,在面向公众的MTA上使用Exim软件来利用受害者。”

  管理员和IT安全员工可以通过使用特定的Snort规则来检测和/或阻止对该漏洞的攻击,检查流量日志中包含“ $ {run”的收件人的电子邮件,并定期检查未经授权的系统修改。NSA提供了与Sandworm攻击相关的IP地址和域,并提供了有关如何应用多个防御层以保护面向公众的软件(例如MTA)的其他建议。

  尽管由于组织升级了他们的Exim邮件服务器,易受攻击的Exim实例的数量一直在稳步下降,但到2020年5月仍约为90万。RiskIQ 指出,“虽然NSA咨询仅按名称标注了CVE-2019-10149,但在2019年宣布了三个严重漏洞,其中涉及远程代码/命令执行(RCE)。这三个都是在这个更广泛的攻击活动利用。” 这些漏洞均已在最新稳定的最新Exim版本(v4.93)中修复。

  天地和兴工业网络安全研究院编译,参考来源:helpnetsecurity http://dwz.date/aVk8

  (十一)IP-in-IP漏洞影响思科及其他供应商设备

  IP-in-IP隧道协议中的漏洞可被利用来进行DoS攻击并绕过安全控制,从而影响思科和其他供应商的设备。可以利用影响Cisco和其他供应商实施的IP-in-IP隧道协议(也称为IP内IP封装)的漏洞来进行拒绝服务(DoS)攻击并绕过安全控制。

  IP-in-IP封装是RFC 2003中指定的隧道协议,该协议允许将IP数据包封装在另一个IP数据包中。漏洞跟踪为CVE-2020-10136,CVSS评分为8.6。未经验证的攻击者可滥用此问题,通过易受攻击的设备意外路由任意网络流量。

  “未经身份验证的攻击者可以通过易受攻击的设备路由网络流量,这可能导致反射式DDoS、信息泄漏和绕过网络访问控制,”CERT Coordination Center(CERT/CC)发布的公告写道。“如果IP-in-IP设备接受从任何源到任何目标的IP-in-IP数据包,而没有在指定的源IP地址和目标IP地址之间进行显式配置,则被认为是易受攻击的。易受攻击的设备可能会滥用此意外数据处理错误(CWE-19)来执行反射式DDoS,并在某些情况下用于绕过网络访问控制列表。”

  思科已经发布了NX-OS软件的安全更新,解决了这个漏洞。Cisco发布的公告指出,“Cisco NX-OS软件网络堆栈中的漏洞可能允许未经身份验证的远程攻击者绕过某些安全边界,或在受影响的设备上造成拒绝服务(DoS)情况。该漏洞是由于受影响的设备意外地在发往本地配置IP地址的IP数据包中解封和处理IP。攻击者可以通过将IP数据包中的预制IP发送到受影响的设备来利用此漏洞。”攻击者可以通过将IP数据包中的预制IP发送到受影响的设备来利用此漏洞。在某些情况下,利用漏洞可能导致网络堆栈进程崩溃并多次重启,从而导致受影响设备的重新加载和DoS情况。

  受影响产品列表包括:适用于VMware vSphere的Nexus 1000虚拟边缘(CSCvu10050);适用于Microsoft Hyper-V的Nexus 1000V交换机(CSCvt67738);适用于VMware vSphere的Nexus 1000V交换机(CSCvt67738);Nexus 3000系列交换机(CSCun53663;Nexus 5500平台交换机(CSCvt67739);Nexus 5600平台交换机(CSCvt67739);Nexus 6000系列交换机(CSCvt67739);Nexus 7000系列交换机(CSCvt66624);独立NX-OS模式下的Nexus 9000系列交换机(CSCun53663);UCS 6200系列结构互连(CSCvu03158);UCS 6300系列结构互连(CSCvt67740)。

  根据思科的建议,该漏洞还会影响未配置IP-in-IP隧道接口的设备。只有在设备上启用NetFlow监视并且流导出器配置文件配置了为导出器接口的源IP地址时,才会影响Cisco UCS Fabric互连。

  以下产品不受影响:火力1000系列;火力2100系列;火力4100系列;Firepower 9300安全设备;MDS 9000系列多层开关;以应用为中心的基础设施(ACI)模式的Nexus 9000系列光纤交换机;UCS 6400系列结构互连

  根据CERT / CC的说法,该漏洞影响到Digi International、Hewlett Packard Enterprise和Treck的产品。

  天地和兴工业网络安全研究院编译,参考来源:securityaffairs http://dwz.date/aVn3

  (十二)企业移动网络钓鱼攻击急剧增加

  一份新的报告显示,企业需要将智能手机和平板电脑纳入其网络钓鱼缓解策略。打击网络钓鱼威胁的企业战略可能很快需要包括处理以移动设备为重点的社会工程活动的正式计划。

  移动安全供应商Lookout分析了上季度从运行其软件的智能手机和平板电脑收集的数据,发现与2019年第四季度相比,北美企业用户遭受移动网络钓鱼的比率上升了66.3%。在全球范围内,增长率约为37% 。

  Lookout将2020年第一季度的数量增长归因于以COVID-19疫情为中心的大量网络钓鱼活动。但Lookout的数据显示,即使没有这种直接推动力,以移动设备为重点的活动在过去几个季度中也一直在稳步上升。该供应商发现,受监管行业(如医疗保健、金融服务、专业服务和制造业)的企业往往比其他行业的企业受到的攻击更严重。

  Lookout在本周总结分析结果的一份报告中指出,移动网络钓鱼是一个组织再不能忽视的问题。Lookout表示,“考虑到以移动设备为中心的网络钓鱼活动、遭遇率和目标实际跟随链接的点击率的持续增长,组织必须了解形势,并采取适当的措施减轻风险。” 据Lookout称,由于最近因COVID-19病毒的流行,最近被迫在家工作的员工使用移动设备的情况有所增加,因此对控制的需求尤为迫切。

  移动网络钓鱼导致的数据泄露很容易给组织带来数百万美元的经济损失。Lookout说,实际数量取决于移动设备的数量,正在使用的移动操作系统的类型、访问的数据记录的潜在数量以及是否对设备进行管理。Lookout通过使用风险评估工具和称为Monte Carlo方法的量化风险评估模型,确定拥有10,000台移动设备的公司发生数据泄露的成本为3500万美元。

  Lookout安全解决方案高级经理Hank Schless表示,不良行为者正在采用多种方式向企业智能手机和平板电脑传递网络钓鱼诱饵。与针对笔记本电脑和台式机设备的网络钓鱼威胁不同,大约有85%的移动网络钓鱼活动是在电子邮件之外进行的。常见的策略包括使用SMS消息、游戏应用程序和Facebook Messenger等消息平台。

  利用社会工程学作为高管或内部团队成员是一种常见的网络钓鱼行为。此外,还观察到,使用G Suite和Microsoft Office 365的设备在尝试进行网络钓鱼时的遭遇率比未使用这两种生产率套件的设备要高出一倍。

  即使攻击者不确定组织可能使用这两个套件中的哪一个,他们也知道很有可能会使用某种协作平台。Schless说,攻击者可以通过简单地将链接或文档附加到看起来像来自内部团队成员的受保护Google或Microsoft Word文档的电子邮件上,仿冒目标公司的企业凭据。

  据Lookout称,移动用户点击移动钓鱼邮件链接的速度高于笔记本和台式设备的速度。一个主要的原因是,针对移动设备的网络钓鱼诈骗更难检测到。许多用户可能会在笔记本电脑屏幕上识别出的网络钓鱼电子邮件的迹象,由于尺寸较小,因此在智能手机和平板电脑上很难检测到。

  另一个主要问题是大多数用户使用其移动设备进行操作的速度,以及大多数用户不知道如何预览移动设备上的链接。移动环境中的许多网络钓鱼诱饵(例如可能欺骗银行帐户登录页面或员工登录门户的诱饵)看起来也非常真实,并且能够欺骗不那么警惕的移动设备用户。

  另一个问题是,越来越多的人接受与工作有关的个人设备。Lookout援引分析师Gartner的话称,在未来两年,企业中使用的移动设备中,大约四分之三将归个人所有。这种转变将使组织面临因粗心的数据处理和过度宽松的应用程序访问设置带来的更大风险。

  Schless表示,“发现网络钓鱼诱饵非常困难。在社交媒体和信息平台的时代,恶意行为者创建虚拟的个人资料和共享链接并不难。”

  与网络钓鱼电子邮件一样,任何来自陌生来源的移动通信,如果请求跟随链接或打开文档,都应予以怀疑。如果信息似乎来自你认识的人,但似乎是一个奇怪的要求,带你到一个陌生的网站,请直接与该人联系并验证沟通。在远程工作期间,验证任何一种奇怪的通信就显得更加重要。

  天地和兴工业网络安全研究院编译,参考来源:darkreading http://dwz.date/aVfy

  (十三)暗网托管提供商Daniel’s Hosting数据库遭黑客泄露

  5月31日,黑客泄漏了最大暗网服务免费虚拟主机提供商Daniel’s Hosting(DH)的数据库。

  7暗网DH.png

  泄露数据是在黑客于今年年初(即2020年3月10日)入侵DH之后获得的。当时,DH所有者Daniel Winzen告诉ZDNet,黑客侵入了其门户网站,窃取了其数据库,然后清除了所有服务器。

  在违规事件发生两周后的3月26日,DH彻底关闭了这项服务,敦促用户将其网站迁移到新的暗网托管服务提供商。DH关闭后,约有7,600个网站,占所有暗网门户网站的三分之一瘫痪。

  自从三月份爆出DH遭黑客入侵的消息后,今天,一个名叫KingNull的黑客在文件托管门户网站上上传了DH失窃的数据库的副本,并通知了ZDNet。

  根据对当今数据转储的粗略分析,泄漏的数据包括3,671个电子邮件地址,7,205个帐户密码和.onion(暗网)域的8,580个私钥。

  8暗网DH222.png

  威胁情报公司Under Breach表示,泄漏的数据库包含有关数千个暗网域所有者和用户的敏感信息。根据Under the Breach的说法,泄露的数据可用于将泄露的电子邮件地址的所有者与某些黑暗的Web门户联系起来。“这些信息可以极大地帮助执法部门追踪在这些暗网站点上运行或参与非法活动的个人。”

  此外,如果站点所有者将其暗网的Web门户移至新的托管服务提供商,但继续使用旧密码,则黑客也可以接管其新帐户,如果他们破解了泄漏的DH哈希密码。

  但是,尽管威胁情报公司和执法部门可能会整理数据库以寻找托管与网络犯罪相关站点的用户的线索,但泄漏的数据也可能会使异见人士和政治网站的所有者面临被压迫政权暴露身份的风险,如果这些用户没有采取必要的步骤来保护自己的身份,可能会带来可怕的后果。IP地址本来可以帮助执法部门进行一些调查,但没有包括在转储的数据中。

  2020年3月的黑客攻击是DH第二次遭受安全漏洞攻击。该网站先前曾于2018年11月遭到黑客攻击,当时入侵者同样破坏了该网站的后端数据库服务器,并删除了所有站点。当时有超过6500个数据被删除,但没有任何数据泄露。

  但是,DH不是唯一被黑客入侵的主要暗网托管提供商。2017年,同一个匿名黑客组织,在发现主机提供商在庇护虐待儿童门户网站后,关闭了Freedom Hosting II 。

  同样声称是匿名黑客组织成员的KingNull没有回复寻求更多评论的电子邮件。在2020年3月遭到黑客攻击后,Winzen仍计划在几个月内重新启动这项服务,但只有在进行了几处改进之后,而且这不是首要任务。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/aVgc

  (十四)700万印度电子政务服务用户数据泄露

  以色列网络安全公司vpnMentor称,大约700万印度用户的数据在被入侵后可以在公共领域使用。

  据《印度时报》报道,该公司发现了一个数据泄露事件,数百万用户的数据被电子政务公共服务中心(CSC)登录BHIM应用时被泄露。

  报告称,该漏洞是由vpnMentor研究团队的成员Noam Rotem和Ran Locar发现的。Rotem说,他们已于4月23日发现此漏洞,并已通知印度网络安全机构计算机紧急响应小组(CERT-In)。

  在线公开的数据包括CSC电子政务合作伙伴随身携带的用户Aadhaar卡图像和UPI标识符。报告称,数据直到上周才公布。

  CSC电子政务服务曾表示,诸如商家的虚拟支付地址(VPA)之类的数据点将保持公开状态,以提高系统的透明度。但是,该项目并未要求商家提供Aadhar数据。因此,它不可能公开诸如Aadhar详细信息之类的个人标识符。CSC还补充说,数据托管在该国境内的印度服务器上。

  与VPA一起公开的其他信息包括门户的静态页面、PDF文件、电子文本、图片和宣传视频。

  由于越来越多的网络威胁和数据泄露,近来网络安全问题已成为主要问题。上周,网络安全公司Cyble表示,一名黑客在暗网上的一个黑客论坛上免费发布了近290万名印度求职者的个人信息。在另一份报告中,一个包含4000多名印度来电显示应用Truecaller用户的数据库也在黑暗网络上出售,该数据库似乎来自2019年。

  我们的研究人员确定了一位信誉良好的卖家,他以1000美元的价格出售了4750万印度人的Truecaller信息。数据来自2019年。Truecaller后来发表了一份声明,否认数据泄露,并表示他们的系统是安全的。

  天地和兴工业网络安全研究院编译,参考来源:thehindubusinessline http://dwz.date/aVkn

  (十五)Dragos推出Dragos平台v1.6版本

  随着Dragos Platform v1.6的发布,Dragos在为客户提供的ICS / OT环境可见性的类型、数量和广度方面进行了重大改进,并且作为第一个将MITER ATT&CK for ICS整合到技术中的ICS / OT网络供应商,Dragos正在加强威胁检测能力。 这些增强不仅保证了客户对其环境的全面可见性,而且还保证了对其组织构成最大风险的威胁的可见性。

  正如Dragos团队在客户和ICS社区中观察到的那样,资产可视性的概念已开始开始转变。对手不断调整自己的方法,并且变得越来越复杂,从而推动了人们更好地了解他们如何改变或损害关键资产。简单地生成资产清单的日子已经一去不复返了。随着组织在ICS / OT网络安全历程中的成长和成熟,除了协议分析之外,必须对协议分析以外的资产有深入的了解,并对这些资产在操作网络上的行为进行可视化,这是有效查明威胁并有效应对威胁的先决条件。

  凭借Dragos团队在工业威胁领域前沿的独特经验,Dragos Platform v1.6提供了迄今为止最全面的资产清单、发现和识别能力,帮助客户不仅是简单地识别异常与正常情况,而是帮助他们了解构建真正防御性、智能驱动的ICS/OT网络安全战略所需的东西。

  凭借Dragos Platform v1.6提供的增强的环境可见性和资产信息,将MITRE ATT&CK for ICS Framework整合到我们的通知中,从而丰富了我们的威胁检测能力,支持更强大的敌对策略和技术背景,并提供定制的调查手册,在实践团队的专家指导下应对威胁。

  DRAGOS平台v1.6的主要增强功能

  增强资产可见性

  • 情景丰富的ICS / OT资产数据,包括供应商、硬件、固件、型号类型、操作系统版本等的详细可见性

  • 扩展了对2500多个ICS / OT资产特性的支持

  • 对130多个IT和ICS/OT协议的扩展协议支持

  • 增加了罗克韦尔、施韦茨工程实验室、艾默生、横河电机、霍尼韦尔、西门子、GE等供应商的硬件覆盖范围

  • 新的和改进的资产地图自动分区、标记和分类功能

  • 提高工作流程效率和用户体验

  好处

  Dragos客户将对其独特的ICS / OT环境和个人资产进行最详细、最强大的可视化;对“正常”网络行为的更深入了解,以便更快地识别和调查异常行为;以及用单窗格视图可视化来自任何工厂或地理位置的ICS / OT网络流量和通信的自动化工具。

  MITER ATT&CK for ICS支持的威胁检测

  作为MITER ATT&CK ICS框架的主要贡献者,Dragos帮助全球分类和验证针对关键ICS / OT基础设施的威胁行为。作为Dragos Platform v1.6的一项突破性功能,威胁检测现在已经被映射到MITER ATT&CK ICS ICS框架中的策略和技术,以使您在对抗工业对手时获得最大优势。

  好处

  结合Dragos平台的威胁分析提供的深层背景和威胁见解,映射到MITER ATT&CK 的 ICS检测确保客户能够更深入地了解对手的战术和技术,更高效的调查和工作流程,以及具有端到端覆盖率的最有效的威胁检测能力。

  加快关键工业威胁和设备数据的发布

  Dragos最重要的目标之一是确保我们的客户不断从我们的专家团队中学习,不断掌握最新的信息,以主动调查并应对潜在威胁,而现在,我们正在更快地向客户提供这些信息。Dragos知识包每月向客户提供,其中包括最新的ICS对抗信息、ICS / OT设备数据和调查指南,这些信息直接来自我们在工业网络安全前沿的专家。

  好处

  • 自动按月交付最新的IOC、威胁分析、设备特征、网络资产数据等

  • 我们的威胁搜寻和事件响应团队撰写的最新调查手册

  • 最新协议解析和供应商设备信息

  • 主动洞察最新的ICS威胁活动和相对于对手的竞争优势

  天地和兴工业网络安全研究院编译,参考来源:Dragos http://dwz.date/aVpU

来源:freebuf.com 2020-06-15 14:17:52 by: 北京天地和兴科技有限公司

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论