工业网络安全“情报解码”-2021年第2期

工业网络安全“情报解码”-2021年第2期

时间:2021-07-11 作者:安帝科技

摘要

本周(7.5-7.11),WAGO的工业设备中被曝严重漏洞,面临远程攻击的风险;西门子的精智面板中存在的漏洞也将直接影响工业设备的数据安全;此外,飞利浦、Sage、IOBit等知名企业的产品也都被曝出安全漏洞,其中Sage X3中的RCE漏洞,CVSS评分高达10.0;SonicWall、QNAP、思科等企业发布了更新,修复了各自产品存在的一批漏洞;值得一提的是,微软在确认Windows存在PrintNightmare漏洞后发布了漏洞补丁,但有研究显示补丁未能完全修复该漏洞。卡巴斯基的研究人员发现,一场针对中东工业领域的恶意攻击已扩展至Mac计算机;勒索软件REvil对软件供应链的攻击引起了全世界的轰动,涉及1500余家企业;Kubernetes集群被用来执行广泛、匿名和分布式的暴力攻击。趋势科技的一份报告强调了工业设施逐渐面临数据盗窃和勒索软件攻击的风险。物联网/OT设备安全公司NanoLock获得融资1100万美元。虽然网络威胁在不断迭代更新,但投资人对网络安全企业的热情不减。 

1、WAGO设备中的漏洞使工业公司面临远程攻击

根据德国CERT@VDE发布的一份报告, WAGO的PFC100和PFC200 PLC、其边缘控制器产品和触摸屏600 HMI存在四个与内存相关的漏洞,影响I/O-Check服务。
WAGO PLC中发现的严重安全漏洞,赋予了攻击者造成拒绝服务(DoS)攻击的条件,在某些情况下甚至可以执行任意代码。每个漏洞都可以通过向目标设备发送包含操作系统命令的特制数据包来利用。通过链接共享内存溢出漏洞(CVE-2021-34566)和越界读取漏洞(CVE-2021-34567),能够创建一个完整的预授权远程代码执行来接管任何WAGO PFC100/200设备。
研究员Uri Katz指出,有数百个WAGO PFC设备暴露在互联网上,这意味着恶意行为者可以远程攻击它们。通过利用这些漏洞,攻击者有可能操纵或破坏设备,访问OT网络并接管网络的其他部分。
WAGO在6月份发布了针对这些漏洞的补丁(FW18 Patch 3),并分享了一些缓解建议。
资料来源:https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks

2、西门子SIMATIC HMI精智面板上存在漏洞

安全研究人员发现,西门子SIMATIC HMI精智面板暴露了其Telnet服务且无需任何形式的身份验证,该漏洞被追踪为 CVE-2021-31337。工业安全专家担心这种错误配置可能导致威胁行为者可以远程访问SIMATIC面板并篡改它们显示的数据。
SIMATIC HMI精智面板的工作原理是从工业设备中获取数据并将其显示在平板电脑上,同时提供一种由人工操作员控制设备的简单方法。它们可以与广泛的工业设备进行交互,从工业机器人到电气设备。根据西门子的宣传册,这些面板无法在线连接,但如果攻击者设法通过其他方式在内部网络中获得立足点,则可以利用安装在本地网络中的设备。只有SINAMICS中压产品面板(SL150、SM150 和 SM150i)默认情况下Telnet服务是禁用的,除此之外,所有SIMATIC HMI精智面板型号都会受到影响。
西门子已根据MITRE和CISA发布了受影响型号的固件更新。
资料来源:https://therecord.media/telnet-service-left-enabled-and-without-a-password-on-simatic-hmi-comfort-panels/?web_view=true

3、飞利浦Vue医疗保健产品存在15个漏洞

美国网络安全和基础设施安全局(CISA)发布了一份报告,称飞利浦Vue医疗保健产品中共有15个漏洞。在这15个漏洞中,有7个是针对飞利浦产品的,其余漏洞主要影响第三方组件,如Redis、7-Zip、Oracle数据库、jQuery、Python和Apache Tomcat。这些漏洞影响了飞利浦临床协作平台门户的多个产品,包括MyVue、Vue Speech和Vue Motion。
这些安全漏洞与不正确的输入验证、内存错误、不正确的身份验证、不安全/不正确的资源初始化、使用过期加密密钥、使用弱加密算法、不正确使用保护机制、数据完整性问题、跨站脚本(XSS)、凭据保护不当以及明文传输敏感数据有关。
未经授权的人可以利用这些漏洞窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件,从而影响系统数据完整性、机密性以及系统可用性。
其中四个漏洞被评为严重级别,四个漏洞被评为高严重性级别。其余的被认为是中等或低严重程度。据 CISA 称,其中一些漏洞已得到修复,但其他漏洞预计只能在 2022 年第一季度收到补丁。
资料来源:https://www.securityweek.com/cisa-says-philips-vue-healthcare-products-affected-15-vulnerabilities

4、Sage X3 RCE产品存在严重漏洞

Rapid7研究人员发现,Sage X3企业资源规划(ERP)平台存在四个漏洞,CVE-2020-7387到 -7390,其中CVE-2020-7388在CVSS漏洞严重性等级上的评分为10.0。
AdxAdmin是一个负责通过主控制台远程管理Sage X3的服务,默认情况下,管理服在TCP/1818端口上公开,位于进程“AdxDSrv.exe”下。攻击者可以利用该服务存在的CVE-2020-7388漏洞,通过未经验证的远程命令执行(RCE)在AdxDSrv.exe组件中提升权限,以高权限的“NT AUTHORITY/SYSTEM”用户身份在服务器上执行命令。CVE-2020-7387漏洞被攻击者用来发现所需安装目录的路径名,以便于利用关键的RCE缺陷。CVE-2020-7389是一个系统CHAINE变量脚本命令注入漏洞——但Sage表示他们不会修复这个问题,因为该漏洞所在的功能应该只在开发环境中可用,而不是在生产环境中可用。CVE-2020-7390漏洞是一个存储型XSS漏洞,在用户配置文件的“编辑”页面上,名字、姓氏和电子邮件字段容易受到存储型XSS的攻击。
除了CVE-2020-7389漏洞没有修复计划以外,其他三个漏洞Sage均已发布了可用的更新。
资料来源:https://threatpost.com/critical-sage-x3-rce-bug-allows-full-system-takeovers/167612/

5、IOBit Advanced SystemCare Ultimate中的信息泄露、提权漏洞

Cisco Talos最近在IOBit Advanced SystemCare Ultimate中发现了多个漏洞。IOBitAdvanced SystemCare Ultimate是一种系统优化器,可以从PC中删除不需要的文件和应用程序以提高性能。该软件允许用户查看在其计算机上使用大量内存运行的服务、进程以及其他软件的更新。
这些漏洞都存在于软件中的一个监控驱动程序中。CVE-2021-21790 – CVE-2021-21792和CVE-2021-21785是信息泄露漏洞,攻击者可以通过诱骗用户打开特制的I/O请求数据包 (IRP)进行攻击。攻击者还可以使用相同的方法来利用CVE-2021-21787 – CVE-2021-21789 和CVE-2021-21786,这些漏洞可能允许非特权用户提升自身权限。
尽管IOBit在90天期限内没有正式更新,但Talos仍在披露这些漏洞,思科鼓励用户尽快更新这些受影响的产品:IOBit Advanced SystemCare Ultimate 14.2.0.220版本。Talos 测试并确认这些版本的 Advanced SystemCare Ultimate 可被这些漏洞利用。
资料来源:https://www.securityweek.com/zero-day-vulnerability-exploited-recent-attacks-wd-storage-deviceshttps://blog.talosintelligence.com/2021/07/vuln-spotlight-iobit0-.html?&web_view=true

6、SonicWall 修复了NSM设备中的关键漏洞

Positive Technologies研究员Nikita Abramov提供了有关SonicWall网络安全管理器(NSM)产品的CVE-2021-20026命令注入漏洞的详细信息。
该漏洞严重性评分为 8.8,可以在没有用户交互的情况下被轻易利用。经过身份验证的攻击者使用精心设计的HTTP请求执行操作系统命令注入,在设备上以最高系统权限(root)执行任意命令。该漏洞是由于对直接传递给操作系统进行处理的输入数据的验证不当造成的,对设备进行一次成功的攻击需要拥有NSM中最低级别的权限。SonicWall NSM对数百台设备进行集中管理,侵入该系统可能会对公司的工作能力产生负面影响,以至于其保护系统完全中断并停止业务流程。Abramov说,“与Cisco ASA一样,成功的攻击者可以通过阻止VPN连接来禁用对公司内部网络的访问,或者编写新的网络流量策略,从而完全阻止防火墙对其进行检查。”
该漏洞涉及NSM 2.2.0-R10-H1及更早版本,SonicWall已发布NSM 2.2.1-R6和 2.2.1-R6(增强)版本修复了该漏洞。
资料来源:https://securityaffairs.co/wordpress/119767/security/sonicwall-fixes-cve-2021-20026-flaw.html

7、QNAP修复了NAS设备中的严重漏洞

台湾网络附加存储(NAS)制造商QNAP已修复NAS设备中存在的严重安全漏洞,攻击者可以利用这些漏洞破坏NAS设备的安全性。
4月底,专家警告称,一种名为Qlocker的新型勒索软件每天都在感染数百台QNAP NAS 设备。攻击背后的威胁参与者正在利用CVE-2021-28799不正确的授权漏洞,登录到NAS设备。CVE-2021-28809不当访问控制漏洞是由TXOne IoT/ICS安全研究实验室发现,由于NAS设备中的软件没有正确限制获取系统资源的访问权限,攻击者利用该漏洞在未经授权的情况下提升权限、远程执行命令以及读取敏感信息。
目前,供应商已修复以下 HBS 3 版本中的缺陷:QTS 4.3.6:HBS 3 v3.0.210507 及更高版本;QTS 4.3.4:HBS 3 v3.0.210506 及更高版本;QTS 4.3.3:HBS 3 v3.0.210506 及更高版本。
资料来源:https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/?&web_view=true

8、思科修复了BPA、WSA中的高危漏洞

思科本周发布了针对业务流程自动化(BPA)和网络安全设备(WSA)中高危漏洞的补丁,这些漏洞使用户面临权限提升攻击。
思科修复了BPA中的两个漏洞,CVE-2021-1574和CVE-2021-1576,两者的CVSS评分均为8.8。攻击者利用CVE-2021-1574漏洞向系统发送精心设计的HTTP消息,这将允许攻击者以管理员身份执行未经授权的操作。当合法用户在易受攻击的系统上保持会话时,攻击者可以利用CVE-2021-1576 从日志文件中检索敏感数据,使用该数据来冒充特权用户。
CVE-2021-1359漏洞存在于AsyncOS for Web Security Appliance(WSA),该漏洞可被经过身份验证的攻击者远程利用,使用注入命令获得root权限。该漏洞CVSS评分为 6.3,因为成功利用该漏洞需要攻击者拥有上传配置文件的用户权限。
本周,思科还发布了在SD-WAN、虚拟化语音浏览器、身份服务引擎(ISE)、视频监控7000系列IP摄像机、BroadWorks应用服务器和自适应安全设备管理器(ASDM)中发现的一系列中等风险漏洞的详细信息。有关所有这些漏洞的信息可在思科的持门户网站上找到。
资料来源:https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-bpa-wsa

9、微软确认PrintNightmare是新的Windows安全漏洞

微软承认,Windows上默认附带的 Print Spooler应用程序存在严重的安全漏洞,并警告说该漏洞会使用户面临计算机接管攻击。Print Spooler是一个在Microsoft Windows 上默认打开的可执行文件,负责管理发送到计算机打印机或打印服务器的所有打印作业。
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码,然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完整权限的新帐户。该攻击必须涉及经过身份验证并调用RpcAddPrinterDriverEx()的用户,微软明确表示,这个新的漏洞(CVE-2021-32527)与CVE-2021-1675漏洞相似但不同,后者解决了RpcAddPrinterDriverEx()中的另一个不同漏洞。攻击向量也不同,CVE-2021-1675已在2021年6月的安全更新中得到解决。微软表示。“这是一个不断变化的情况,我们将在获得更多信息时更新 CVE。”
美国政府的 CISA 网络安全机构正在敦促 Windows系统管理员在域控制器和不使用打印服务的系统中禁用 Windows 打印后台处理程序服务。
资料来源:https://www.securityweek.com/microsoft-confirms-printnightmare-new-windows-security-flaw

10、微软紧急补丁未能完全修复PrintNightmare RCE漏洞

7.6日,微软发布了紧急带外更新,以修复CVE-2021-34527漏洞(CVSS评分:8.8)。即使微软扩展了针对Windows 10 1607版、Windows Server 2012版和Windows Server 2016版PrintNightmare漏洞的补丁,但在某些情况下,针对Windows Print Spooler服务中远程代码执行漏洞的修复可以被绕过,攻击者仍然可以在受感染的系统上运行任意代码。
PrintNightmare漏洞源于Windows Print Spooler服务中的bug,该服务用于管理本地网络内的打印工作。该漏洞的主要威胁是非管理员用户能够加载他们自己的打印机驱动程序。
微软表示,“在安装此更新或更高版本的Windows更新后,非管理员用户只能将已签名的打印驱动程序安装到打印服务器上,今后将需要管理员凭据才能在打印机服务器上安装未签名的打印机驱动程序。”
在更新发布后,CERT/CC漏洞分析师Will Dormann警告说,该补丁“似乎只解决了PrintNightmare的远程代码执行(通过SMB和RPC的RCE)变体,而不是本地提权(LPE)变体”,这也意味着攻击者将会滥用后者以获取易受攻击系统的SYSTEM权限。
资料来源:https://thehackernews.com/2021/07/microsofts-emergency-patch-fails-to.html

11、Mac恶意软件用于攻击中东地区的工业组织

卡巴斯基的安全研究人员发现,一场针对中东工业部门的恶意攻击已扩展至Mac计算机。该活动被称为WildPressure,始于2019年5月,一年多来,它只涉及名为Milum的恶意软件的Windows版本。然而,今年早些时候,该活动的运营者开始使用新版本的木马,用于针对macOS系统。
除了最初观察到的C++威胁迭代外,研究人员还发现了一个相应的Visual Basic Sc​​ript(VBScript)变体,该变体具有相同的版本,但带有一系列模块,包括一个编排器和三个插件。此外,卡巴斯基的安全研究人员还发现了一个用Python编写的恶意软件变种,它可以在Windows和macOS操作系统上运行。所有三个木马迭代都具有相似的编码风格、设计以及命令和控制(C&C)通信协议。木马的所有三个版本都能够从操作员那里下载和执行命令,收集信息,并将自己升级到更新的版本,据信该恶意软件仍在积极开发中。
攻击者使用由虚拟专用服务器(VPS)和受感染服务器(主要是WordPress网站)组成的基础设施进行了最近观察到的攻击。据卡巴斯基称,新的WildPressure活动的目标似乎侧重于中东石油和天然气行业。然而,尽管与Chafer和Ferocious Kitten等黑客组织略有相似,但该安全公司并未将这些攻击归因于在该地区开展活动的任何已知威胁行为者。
资料来源:https://www.securityweek.com/mac-malware-used-attacks-targeting-industrial-organizations-middle-east

12、REvil的新供应链攻击摧毁1000家企业

臭名昭著的 REvil 勒索软件团伙,再次成为另一次大规模攻击的新闻。几天前,它因其针对ESXi虚拟机的新Linux变体而成为头条新闻。这一次,该团伙针对几家管理服务提供商(MSP)发起供应链攻击,从而影响全球数千家企业。
REvil团伙针对八个大型MSP,这些MSP使用流行的统一远程监控和管理解决方案Kaseya VSA。对MSP的攻击至少影响了3家Huntress合作伙伴和1000多家企业,其数据均已被加密。
该攻击通过利用Kaseya VSA中的漏洞进行。攻击者破坏并操纵了补丁分发过程,在该过程中,他们注意到一个名为agent.crt的文件,该文件被分发为“Kaseya VSA Agent Hot-fix”。Windows certutil.exe使用PowerShell命令解码agent.crt文件,提取出一个 agent.exe文件,其中包括嵌入式MsMpEng.exe(用作LOLBin的合法Microsoft Defender 可执行文件的旧版本)和mpsvc.dll(REvil 加密器)。
现在,REvil索要价值7000万美元的比特币,以提供解密工具来恢复所有受影响企业的文件,这是迄今为止最高的赎金要求。
对MSP的攻击可以实现对大量关联公司的轻松访问,这一事件再次为全球企业面临的供应链风险敲响了警钟。
资料来源:https://cyware.com/news/revils-new-supply-chain-attack-takes-down-1000s-of-businesses-839c9f7e

13、Kubernetes集群被利用来执行暴力攻击

网络安全机构发布的一份报告警告称,一场使用暴力技术的全球运动正在进学校。该报告来自NSA、CISA、FBI和NCSC,称该活动与俄罗斯政府有关,特别是俄罗斯总参谋部情报局(GRU)。这些持续的暴力访问尝试已被用于针对全球数百个组织,在美国和欧洲尤为严重。 虽然暴力技术并不是什么新鲜事,但GRU 85th Main Special Service Center(GTsSS)使用Kubernetes集群来执行广泛、匿名和分布式的暴力攻击。据信,该活动于2019年年中开始,其中一些尝试直接由该集群中的节点提供服务。在大多数情况下,攻击使用Tor和各种商业VPN服务。该暴力攻击与已知漏洞相结合,例如Microsoft Exchange漏洞(CVE-2020-0688和CVE-2020-17144)。
根据NSA的说法,一旦攻击者获得访问权限,他们就会在整个网络中横向传播,同时部署reGeorg webshell以实现持久性,以便于进一步收集其他凭据并从目标系统窃取文件。
此报告也提供了一些建议,包括使用多因素身份验证、启用密码身份验证的超时和锁定功能以及使用验证码。此外,建议用户更改所有默认凭据,并使用适当的网络分段和自动化工具来审计访问日志。
资料来源:https://cyware.com/news/kubernetes-clusters-exploited-to-perform-brute-force-attacks-e7c3d536

14、工业设施逐渐面临数据盗窃和勒索软件攻击的风险

趋势科技发布了一份新报告,强调了针对工业设施的勒索软件攻击导致停机和敏感数据被盗的风险越来越大。
工业控制系统(ICS)是公用企业、工厂和其他设施的关键元素,它们用于监管和控制跨 IT-OT网络的工业流程。如果勒索软件侵入这些系统,可能会导致运营中断数天,并增加设计、程序和其他敏感文件进入暗网的风险。
报告发现,Ryuk(20%)、Nefilim(14.6%)、Sodinokibi(13.5%)和LockBit(10.4%)变种占2020年ICS勒索软件感染的一半以上。报告也指出:威胁行为者通过感染ICS端点,利用易受到EternalBlue攻击的操作系统来挖掘加密货币;Conficker的变种正在通过强制管理共享在运行较新操作系统的ICS端点上传播。Autorun、Gamarue和Palevo等恶意软件仍然在IT/OT网络中广泛存在,通过可移动驱动器传播。
该报告敦促IT安全和OT团队之间进行更密切的合作,以确定关键系统和依赖关系,例如操作系统兼容性和正常运行时间要求,以制定更有效的安全策略。
资料来源:https://www.helpnetsecurity.com/2021/07/01/industrial-facilities-ransomware/?web_view=true

15、物联网/OT设备安全公司NanoLock融资1100万美元

NanoLock Securit于2015年创立,是一家专门从事物联网和操作技术(OT)设备保护和管理的公司,致力于解决日益增长的网络安全威胁。其解决方案被日本、意大利、瑞士、荷兰和美国的公用事业、工业公司和大型生态系统合作伙伴使用。NanoLock Security总部位于以色列,设有开发中心,并在美国、欧洲和日本设有办事处。
NanoLock已获得来自新投资者OurCrowd、HIVE2040和Atlantica Group以及当前投资者AWZ Ventures 1100万美元的B轮融资。该公司将使用这笔资金来扩展和改进其解决方案。NanoLock还宣布扩大其执行团队并收购两项新专利。
NanoLock的技术在设备制造或组装过程中嵌入其中,旨在提供针对包括内部人员、外部威胁参与者和供应链攻击各种威胁在内的保护。该解决方案的功能还包括安全和托管固件更新、状态更新、警报以及数据取证。该技术可用于各种类型的产品,包括工业系统、智能电表和智能照明设备。
资料来源:https://www.calcalistech.com/ctech/articles/0,7340,L-3911874,00.html?&web_view=true
https://www.securityweek.com/iotot-device-security-firm-nanolock-raises-11-million