工业网络安全“情报解码”-2022年第22期
时间:2022-06-04 作者:安帝科技
本期摘要
政策法规方面,英国政府就提高数据中心、云平台安全性征求意见,希望加强英国数据基础设施的安全性和弹性。
漏洞态势方面,Korenix JetPort工业串行设备服务器存在一个后门账户(CVE-2020-12501),供应商表示不会删除该账户。微软确认Windows存在Follina零日漏洞,可导致任意代码执行。研究人员公开了影响VMware的超危漏洞PoC,并表示利用此漏洞并不困难。Horde Webmail存在远程代码执行漏洞,仅需受害者打开恶意电子邮件即可接管服务器。Android设备系统应用程序框架存在4个高危漏洞,其应用下载量高达百万。
安全事件方面,Forescout发布一项名为R4IoT(物联网勒索软件)的新研究,它利用物联网设备获取访问权限并在IT网络中横向移动并影响OT网络。超360万台MySQL服务器被发现暴露在互联网上,大多数位于美国。墨西哥富士康工厂遭勒索软件攻击,尚不清楚是否对OT系统产生影响。土耳其飞马航空公司6.5TB数据泄露,包括机组人员个人信息、源代码和航班数据。
融资并购方面,天地和兴完成D轮近7亿融资,着力建构工业网络安全服务体系。博通以约610亿美元现金和股票收购VMware,将为企业客户提供关键基础设施解决方案的扩展平台。
1. 英国政府就提高数据中心、云平台安全性征求意见
英国政府正在就保护数据存储和处理基础设施以及通过互联网提供远程、可共享计算的云服务的工具和策略征求意见。还将帮助支持使用云平台作为访问基本 IT服务的更便宜、更有效的方式的小型企业,保护该基础设施免受破坏。这项工作是政府国家数据战略和国家网络战略的一部分,旨在确保数据所依赖的基础设施的安全性和弹性。
资料来源:https://www.csoonline.com/article/3662155/uk-government-seeks-views-on-boosting-security-of-data-centres-cloud-platforms.html
2.Korenix JetPort拒绝删除工业串行设备服务器中的后门账户
Korenix JetPort工业串行设备服务器有一个后门账户(CVE-2020-12501),攻击者可能会在针对工业组织的攻击中滥用该账户,但供应商表示该账户是客户支持所必需的,该账户不会被删除。有问题的账户可以被网络上的攻击者利用来访问设备的操作系统并获得完全控制权。攻击者可以重新配置设备并可能访问连接到服务器的其他系统。Korenix JetPort 5601V3产品中发现了该漏洞,Westermo和Comtrol品牌的工业设备也可能受到影响。
资料来源:https://www.securityweek.com/vendor-refuses-remove-backdoor-account-can-facilitate-attacks-industrial-firms
3.微软确认Office存在Follina零日漏洞
研究人员发现一个零日漏洞Follina,被追踪为CVE-2022-30190,微软已确认Windows受到此漏洞的影响,可导致任意代码执行。Follina最初被描述为Microsoft Office零日漏洞,但Microsoft表示它实际上会影响Microsoft支持诊断工具。当使用URL协议从Word等调用应用程序调用MSDT时,存在远程代码执行漏洞。该漏洞不依赖于宏,即使禁用了宏,恶意代码也会被执行。
资料来源:https://www.securityweek.com/microsoft-confirms-exploitation-follina-zero-day-vulnerability
4.VMware超危漏洞PoC被公开
Horizon3.ai发布了针对CVE-2022-22972的深入研究,并公开了一个PoC漏洞利用。该漏洞CVSS评分9.8,影响VMware Workspace ONE Access、Identity Manager和vRealize Automation。它允许对UI具有网络访问权限的恶意行为者绕过身份验证。Horizon3.ai将其描述为“相对简单的主机标头操纵漏洞”,并表示有动机的攻击者开发漏洞利用并不困难。VMware已修复该漏洞并敦促客户立即安装补丁。
资料来源:https://securityaffairs.co/wordpress/131698/hacking/poc-exploit-code-vmware-cve-2022-22972.html
5.Horde Webmail存在远程代码执行漏洞
Sonar Source的研究人员在开源Horde Webmail客户端中发现了一个远程代码执行漏洞CVE-2022-30287。Horde Webmail允许用户管理联系人,Horde实例中经过身份验证的用户可以通过CSRF触发单个GET请求来利用该漏洞。攻击者可以制作恶意电子邮件并包含外部图像,呈现图像时漏洞即被利用,而无需受害者进一步交互,唯一的要求是让受害者打开恶意电子邮件。
资料来源:https://thehackernews.com/2022/06/new-unpatched-horde-webmail-bug-lets.html
6.Android设备系统应用程序框架存在4个高危漏洞
微软在具有数百万下载量的预装Android系统应用程序使用的框架中发现了四个高危漏洞,微软没有透露使用该框架应用程序的完整列表。该框架框架具有广泛的访问权限,包括音频、摄像头、电源、位置、传感器数据和存储,以执行其功能。再加上服务中发现的问题,微软表示它可能允许攻击者植入持久后门并接管控制权。
资料来源:https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html
7.Forescout发布IoT/OT勒索软件PoC研究
Forescout的Vedere实验室发布了一项名为R4IoT(物联网勒索软件)的新研究,这是一项概念验证(PoC)研究。R4IoT利用物联网设备进行初始访问,以IT设备为目标部署勒索软件和加密软件,并利用不良的OT安全实践对业务运营造成物理中断。通过破坏物联网、IT和OT资产,R4IoT超越了通常的加密和数据泄露,导致业务运营的物理中断。
资料来源:https://www.businessleader.co.uk/forescouts-vedere-labs-launches-new-proof-of-concept-study-on-ransomware/
8.超360万台MySQL服务器被发现暴露在互联网上
Shadowserver基金会研究人员通过在3306/TCP端口上发出MySQL连接请求来执行扫描,确定了大约540万个IPv4和IPv6实例,发现IPv4地址中超230万台服务器和、IPv6地址中超130万台服务器会响应请求。大多数可访问的IPv4 MySQL服务器位于美国(740.1K)、中国(296.3K)、波兰(207.8K)和德国(174.9K)。大多数可访问的IPv6 MySQL服务器位于美国(460.8K)、荷兰(296.3K)、新加坡(218.2K)和德国(173.7K)。
资料来源:https://www.bleepingcomputer.com/news/security/over-36-million-mysql-servers-found-exposed-on-the-internet/
9.墨西哥富士康工厂遭勒索软件攻击
一个威胁组织声称通过使用LockBit2.0勒索软件,已经破坏了墨西哥富士康一家重要工厂的系统,并表示如果该公司不支付赎金,就要在6月11日发布被盗信息。该工厂专门从事医疗设备、消费电子产品和工业运营,目前尚不清楚勒索软件攻击是否对运营技术(OT)系统产生任何影响。
资料来源:https://www.securityweek.com/ransomware-group-claims-have-breached-foxconn-factory
10.土耳其飞马航空公司6.5TB数据泄露
研究人员在土耳其飞马航空公司错误配置的AWS存储桶中发现了近2300万个文件,总计约6.5TB的泄露数据。包括超过300万个包含敏感飞行数据的文件。超过160万份文件包含有关航空公司机组人员的个人身份信息。Pegasus的EFB软件的源代码也被发现,包括纯文本密码和密钥。目前没有迹象表明攻击者在研究小组之前发现了这些数据,公司已进行了相关修复。
资料来源:https://www.infosecurity-magazine.com/news/turkish-airline-exposes-flight/?&web_view=true
11.工业互联网厂商天地和兴完成D轮近7亿元融资
天地和兴CEO表示,天地和兴已发展成为“更懂工业”、具有鲜明“工业属性”的工业网络安全企业,目前完成的安全项目已超过1000个,覆盖工业控制系统安全、工业互联网安全、工业物联网安全、车联网安全、工业云平台安全、工业网络系统安全集成、工业网络安全教育实训和工业网络安全服务领域。今日成功完成D轮近7亿元融资。
资料来源:http://www.tdhxkj.com/news/895.html
12.博通以约610亿美元现金和股票收购VMware
博通将以约610亿美元现金和股票收购VMware,在交易完成后,博通现有的基础设施和安全软件解决方案将作为VMware业务的一部分。合并后的公司将为企业客户提供关键基础设施解决方案的扩展平台,以加速创新并满足最复杂的信息技术基础设施需求。合并后的解决方案将使客户(包括所有垂直行业的领导者)拥有更大的选择和灵活性,以在多样化的分布式环境中大规模构建、运行、管理、连接和保护应用程序。
资料来源:https://www.broadcom.com/company/news/financial-releases/60271