工业网络安全“情报解码”-2021年第4期

工业网络安全“情报解码”-2021年第4期

时间:2021-07-23 作者:安帝科技

摘要

本周,罗克韦尔被曝其PLC存在严重漏洞;MDT Software已修复其工业自动化产品中的高危漏洞;思科修复ASA、FTD软件中的高风险漏洞;施耐德修复EVlink系列电动汽车充电站的漏洞;谷歌、瞻博网络、Fortinet等也针对各自产品漏洞发布了更新;惠普打印机中隐藏了16年的漏洞被发现;石油巨头沙特阿美1TB数据遭泄露;英国铁路系统遭勒索软件攻击;全球疫情期间物联网恶意攻击增加了700%;工业企业面临基于云的ICS管理系统带来的风险;OPSWAT收购工业网络安全公司BayshoreNetworks;Rapid7以3.35亿美元收购威胁情报公司Inights。

1、MDT Software已修复工业自动化产品中的高危漏洞

工业自动化解决方案提供商MDT Software已修补其旗舰产品MDT AutoSave中的几个关键和​​高严重性漏洞。MDT AutoSave是一个自动化变更管理解决方案,为包括PLC、CNC、SCADA、HMI、机器人、驱动等在内的工业控制系统(ICS)提供备份、版本控制、历史跟踪、用户权限、审计跟踪、变更检测和灾难恢复能力。该产品被世界上一些最大的制造商使用,包括主要汽车制造商(特斯拉、起亚、宝马、现代、本田)、可口可乐、宝洁、强生、阿斯利康和雀巢普瑞纳。
工业网络安全公司Claroty的研究人员发现,MDT AutoSave受七种类型的漏洞影响,其中两种被评为严重,五种被评为高严重性。攻击者需要通过网络访问MDT AutoSave服务器才能利用这些漏洞。其中一个关键的漏洞,CVE-2021-32953,可被用来通过SQL命令来在系统中创建一个新用户,并更新用户权限,允许攻击者登录系统。第二个严重漏洞CVE-2021-32933被描述为命令注入,可被利用来运行恶意进程。攻击者通过利用CVE-2021-32933使API传递恶意文件,然后该文件可以操纵进程创建命令行并运行命令行参数。之后利用它来运行恶意进程,而无需任何身份验证。
据CISA称,这些高危漏洞可让攻击者破解加密并获得系统访问权限、用恶意文件替换合法文件、执行恶意文件并获取敏感信息。这些缺陷影响MDT AutoSave版本6.x和7.x,以及AutoSave for System Platform(A4SP)版本4(及更早版本)和5.0。供应商在2020年12月至2021年6月的不同时间为每个受影响的产品发布了补丁。
资料来源:https://www.securityweek.com/several-vulnerabilities-patched-mdt-autosave-industrial-automation-product

2、漏洞使MicroLogixPLC面临远程DoS攻击

根据和美国网络安全和基础设施安全局(CISA)本月发布的公告,一个影响Rockwell自动化MicroLogix 1100可编程逻辑控制器(PLC)的严重漏洞CVE-2021-33012可被利用来导致设备进入持续故障状态,未经身份验证的远程攻击者可以利用该漏洞通过专门向目标控制器发送拒绝服务(DoS)条件精心制作的命令。
利用MicroLogix 1100 PLC中的漏洞可阻止PLC进入RUN状态,该问题即使重置设备也无法解决。如果成功利用,当控制器切换到RUN模式时,此漏洞将导致控制器出现故障。
供应商指出,“可以通过将新项目下载到控制器或项目的离线副本来恢复处于这种状态的控制器。”
Rockwell尚未针对该漏洞发布补丁。相反,它建议客户(需要注册)将控制器保持在RUN模式,并考虑迁移到更新的控制器模型——MicroLogix 1100 PLC已停产,建议用户迁移到Micro870控制器。
资料来源:https://www.securityweek.com/vulnerability-exposes-micrologix-plcs-remote-dos-attacks

3、思科修复ASA、FTD软件中的高风险漏洞

思科发布了针对自适应安全设备(ASA)和Firepower威胁防御(FTD)软件中一个高严重性漏洞的补丁,该漏洞被利用可能导致严重的拒绝服务攻击。Cisco的ASA软件是CiscoASA系列的核心操作系统。CiscoFirepowerFTD在一个包含硬件和软件的系统中结合了ASA和CiscoFirepower功能。
在一份带有​​“高严重性”评级的公告中,思科表示ASA和FTD软件的软件加密模块都受到一个漏洞的影响,该漏洞可被远程身份验证的攻击者或中间人中的未经身份验证的攻击者利用。通过引发设备意外重新加载,攻击者可以实现拒绝服务(DoS)攻击。
该漏洞的问题在于软件加密模块中处理特定解密错误方式存在逻辑缺陷。通过已建立的IPsec连接发送恶意数据包,攻击者可能会导致设备崩溃,迫使其重新加载。“成功利用此漏洞不会导致任何加密数据遭到破坏,”思科公告称。
据思科称,目前还没有可以缓解该漏洞的变通方法,但已经有补丁可以修复它。思科表示,它不知道该漏洞在攻击中被利用。
资料来源:https://www.securityweek.com/cisco-patches-high-risk-flaw-asa-ftd-software

4、施耐德电气修复了EVlink电动汽车充电站的关键漏洞

施耐德电气已修复其EVlink系列电动汽车充电站中可能导致拒绝服务(DoS)攻击的安全漏洞。这家能源管理和自动化巨头总共解决了13个漏洞,包括三个严重漏洞以及八个“高”严重性的漏洞和两个为“中”的漏洞。
其中三个严重漏洞CVSS评分均为9.4,都可以让攻击者通过充电站Web服务器获得管理权限。它们包括绕过EVlink管理Web界面中的身份验证机制,使用未记录的硬编码HTTPcookie值(CVE-2021-22707)、另一个硬编码凭据问题(CVE-2021-22730)和硬编码密码缺陷(CVE-2021-22729)。
施耐德电气在一份安全警告中警告称,未应用固件更新的受影响的EVlink用户“可能面临未授权访问充电站网络服务器的风险,这可能导致充电站的设置和账户被篡改或破坏。这种篡改可能会导致拒绝服务攻击等行为,这可能导致未经授权使用充电站,服务中断,未能向监管系统发送充电数据记录,以及充电站配置的修改和泄露。”
这些漏洞存在于固件R7 V3.3.0.15版本中,该公司在已发布的固件R8 V3.4.0.1版本中进行了修复。
资料来源:https://portswigger.net/daily-swig/schneider-electric-fixes-critical-vulnerabilities-in-evlink-electric-vehicle-charging-stations?&web_view=true

5、瞻博网络修复产品组合中的关键第三方漏洞

瞻博网络已发布安全补丁,以涵盖其产品组合中的众多漏洞,包括瞻博网络产品组合中使用的第三方软件中的一系列严重漏洞。
其中最严重的漏洞是CVE-2021-0276(CVSS评分为9.8),这是一个基于堆栈的缓冲区溢出漏洞,攻击者可以通过向平台发送特制数据包来利用该漏洞,从而导致RADIUS守护程序崩溃。这可能会导致RCE,还会导致拒绝服务(DoS),从而阻止电话订户建立网络连接。
瞻博网络还针对Junos OS和Junos OS Evolved(EVO)中的高严重性漏洞CVE-2021-0277,(CVSS评分为8.8)发布了补丁,这些漏洞可能导致拒绝服务(DoS)、远程代码执行(RCE)、本地权限提升或流量丢失。Junos OS和Junos OS Evolved是支持瞻博网络企业路由器和交换机的网络操作系统。前者在FreeBSD上运行,而后者在Linux上运行。Junos OS和Junos OS Evolved中还解决了几个中等严重性的安全漏洞。
此外,瞻博网络发布了多项公告,宣布针对影响其产品中使用的第三方软件的多个漏洞发布修复程序。其中最重要的是Junos Space补丁,该补丁解决了CVE-2020-1472漏洞,这是Microsoft在2020年8月修补的Netlogon远程协议(MS-NRPC)中的一个严重漏洞(CVSS评分为10)。Junos Space21.2R1补丁修复了该漏洞和其他34个漏洞,包括另一个严重缺陷、几个高严重性问题和多个中等风险漏洞。
通过更新第三方软件,瞻博网络还修补了瞻博网络Contrail Insights、CTP View和Contrail Networking中的关键漏洞,以及安全分析、Junos OS和Junos OS Evolved中的高风险错误。这些产品中还解决了其他多个严重性较低的漏洞。
资料来源:https://www.securityweek.com/juniper-patches-critical-third-party-flaws-across-product-portfolio

6、D-LINK DIR-3040无线路由器中存在多个漏洞

Cisco Talos最近在D-LINK DIR-3040无线路由器中发现了多个漏洞。DIR-3040是基于AC3000的无线互联网路由器。这些漏洞可能允许攻击者执行各种恶意操作,包括暴露敏感信息、导致拒绝服务和获得执行任意代码的能力。
CVE-2021-21816和CVE-2021-21817是路由器中的信息泄露漏洞,可由特制的网络请求触发。攻击者可以利用这些漏洞查看设备的系统日志。CVE-2021-21818和CVE-2021-21820都是硬编码密码漏洞。但是,CVE-2021-21818可能导致拒绝服务,而CVE-2021-21820可能允许攻击者在路由器上执行代码。在向目标发送一系列请求后,攻击者还可以通过利用CVE-2021-21819获得执行代码的能力。
思科鼓励用户尽快更新这些受影响的产品:D-LINK DIR-3040路由器1.13B03版本。Talos测试并确认这些版本的DIR-3040可被这些漏洞利用。
资料来源:https://blog.talosintelligence.com/2021/07/vuln-spotlight-d-link.html?&web_view=true

7、谷歌修补了在野外利用的Chrome零日漏洞

谷歌为其Chrome网络浏览器推出了一个更新,修复了一系列漏洞,包括一个已知在野外被积极利用的零日漏洞CVE-2021-30563,该漏洞源于V8开源JavaScript引擎中的类型混淆错误,影响Chrome浏览器的Windows、macOS和Linux版本。
远程攻击者可以通过欺骗不知情的受害者访问他们创建的特制网站来利用该漏洞,从而触发类型混淆错误,之后他们可以在受影响的系统上执行任意代码。
漏洞之外,新版本还修复了其他七个安全漏洞,谷歌特别列出了六个漏洞,这些漏洞是由外部研究人员提供的。五个漏洞被列为高严重性,而一个被列为中等。
谷歌尚未有关任何漏洞的进一步细节。这是一种常见做法,因为该公司旨在让尽可能多的用户有机会将其Chrome浏览器更新到最新的可用版本,并降低网络犯罪分子利用安全漏洞的机会。
资料来源:https://www.welivesecurity.com/2021/07/16/google-patches-chrome-zero-day-vulnerability-exploited-in-the-wild/

8、Fortinet修补FortiManager、FortiAnalyzer中的远程代码执行漏洞

Fortinet 19日宣布为FortiManager和FortiAnalyzer中的CVE-2021-32589漏洞提供补丁,远程、未经身份验证的攻击者可以通过向易受攻击设备的FGFM端口发送特制请求来利用此漏洞。成功利用安全漏洞可能导致攻击者以root权限执行代码。
FortiManager和FortiAnalyzer是网络管理解决方案,可让管理员同时查看和控制数以万计的网络设备。FortiManager提供完整的管理功能,而FortiAnalyzer提供日志管理、分析和报告功能。
Fortinet解释说,FGFM在FortiAnalyzer上默认是禁用的。但是,用户可以在特定的硬件型号上启用它,包括1000D、1000E、2000E、3000D、3000E、3000F、3500E、3500F、3700F和3900E。供应商建议客户将FortiManager和FortiAnalyzer更新到更高版本,其中包括针对该漏洞的补丁。Fortinet说,作为一种变通方法,管理员可以禁用FortiAnalyzer设备上的FortiManager功能。
FortiAnalyzer仅在它支持已在特定硬件上启用的FortiManager功能、具有非常特定的升级路径时才容易受到攻击。Fortinet表示它不知道该漏洞在野外被利用,但它正在监视情况。
资料来源:https://www.securityweek.com/fortinet-patches-remote-code-execution-vulnerability-fortimanager-fortianalyzer

9、数百万台惠普打印机存在隐藏16年的漏洞

SentinelOne的研究人员发布了惠普打印机驱动程序(三星和施乐也使用)中的一个高严重性权限提升漏洞的技术细节,该漏洞影响了数亿台Windows机器。研究人员表示,该漏洞(CVE-2021-3438,CVSS评分8.8)已经在系统中潜伏了16年,但直到今年才被发现。如果该漏洞被利用,网络攻击者可以绕过安全产品;安装程序;查看、更改、加密或删除数据;或创建具有更广泛用户权限的新帐户。
据研究人员称,该漏洞存在于驱动程序内部的一个函数中,该函数通过输入/输出控制(IOCTL)接受用户模式发送的数据,但不验证大小参数。该函数使用’strncpy’从用户输入中复制一个字符串,其大小参数由用户控制。从本质上讲,这允许攻击者溢出驱动程序使用的缓冲区。因此,根据该公司的说法,非特权用户可以将自己提升到SYSTEM帐户,允许他们在内核模式下运行代码,因为任何人都可以在本地使用易受攻击的驱动程序。
根据SentinelOne的分析,基于打印机的攻击载体对于网络罪犯来说是完美的,因为打印机驱动程序基本上在Windows机器上无处不在,并且在每次启动时都会自动加载。
“虽然到目前为止,我们还没有看到任何迹象表明该漏洞已被广泛利用,目前有数亿企业和用户易受攻击,毫无疑问,攻击者会积极寻找那些不采取适当安全措施的人”研究人员警告说。
资料来源:https://threatpost.com/hp-printer-driver-bug-windows/167944/

10、石油巨头沙特阿美1TB数据遭泄露

网名ZeroX的威胁行为者声称其窃取了沙特阿拉伯国家石油公司1TB的敏感数据,并在多个黑客论坛上出售。这家石油巨头年收入超过2000亿美元,威胁行为者以500万美元的初始价格出售被盗数据。
Bleeping Computer联系了该公司,该公司确认了第三方承包商的数据泄露,但指出该事件对该公司的运营没有影响。沙特阿美还告诉Bleeping Computer,这不是勒索软件安全漏洞。
ZeroX声称已在2020年利用零日漏洞从沙特阿美的基础设施中窃取数据。卖家在多个黑客论坛上发布了广告,还提供了对被盗信息样本的访问权限,包括蓝图和个人信息。
威胁行为者还在Tor网络上设置了一个泄漏站点,报告在公开谈判开始前大约28天倒计时。ZeroX还提供1GB的样本,价格为2000美元,可以用Monero(XMR)虚拟货币支付。
资料来源:https://securityaffairs.co/wordpress/120301/data-breach/saudi-aramco-data-breach.htmlt

11、英国铁路系统遭勒索软件攻击

英国北部铁路售票系统服务器遭到疑似勒索软件攻击,在过去12小时内,该公司的数字服务中断,有消息称该运营商可能会在2天后恢复。文件加密恶意软件的目标是600多个触摸屏设备,这些设备耗资1700万英镑安装在英格兰北部的420个车站。英国政府火车运营商已发起调查,并承诺在收到执法部门对事件的最新消息后会透露更多细节。
英国北部铁路局表示,其客户或支付数据在攻击中没有受到损害,其供应商“Flowbird”服务器导致了故障。在售票系统启动之前,火车运营商正计划以手动方式向其客户发送车票,并且可以从车站的列车长处获取详细信息。
Armis的欧洲网络风险官AndyNorton评论道:“鉴于这些设备最近刚安装,最近的部署似乎缺少一些基本的安全机制。这个售票系统很可能是基于Android系统的,而且有一小部分勒索软件专门针对Android设备。根据英国国家情报院的立法,铁路网络被认为是关键的基础设施,因此,应该对新的票务系统进行风险评估,该风险评估应该包括网络攻击的风险,减轻控制。”
资料来源:https://www.cybersecurity-insiders.com/ransomware-attack-on-northern-rail-uk/?utm_source=rss

12、工业企业面临基于云的ICS管理系统带来的风险

工业网络安全公司Claroty的研究人员发现了一系列漏洞,其中三个影响CODESYS,四个影响WAGO产品。这些漏洞会影响CODESYS的自动化服务器平台,组织能够通过该平台从云端管理工业控制系统(ICS),以及一些WAGO的可编程逻辑控制器(PLC)。通过利用这些漏洞,攻击者可以使用窃取到的凭据访问管理控制台操作员的帐户。
在Claroty描述的理论场景中,攻击者创建了一个用来窃取凭据的恶意CODESYS包。
如果攻击者设法将恶意软件包上传到CODESYS商店,通过社会工程说服OT工程师安装该软件包,之后他们就可以在目标Windows设备上执行任意代码并获取自动化服务器凭据。
“一旦攻击者获得对基于云的管理控制台的访问权限,他们就有了广泛的攻击面”Claroty研究人员在一篇博文中解释道。“攻击者可以做的最简单的事情就是修改甚至停止当前在托管PLC上运行的逻辑。例如,攻击者可以停止负责生产线温度调节的PLC程序,或者像Stuxnet那样改变离心机速度。攻击者还可以尝试寻找使他们能够逃离PLC沙箱的漏洞,这将使他们能够完全控制控制器。
此外,研究人员展示了攻击者如何利用他们发现的未经身份验证的远程代码执行漏洞劫持WAGOPLC,然后使用集成的CODESYSWebVisu功能向管理平台添加新用户,并利用该帐户接管CODESYS自动化服务器的实例。这些攻击中的每一步都与研究人员在WAGO和CODESYS产品中发现的漏洞有关。
Claroty提供了一些深层次的建议,工业组织应遵循这些建议以最大程度地降低攻击风险。
资料来源:https://www.securityweek.com/industrial-firms-warned-risk-posed-cloud-based-ics-management-systems

13、全球疫情期间物联网恶意攻击增加了700%

网络安全公司Zscaler的一项新研究揭示了一个令人不安的事实,即对物联网设备的网络攻击增加了700%。在2020年12月的两周内,安全专业人员检查了流量,以确定其中有多少是恶意的以及它完成了什么。
网络犯罪分子很清楚,COVID-19疫情将使许多公司办公室在2020年和2021年都没有工作人员,因此他们进行了相应计划。尽管办公室里没有工作人员,但仍有很多事情要做。各种设备,如联网打印机、数字标牌、智能手表和其他物联网设备,都被留在办公室里。他们中的大多数仍然与网络相连,等待命令、执行任务和更新信息,同时也在等待指令。更不用说大量的DVR和监控系统设备很可能会联系僵尸网络的命令和控制服务器。大约98%的物联网攻击针对医疗保健、零售和批发、制造和技术领域。
恶意软件可能会使用过时的软件轻松渗透DVR和监控系统。在18000台主机上发现了900个不同的有效载荷,在70多个不同制造商的设备上发现了恶意软件。Mirai(34.1%)和Gafgyt(63.1%)是唯一有效载荷的绝大多数(97%)。Gafgyt的有效载荷只占攻击的5%,而Mirai的有效载荷占76%。目前只有24%的物联网设备以加密方式传输数据。据估计,50%的情况下,医疗保健部门使用SSL加密。在企业设备上使用SSL加密的只有2.7%。
Zscaler提供了防范物联网恶意软件的指导方针,如实现零信任的安全架构,定期补丁和更新,更改默认密码,以及监控和管理网络设备。
资料来源:https://news.softpedia.com/news/new-study-reveals-700-increase-in-iot-attacks-over-two-years-533525.shtml

14、OPSWAT收购工业网络安全公司Bayshore Networks

OPSWAT成立于近20年前,声称在全球拥有1,500多个客户,包括国防、能源、制造、金融服务、航空航天和运输系统领域。OPSWAT专门为关键基础设施提供网络安全解决方案,19日宣布收购工业网络安全公司Bayshore Networks。Bayshore Networks为工业控制系统(ICS)和运营技术(OT)开发安全解决方案的公司,其产品包括工业安全设备、IT和OT安全网关、工业安全远程访问产品以及资产发现和流可视化工具。
OPSWAT已收购Bayshore Networks的所有资产,以将其关键基础设施保护能力扩展到OT环境。Bayshore的产品和员工将成为OPSWAT的一部分。Bayshore Networks的首席执行官Kevin Senator将作为顾问加入OPSWAT。
“此次资产收购将增加关键网络中单向/双向安全数据传输、工业设备入侵防御、OT资产安全远程访问等关键功能,并最终帮助扩展OPSWAT提供一流网络安全解决方案以保护关键基础设施的使命,”OPSWAT在一份新闻稿中说。
这是OPSWAT的第四次收购。它之前于2012年收购了网络监控解决方案公司Napera Networks,2015年收购了电子邮件安全公司RedEarth Software,2019年收购了网络访问控制(NAC)解决方案提供商Impulse。
资料来源:https://www.securityweek.com/opswat-acquires-industrial-cybersecurity-firm-bayshore-networks

15、Rapid7以3.35亿美元收购威胁情报公司Inights

安全自动化技术公司Rapid7宣布,将斥资3.35亿美元现金和股票购买总部位于纽约的私营公司Intights,以增加”线外”功能。
Intsights专注于为现有安全基础设施提供实时网络威胁情报,其理念是在发起攻击之前就开始有效防御。Intsights寻求主动——在攻击发生之前识别并减轻攻击。它通过爬取表网和暗网来寻找黑客或犯罪团伙正在策划攻击的迹象,包括侦察目标、使用可疑工具以及与地下论坛上的其他黑客合作等行为。然后,Intsights平台进一步集成了许多最流行的安全控件,自动更新安全基础设施,以阻止或减轻它发现的初露头角的攻击。其目标是帮助客户在其现有安全设备(例如防火墙、端点解决方案和邮件网关)上主动阻止新威胁和恶意指标。
Rapid7计划利用Intsights的技术改进其扩展检测和响应(XDR)产品InsightIDR,并为客户提供统一的威胁视图、攻击面监控、相关洞察力和主动威胁缓解。
资料来源:https://www.securityweek.com/rapid7-acquires-threat-intelligence-firm-intsights-335-million