2024-08-09 星期五
Vol-2024-191
1.
CISA
和
FBI
发布《安全需求指南》推动软件制造商增强安全性
2.
SEC
决定不对
MOVEit
软件制造商
Progress Software
进行处罚
4.
Claroty
团队发布工具应对关键基础设施网络威胁
6.
黑客归还
1200
万美元并揭示
Ronin
网络漏洞
7.
俄罗斯库尔斯克地区在乌克兰跨境行动中遭受大规模
DDoS
攻击
10.
密歇根州医疗系统遭受网络攻击,医疗行业警告“俄罗斯”勒索软件
11.
史无前例的
DDoS
攻击:
24
小时内产生
419TB
恶意流量
12.
Cisco SSM
漏洞曝出,允许远程更改管理员密码
13.
Entra ID
漏洞允许特权用户提升为全球管理员
14.
CrowdStrike
驳斥有关
Falcon
传感器漏洞的利用可能性
15.
新型“
7777
”僵尸网络攻击
ASUS
路由器并开启端口
63256
16.
新型
AMOS
窃取器伪装成屏幕录制软件,通过
Google
广告传播
18.
美国陆军
11
号网络营在即将到来的夏威夷演习中实现两个重要里程碑
1. CISA和FBI发布《安全需求指南》推动软件制造商增强安全性
2024年8月8日,美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)发布了《安全需求指南》,旨在帮助组织通过采购安全的技术产品来推动安全技术生态系统的发展。该指南为购买软件的组织提供了评估制造商网络安全方法的问题和资源,确保“安全设计”成为软件制造商的核心考虑。指南建议在采购生命周期的各个阶段融入安全性考虑,从采购前评估制造商的安全性策略,到合同中纳入安全性要求,再到采购后的持续安全性评估。CISA强调,客户应通过采购决策推动软件制造商承诺和落实“安全设计”,并应在日志管理、第三方依赖性管理和漏洞报告等关键领域保持透明性和及时性。
来源:https://industrialcyber.co/cisa/cisa-fbi-release-secure-by-demand-guide-for-software-manufacturers-to-enhance-security-technology/
2. SEC决定不对MOVEit软件制造商Progress
Software进行处罚
美国证券交易委员会(SEC)决定不对MOVEit文件传输工具的开发商Progress Software采取执法行动。去年,MOVEit被黑客利用,导致数百万人的信息被窃取。Progress Software此前因事件处理面临多项调查,包括来自多个国家和州的隐私监管机构以及SEC的调查。SEC于今年8月通知该公司已结束对MOVEit漏洞的事实调查,暂不建议采取执法行动。虽然SEC未公开调查的具体内容,但Progress
Software披露已花费约420万美元处理此次事件,大部分将由其1500万美元的网络保险赔偿。此外,Progress还面临144起集体诉讼,涉及被泄露的敏感数据,如社会安全号码和银行信息等。黑客组织Clop据估计从此次攻击中获取了7500万至1亿美元的赎金。
来源:https://therecord.media/progress-software-moveit-vulnerability-sec-ends-investigation
美国网络安全和基础设施安全局(CISA)发起的“安全设计”承诺已获得近200家科技公司和网络安全公司的签名支持。该承诺旨在推动企业在产品销售给企业客户或零售商时,内置更多默认安全特性。CISA局长Jen Easterly在黑帽安全会议上表示,我们面临的是软件质量问题,而非安全产品数量问题。自2018年成立以来,CISA一直在推动安全产品设计,而过去一年中多起影响公共和私营部门的高知名度网络事件,进一步激发了业界对内置安全特性产品的兴趣。支持者认为,软件安全标准应类比食品或汽车安全法规,通过法律指导软件制造,以惠及整个社会。一些软件缺陷存在多年却未得到彻底解决。法律专家认为,软件市场并未激励安全开发,主要制造商在合同中加入条款,要求用户接受软件“现状”,迫使客户承担包括可能使产品遭受网络利用的缺陷在内的全部风险。
来源:https://www.nextgov.com/cybersecurity/2024/08/nearly-200-firms-have-signed-pledge-built-more-secure-software-top-cyber-official-says/398685/
4. Claroty团队发布工具应对关键基础设施网络威胁
2024年8月8日,Claroty的研究部门Team82公布了对Unitronics集成PLC/HMI的研究成果,并发布了两款免费工具,用于从这些设备中提取取证信息。研究起因于去年秋季在美国和以色列水处理设施中发生的网络攻击,攻击者据称为伊朗关联的CyberAv3ngers组织。Team82深入研究了Unitronics设备的PCOM通信协议,开发了PCOM2TCP和PCOMClient工具,分别用于将PCOM串行消息转换为TCP消息,以及连接并查询设备以提取取证信息。通过这些工具,用户可以识别攻击者行为并保护设备的关键信息。此外,研究还发现并披露了两项Unitronics产品的安全漏洞。
来源:https://industrialcyber.co/industrial-cyber-attacks/following-unitronics-research-clarotys-team82-debut-tools-to-combat-cyber-threats-in-critical-infrastructure/
Recorded Future
News 8月8日报道,俄罗斯情报机构SVR的黑客组织Midnight Blizzard今年早些时候入侵了英国政府的内政部系统,窃取了内部邮件和个人数据。黑客最初通过攻击微软的系统,进而访问了包括内政部在内的多个微软客户的系统。尽管微软在1月首次披露了此次攻击,但英国内政部直到5月才向数据保护监管机构报告。此次事件暴露了政府对供应商依赖的风险,同时引发了对网络安全和供应商多样性的担忧。专家呼吁对此类事件进行严肃应对,以维护公众对公共服务的信任。
来源:https://therecord.media/russia-hack-uk-government-home-of
fice-microsoft
6. 黑客归还1200万美元并揭示Ronin网络漏洞
近日,Ronin游戏平台宣布,黑客归还了通过漏洞利用从其区块链网络中窃取的1200万美元。该网络主要服务于热门游戏Axie Infinity。此次事件中的黑客被视为“白帽”黑客,他们发现并报告了桥接组件中的漏洞,随后在公司验证后暂停了桥接约40分钟。这次攻击导致黑客提取了4000
ETH和200万 USDC,达到了单笔交易的最大限额。公司表示,将支付50万美元作为漏洞发现的奖励,并计划提升桥接的安全结构。Ronin此前曾因2022年的625百万美元加密货币盗窃案而闻名,该案被归咎于朝鲜黑客组织Lazarus Group。
来源:https://therecord.media/hackers-return-12-million-taken-from-ronin-network
7. 俄罗斯库尔斯克地区在乌克兰跨境行动中遭受大规模DDoS攻击
俄罗斯库尔斯克地区在乌克兰的跨境突袭行动期间遭受了一次“大规模”的分布式拒绝服务(DDoS)攻击。据该地区官员声明,匿名黑客攻击了政府和商业网站以及关键基础设施服务,导致其中一些服务暂时无法使用。互联网监控服务NetBlocks分享的数据显示,库尔斯克及其周边地区出现了“间歇性的互联网连接中断”,很可能与针对当地基础设施的DDoS攻击有关。俄罗斯数字部表示,在攻击高峰时,库尔斯克的在线服务每秒遭受超过10万个垃圾请求。DDoS事件可能涉及更大的流量,有时每秒请求量可达数百万。该机构称,参与此次事件的互联网协议(IP)地址主要在德国和英国注册,但DDoS流量可能来自多个来源,并不一定标志着攻击的确切起源。目前尚不清楚是哪个黑客组织发起了这次攻击,知名的乌克兰黑客活动组织以及军事情报部门尚未声称对此次事件负责。
来源:https://therecord.media/kursk-military-offensive-ddos-russia-ukraine
美国家庭安全系统公司ADT Inc.于7日宣布,未经授权的黑客非法入侵了存储客户订单信息的数据库。公司在向美国证券交易委员会(SEC)提交的文件中表示,此次入侵事件发生在“最近”,但未提供具体日期。ADT称,在得知此事后,迅速采取措施阻止了未授权访问,并在外部网络安全专家的协助下开始调查此次黑客攻击。黑客盗取了“有限”的客户信息,包括电子邮件地址、电话号码和家庭住址。公司表示,目前调查未发现客户的家居安全系统被访问,也没有迹象表明黑客访问了敏感数据,如客户的银行信息或信用卡数据。ADT表示仍在调查此次黑客事件,并已通知受影响的客户他们的信息已被获取。公司还称,受影响的客户“占公司总用户基数的一小部分”。ADT在SEC文件中的声明表示:“尽管调查仍在进行中,但截至本文件提交之日,公司认为这次网络安全事件并未对其运营产生实质性影响。”
来源:https://therecord.media/adt-says-hackers-obtained-limited-cus
tomer-data
美国国务院7日公布了六名涉嫌参与去年秋季针对美国水务设施一系列网络攻击的伊朗政府黑客的身份,并悬赏最高达1000万美元以获取他们的行踪信息。这些黑客包括哈米德·霍马云法尔、哈米德·雷扎·拉什加里安、迈赫迪·拉什加里安、米拉德·曼苏里、穆罕默德·巴盖尔·希林卡尔和雷扎·穆罕默德·阿明·萨贝里安,他们均为伊朗伊斯兰革命卫队(IRGC)下属的网络电子指挥部(CEC)的高级官员。去年10月,这些黑客通过“CyberAv3ngers”组织对美国水务设施发起攻击,并声称这是对以色列政府在加沙行动的回应。攻击导致宾夕法尼亚州阿里夸市水务当局被迫切换到手动操作模式,但未影响饮用水的安全。此事件引发了对水务部门网络安全的广泛关注。
来源:https://therecord.media/us-offers-reward-for-info-on-iranian-hackers-water-utilities
10. 密歇根州医疗系统遭受网络攻击,医疗行业警告“俄罗斯”勒索软件
密歇根州著名的医疗系统McLaren Health Care于8月7日确认,本周早些时候开始的网络攻击导致电话系统和计算机出现中断。McLaren
Health Care发表声明称,尽管其设施“基本上运行正常”,但仍需在恢复多个IT系统的同时执行停机程序。该非营利组织表示:“在意识到攻击后,我们的医院和门诊诊所立即启动了停机程序,以确保在我们的设施内提供护理。”其IT团队正在与外部网络安全专家合作,分析攻击性质并减轻威胁行为者的影响。McLaren的急诊部门继续运营,但一些手术和程序因攻击而取消。一些非紧急预约、检查和治疗被重新安排。患者将被告知他们的预约是否会被取消,但那些来到医院的患者需要携带当前药物清单、打印的医学影像或治疗医嘱、过敏清单以及最近的实验室测试结果打印件。此外,McLaren还表示正在与供应商合作伙伴和保险公司积极合作,确保供应链不受影响,保险授权得到处理。
来源:https://therecord.media/michigan-hospital-system-struggling-after-cyberattack
11. 史无前例的DDoS攻击:24小时内产生419TB恶意流量
2024年7月15日,发生了一次创纪录的分布式拒绝服务(DDoS)攻击,在24小时内产生了419TB的恶意流量。这次攻击以色列的一家金融服务公司为目标,展示了网络战争威胁的演变。攻击开始时较为轻微,随后迅速升级为大规模攻击,持续了近一天,流量峰值在300至798Gbps之间。虽然不是峰值流量最大,但在Akamai Prolexic平台上,这次攻击排名第六大。攻击者使用了包括UDP洪水、UDP分片、DNS反射和PSH+ACK攻击在内的多种技术,显示出其复杂的网络操作能力。此次攻击源自一个全球分布的僵尸网络,同时针对超过278个IP地址。这表明攻击者具有协调一致的大规模攻击能力,并且此类攻击可能会对其他全球目标造成威胁。尽管攻击严重,但Akamai Prolexic平台成功缓解了威胁,避免了金融机构的持续停机。
来源:https://gbhackers.com/breaking-ddos-attack-419/
12. Cisco SSM漏洞曝出,允许远程更改管理员密码
Cisco警告称,针对Cisco Smart Software Manager
On-Prem(SSM On-Prem)许可服务器的严重漏洞(CVE-2024-20419)的利用代码已被公开。此漏洞允许未经验证的攻击者远程更改任意用户的密码,包括管理员账户,而无需知道原始凭据。Cisco解释称,该漏洞源于SSM
On-Prem身份验证系统中密码更改过程的错误实现,攻击者可通过发送精心构造的HTTP请求来利用此漏洞。目前尚无已知的攻击利用此漏洞,但Cisco已发布安全更新修复该问题,建议管理员立即升级受影响的系统。此外,Cisco还修补了其他关键漏洞,并建议禁用Smart Install功能以防止进一步攻击。
来源:https://www.bleepingcomputer.com/news/security/exploit-released-for-cisco-ssm-bug-allowing-admin-password-changes/
13. Entra ID漏洞允许特权用户提升为全球管理员
在Black Hat USA大会上,Semperis的高级云安全架构师Eric Woodruff揭示了Microsoft Entra ID中的一个隐蔽问题,该问题可能使攻击者在已具备管理员权限的情况下,通过层叠的认证机制获得全球管理员权限。全球管理员能够在组织的云环境中执行任何操作,包括访问敏感数据和植入恶意软件。问题的核心在于,拥有特权的应用管理员或云应用管理员可以直接为服务主体分配凭证。这种权限被攻击者利用,能够通过OAuth 2.0客户端凭证授权流程获取访问令牌。Woodruff发现,某些应用服务主体能够执行超出其权限范围的操作,比如在Viva Engage中永久删除用户,在微软权限管理服务中添加用户,或在设备注册服务中提升为全球管理员权限。尽管微软已针对设备注册服务的权限升级问题推出了修补措施,限制了凭证的使用,但是否已有实际攻击利用了这一漏洞仍不明确。
来源:https://www.darkreading.com/application-security/hazy-issue-entra-id-privileged-users-become-global-admins
14. CrowdStrike驳斥有关Falcon传感器漏洞的利用可能性
CrowdStrike驳斥了中国安全研究公司关于其Falcon EDR传感器漏洞可能被用
于特权提升或远程代码执行的声明。根据Qihoo 360的技术文档,该漏洞的直接原因是内存损坏问题,可能导致特权提升或远程代码执行攻击。
CrowdStrike
副总裁
Adam Meyers
回应称,该漏洞并不允许对任意内存地址进行写入或控制程序执行。他解释说,漏洞源于代码期望
21
个输入却只提供了
20
个,导致了越界读取。即使攻击者控制了读取的值,该值仅用作包含正则表达式的字符串,后续代码路径并不会导致额外的内存损坏或程序执行控制。
CrowdStrike
表示已实施多层保护措施,包括证书固定、校验和验证、访问控制列表和反篡改检测,确保漏洞无法被恶意利用。
此外,公司指出,虚拟机引擎实现具有严格的内存访问限制,不会导致进一步的利用。
CrowdStrike
的内部安全团队和两家独立第三方安全供应商已对此进行全面审查,确认传感器的安全性未受影响。
来源:https://www.securityweek.com/crowdstrike-dismisses-claims-of-exploitability-in-falcon-sensor-bug/
15. 新型“7777”僵尸网络攻击ASUS路由器并开启端口63256
最近发现了一种新型僵尸网络(“7777”僵尸网络),其主要目标是ASUS路由器,并在受感染的设备上开放端口63256。这一僵尸网络最初在2023年10月由Gi7w0rm报告,主要涉及低频率的暴力破解攻击,之前被认为主要针对VIP用户。Sekoia的研究发现,“7777”僵尸网络实际上没有明确的目标模式。该僵尸网络通过使用TCP端口7777和xlogin:标志,感染了大量的路由器,最近的扫描发现约7038个节点。虽然这一数量少于Gi7w0rm报告的10,000个节点,但仍显示了该网络的广泛影响。受感染的设备中还发现了端口11288,可能用于通过SOCKS5代理将流量转发到第三方服务器,主要攻击目标是Microsoft
Office 365账户。安全团队建议,用户应保持固件更新,实施强有力的安全措施,并保持警惕,以应对这种不断演变的威胁。
来源:https://cybersecuritynews.com/new-botnet-attack-asus-routers-port-63256/
16. 新型AMOS窃取器伪装成屏幕录制软件,通过Google广告传播
一种新型的AMOS Mac窃取器变体正在传播,它通过一个伪造的Loom网站进行分发,该网站托管在Google广告上,可能与Crazy Evil威胁组相关。这种恶意软件伪装成合法的Loom平台,当用户下载并执行后,便会窃取包括浏览器信息、凭证和加密货币钱包内容等敏感数据,这些数据在暗网上可供租用。AMOS窃取器的新变体具备高级的应用克隆能力,能够将如Ledger Live等合法应用替换为恶意克隆版本,从而窃取加密货币、NFT和DeFi资产。该恶意软件还能绕过Apple App Store的安全性,直接安装到受感染的设备上,增加了数据盗窃的风险。此恶意软件还利用虚假招聘广告和诱饵奖励策略,特别针对游戏玩家及年轻人。最近的研究揭示了与俄罗斯ISP Gesnet.ru相关的恶意IP地址,表明可能存在网络范围的安全问题。
来源:https://cybersecuritynews.com/macos-stealer-google-ads/
美国陆军若面临战争,国内制造商难以生产足够的高质量小型无人机以满足需求,除非五角大楼迅速加大对无人机生产商的支持。乌克兰战场上小型四轴飞行器的使用效果显著,美国陆军正急于将小型无人机纳入作战行动。据估计,美国企业目前的月产量远不及乌克兰每月消耗的无人机数量的一半。目前,美国陆军仅有一个名为“短程侦察”(SRR)的四轴无人机项目,Skydio和Teal两家公司正在竞争其第二阶段合同。美国无人机制造商若能获得更多订单,可能会扩大生产能力,但市场竞争激烈,尤其是面对占据全球70%市场份额的中国大疆等公司。美国国防部是本国无人机公司的可靠客户,但军事采购流程缓慢,对初创公司不利。美国制造的无人机组件成本远高于中国,导致美国无人机价格昂贵。尽管价格较高,美国无人机在性能上往往不及价格更便宜的中国竞争对手。要解决这一问题,美国需要通过高需求刺激市场,提高订单量,降低成本。国防部的国防创新部门认为,政府应避免直接投资企业,而是通过大量购买来激励市场。
来源:https://www.nextgov.com/defense/2024/08/wartime-need-drones-would-outstrip-us-production-theres-way-fix/398670/
18. 美国陆军11号网络营在即将到来的夏威夷演习中实现两个重要里程碑
