工业网络安全“情报解码”-2021年第1期
时间:2021-04-21 作者:安帝科技
摘要
本周(6.28-7.4),菲尼克斯电气、思科、西部数据、Adobe等知名IT厂商的产品都被曝出存在安全漏洞,其中不乏高危漏洞,菲尼克斯电气的工业控制器ILC1x1以及FL COMSERVER UNI产品均受到高严重性 DoS 漏洞的影响,此外,安全厂商Claroty的工业远程访问产品也存在漏洞;各种恶意攻击也层出不穷,卡巴斯基和微软以及其他的研究团队都追踪到了正在传播的恶意软件,其中BazarCall、Cerberus恶意软件是第一次被发现,其他则是已发现恶意软件IcedID、REvil、Ursnif的变种,值得一提的是,Ursnif和Cerberus的新旧组合给互联网安全带来了新的挑战;此外,像是VPN、防火墙设备以及集装箱基础设施,都已经被针对,引来巨大的攻击浪潮,还有新开发的项目Malvuln,其作用和意义都有待商榷。
1、Claroty工业远程访问产品存在漏洞
Claroty SRA 是一种远程安全访问解决方案,专为 OT 环境构建,包括运营、管理和安全需求。Alpha Strike 研究人员发现,攻击者可以绕过 SRA 软件中央配置文件的访问控制来访问目标系统。攻击者利用此漏洞成功获取具有本地命令行界面访问权限的密钥,随后为Web用户界面 (UI) 生成有效的会话令牌。通过访问WebUI,攻击者可以访问由SRA安装管理的资产,并进行破坏。
利用此漏洞的难度取决于安装 SRA 的主机的配置。SRA 主机的任何非特权本地用户都可以访问敏感信息。成功利用此漏洞的攻击者可能成为 SRA 的管理员,随后会破坏由 SRA 管理的资产。实际上,这意味着攻击者可以创建有效的会话,从而有效地非法访问通过 SRA 保护的任何工业组件或网络,无论是生产环境还是关键基础设施站点。
该漏洞被跟踪为CVE-2021-32958 并被评为中等严重性(CVSS 评分为 5.5),于 1 月下旬报告给 Claroty,供应商在4月发布了3.2.1 版补丁。
资料来源:https://www.securityweek.com/vulnerability-found-industrial-remote-access-product-claroty?&web_view=true
2、NETGEAR 路由器固件存在严重漏洞
微软安全研究人员在研究设备指纹识别时发现了 Netgear DGN-2200v1 系列路由器中的漏洞。他们注意到一个非常奇怪的行为:非IT人员拥有的设备试图访问 Netgear DGN-2200v1 路由器的管理端口,该通信被机器学习模型标记为异常,但通信本身经过 TLS 加密并且是私密的以保护客户隐私,因此研究人员决定将重点放在路由器上,并调查路由器是否具有在攻击中可被利用的安全漏洞。
研究人员解压路由器固件,发现了三个可以被有效利用的漏洞,被 Netgear 跟踪为 PSV-2020-0363、PSV-2020-0364 和 PSV-2020-0365(未发布 CVE),其 CVSS 评级范围从高 (7.4) 到严重 ( 9.4)。他们向 Netgear 报告了此发现,Netgear 已在其路由器系列之一中修补了三个漏洞,如果这些漏洞被利用,攻击者可能会绕过身份验证以破坏公司网络并窃取数据和凭据。研究人员写道,充分利用这些漏洞“可能危及网络安全——为攻击者在整个组织中不受限制地漫游打开大门”。
链接来源:https://threatpost.com/netgear-authentication-bypass-router-takeover/167469/
3、菲尼克斯电气多款工业产品存在高危漏洞
根据菲尼克斯电气和德国 CERT@VDE(该机构负责协调与工业自动化相关的网络安全问题)发布的公告,该公司的多个产品共发现 10 个漏洞。
据供应商透露,FL SWITCH SMCS 系列交换机受到三个安全漏洞的影响,可利用这些漏洞进行 DoS 和跨站脚本 (XSS) 攻击。可以利用 XSS 漏洞将恶意代码注入到设备基于 Web 的管理界面中。用于将串行接口集成到现有以太网中的 FL COMSERVER UNI产品受到高严重性 DoS 漏洞的影响。另一个公告描述了AXL F BK和 IL BK总线耦合器中的漏洞,该漏洞与存在用于 FTP 访问的硬编码密码有关,它可以让攻击者读取设备的加密监控信息。工业控制器ILC1x1受到高严重性 DoS 漏洞的影响,该漏洞可以使用特制的 IP 数据包触发。
“Phoenix Contact Classic Line工业控制器是专为在封闭工业网络中使用而开发和设计的。通信协议和设备访问不具有身份验证措施。远程攻击者可以使用特制的 IP 数据包在 PLC网络通信模块上完成DoS攻击,”供应商如是说。
已发布的最终公告描述了 Automation Worx 软件套件中的远程代码执行漏洞。该安全漏洞已被归类为高严重性,但利用需要访问和操作配置文件,并在受害系统上对其进行解析。
资料来源:https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products?&web_view=true
4、思科ASA设备漏洞在PoC流出后正被黑客活跃利用
2020 年 10 月,思科首次披露了Cisco ASA设备的一个 XSS 漏洞,并发布了修复程序。 然而,针对 CVE-2020-3580 的初始补丁不完整,并于 2021 年 4 月发布了进一步的修复程序。
此漏洞可允许未经身份验证的威胁行为者向 Cisco ASA 设备的用户发送有针对性的网络钓鱼电子邮件或恶意链接,以在用户浏览器中执行任意脚本代码,访问浏览器中敏感信息。
2021年6月25日,Positive Technologies的研究人员在 Twitter 上发布了针对 Cisco ASA CVE-2020-3580 漏洞的 PoC 漏洞利用。当用户访问特制的恶意网页时,已发布的漏洞将在用户浏览器中显示 JavaScript 警告。但是,恶意网页可能已执行其他的 JavaScript 命令。
PoC 发布后不久,Tenable 报告称,威胁行为者正在积极利用受影响设备上的漏洞,但没有透露正在执行哪些恶意活动。Tenable 还收到一份报告,称攻击者正在野外利用CVE-2020-3580。由于威胁行为者现在正在积极利用该漏洞,因此管理员必须立即修补易受攻击的 Cisco ASA 设备,以便威胁行为者无法利用它们。
资料来源:https://www.bleepingcomputer.com/news/security/cisco-asa-vulnerability-actively-exploited-after-exploit-released/
5、利用零日漏洞攻击西部数据存储设备
西部数据 (WD) 已证实最近针对其一些较旧的NAS设备的攻击涉及利用零日漏洞。许多 My Book Live 和 My Book Live Duo 设备的所有者在 WD 社区论坛上报告说,他们的设备已启动恢复出厂设置,导致所有文件都被删除。
WD 最初表示,攻击者利用了 CVE-2018-18472,该漏洞允许知道目标设备 IP 地址的远程攻击者以 root 权限执行任意命令。经过进一步分析,WD确认还利用了一个零日漏洞,CVE-2021-35941,它被用来将设备恢复出厂设置,无需身份验证即可利用安全漏洞。
CVE-2018-18472用于在易受攻击的 NAS 设备上安装恶意软件,CVE-2021-35941 则将它们恢复出厂设置——在某些情况下,这两个缺陷显然是由同一攻击者所利用。
提供互联网可见性和风险评估产品的公司 Censys 也分析了这些攻击,并表示 CVE-2018-18472 被利用来提供安装和执行恶意软件的脚本,导致受感染设备加入僵尸网络。该公司已发现证据表明多个威胁行为者正试图控制 WD 设备。Censys 最初发现了超过 55000 台暴露在互联网上的设备,后来指出绝大多数尚未脱机的设备都受到了威胁。
My Book Live 和 My Book Live Duo 产品均已停产,最后一次固件更新于 2015 年发布。 WD 表示其较新的产品没有受到影响,并声称没有证据表明其云服务、固件更新服务器或客户凭据受到了威胁。
WD 表示计划为受此次攻击影响的客户提供数据恢复服务——该服务将于 7 月推出。该公司还将提供以旧换新计划,以帮助客户升级到不易受到这些攻击的较新设备。
资料来源:https://www.securityweek.com/zero-day-vulnerability-exploited-recent-attacks-wd-storage-devices
6、Adobe Experience Manager 中发现零日漏洞
Adobe Experience Manager (AEM)中的漏洞是由Detectify道德黑客社区的Ai Ho和Bao Bui检测到的,他们将其命名为AEM CRX旁路。如果该漏洞被利用,攻击者就可以绕过身份验证并访问CRX 包管理器,从而使攻击者可以在AEM中上传一个恶意软件包,利用它实现RCE攻击,并获得对应用程序的完全控制。
两人发现,包括万事达、领英、PlayStation和McAfee在内的几家大型机构受到了该漏洞的影响。漏洞发生在CR包端点,通过绕过Dispatcher 、AEM的缓存和/或负载平衡工具的认证来访问CRX 包管理器。调度程序在提供缓存页面之前检查用户对页面的访问权限,这是大多数AEM 安装的重要组成部分,但是可以通过在请求中组合添加许多特殊字符来绕过它。该漏洞可以通过阻止对CRX控制台的公共访问进行补救。
零日漏洞被报告给 Adobe后,后者迅速发布了补丁。AEM CRX 旁路零日漏洞随后作为 Detectify 平台上的安全测试模块实施。
资料来源:https://www.infosecurity-magazine.com/news/zero-day-exploit-found-in-adobe/?&web_view=true
7、WordPress 插件中存在严重漏洞
Wordfence 研究人员警告说,流行的 WordPress 插件存在多个缺陷,攻击者可以利用该插件将任意文件上传到易受攻击的站点以实现远程代码执行(RCE)。5 月 27 日,研究人员发现了四个安全漏洞,这些漏洞的 CVSS 得分均高达 9.8。
发现的第一个问题是权限提升漏洞 CVE-2021-34621。“在用户注册期间,用户可以提供任意用户元数据,这些元数据将在注册过程中得到更新。这包括控制用户能力和角色的 wp_capabilities 用户元数据。这使得用户可以在注册时提供 wp_capabilities 作为数组参数,这将授予他们提权的功能,允许他们将自己的角色设置为任何他们想要的,包括管理员,”研究人员解释说。
此外,站点上没有验证用户注册是否启用的检查,这意味着即使在禁用用户注册的站点上,用户也可以注册为管理员,攻击者可以完全控制易受攻击的 WordPress 站点。
CVE-2021-34622 是用户配置文件更新功能中的第二个缺陷,它使用与上述相同的技术,但需要攻击者在易受攻击的站点上拥有帐户才能使漏洞利用工作。
资料来源:https://www.itsecuritynews.info/several-critical-flaws-identified-in-wordpress-plugin/
8、两个新的IcedID活动正在横行
3月中旬,卡巴斯基的研究人员发现IcedID银行木马的一个新变种,它通过两个新的垃圾邮件活动进行传播,其中邮件是用英语编写的,并带有ZIP附件或指向ZIP文件的链接。这些活动每天的检测次数超过100次,该活动在3月份达到顶峰,到4月份放缓。
第一个名为DotDat的活动用来传播ZIP附件,这些附件声称是某种形式的赔偿要求或以特定格式的名称取消操作。ZIP文件包含一个同名的恶意MS Excel文件。它通过宏从具有以下格式[host]/[digits].[digits].dat的URL下载恶意负载并运行它。
在第二个活动中,垃圾邮件包含指向被黑网站的链接,其中包含名为文档[.]zip0、doc-XX[.]zip、文档-XX[.]zip的恶意文件,其中XX代表两个随机数字。档案中的Excel文件包含一个下载IcedID下载器的宏。
IcedID由两部分组成:向C&C发送一些用户信息并接收主体的下载器,以及作为隐藏在PNG图像中的shellcode分发的主体。此外,IcedID作者更改了下载器。在新版本中,攻击者从x86迁移到x86-64版本,并从配置中删除了伪造的C2。
随着感染尝试的增加,IcedID运营者也对下载器进行了一些修改。这表明攻击者正在改进,并且可能提出了针对全球用户的新计划。防止此类威胁的最佳方法是在接收来自未知发件人的电子邮件时保持警惕。
资料来源:https://cyware.com/news/two-new-icedid-campaigns-making-rounds-in-the-wild-93868644
9、BazarCall利用呼叫中心进行传播
自今年1月以来,安全研究人员发现了一种名为BazarCall的新的恶意软件传播活动,该活动暗含着新的诡计,其中一个技巧就是攻击者利用呼叫中心在他们的目标中制造恐慌。
微软安全情报部门已经追踪了一个活跃的可以部署勒索软件的BazarCall恶意软件活动。该活动首先发送电子邮件,指示收件人拨打一个电话号码取消他们订购的服务。当受害者拨打这个号码时,他们会被重定向到一个由攻击者操作的欺诈呼叫中心。受害者被告知访问一个网站并下载Excel文件来取消这项服务。此文件包含下载有效负载的恶意宏。在这次攻击中,微软发现攻击者使用Cobalt Strike窃取凭证,包括Active Directory数据库,并使用rclone进行窃取。
Bazaloader 后门最近的攻击方式与 3 月份报道的相似。有了这种新颖的攻击技术,BazarCall 后门的操作者的目标是获得对 Windows 系统的后门访问。通过这种访问级别,攻击者可以发送其他形式的恶意软件,扫描目标环境,并追踪同一网络上的其他易受攻击的机器。
随着使用臭名昭著的BazarCall后门的网络犯罪越来越复杂,微软安全情报部门已经要求用户不要信任虚假的呼叫中心和可疑的Excel文件。此外,它还发布了一个GitHub页面,用于公开分享有关活动的细节。
资料来源:https://cyware.com/news/bazarcall-makes-use-of-call-centers-to-spread-its-tentacles-2351a3a8
10、Ursnif 和Cerberus的组合实现自动化欺诈性银行转账
研究人员发现了 Ursnif(又名 Gozi)银行木马的一种新变种,该木马主要针对意大利的在线银行用户。此活动的运营者使用 Cerberus 恶意软件来提高攻击渗透率。
通过冒充商业信函,将带有Ursnif 附件的恶意电子邮件发送给受害者,一旦感染了恶意软件,用户就会被诱骗下载伪装成安全应用程序的Cerberus Android 恶意软件。Cerberus 允许攻击者接收银行发送的双因素身份验证代码,这些代码可用于进一步的欺诈活动。此外,它可以让攻击者获得锁屏代码,甚至远程控制受感染的设备。
Ursnif 和 Cerberus的组合基本上用于控制受害者的智能手机,并绕过安全障碍以针对安装在手机上的金融应用程序。感染 Ursnif 后,受害者通过网络注入被告知他们需要安装安全应用程序,受害者需要扫描二维码才能下载应用程序,该二维码指向一个虚假的 Google Play 页面,该页面显示受害者试图访问的银行的徽标和品牌,其页面域名是一个是拼写错误的误植域名。如果二维码选项对受害者不可行,他们会被要求提供一个电话号码,通过该号码他们会收到一条短信,其中包含下载假应用程序的链接。
银行恶意软件和身份验证绕过恶意软件的结合可能给用户带来巨大的经济损失,因此,建议用户避免点击通过短信或电子邮件收到的可疑 URL。
资料来源:https://cyware.com/news/ursnif-operators-leverage-cerberus-to-automate-fraudulent-bank-transfers-in-italy-096ec31b
11、REvil Linux 变体将 ESXi 虚拟机作为目标
最近,来自 MalwareHunterTeam 的一名安全研究人员发现了一个 Linux 版本的 REvil,又名 Sodinokibi,它主要针对 ESXi 服务器。
据英特尔研究人员称,新的 REvil Linux变体是一个ELF64可执行文件,其包含的配置选项与 Windows 可执行文件所使用的相同。在服务器上执行时,这种新 Linux 变体背后的攻击者可以预先定义加密路径并启用静默模式。在目标 ESXi 服务器上执行时,它会运行 esxcli 命令行工具以显示所有正在运行的 ESXi 虚拟机。esxcli 命令用于关闭存储在 /vmfs/ 文件夹中的 VMDK 文件,以便于REvil 加密目标文件,而不会被 ESXi 锁定。
其他勒索软件操作,例如 RansomExx/Defray、Babuk、GoGoogle、DarkSide、Hellokitty 和 Mespinoza,也开发了针对 ESXi 虚拟机的 Linux 加密器。最近,威胁行为者正在积极扫描暴露在互联网上未针对关键漏洞(CVE-2019-5544和CVE-2020-3992 )修补的 VMware ESXi 机器,影响所有vCenter 部署。
以虚拟机为目标,REvil 只需一个命令即可加密多个服务器。此外,一些勒索软件组织正在积极开发或已经创建了一个基于 Linux 的版本来针对虚拟机。因此,专家建议在高安全模式下安装 VMware (ESXi) 并实施额外的安全层。
资料来源:https://cyware.com/news/revil-linux-variant-now-eying-esxi-virtual-machines-7c1a5dd6
12、集装箱基础设施的供应链攻击见峰值
对集装箱基础设施的攻击在频率和程度上都在继续增加。扫描工具只需几个小时就能在线检测到一个新的易受攻击的容器。攻击变得越来越规避,而供应链现在越来越有针对性。来自Aqua Security的Team Nautilus的一份报告显示,针对企业集装箱基础设施的攻击,包括Docker图像在内,在一年内增长了近600%。
Typosquatting和凭证填充是攻击者用来攻击托管Docker守护进程或Kubernetes容器的服务器的两种最常见的方式。当攻击者获得访问权限时,他们通常会安装加密挖矿软件或试图逃离容器并危害主机系统。这些攻击中90%以上的目的是劫持用于加密挖掘的资源,其中大部分都与下载加密矿工的Kinsing恶意软件活动有关。
TeamTNT在3月至5月间通过Kubernetes或K8s容器对ip进行的大规模妥协就是一个例子,突显了供应链影响的规模。研究人员证实,该团伙在多个集群中入侵了近5万个ip地址。其中一些ip在此期间被反复利用,发起了大规模的加密劫持攻击。
就攻击者的利润而言,滥用容器平台进行加密劫持攻击的增加是潜在的短期收益。然而,研究人员解释说,此类攻击的长期目标是获得环境后门,并获得对受害者环境和网络的额外访问权限。
研究人员也对复杂性的增加持谨慎态度,尤其是在规避技术方面。攻击者正在使用改进的技术,包括 UPX 和 ezuri 等加壳程序,以隐藏恶意负载。因此,组织必须开始调整和更新他们的新技术来保护他们的容器基础设施。
资料来源:https://cyware.com/news/supply-chain-attacks-on-container-infrastructure-see-a-spike-aa539a72
13、Malvuln项目在恶意软件中发现260个漏洞
Malvuln是安全研究员 John Page(又名 hyp3rlinx)开发的一个有趣项目,它对恶意软件中发现的漏洞进行分类,并提供有关如何利用这些漏洞的信息。自2021 年 1 月上旬启动该项目以来,Page 已在大约 105 个单独的恶意软件系列中发现了 260 多个漏洞,包括木马、蠕虫、后门、投放程序和勒索软件。
这些漏洞包括与内存损坏、不安全权限、硬编码凭据、身份验证绕过、目录遍历和信息泄露相关的问题。一些缺陷可被用于 DoS 攻击(即导致恶意软件崩溃),而其他缺陷则允许未经身份验证的攻击者远程执行任意命令——已感染系统上的操作系统命令或恶意软件提供的命令。当被问到 Malvuln 中是否有漏洞特别显著,研究人员将未经身份验证的远程命令执行缺陷称之为“轻松获胜”。
当他启动该项目时,Page 告诉SecurityWeek,在某一时刻,Malvuln 的信息可能对某人有用——例如,如果漏洞利用是远程的,事件响应团队可以在不接触机器的情况下禁用一段恶意软件。然而直到现在,Malvuln 似乎还没有任何实质性的作用。此外,Page称自己运行这个项目,只是为了好玩。
当 Malvuln 项目被宣布时,业内一些成员表示担心该信息被攻击者利用,并且可能会妨碍对恶意活动的持续研究,但是Page并不在意。
资料来源:https://www.securityweek.com/malvuln-project-catalogues-260-vulnerabilities-found-malware?&web_view=true
14、攻击者以防火墙和 VPN 设备为目标
来自台湾的网络设备制造商 Zyxel 声称,一个复杂的网络攻击正在针对运行本地 ZLD 固件的企业防火墙和 VPN 服务器解决方案,例如 USG、ATP、USG FLEX、ZyWALL 和 VPN 系列。
该公司报告称,攻击者正试图通过 WAN 访问网络设备。访问设备后,他们尝试绕过身份验证并使用未知用户帐户(即 zyxel_vpn_test、zyxel_slIvpn 或 zyxel_ts)创建 SSL VPN 隧道来操纵设备的配置。目前尚不清楚攻击者是否正在利用未修补设备中存在的旧漏洞,或者他们是否正在使用被称为零日漏洞的未知或身份不明的漏洞。此外,尚不清楚攻击是否已经针对 Zyxel 的一些客户,或者攻击是否在早期阶段是通过蜜罐发现的。现在,客户正在收到有关更大范围的攻击浪潮的警报。
和Zyxel 一样,许多供应商的企业防火墙和 VPN 可利用的缺陷都被滥用。此类供应商包括 Pulse Secure、Fortinet、Citrix、Palo Alto Network、Cisco、Sophos、F5 Networks 和 Sonicwall。最近,在 Netgear 路由器中发现了一个安全绕过漏洞,该漏洞可能允许攻击者绕过身份验证机制并访问系统。6月初,多家厂商的多款工业交换机受到同一漏洞的影响,这些漏洞共享台湾工业设备制造商Korenix Technology的固件。
针对防火墙、VPN 服务器和负载平衡器的攻击已变得普遍。此类攻击是为了网络间谍活动或经济利益而进行的。因此,始终使用最新补丁更新设备固件非常重要。
资料来源:https://cyware.com/news/threat-actors-are-targeting-firewall-and-vpn-devices-4cdc403b