工业网络安全“情报解码”-2021年第5期
时间:2021-07-30 作者:安帝科技
摘要
本周,CODESYS修复其工业自动化产品中的十几个漏洞;Sunhillo航测产品发现严重漏洞;福昕PDF阅读器、编辑器中存在多个漏洞;DIVD披露三个Kaseya Unitrends零日漏洞;苹果公司修复iOS和MacOS中的零日漏洞;RandoriSec发现网络摄像机固件中数个严重漏洞;微软Hyper-V中存在严重RCE和DoS漏洞;南非运输公司Transnet遭到网络攻击;新的PetitPotam NTLM中继攻击将接管Windows域;圣地亚哥大学卫生部门遭数据泄露;IBM研究报告显示,数据泄露的平均成本超过420万美元;No More Ransom项目在5年内为受害者节省近10亿欧元;工业网络安全公司SynSaber以250万美元的种子资金启动;创业公司Cyolo为零信任网络技术融资2100万美元;德勤收购Sentek和TransientX以加强网络安全。
1、CODESYS修复工业自动化产品中的十几个漏洞
工业自动化软件提供商CODESYS本月向客户通报了影响各种产品的十几个漏洞。这些漏洞中有一半以上是由Cisco Talos发现的,其详细信息已于26日披露。CODESYS软件中的漏洞可能会产生严重影响,因为它被用于几家大制造公司的工业控制系统(ICS)。
CODESYS于7月22日发布了六个新公告,通知客户更新补丁可用于修复远程代码执行、拒绝服务(DoS)和影响其开发系统、V3Web服务器、网关、Runtime Toolkit for VxWorks以及EtherNetIP产品中的信息泄露漏洞。其中有一个漏洞被指评为严重等级,该漏洞编号为CVE-2021-33485,被描述为CODESYS V3Web服务器中基于堆的缓冲区溢出,攻击者可利用该漏洞进行DoS攻击或使用特制请求进行远程代码执行。
CODESYS还发布了一份公告,描述了思科Talos研究和威胁情报部门发现的七个漏洞。Talos研究人员发现,CODESYS开发系统(一种用于工业控制和自动化系统的编程工具)的各种功能受到不安全的反序列化错误的影响,这些错误可能导致远程代码执行。
攻击者可以通过以某种方式修改本地配置或配置文件,或通过欺骗本地用户打开恶意项目或存档文件来利用这些漏洞。在每个公告中,CODESYS都提到这些漏洞可以被低技能的攻击者轻易利用。
资料来源:https://www.securityweek.com/codesys-patches-dozen-vulnerabilities-industrial-automation-products
2、Sunhillo航测产品发现严重漏洞
根据NCC Group的安全研究人员的说法,Sunhillo SureLine应用程序中的一个未经身份验证的操作系统命令注入漏洞可能允许攻击者以root权限执行任意命令。
Sunhillo是飞行器监视和跟踪领域的知名品牌,SureLine则是为该公司的监视工具和产品提供支持的核心软件。该公司在其网站上表示,它“为美国联邦航空管理局、美国军方、民航当局和全球国防组织处理监控数据分发系统的所有生命周期方面。”
NCC Group的Liam Glanfield发现的关键操作系统命令注入漏洞被跟踪为CVE-2021-36380,它可能允许攻击者与受影响的设备建立交互通道,从而控制它。成功利用该漏洞可能会导致系统完全受损。完全控制设备后,攻击者可以完成导致拒绝服务攻击或在网络上建立持久性连接。该问题在/cgi/networkDiag.cgi脚本中被发现,该脚本“将用户可控参数直接合并到shell命令中,允许攻击者通过注入有效的操作系统命令输入来操纵生成的命令”。命令注入可以使用$(),并在括号内运行任意命令。通过使用精心设计的POST请求,攻击者可以注入命令以建立与另一个系统的反向TCP连接,从而产生交互式远程shell会话,使攻击者可以完全控制系统。例如,攻击者可以将SSH公钥添加到/home/root/.ssh/authorized_keys中,并以root用户身份获得访问权限。
该漏洞于6月21日报告给Sunhillo,并于7月22日在Sunhillo SureLine 8.7.0.1.1版本中发布了补丁。建议用户尽快更新到补丁版本。
资料来源:https://www.securityweek.com/critical-vulnerability-found-sunhillo-aerial-surveillance-product
3、福昕PDF阅读器、编辑器中存在多个漏洞
Foxit Software本周发布了其PDF阅读器和编辑器应用程序的安全更新,以修复多个漏洞,包括一些导致远程代码执行的漏洞。
福昕解决的三个漏洞由Cisco Talos研究人员发现,三个漏洞都导致任意代码执行。这些漏洞被跟踪为CVE-2021-21831、CVE-2021-21870和CVE-2021-21893,其CVSS严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式,恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。
这三个漏洞都是PDF Reader的JavaScript引擎中的释放后使用漏洞,攻击者可以通过欺骗目标打开恶意PDF文件来利用该漏洞。根据Cisco Talos的公告,只要受害者启用了Foxit的浏览器插件,该漏洞也可以通过恶意网站利用。
Foxit还解决了应用程序处理某些PDF文件中的注释对象的方式中的多个释放后使用漏洞,更新涉及的另一个安全问题是在遍历某些PDF文件中的书签节点时使用后释放,这也可能导致远程执行代码。还解决了与解析具有过多嵌入节点的XML数据、执行submitForm函数或解析特制PDF文件相关的潜在安全问题。Foxit还发现其中一些漏洞会影响Foxit应用程序的macOS版本,并且还为它们发布了补丁。
资料来源:https://www.securityweek.com/foxit-plugs-multiple-security-holes-pdf-reader-editor
4、DIVD披露三个Kaseya Unitrends零日漏洞
荷兰漏洞披露研究所(DIVD)的安全研究人员在Kaseya Unitrends服务中发现三个新的零日漏洞。这些漏洞包括远程代码执行和客户端经过身份验证的权限提升。
Kaseya Unitrends是一种基于云的企业解决方案,可提供价格合理、维护成本低的数据保护产品,以补充现有的客户端备份和恢复解决方案。
根据DIVD的公告,零日漏洞会影响Kaseya Unitrends10.5.2之前的版本。该公告建议在Kaseya修复这些漏洞之前,不要让该服务或客户端(运行在默认端口80,443,1743,1745)连接到互联网。
DIVD于2021年7月2日发现漏洞,并于7月3日向软件供应商报告。荷兰漏洞披露研究所(DIVD)的专家正在执行每日扫描,以检测易受攻击的Kaseya Unitrends服务器,并直接或通过政府CERT和CSIRT以及其他可信渠道通知所有者。
资料来源:https://securityaffairs.co/wordpress/120591/security/kaseya-unitrends-zero-days.html
5、Apple修复iOS和MacOS中的零日漏洞
苹果公司周一修复了一个在其iOS和macOS平台上都被发现的零日漏洞,该漏洞在野外被积极利用,可以让攻击者接管受影响的系统。该漏洞存在于用于管理屏幕帧缓冲区的内核扩展IOMobileFrameBuffer中,属于内存损坏漏洞,跟踪为CVE-2021-30807。
受影响的设备列表包括iPhone6s及更新机型、所有版本的iPadPro、iPadAir2及更新机型、第5代iPad及更新机型、iPadmini4及更新机型以及第7代iPodtouch。同样的安全漏洞也影响到macOS操作系统。
根据CyberSecurity Help的说法,该漏洞可能允许本地应用程序提升受影响系统的权限。“该漏洞的存在是由于IOMobileFrameBuffer子系统内的边界。本地应用程序可以触发内存损坏并使用内核权限在目标系统上执行任意代码,”其对安全漏洞的描述中写道。
美国网络安全和基础设施局(CISA)也注意到了这一发布,并发布了一份安全公告,敦促用户和管理员应用补丁并更新他们的设备。
资料来源:https://www.welivesecurity.com/2021/07/27/apple-releases-patch-zero-day-flaw/
6、RandoriSec发现网络摄像机固件中数个严重漏洞
RandoriSec研究人员在UDP Technology制造的IP摄像机固件中发现了许多严重的漏洞,十几家供应商提供的IP摄像机因此易受到远程攻击。UDP Technology是一家为安全和IP监控行业提供数字视频解决方案的韩国公司。
这家网络安全公司在本月早些时候发布了一篇博客文章,详细介绍了其调查结果,27日,美国网络安全和基础设施安全局(CISA)也发布了一份公告,警告用户这些漏洞带来的风险。
自2017年以来,RandoriSec一直在寻找UDP Technology固件中的漏洞。该公司进行的最新研究发现了11个远程代码执行漏洞和一个身份验证绕过问题。未经身份验证的攻击者可直接从互联网入侵受影响的IP摄像机,利用这些漏洞来完全控制目标摄像机。该公司搜索查询结果中显示了140多个暴露于互联网的设备,主要位于美国和英国。
在一篇详细介绍其调查结果的博客文章中,RandoriSec将Ganz、Visualint、Cap、THRIVE Intelligence、Sophus、VCA、TripCorps、Sprinx Technologies、Smartec和Riva列为使用UDP固件的供应商。
资料来源:https://www.securityweek.com/serious-vulnerabilities-found-firmware-used-many-ip-camera-vendors
7、微软Hyper-V中存在严重RCE和DoS漏洞
SafeBreach的研究人员Peleg Hadar和Guardicore的Ophir Harpaz披露了有关Microsoft Hyper-V中一个关键漏洞的详细信息,该漏洞被跟踪为CVE-2021-28476,CVSS评分为9.9,可以触发DoS条件并在其上执行任意代码。
该漏洞存在于Microsoft Hyper-V的网络交换机驱动程序(vmswitch.sys)中,它影响Windows 10和Windows Server 2012到2019。
这个漏洞允许来访客虚拟机强制Hyper-V主机的内核从任意的、可能无效的地址读取,读取的地址内容不会返回给访客虚拟机。在大多数情况下,这会导致Hyper-V主机拒绝服务(错误检查)。可以从与连接到Hyper-V主机的硬件设备相对应的内存映射设备寄存器中读取数据,这可能会触发额外的、特定于硬件设备的副作用,从而危及Hyper-V主机的安全性。
攻击者可以通过从访客虚拟机向Hyper-V主机发送特制数据包来利用此漏洞。
微软已于5月解决了该漏洞。
资料来源:https://securityaffairs.co/wordpress/120654/hacking/critical-microsoft-hyper-v-bug.html?web_view=true
8、南非运输公司Transnet遭到网络攻击
据报道,总部位于南非的运输公司Transnet遭到网络攻击,造成其运营严重中断,可能持续一周。在开普敦港口承运人协会向会员发布的电子邮件更新中,明确提到港口运营已被扣押,货物运输已被禁止,直到被破坏的系统恢复。
Transnet SOCLTD位于约翰内斯堡,是一家从事铁路、公路和船舶运输业务的公司。南非国家港务局负责港口基础设施和海运服务,用于通过非洲六大港口——德班、理查兹湾、萨尔达尼亚、开普敦、伊丽莎白港和东伦敦——进出口商品。
高层消息人士称,这家非洲港口运营商因勒索软件攻击而中断,因为事件发生后大部分数据仍然无法访问。Transnet的官方网站显示错误消息,正在安排尽快恢复该网站。Transnet工作人员明确指出,他们无权谈论攻击的性质,只能在对事件进行彻底调查后才提供更新。
目前,仅矿矿和汽车零部件的流通受到影响,基本商品的流通不受影响。此外,与货运铁路、管道、工程和财产部门相关的业务运作正常。
资料来源:https://www.cybersecurity-insiders.com/cyber-attack-on-transnet-south-africa-shipping/
9、新的PetitPotam NTLM中继攻击将接管Windows域
Windows中一个新发现的安全漏洞可被利用来强制远程Windows服务器(包括域控制器)向恶意目的地进行身份验证,从而允许攻击者发起NTLM中继攻击并完全接管Windows域。
这个被称为“PetitPotam”的问题是由安全研究员GillesLionel发现的,他上周分享了技术细节和概念验证(PoC)代码,指出该漏洞的工作原理是Windows主机通过MS-EFSRPCEfsRpcOpenFileRaw函数对其他机器进行身份验证。MS-EFSRPC是Microsoft的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行维护和管理操作。
该攻击使域控制器能够使用MS-EFSRPC接口在恶意行为者的控制下对远程NTLM进行身份验证并共享其身份验证信息。这是通过连接到LSARPC来完成的,从而导致目标服务器连接到任意服务器并执行NTLM身份验证的场景。通过强制目标计算机启动身份验证程序并通过NTLM共享其散列密码,PetitPotam攻击可以链接到针对Windows Active Directory证书服务(ADCS)的漏洞利用,以控制整个域。
虽然禁用对MS-EFSRPC的支持并不能阻止攻击运行,但微软此后发布了针对该问题的缓解措施,同时将“PetitPotam”描述为“经典的NTLM中继攻击”。
资料来源:https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html
10、圣地亚哥大学卫生部门遭数据泄露
本周,圣地亚哥大学卫生部门(UCSD Health)披露,一些员工的电子邮件账户被非法访问,导致个人信息被窃取。
UCSD Health 28日发布的通知解释说,这次攻击发生在2020年12月2日至2021年4月8日之间,威胁行为者窃取了个人信息,包括全名、地址、出生日期、电子邮件、社会安全号码以及医疗服务的日期和费用等。
通知表明:“UCSD Health正在分析电子邮件帐户中数据,会尽可能快地采取行动,同时花心思和时间提供有关哪些数据受到影响的准确信息。目前,我们知道这些电子邮件帐户包含与我们的患者、学生和员工社区的子集相关的个人信息。这项审查将于9月完成。”
UCSD Health表示将联系数据被泄露的个人,并为他们提供一年的免费身份盗用保护服务。但是,专家指出,与此类数据丢失相关的潜在风险可能会影响受害者多年。
Jumio首席执行官Robert Prigge表示:“攻击者可以利用医疗记录、实验室结果、社会安全号码和政府身份证号码来冒充合法患者并实施保险欺诈、寻求承保的医疗服务并补充未经授权的处方。”“暴露的信息也有可能已经在暗网上流传——在那里它可以具有很高的价值,因为健康记录中的个人信息比任何其他电子数据库都要多。”
资料来源:https://threatpost.com/uc-san-diego-health-breach/168250/
11、数据泄露的平均成本超过420万美元
IBM Security委托进行的一项全球研究显示,在新冠病毒大流行期间,数据泄露的平均成本超过了420万美元,该公司指出,这是其“数据泄露成本”报告17年历史中最高的。该报告基于2020年5月至2021年3月期间从全球500家组织收集的信息。它分析了真实的数据泄露,并根据各种因素计算了与事件相关的成本,包括法律、监管和技术活动,以及客户、员工流失生产力和品牌资产。
与上一年相比,数据泄露的平均成本增加了近10%,从386万美元增加到424万美元,但IBM指出,“对于一些安全态势更成熟的组织来说,成本要低得多,而对于在安全人工智能和自动化、零信任和云安全等领域落后的组织来说,成本则要高得多。”研究发现,这些也是检测和控制漏洞的重要因素。识别和控制事件的平均天数为287天,比上一年多7天。
泄露成本中最大的一部分是业务损失。这占了总额的38%,约160万美元。IBM解释说:“损失的业务成本包括增加的客户流失率、系统宕机导致的收入损失,以及声誉下降导致的获取新业务的成本增加。”
另一个值得注意的发现是,在远程工作导致数据泄露的事件中,数据泄露的成本高出100万美元。此外,与少于一半员工远程工作的公司相比,超过一半员工远程工作的公司需要多58天来控制数据泄露。
连续11年,医疗保健组织的成本最高,平均每次泄露为923万美元,高于713万美元。然而,在能源领域,平均数据泄露成本从639万美元降至465万美元。在所分析的泄露行为中,近一半涉及个人身份信息(PII)泄露。对于PII记录,每条记录的平均成本为180美元,高于去年的46美元。
该报告分析的大约8%的漏洞涉及勒索软件,这些事件的平均成本为462万美元,涉及破坏性擦除器的攻击的成本略高。
该研究基于泄露2,000到101,000条记录的泄露行为。但是,该报告有一个部分是关于大型泄露行为——超过100万条记录受到影响的事件。IBM研究中的14家公司经历了一次大规模数据泄露,其成本介于5200万美元(影响多达1000万条记录)和4.01亿美元(涉及多达6500万条记录的最大数据泄露事件)之间。
资料来源:https://securityaffairs.co/wordpress/120627/data-breach/cost-of-data-breach-2021.html
12、No More Ransom在5年内为受害者节省近10亿欧元
No More Ransom正在庆祝其成立5周年,该计划允许超过600万勒索软件受害者免费恢复他们的文件,从而节省了大约10亿欧元的赎金。
No More Ransom网站是由荷兰警察国家高科技犯罪部门、欧洲刑警组织的欧洲网络犯罪中心、卡巴斯基和迈克菲于2016年发起的一项计划,旨在帮助勒索软件的受害者在无需向犯罪分子付款的情况下检索其加密数据。
目前,超过170个合作伙伴为该项目做出了贡献,他们提供了数百种免费工具来恢复由151个勒索软件家族加密的文件。一个新的No More Ransom网站已经上线,以纪念该计划的第五个年头。该网站更换了更现代和更友好的用户界面,提供了关于勒索软件的最新信息,以及如何防止勒索软件感染的建议。欧洲刑警组织发布的帖子写道。“执法部门和私营企业之间的合作帮助了受害者,减少了犯罪利润,为‘No More Ransom’的成功做出了贡献。”
资料来源:https://securityaffairs.co/wordpress/120567/cyber-crime/no-more-ransom-5th-anniversary.html
13、工业网络安全公司SynSaber以250万美元的种子资金启动
SynSaber是一家新的工业网络安全公司,在获得来自SYNVentures、RallyVentures和CyberMentorFund的250万美元种子资金后宣布启动。种子资金将被公司用于产品开发、渠道关系和上市销售。SynSaber预计其产品将在今年晚些时候全面上市。
这家位于亚利桑那州钱德勒的公司由公司首席执行官Jori VanAntwerp和首席技术官Ron Fabela于2020年创立。VanAntwerp之前曾在Gravwell、工业网络安全公司Dragos、CrowdStrike、McAfee和FireEye工作。Fabela也曾在Gravwell和Dragos以及其他几家大公司工作。SynSaber正在开发一种工业资产和网络监控解决方案,旨在提供“对状态、漏洞和威胁的持续洞察”。
该公司表示,其技术不可知的解决方案依赖于可放置在任何地方的低硬件传感器,以获得对组织工业环境的全面可见性,包括工业物联网设备、机械系统和传统计算设备。组织将能够将解决方案与他们现有的产品集成。
SynSaber将为工业可见性和安全性提供一种改变游戏规则的方法,因为该解决方案将是第一个在本地或云中部署的解决方案,并且可以与现有的现有技术投资无缝集成。
资料来源:https://www.securityweek.com/industrial-cybersecurity-firm-synsaber-launches-25m-seed-fundin
14、Cyolo为零信任网络技术筹集了2100万美元
Cyolo是一家初创公司,该公司开发了一个可以让用户安全地访问其组织的应用程序、服务器、桌面和文件的平台。该公司28日宣布,它在由Glilot Capital Partners牵头的A轮融资中筹集了2100万美元,并获得了National Grid Partners和Merlin Cyber以及来Flint Capital、Global Founders Capital和Differential Ventures的支持。Cyolo表示,这些资金将用于加速增长和研发工作,并帮助新客户顺利过渡到零信任网络。
如今,组织面临越来越多的漏洞和威胁,这可能会导致声誉和财务损失。据ITGovernance的分析师称,到2021年,截至6月,在106起事件中暴露了980万条记录。这就是为什么一些企业加速采用围绕零信任构建的网络的原因。零信任连接消除了曾经允许员工协作所需的过度信任,抽象了访问机制,以便安全工程师和员工可以对他们完全负责。
Cyolo不断检测和授权网络中的设备、用户和身份,为他们提供对组织资源、应用程序、数据、软件等的访问权限。Cyolo涵盖IT和运营技术,无法查看客户数据,确保组织不会在共享数据或机密方面妥协。
资料来源:https://venturebeat.com/2021/07/28/cyolo-raises-21m-for-zero-trust-networking-tech/?&web_view=true
15、德勤收购Sentek和TransientX以加强网络安全
德勤26日宣布已收购Sentek Global和TransientX两家公司,以加强其安全网络和网络修复产品。德勤表示,这些交易的条款没有披露,但将使Sentek和TransientX的员工和技术加入到德勤现有的产品、服务和解决方案中。
德勤收购Sentek是为了应对政府网络攻击增加的趋势。Sentek是一家总部位于加利福尼亚州圣地亚哥的系统工程和网络安全公司,为美国海军和国防部提供服务,还为未公开的“国防、安全和司法”客户提供网络安全、项目管理和综合后勤服务。美国政府和公共服务行业领袖兼德勤负责人迈克坎宁表示,此次收购将扩大德勤在圣地亚哥的业务,同时支持其向军事部门和联邦机构提供“以任务为中心”的产品。
作为对Sentek交易的补充,德勤收购TransientX旨在扩大该公司在零信任安全市场的影响力,预计到2028年价值594.3亿美元。“零信任转型并不容易。我们创建TransientX是为了帮助组织在各种用例中以灵活、无摩擦和广泛的方式采用零信任网络访问。”TransientX创始人兼首席执行官EgemenTas在一份声明中表示“加入德勤后,我们将能够以一种提高远程工作和供应商协作安全性的方式提供我们的零信任新方法。”
资料来源:https://venturebeat.com/2021/07/26/deloitte-acquires-sentek-and-transientx-to-beef-up-cybersecurity/?&web_view=true