工业网络安全“情报解码”-2021年第7期
时间:2021-08-13 作者:安帝科技
摘要
本周,西门子修复其产品的32个漏洞;施耐德电气修复其产品的25个漏洞;SAP修复其产品的9个关键高危漏洞;Adobe修复Magento、Connect中的严重漏洞;Cisco ASDM中的零日RCE漏洞尚未修复;英特尔修复15个产品中的严重漏洞;Windows Print Spooler存在RCE零日漏洞;趋势科技修复其产品的零日漏洞;Microsoft Exchange服务器存在严重漏洞;埃森哲受到LockBit2.0勒索软件攻击;美国乔普林市在勒索软件攻击后支付了32万赎金;黑客抢劫了创纪录的价值6亿美元的加密货币;Lynx Software和CODESYS为工业运营商提供IT与OT之间的桥梁;OT安全公司SIGA获得810万美元B轮融资;威胁检测提供商Reversing Labs融资5600万美元。
1、西门子修复其产品的32个漏洞
西门子于8月12号发布了10个新安全报告,它们总共涵盖了32个漏洞。
其中最重要的是影响SGT公司工业燃气轮机的被称为“NAME:WRECK”的DNS相关漏洞。西门子的另一份公告描述了其SIMATIC CP 1543-1和CP 1545-1设备的ProFTPD组件中的几个高危漏洞。利用这些漏洞可以让攻击者远程获取敏感信息或执行任意代码。影响德国工业巨头SIMATIC S7-1200 PLC的身份验证缺失漏洞也属于高严重性。攻击者可以利用该漏洞绕过身份验证并将任意程序下载到PLC。
一份描述JT2Go和Teamcenter Visualization漏洞的公告涵盖了七个可用于DoS攻击、信息泄露或远程代码执行的漏洞。另一个涵盖十几个CVE的公告描述了英特尔产品中的漏洞对西门子工业系统的影响。西门子已经发布了几个受影响产品的更新,并正在为其余产品开发BIOS补丁。在其SolidEdge产品中,西门子修补了两个高危代码执行漏洞,可通过让用户打开特制文件来利用这些漏洞。
该公司解决的最后一个严重错误是影响SINECNMS(网络管理系统)的操作系统命令注入问题。但是,利用该漏洞需要管理权限。
资料来源:https://www.securityweek.com/august-2021-ics-patch-tuesday-siemens-schneider-address-over-50-flaws
2、施耐德电气修复其产品的25个漏洞
施耐德电气8月12号发布了八个新的公告,涵盖了总共25个漏洞。其中两份公告描述了Windows漏洞对其NTZ Mekhanotronika Rus控制面板的影响,第一个是针对HTTP协议栈远程代码执行漏洞,微软在5月份修补了该漏洞,第二个是针对与Windows Print Spooler服务相关的两个问题,包括臭名昭著的PrintNightmare漏洞。另一个公告描述了使用CODESYS工业自动化软件引入的三个高严重性漏洞,这些漏洞影响了施耐德和其他几家主要供应商的工业控制系统(ICS)。一个在AccuSine电源稳定产品中可能导致DoS或未经授权访问的Harmony HMI漏洞、Pro-faceGP-Pro EX HMI屏幕编辑器和逻辑编程软件中的权限提升问题以及一个信息泄露漏洞也被赋予了高严重等级。
施耐德还针对影响AT&T实验室的压缩器(XMilI)和解压缩器(XDemill)实用程序的十二个漏洞发布了公告,这些实用程序用于该公司的一些EcoStruxure和SCADAPack产品。AT&T实验室不再支持受影响的软件,因此供应商不会发布补丁,但施耐德确实计划在未来解决自己产品中的问题。
Cisco Talos的研究人员发现了这些漏洞,并披露了技术细节。
资料来源:https://www.securityweek.com/august-2021-ics-patch-tuesday-siemens-schneider-address-over-50-flaws
3、SAP修复其产品的9个关键高危漏洞
德国企业软件巨头SAP发布了19个更新安全说明,其中包括9个被评为严重或高严重性的新漏洞。
第一个关键漏洞是CVE-2021-33698,这是一个影响SAP BusinessOne的无限制文件上传漏洞。据专门保护关键业务应用程序的公司Onapsis称,攻击者可以利用该漏洞上传脚本文件,这表明它可以被用于执行任意代码。
第二个严重的安全漏洞CVE-2021-33690,被描述为影响NetWeaver开发基础设施的服务器端请求伪造(SSRF)漏洞。攻击者可以通过发送特制的查询来利用该漏洞进行代理攻击,如果目标实例暴露在互联网上,黑客可以完全破坏驻留在服务器上的敏感数据,并影响其可用性。
第三个严重漏洞CVE-2021-33701是S/4HANA和DMIS移动插件使用的SAPNZDT(近零停机技术)服务中的SQL注入。
其他被评为高严重性的漏洞包括影响通过Web Dispatcher访问的所有SAP系统的身份验证问题、Android Fiori Client移动应用程序中的任务劫持问题以及SAP BusinessOne中缺少的身份验证漏洞。
资料来源:https://www.securityweek.com/nine-critical-and-high-severity-vulnerabilities-patched-sap-products
4、Adobe修复Magento、Connect中的严重漏洞
软件制造商Adobe已经针对其Adobe Magento和Connect产品线中的漏洞发布了安全补丁,警告说这些漏洞可能导致远程代码执行攻击。作为其预定的10号补丁发布的一部分,Adobe发布了针对29个记录在案的安全漏洞的修复程序,其中一些严重到使用户面临代码执行、安全功能绕过和权限提升攻击。
根据加州圣何塞软件供应商的建议,Adobe Magento补丁列出了26个CVE,其严重性等级从严重到重要不等。Adobe表示,这些漏洞的补丁现在可用于Magento Commerce和Magento开源版本。Adobe Magento是一个开源电子商务平台。
该公司还为其Adobe Connect平台发布了一个“重要”更新,以解决安全功能绕过缺陷和一对可能导致任意代码执行的跨站点脚本问题。Adobe Connect是一套用于远程培训、网络会议、演示和桌面共享的软件。
资料来源:https://www.securityweek.com/adobe-warns-critical-flaws-magento-connect
5、Cisco ASDM中的零日RCE漏洞尚未修复
思科提供了自适应安全设备管理器(ASDM)启动器中远程代码执行(RCE)漏洞(CVE-2021-1585)的更新,这家IT巨头证实该漏洞尚未得到解决。思科自适应安全设备管理器提供了一个基于Web的本地界面,允许客户管理思科自适应安全设备(ASA)防火墙和思科Any Connect安全移动客户端。该漏洞影响Cisco Adaptive Security Device Manager 9.16.1及更早版本。
此漏洞是由于对ASDM和Launcher之间交换的特定代码缺乏适当的签名验证。攻击者可以通过利用网络上的中间人位置来拦截Launcher和ASDM之间的流量,然后注入任意代码来利用此漏洞成功的利用可能允许攻击者使用分配给ASDM Launcher的权限级别在用户的操作系统上执行任意代码。成功的利用可能需要攻击者执行社会工程攻击,以说服用户发起从Launcher到ASDM的通信。
思科确认它计划解决此漏洞。好消息是,思科产品安全事件响应小组(PSIRT)没有检测到针对此漏洞的概念验证漏洞的公开可用性或在野外利用它的攻击。
资料来源:https://securityaffairs.co/wordpress/120923/breaking-news/zero-day-rce-cisco-asdm.html
6、英特尔修复15个产品中的严重漏洞
英特尔周二发布了六项有关固件和软件的安全更新,这些更新解决了多个产品中的15个漏洞。其中CVE-2021-0196是一个影响某些Intel NUC9 Extreme笔记本电脑套件的漏洞,经过身份验证的攻击者可以利用该漏洞来提升权限。该漏洞是由内核模式驱动程序中不正确的访问控制问题引起的。影响英特尔以太网控制器X722和800系列Linux驱动程序的漏洞有三个,其中最严重的漏洞CVE-2021-0084可以被经过身份验证的攻击者利用来提升权限。
另外两个漏洞可能导致信息泄露和拒绝服务(DoS),严重性等级为中和低,因为它们都需要本地访问才能被利用。
其余公告涵盖中等严重性问题,包括NUC Pro Chassis Element Aver Media Capture Card驱动程序中的权限提升错误、Optane Persistent Memory(PMem)中的DoS漏洞、图形驱动程序中的DoS和权限提升漏洞,以及800中的多个DoS漏洞系列网络适配器和控制器。
美国网络安全和基础设施安全局(CISA)周二建议用户和管理员查看英特尔的补丁,并在必要时采取行动。
资料来源:https://www.securityweek.com/intel-patches-high-severity-flaws-nuc-9-extreme-laptops-ethernet-linux-drivers
7、Windows Print Spooler存在RCE 零日漏洞
微软发布了一个安全公告,警告其客户存在另一个远程代码执行零漏洞,跟踪为CVE-2021-36958,CVSS评分7.3,该漏洞由埃森哲安全公司的Victor Mata于12月发现,它驻留在Windows Print Spooler组件中。本地攻击者可以利用该漏洞获取易受攻击系统的SYSTEM权限。
当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。Microsoft发布的安全公告称“此漏洞的解决方法是停止并禁用PrintSpooler服务。”
资料来源:https://securityaffairs.co/wordpress/121068/hacking/windows-print-spooler-rce-zero-day.html
8、趋势科技修复其产品的零日漏洞
7月28日,趋势科技针对Apex One和Apex One as a Service产品中的多个漏洞发布了安全补丁。包括CVE-2021-3246:不正确的权限分配漏洞;CVE-2021-32465:不正确的权限保留身份验证绕过漏洞;CVE-2021-36741:任意文件上传漏洞;CVE-2021-36742:本地提权漏洞。该安全公司还报告说,攻击者已经在野外攻击中利用了至少两个漏洞。
趋势科技报告称“趋势科技在极少数情况下观察到针对其中两个漏洞(链式)野外(ITW)的积极利用尝试,我们已经与这些客户取得了联系。强烈建议所有客户尽快更新到最新版本。”该公司没有分享有关利用上述漏洞的野外攻击的信息。
这不是趋势科技第一次警告客户其产品中的一个漏洞已被实时恶意软件攻击所利用。今年4月,该公司更新了2020年8月发布的公告,通知用户威胁行为者试图利用影响其ApexOne和防毒墙网络版XG产品的漏洞。该漏洞被跟踪为CVE-2020-24557,是一个特权升级漏洞,其利用需要对目标系统的低特权访问。
趋势科技还在2020年3月发出警告,当时它得知影响Apex One和防毒墙网络版的两个漏洞已被广泛利用。
资料来源:https://securityaffairs.co/wordpress/121082/security/trend-micro-zero-day-attacks.html
9、微软exchange服务器成为攻击者重点目标
安全咨询公司DEVCORE的首席研究员Orange Tsai发现Microsoft Exchange服务器存在三个漏洞CVE-2021-34473、CVE-2021-34523和CVE-2021-31207,它们被统称为ProxyShell,未经身份验证的攻击者可以利用这些漏洞进行远程代码执行攻击。现在黑客正在互联网上积极地扫描受这些漏洞影响的易受攻击的Microsoft Exchange服务器。微软将它们描述为中等严重性的安全功能绕过、严重的权限提升和严重的远程代码执行问题。只有一个漏洞CVE-2021-34473被微软评为“更有可能被利用”。
DEVCORE团队在2021年Pwn2Own黑客大赛中使用ProxyShell漏洞来控制Exchange服务器,这为他们赢得了200000美元的漏洞赏金。但是,漏洞利用的详细信息当时已私下报告给供应商,并未公开。
Orange Tsai在上周的BlackHat和DEFCON网络安全会议上介绍了ProxyShell和其他Exchange漏洞的技术细节。演讲结束后,其他研究人员发表了一篇详细介绍漏洞的博客文章。
不久之后,研究人员Kevin Beaumont报告说,他的一个蜜罐记录了涉及ProxyShell漏洞的攻击尝试。“我的Exchange蜜罐有人丢弃文件并执行命令,”他周六在Twitter上说。Beaumont和其他人已经针对这些利用尝试发布了妥协指标(IOC)。欧洲的国家网络安全机构开始针对这些报告发布警报。
虽然补丁已发布数月,但似乎仍有许多Microsoft Exchange服务器容易受到ProxyShell攻击,因此如果多个威胁参与者开始利用其操作中的漏洞,也就不足为奇了。
资料来源:https://www.securityweek.com/internet-scanned-microsoft-exchange-servers-vulnerable-proxyshell-attacks
10、埃森哲受到LockBit2.0勒索软件攻击
LockBit勒索软件即服务(RaaS)团伙公布了据称是其最新受害者之一的名称:埃森哲,全球最大的商业咨询公司。埃森哲的客户包括财富全球100强中的91家企业和财富全球500强中四分之三以上的客户。根据其2020年年报,其中包括电子商务巨头阿里巴巴、思科和谷歌。埃森哲市值443亿美元,是世界上最大的科技咨询公司之一,它在50个国家/地区拥有约569000名员工。
LockBit团伙声称它获得了公司网络的访问权限,并准备在格林威治标准时间17:30:00泄露从埃森哲服务器窃取的文件。现在LockBit团伙泄密网站的倒计时已归零,LockBit团伙泄露了埃森哲的文件,经过粗略审查,这些文件似乎包括埃森哲产品的小册子、员工培训课程和各种营销材料。泄露的文件中似乎没有包含任何敏感信息。
一家名为Hudson Rock的网络犯罪情报公司在Twitter上报告称,约有2500台员工和合作伙伴的计算机在这次攻击中遭到破坏,而另一家研究公司Cyble则声称,已收到约6TB被盗数据的5000万美元赎金要求。
“通过我们的安全控制和协议,我们发现了我们环境中的不规则活动。我们立即控制了此事并隔离了受影响的服务器。我们从备份中完全恢复了受影响的系统,”该公司表示。“这对埃森哲的运营或我们客户的系统没有影响。
资料来源:https://www.zdnet.com/article/accenture-says-lockbit-ransomware-attack-caused-no-impact-on-operations-or-clients/
11、美国乔普林市在勒索软件攻击后支付了32万赎金
上个月,美国乔普林市遭到勒索软件攻击,迫使IT人员关闭该市政府的计算机系统,以防止威胁蔓延。乔普林市经理尼克爱德华兹本周证实,虽然对安全漏洞的调查仍在进行中,但纽约市的保险公司选择支付32万美元的赎金,以避免被盗信息泄露。
美联社报道称“运行该市在线服务的计算机服务器和程序于7月7日关闭。乔普林基于互联网的电话系统在两天后恢复。”爱德华兹说:“受雇来恢复该市信息技术系统的网络安全公司已经恢复了正常运营所需的几乎所有系统,包括该市的COVID-19仪表板、在线公用事业支付和法院职能。”
在撰写本文时,专家正在努力发现威胁行为者如何破坏城市网络并感染内部系统。乔普林市的代表不会透露有关这次袭击的任何进一步细节,以防止未来发生袭击。
资料来源:https://securityaffairs.co/wordpress/120956/cyber-crime/city-of-joplin-ransomware.html
12、创纪录的价值6亿美元的加密货币抢劫案
一家专门从事加密货币转移的公司Poly Network周二表示,黑客破解了加密货币的安全系统,盗走了可能价值6亿美元的创纪录的赃物。该公司在一系列推文中表示,“我们很遗憾地宣布Poly Network遭到攻击,资产转移到黑客控制的账户中。”Poly Network发布了黑客使用的在线地址,并呼吁“受影响的区块链和加密货币交易所的矿工将来自他们的代币列入黑名单”。
根据Cipher Trace的一项分析,截至4月底,今年迄今为止,加密货币盗窃、黑客攻击和欺诈的总金额为4.32亿美元。“虽然这个数字与前几年相比似乎很小,但更深入的观察揭示了一个令人震惊的新趋势——与DeFi相关的黑客现在占黑客和盗窃总数量的60%以上,”Cipher Trace在一篇帖子中说报告。据Cipher Trace称,相比之下,2019年几乎不存在defi黑客攻击。
资料来源:https://www.securityweek.com/record-cryptocurrency-heist-valued-600-million
13、Lynx Software和CODESYS为工业运营商提供IT与OT之间的桥梁
Lynx Software宣布与CODESYS Group建立合作伙伴关系。该合作旨在提供一个可以在通用计算平台上部署工业控制自动化技术以及人工智能(AI)/机器学习(ML)、安全和其他应用程序工作负载的平台。
Lynx的关键任务边缘平台LYNXMOSA.ic工业产品提供控制自动化和其他工作负载之间的虚拟气隙。这种组合使需要在同一硬件平台上托管混合关键性工作负载的边缘用例成为可能。LYNXMOSA.ic工业产品的基础构建块是Lynx Secure分离内核,它提供应用程序的强隔离、确定性的实时性能和操作系统之外的关键系统资产管理,以提高对网络安全攻击的免疫力。
此外,Lynx还开发了管理技术,允许大规模部署关键任务边缘系统,并满足支持OT和IT融合的系统的独特要求。在当前的大多数部署中,信息技术(IT)和运营技术(OT)域被非军事区隔开,来自Lynx和CODESYS的平台将启用软件可编程逻辑控制器(PLC)、ML/AI模型、人机界面(HMI)和物联网网关工作负载都在同一边缘系统上运行,而不会影响实时性能。
CODESYS集团的联合首席执行官和联合创始人DieterHess称“我们与Lynx的合作在IT和OT世界之间架起了一座桥梁,因此工业运营商现在可以体验在同一系统上共存的两种功能,同时满足其关键任务工业环境中每个边缘工作负载的安全性和性能需求”。
资料来源:https://www.helpnetsecurity.com/2021/08/13/lynx-software-codesys/
14、OT安全公司SIGA获得810万美元B轮融资
SIGA OT Solutions是一家总部位于以色列的公司,专门从事运营技术(OT)网络安全解决方案,9号该公司宣布其在B轮融资中筹集了810万美元。这次投资由荷兰投资公司PureTerra Ventures领投,以色列风险基金SIBF、Moore Capital和德国工业解决方案提供商Phoenix Contact跟投。该公司筹集的总资金已达到1500万美元。
SIGA表示,它计划利用这笔资金加速在北美、欧洲、远东和阿拉伯联合酋长国的销售和战略合作。SIGA开发了一种SaaS解决方案,旨在通过监控0级电信号来检测可能表明工业流程和关键基础设施中的网络攻击或操作故障的异常情况。
“级别0是任何操作环境中最丰富、最可靠的过程数据级别,”SIGA解释说。“这一级别包括来自安装在电气、天然气和供水设施、工业厂房和军事设施的设备和机械上的传感器的电信号。这些数据不能被网络攻击操纵,类似于近年来发生的数十起严重攻击中的操纵。”
SIGA声称其解决方案已被世界各地的组织使用,包括纽约电力管理局、以色列电力公司、新加坡水务公司、以色列水利基础设施运营商以及化工、政府机构和国防部门。
资料来源:https://www.securityweek.com/ot-security-firm-siga-raises-81-million-series-b-funding-round
15、威胁检测提供商Reversing Labs融资5600万美元
威胁检测初创公司Reversing Labs在B轮融资中筹集了5600万美元。该公司成立于2009年,与金融服务、国防、软件、零售和保险等领域的大型企业合作。迄今为止,该公司已获得8100万美元融资。新一轮融资由私募股权公司Crosspoint Capital Partners领投。现有投资者Forge Point Capital也参与其中。Reversing Labs计划使用新资金来扩大其销售和营销工作。
Reversing Labs提供的产品通过检查二进制完整性以及组件和构建过程来识别篡改尝试或恶意代码注入,从而帮助组织减轻软件供应链网络攻击。最近针对企业和关键基础设施(例如Codecov、Kaseya和SolarWinds)的备受瞩目的软件供应链事件凸显了改进软件完整性管理的必要性,Reversing Labs寻求专门解决此类挑战。
资料来源:https://www.securityweek.com/threat-detection-provider-reversinglabs-raises-56-million