网络空间安全对抗资讯速递
2023年10月14日
最新热门网安资讯
Cyber-IntelligenceBrief Express
Vol-2023-246 星期六
今日热点导读
2、美国环保局表示,共和党和自来水公司的诉讼迫使其撤回网络安全备忘录
3、微软提供高达15,000美元的新AI Bug赏金计划
4、思科Talos揭示了一帆YF325工业路由器中的11个严重漏洞
5、英国因2017年数据泄露对Equifax罚款1360万美元
6、瞻博网络修补了Junos OS中的30多个漏洞
7、美国便利连锁店Kwik Trip的IT系统因神秘“网络事件”而中断
8、欧洲刑警组织黑客马拉松参与者发现了数十个与人口贩运相关的平台
9、印度e-District门户错误导致大规模数据泄露
10、法国北部小岛因恶意代码导致天然气供应中断
11、随着以色列局势恶化TikTok在欧盟面临屏蔽威胁
12、军用机器人可以通过新算法防御网络攻击
13、针对女性政治领袖的新PEAPOD网络攻击活动
14、安全专家警告欧盟的漏洞披露规则存在风险
资讯详情
1、CISA现已标记勒索软件利用的漏洞和错误配置
美国CISA正在加大力度防止勒索软件,让组织更容易了解这些攻击中利用的漏洞和错误配置。作为3月份启动的勒索软件漏洞警告试点(RVWP)计划的一部分,该机构发布了两种新资源,以帮助组织识别和消除已知被勒索软件组织利用的安全缺陷和弱点。第一个资源是已知被利用的漏洞目录中的一个新列,其中标记了CISA已知的与勒索软件活动相关的缺陷。该目录列出了1,000多个漏洞,CISA有确凿的证据表明这些漏洞已被利用,其中许多漏洞已成为勒索软件攻击的目标。CISA 现在提供的另一个新资源是StopRansomware项目网站上的一个新表格,其中列出了有关勒索软件运营商在攻击中观察到的错误配置和弱点的信息。对于每个问题,该表还提供了有关组织可以采取的网络性能目标(CPG)行动的信息,作为其缓解或补偿工作的一部分。CISA指出:“这两种新资源将提供针对特定 KEV、错误配置和勒索软件相关弱点的缓解措施,帮助组织提高网络安全性。”据CISA称,其RVWP迄今为止已在能源、教育设施、医疗保健和公共卫生以及供水系统行业的组织网络中识别出800多个易受攻击的系统。
2、美国环保局表示,共和党和自来水公司的诉讼迫使其撤回网络安全备忘录
美国环境保护局10月11日宣布撤回先前旨在在国家供水系统基础设施内建立强大的网络安全协议的指导意见,这意味着各州将不再需要遵守其公共供水系统网络安全的审计要求。此次撤回源于密苏里州、阿肯色州和爱荷华州与 EPA之间正在进行的诉讼,美国第八巡回上诉法院于7月下令停止执行该备忘录。尽管政策方向发生了变化,该机构表示,其网络安全态势仍然是“EPA的最高优先事项之一”,并且网络攻击“仍然是供水系统运营的重大威胁”。该机构在一份新闻稿中表示:“美国环保局仍然致力于利用现有的工具和资源来帮助保护社区免受我国供水系统面临的日益增多和严重的网络威胁。” “EPA将继续与各州、部落和领地合作,保护公众免受网络安全事件造成的威胁,并支持供水系统采用网络安全最佳实践的努力。”拜登政府2021年国家网络安全行政命令首次将所有联邦机构的网络安全战略现代化和更新作为政策目标发布。4月初,非营利组织美国水务协会发表声明,支持这三个州对审计的挑战,但也表示希望找到一种解决方案,在水务部门实施有效的网络安全协议。
3、微软提供高达15,000美元的新AI Bug赏金计划
微软周四(12日)宣布推出一项新的专注于人工智能的错误赏金计划。该计划最初专注于人工智能驱动的Bing,针对浏览器中bing.com的漏洞以及Edge、Microsoft Start应用程序和Skype移动应用程序中的Bing集成提供高达15,000美元的奖励。据微软称,bing.com上人工智能驱动的Bing体验(包括Bing Chat、Bing Chat for Enterprise和Bing Image Creator)中的任何漏洞都在该计划的范围内。对于人工智能驱动的Bing集成,微软正在寻找Windows上的Edge浏览器(包括企业版Bing Chat)以及iOS和Android应用程序中的漏洞。微软表示正在寻找描述推理操纵、模型操纵和推理信息泄露漏洞的报告。它还将接受有关影响或修改Bing聊天行为、破坏Bing交叉对话内存保护、揭示Bing内部工作原理和提示以及绕过Bing聊天模式会话限制的错误和漏洞链的报告。虽然漏洞赏金奖励范围从2,000美元到15,000美元不等,但根据漏洞的严重性和影响以及提交的质量,也可能获得更高的奖励。参与的安全研究人员需要通过MSRC研究人员门户的Bing部分提交报告,包括对话ID并描述攻击向量。
4、思科Talos揭示了一帆YF325工业路由器中的11个严重漏洞
思科Talos的研究人员最近披露了工业蜂窝路由器一帆YF325中的11个漏洞,其中10个是未打补丁的零日漏洞。攻击者可以利用路由器中的漏洞进行各种攻击,在某些情况下获得在目标设备上执行任意shell命令的能力。在过去的两周里,Talos还披露了另一个安全问题,涉及WebKit开源端口中的释放后使用漏洞,WebKit是Apple Safari 等Web浏览器使用的内容渲染引擎。Yifan YF325是一款蜂窝终端设备,可为网络提供Wi-Fi和以太网连接功能。采用高性能工业32位CPU和嵌入式实时操作系统,支持RS232(或RS485/RS422)、以太网、WIFI端口。已应用于M2M领域,包括自助终端行业、智能交通、智能电网、工业自动化、遥测、金融、POS、供水、环保、邮政、气象等。Munshaw 概述说,Talos最近在该设备中发现了10个漏洞,攻击者可以利用这些漏洞执行各种恶意操作,包括TALOS-2023-1767 (CVE-2023-32632),该漏洞可能允许攻击者在设备上执行任意shell命令。“TALOS-2023-1762 (CVE-2023-24479) 可能是这组漏洞中最严重的一个,CVSS 严重性评分为 9.8 分。攻击者可以利用此漏洞更改设备的管理凭据并获取根访问权限,”Munshaw说道。
5、英国因2017年数据泄露对Equifax罚款1360万美元
周五(10月13日),信用报告公司Equifax的英国分公司因黑客在2017年获取数百万人的个人信息而被英国监管机构处以11,164,400英镑(约合1360万美元)的罚款。据金融行为监管局称,大约1380万英国消费者在该事件中受到影响,这仍然是有史以来最大的数据泄露事件之一。大约1.48亿美国人的数据在此次攻击中遭到泄露。监管机构发现,该公司的英国业务Equifax Ltd暴露了数据,因为它将处理外包给其美国母公司Equifax Inc. 运营的服务器。受影响的信息包括“姓名、出生日期、电话号码、Equifax会员登录详细信息,部分暴露”信用卡详细信息和居住地址,”FCA表示。FCA表示,“直到Equifax Inc发现黑客行为6周后”,Equifax Ltd才发现英国消费者数据已被访问。公司官员告诉记者,自袭击发生以来,他们已全力配合FCA的调查,并投资了15亿美元用于网络安全改进。Equifax Inc. 于2019年同意支付至少5.75亿美元,以和解美国州和联邦监管机构对该事件的指控。
6、瞻博网络修补了Junos OS中的30多个漏洞
网络设备制造商瞻博网络周四(12日)宣布修补Junos OS和Junos OS Evolved中的30多个漏洞,其中包括9个高严重性缺陷。其中最严重的问题是不正确的默认权限错误,该错误允许对易受攻击设备进行本地访问的未经身份验证的攻击者创建具有root权限的后门。该漏洞的编号为CVE-2023-44194(CVSS评分为8.4),其存在是因为某个系统目录具有与其关联的不当权限。Juniper的补丁还解决了Junos OS和Junos OS Evolved中的六个高严重性漏洞,这些漏洞可能导致拒绝服务(DoS)。其中五个可以远程利用,无需身份验证。其余两个高严重性问题同时影响 Junos OS和Junos OS Evolved,可被利用分别影响设备的稳定性以及设备操作的机密性和完整性。本周Junos OS和Junos OS Evolved更新解决的所有剩余缺陷均为中等严重性漏洞,可能导致DoS情况、绕过预期访问限制、影响系统或连接网络的完整性、影响系统可用性、凭证泄露、配置更改泄漏、DM 内存泄漏或MAC地址转发不正确。此外,瞻博网络还针对Junos OS和Junos OS Evolved中使用的第三方软件中的一系列中度严重漏洞发布了补丁,包括NTP漏洞和加密算法问题。
7、美国便利连锁店Kwik Trip的IT系统因神秘“网络事件”而中断
自本周末以来,Kwik Trip受到了一系列神秘的业务中断的影响,这些中断表明勒索软件攻击。Kwik Trip是一家美国连锁店,在密歇根州、明尼苏达州和威斯康星州拥有800多家便利店和加油站,在伊利诺伊州、爱荷华州和南达科他州也以Kwik Star的名称运营。该公司拥有超过35,000名员工。自上周末以来,Kwik Trip员工告诉BleepingComputer并在网上报告称,许多IT系统出现中断,但公司消息人士拒绝提供任何明确的中断原因。Kwik Trip员工报告无法接收新订单、使用Kwik Reward 系统接受付款以及访问公司的支持系统。BleepingComputer 还获悉,此次“网络事件”影响了Kwik Trip公司办公室的电子邮件和电话系统。由于IT中断影响了公司的Kwik Rewards平台,导致客户无法使用节省下来的奖励来购买汽油或杂货,因此客户变得越来越沮丧。员工张贴的Kwik Trip通知照片上写道:“请尊重我们的同事,这种情况超出了我们的控制范围,并且是全公司范围内的情况。”该公司所经历的IT中断的时间线和类型表明可能是勒索软件攻击。
8、欧洲刑警组织黑客马拉松参与者发现了数十个与人口贩运相关的平台
打击网上人口贩运相关犯罪活动的国际活动在荷兰结束。有趣的是,这次行动采取了黑客马拉松的形式 ,来自 26个国家的85名执法人员参加了比赛。协调员是欧洲刑警组织。警察的竞争非常富有成效。参与者可以查看371个平台,包括社交网络、交友网站、论坛和在线商店。结果,该团队确定了大约30个犯罪分子最有可能找到受害者的资源。另外10个网站上还发现了宣传儿童性虐待的材料。专家们收集了数百个可疑账户、电话号码和其他线索的数据,调查人员正在检查这些数据。欧洲刑警组织专家表示,犯罪分子正在迅速适应新的现实,并根据数字空间调整他们的策略。在危机和政治紧张时期,这成为一个特别紧迫的问题。在线招募儿童构成了特殊的威胁。攻击者可能会冒充他们的同伴来获得信任。各国执法代表的调查结果表明,打击网络犯罪需要国际社会的共同努力。专家敦促用户保持警惕,不要相信互联网上的可疑报价。最好使用独立来源来检查公司或个人的可靠性。对于父母来说,监控孩子的在线活动并与他们就安全规则进行预防性对话非常重要。
9、印度e-District门户错误导致大规模数据泄露
一位独立数字安全研究人员报告了印度西孟加拉邦政府网站上的一个错误。由于该漏洞,任何人都可以访问当地居民的机密身份证件和许多其他个人信息。研究人员Saurajit Majumder发现了电子区门户网站的一个缺陷,该门户网站允许该州居民获取在线政府服务,例如出生、死亡和其他证明。Majumder说,由于这个错误,通过猜测这些文件的申请序列号,可以获得包含一块土地所有者记录的土地文件。通过访问申请识别号,任何拥有电子区帐户的人都可以获得产权文件的副本。通过这种方式获得的数据包含与该文件相关的人员姓名、照片,甚至还有完整的双手指纹。这些文件还包括政府身份证明文件,其中包括机密的AADHAAR号码,该号码是印度国家身份识别和生物识别数据库的一部分。需要这些号码才能访问银行服务、移动通信和许多政府服务。Majumder 向印度计算机紧急响应小组以及西孟加拉邦政府报告了该漏洞。鉴于其严重性,该错误已尽快修复。目前尚不清楚除了Majumder之外是否还有其他人发现了这个错误。西孟加拉邦政府和CERT-In的代表没有回应置评请求。e-District网站称,迄今为止,该服务已处理了超过1700万份申请,但尚不清楚其中有多少涉及产权文件。
10、法国北部小岛因恶意代码导致天然气供应中断
软件故障导致主系统故障后,法国北部海岸泽西小岛的天然气供应被切断五天。工程师仍然无法恢复家庭和企业的天然气供应。10月7日,该岛的天然气供应停止。第二天,天然气供应商岛屿能源公司表示,其向泽西岛供应天然气的拉科莱特工厂的系统自动关闭以保护网络,但备用系统也出现故障。该公司警告称,天然气供应可能需要两周时间才能恢复。值得注意的是,关闭工厂系统的原因是“恶意代码”。工厂官员表示,工厂首先停电,导致工厂停止运营。此外,备份系统也因该代码同时出现故障。泽西岛当局对当地媒体发表讲话,敦促当地居民关闭家中的煤气,并将他们的行为告知岛屿能源公司。尽管自动化安全系统已经到位,但供应商希望根据响应人员的数量来评估恢复供应的安全性。如果有足够多的人停止供应天然气,就有可能将自我恢复过程加快到几天。
11、随着以色列局势恶化TikTok在欧盟面临屏蔽威胁
欧盟工业委员蒂埃里·布雷顿(Thierry Breton)已给TikTok24小时的时间,提供自以色列冲突爆发以来该平台为打击虚假信息传播而采取的措施的详细信息。布雷顿致TikTok首席执行官Shaw Zee Chew的信最先由路透社披露 。本周早些时候,布雷顿向X公司所有者埃隆·马斯克和Meta Platforms的马克·扎克伯格发送了类似的信件。这封信的文字随后被发布在蓝天社交平台上。X表示,自以色列冲突爆发以来,该社交网络已删除了数百个与哈马斯相关的账户,并采取措施删除或标记了数以万计的材料。布雷顿在给TikTok的信中声称,他有证据表明该平台被用来在欧盟传播与以色列局势有关的非法内容和虚假信息。欧盟行业专员强调,《数字服务法》(DSA) 中明确规定了内容审核规则,并在信中概述了某些义务。2021年推出的DSA的主要目的是为欧盟监管机构提供监控大型互联网平台的能力,并引入更严格的机制来删除“假新闻”和“攻击性内容”。同时,科技巨头将对非法内容的检测和所使用的删除算法负责,并且还必须遵守一定的透明度要求。
12、军用机器人可以通过新算法防御网络攻击
澳大利亚研究人员开发了一种算法,可以立即检测并阻止中间人黑客对无人军事机器人的攻击。实验选择GVT-BOT地面模型。查尔斯特大学和南澳大利亚大学的专家利用深度学习方法来模仿人脑的功能。该计划在打击恶意活动方面已证明有99%的有效性。同时,检测到的误报率不到2%。自主系统专家安东尼·芬恩教授表示,他们检测网络攻击的方法优于世界上已知的其他技术。他重点阐述了机器人操作系统(ROS)及其复杂网络结构的缺点:“在工业4.0时代,随着机器人技术和物联网的普及,机器人之间的交互日益增多。他们通过云服务交换数据,这增加了他们的脆弱性。”GVT-BOT也不例外。由于其网络集成度高,它始终是一个潜在的目标,因为主动的流量处理使得检测异常变得困难。同时,芬恩强调:计算技术的发展也不会停滞不前,并允许创建更先进的安全机制。这位科学家表示,新算法非常准确,能够处理大量数据,这使其成为保护ROS等复杂系统的理想选择。未来,研究人员计划在其他机器人设备(例如无人机)上测试他们的开发——与地面机器人相比,它们的动力学要复杂得多。
13、针对女性政治领袖的新PEAPOD网络攻击活动
致力于性别平等倡议的欧盟军事人员和政治领导人已成为一项新运动的目标,该运动提供了名为PEAPOD的RomCom RAT更新版本。网络安全公司趋势科技将这些攻击归因于其追踪的名为Void Rabisu的威胁行为者,该威胁也称为 Storm-0978、Tropical Scorpius和UNC2596,也被认为与古巴勒索软件有关。这个敌对团体是一个不同寻常的团体,因为它既进行经济动机攻击,又进行间谍攻击,模糊了其运作模式之间的界限。它还与RomCom RAT的使用专门相关。涉及使用后门的攻击专门针对乌克兰和过去一年支持乌克兰对抗俄罗斯的国家。今年7月初,微软通过使用特制的与乌克兰世界大会相关的Microsoft Office文档诱饵,暗示Void Rabisu涉嫌利用CVE-2023-36884( Office和Windows HTML中的远程代码执行缺陷)。该恶意软件通常通过针对性很强的鱼叉式网络钓鱼电子邮件以及Google和Bing等搜索引擎上的虚假广告进行分发,以诱骗用户访问托管合法应用程序木马版本的诱饵网站。
14、安全专家警告欧盟的漏洞披露规则存在风险
欧盟(EU)可能很快就会要求软件发行商在利用漏洞后24小时内向政府机构披露未修补的漏洞。许多IT安全专业人士希望重新考虑欧盟网络弹性法案(CRA) 第11条中规定的这项新规则。该规则要求供应商在得知漏洞后的一天内披露其已获悉该漏洞正在被积极利用,无论补丁状态如何。一些安全专业人士看到了政府出于情报或监视目的滥用漏洞披露要求的可能性。在一封由50名业界和学术界知名网络安全专业人士(其中包括Arm、Googl和Trend Micro的代表)签署的公开信中,签署者认为24小时窗口时间不够,而且还会为攻击者打开大门。信中指出:“虽然我们赞赏CRA旨在加强欧洲及其他地区网络安全的目标,但我们认为,当前有关漏洞披露的规定会适得其反,并将产生新的威胁,破坏数字产品及其使用个人的安全。”Symmetry Systems安全和GRC高级总监Gopi Ramamoorthy表示,对于修补漏洞的紧迫性,人们没有异议。人们的担忧集中在更新可用之前公布漏洞,因为这会使组织面临遭受攻击的风险,并且无法采取任何措施来阻止攻击。Ramamoorthy表示:“在修补之前发布漏洞信息引发了人们的担忧,即这可能会导致未修补的系统或设备进一步被利用,并使私营公司和公民面临进一步的风险。”
THE END
往期推荐
1.
2.
3.
4.
5.
冷观网域风云激荡
智察数字安全博弈
THINKLIKEAHACKER
ACTLIKEANENGINEER
CyberIntelligenceInsight
DigitalSecurityEnhencement