摘要

本周，研究人员发现在工业控制设备中广泛使用的TCP/IP协议栈存在严重漏洞；三菱PLC未修补的安全漏洞使其面临远程攻击；全球3000多家医院气动管系统存在严重漏洞；多个ICS供应商联合解决了Wibu CodeMeter产品的严重漏洞；Cisco修复了其On-Box软件的代码执行漏洞和VPN路由器中的高危漏洞；谷歌修复高危安卓安全漏洞；PyPI源代码库中存在远程代码执行漏洞；美国风险投资公司Advanced Technology Ventures遭数据泄露；意大利疫苗接种登记系统因勒索软件攻击而瘫痪；意大利能源公司ERG遭勒索软件攻击；美国基础设施法案为网络安全拨款20亿美元；Cisco、Sonatype等公司加入开源安全基金会；工业网络安全公司Nozomi Networks融资1亿美元；德勤收购aeCyberSolutions以促进工业网络安全计划；Finite State B轮融资3000万美元。

1、工业控制设备中广泛使用的TCP/IP协议栈存在严重漏洞

来自Forescout Research Labs和JFrog Security Research的研究人员在NicheStack TCP/IP堆栈中发现了14个漏洞，许多运营技术(OT)供应商似乎都在使用这些漏洞。这些漏洞统称为INFRA:HALT，可被攻击者利用进行远程代码执行、拒绝服务(DoS)攻击、信息泄漏、TCP欺骗和DNS缓存中毒。在14个漏洞中，两个被评为严重漏洞，10个被指定为高严重性等级。
在Forescout和JFrog描述的一个理论攻击场景中，外部攻击者使用运行NicheStack的暴露于互联网的设备渗透到目标网络。攻击者使用可通过发送特制DNS请求来利用的关键INFRA:HALT漏洞之一。恶意DNS请求包含shellcode，指示第一个设备将恶意FTP数据包发送到网络上的第二个设备并导致其崩溃，最终导致其与控制器相关的物理过程中断。
使用Shodan搜索引擎的结果显示，有超过6400台运行NicheStack的联网设备，其中4000多台位于北美。Forescout自己的设备云知识库显示了来自21家供应商的2500多台设备。其中许多设备是工业控制系统(ICS)，在离散制造、流程制造和零售行业中，易受攻击的系统数量最多。
Forescout的研究经理表示，该公司在DeviceCloud中发现了许多受影响的电表。他还指出，除了受INFRA:HALT漏洞影响的暴露在互联网上的设备外，还可能存在许多只能从本地网络访问的易受攻击的系统。
资料来源：https://www.securityweek.com/vulnerabilities-nichestack-tcpip-stack-affect-many-ot-device-vendors

2、三菱PLC未修补的安全漏洞使其面临远程攻击

Nozomi Networks研究人员发现三菱安全可编程逻辑控制器(PLC)中存在多个未修补的安全漏洞，攻击者可以利用这些漏洞通过暴力攻击获取模块中注册的合法用户名，未经授权登录CPU模块，甚至导致拒绝服务(DoS)条件。
Nozomi Networks披露的安全漏洞涉及MELSEC通信协议中身份验证机制的实现，该协议用于与目标设备交换数据，通过向CPU模块读取和写入数据实现与目标设备的通信。
已披露的漏洞包括CVE-2021-20594用户名暴力破解漏洞，CVSS评分5.9，利用该漏洞可在身份验证期间对使用的用户名进行有效暴力破解；CVE-2021-20598，防密码暴力破解功能过度导致帐户锁定漏洞，CVSS评分3.7，该漏洞产生的原因在于阻止暴力攻击的实施不仅阻止潜在攻击者使用单个IP地址，而且还禁止来自任何IP地址的任何用户在特定时间范围内登录，会有效地将合法用户锁定；CVE-2021-20597密码等效秘密泄漏漏洞，CVSS评分：7.4，利用该漏洞可从明文密码导出秘密，以成功通过PLC进行身份验证；会话令牌管理漏洞，该漏洞问题在于会话令牌使用明文传输，不绑定到IP地址，从而使攻击者能够在生成后重用来自不同IP的相同令牌。
令人不安的是，其中一些缺陷可以作为漏洞利用链的一部分串在一起，允许攻击者通过PLC验证自己并篡改安全逻辑，将用户锁定在PLC之外，更糟糕的是，更改注册用户的密码，需要物理关闭控制器以防止任何进一步的风险。
三菱建议采取多种缓解措施以最大程度地降低潜在漏洞利用的风险，包括使用防火墙防止未经批准的互联网访问、限制可访问IP地址以及通过USB更改密码。
资料来源：https://thehackernews.com/2021/08/unpatched-security-flaws-expose.html

3、全球3000多家医院气动管系统存在严重漏洞

来自网络安全Armis的研究人员披露了一组九个漏洞，这些漏洞统称为PwnedPiper，可被利用来对广泛使用的气动管系统(PTS)进行多次攻击。该漏洞影响了Swisslog Healthcare制造的Translogic PTS系统，该系统安装在北美约80%的所有主要医院和全球3000余家医院中。
攻击者可以利用PwnedPiper漏洞完全接管Translogic Nexus控制面板，该面板为当前模型的Translogic PTS站提供支持。这些漏洞可以使未经身份验证的攻击者接管Translogic PTS站，并基本上完全控制目标医院的PTS网络，这种类型的控制可能会导致复杂且令人担忧的勒索软件攻击，并允许攻击者泄露敏感的医院信息。
这些漏洞包括权限提升、内存损坏、远程代码执行和拒绝服务等。攻击者还可以推送不安全的固件升级以完全破坏设备。Swisslog发布了Nexus控制面板7.2.5.7版，解决了上述大部分漏洞。CVE-2021-37160尚未解决。
这项研究揭示了隐藏在普通视线中但仍然是现代医疗保健的重要组成部分的系统。了解患者护理不仅取决于医疗设备，还取决于医院的运营基础设施，这是保护医疗保健环境的一个重要里程碑。
资料来源：https://securityaffairs.co/wordpress/120741/hacking/pwnedpiper-flaws-pts-systems.html

4、多个ICS供应商联合解决了Wibu CodeMeter产品的严重漏洞

工业控制系统(ICS)供应商和其他组织已发布建议，以解决影响由德国Wibu-Systems制造的广泛使用的许可和DRM解决方案的几个严重的拒绝服务(DoS)漏洞。这些漏洞影响了Wibu的CodeMeter产品，并于4月被网络安全公司Tenable发现，该公司于6月15日发布了一份描述这些问题的咨询报告以及概念验证(PoC)代码。
CodeMeter旨在保护软件免受盗版和逆向工程的侵害，它提供许可管理功能，并且包括提供防止篡改和其他攻击的安全功能。作为Wibu KeyDRM解决方案的继任者，CodeMeter可用于广泛的应用，但它通常用于工业产品，如PC、IIoT设备和控制器。
Tenable发现的严重的漏洞，被追踪为CVE-2021-20093，影响CodeMeter Runtime网络服务器，它允许未经身份验证的攻击者远程访问堆内存内容或通过发送特制的代码使CodeMeter Runtime服务器崩溃TCP/IP数据包。
第二个漏洞被追踪为CVE-2021-20094并被评为高严重性，也可以被利用来导致运行时服务器崩溃。该漏洞可以通过向服务器发送特制的HTTP请求来利用，并且与默认禁用的CmWAN服务器有关。
自从Tenable和Wibu披露这些缺陷后，几家使用易受攻击产品的供应商都发布了自己的建议。包括美国网络安全和基础设施安全局(CISA)和德国CERT@VDE在内的国家网络安全机构也发布了建议。供应商名单包括位于奥地利的西门子自动化和工业软件公司COPA-DATA、瑞典-瑞士工业解决方案提供商ABB、汽车软件和工程服务公司Vector，以及德国菲尼克斯电气公司。
Wibu已发布CodeMeter Runtime 7.21a版本更新修复这些漏洞。
资料来源：https://www.securityweek.com/ics-vendors-address-vulnerabilities-affecting-widely-used-licensing-product

5、Cisco修复On-Box软件的代码执行漏洞

思科修复了设备管理器(FDM)On-Box软件中的一个漏洞，该漏洞可被利用来在易受攻击的设备上执行代码。FDM On-Box用于配置Cisco Firepower防火墙，为管理员提供管理和诊断功能。
Positive Technologies安全研究人员Nikita Abramov和Mikhail Klyuchnikov在FDM On-Box的REST API中发现了远程代码执行(RCE)漏洞，该漏洞被跟踪为CVE-2021-1518并被评为中等严重性，该漏洞的CVSS得分为6.3，因为它要求攻击者拥有受影响设备的有效用户凭据。该漏洞的存在是因为没有充分过滤用户输入的特定命令。要利用该漏洞，攻击者需要向易受攻击设备的API子系统发送特殊的HTTP请求。成功利用将导致攻击者能够在底层操作系统上执行任意代码。
该漏洞影响FDM On-Box 6.3.0、6.4.0、6.5.0、6.6.0和6.7.0版本。思科通过发布软件6.4.0.12、6.4.4和6.7.0.2版本解决了该问题。思科表示，它不知道该漏洞在野外被利用。
资料来源：https://www.securityweek.com/code-execution-flaw-found-cisco-firepower-device-manager-box-software

6、Cisco修复了VPN路由器中的高危漏洞

思科修复了影响多个小型企业VPN路由器的关键和高严重性预身份验证安全漏洞。攻击者可以利用这些漏洞触发拒绝服务条件或在受影响的多个Small Business VPN路由器上执行命令和任意代码。这两个漏洞被追踪为CVE-2021-1609和CVE-2021-1602，存在于基于Web的管理界面中。这两个缺陷都可以被远程、未经身份验证的攻击者利用，而无需任何用户交互。
CVE-2021-1609影响Cisco Small Business RV340、RV340W、RV345和RV345P双WAN千兆VPN路由器，其CVSS评分为9.8。这个漏洞的存在是因为HTTP请求没有被正确验证。攻击者可以通过向受影响的设备发送精心设计的HTTP请求来利用此漏洞。成功的利用可能允许攻击者在设备上远程执行任意代码或导致设备重新加载，从而导致DoS条件。
CVE-2021-1609影响RV160，RV160W，RV260，RV260P和RV260WVPN路由器，CVSS评分8.2。此漏洞是由于用户输入验证不足。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。
思科指出，受影响的VPN路由器默认禁用远程管理功能。
资料来源：https://securityaffairs.co/wordpress/120829/security/cisco-vpn-routers-flaws.html

7、谷歌修复高危安卓安全漏洞

谷歌本周推出了一个以安全为主题的Android更新，修复了30多个安全漏洞，这些漏洞使移动用户面临一系列恶意黑客攻击。最新的Android更新提供了关于33个安全漏洞的文档，其中一些严重到会导致权限提升或信息泄露。
这些漏洞中最严重的是媒体框架组件中的一个高安全漏洞，被跟踪为CVE-2021-0519，该错误可能导致Android 8.1和9设备上的特权提升，或Android 10和11上的信息泄露。
2021-08-01安全补丁级别还包括对Framework中三个高严重性提权漏洞的修复，以及对系统中提权和三个信息泄露错误的修复。所有五个都被评为高严重性。
本月安全更新的第二部分，修复了总共24个影响内核组件、联发科组件、Widevine DRM、高通组件和高通闭源组件的漏洞。这些漏洞中最严重的是使用后释放，它可能允许攻击者以内核权限执行任意代码。成功利用该漏洞可以允许在特权进程的上下文中远程执行代码。根据与此应用程序关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。
除了2021年8月Android安全公告解决的漏洞外，谷歌还修复了三个特定于谷歌设备的中等严重性错误。其中包括Pixel组件中的特权提升，以及Qualcomm闭源组件中的另外两个未指明的漏洞。
谷歌指出，所有这些漏洞都在运行补丁级别为2021-08-05的Pixel设备上得到修复。
资料来源：https://www.securityweek.com/google-patches-high-risk-android-security-flaws

8、PyPI源代码库中存在远程代码执行漏洞

安全研究人员RyotaK发布了有关PyPI中三个漏洞的信息，其中之一可能会导致整个PyPI生态系统遭到破坏。Python Package Index(PyPI)是Python编程语言的第三方软件存储库，一些包管理器使用它作为包和依赖项的默认源。
该漏洞与pypa/warehouse中的combine-prs.yml工作流有关，该工作流旨在收集和合并分支名称以dependabot开头的拉取请求（Dependabot本身没有合并拉取请求的功能）。工作流没有验证拉取请求的作者，任何人都可以创建具有特定名称的拉取请求并拥有处理它的工作流。然而，代码执行是不可能的，因为工作流结合了拉取请求并且结果由专人审查，这就意味着任何恶意代码都将会被丢弃。
研究人员发现，负责打印拉取请求分支列表的代码包含一个漏洞，该漏洞可被利用来执行命令并泄漏具有对pypa/warehouse存储库的写入权限的GitHub访问令牌。由于推送到主pypa/warehouse分支的任何代码都会自动部署到pypi.org，因此获得存储库写入权限的攻击者可以在pypi.org上执行任意代码。
对于成功的攻击，威胁参与者必须分叉pypa/warehouse存储库，在其中创建一个名称以dependabot开头的分支，向该分支添加修改并创建一个良性拉取请求，等待合并-prs.yml执行，捕获泄漏的具有写权限的GitHub Access Token，然后在主分支上添加修改，将其部署到pypi.org。
正如PyPI安全团队指出的那样，攻击将难以识别，因为攻击者可以使用非恶意的拉取请求。因此，即使PyPI管理员检查了攻击者的拉取请求，他们也会批准它，因为它不会尝试利用任何漏洞。
易受攻击的工作流程于2020年10月添加到存储库中。PyPI安全团队已修复了安全漏洞。
资料来源：https://www.securityweek.com/potential-rce-flaw-patched-pypi%E2%80%99s-github-repository

9、美国风险投资公司Advanced Technology Ventures遭数据泄露

Advanced Technology Ventures(ATV)是一家美国风险投资公司，管理着超过18亿美元的资本。这家风险投资公司本周披露了勒索软件攻击，威胁行为者还窃取了其一些私人投资者的个人信息。
2021年7月9日，该公司从其第三方信息技术提供商处获悉，其存储财务报告信息的两台相同的ATV服务器（“服务器”）出现异常活动。该公司很快确定服务器已被勒索软件攻击加密。2021年7月26日，该公司了解到有证据表明服务器的内容遭到未经授权的访问和泄露。
被盗数据包括一些私人投资者的姓名、电子邮件、电话号码和社会安全号码。Advanced Technology Ventures表示有300人受到影响。
该公司表示：“我们目前不知道由于此事件而对您的信息进行了任何欺诈或滥用。”“我们还要求所有员工更改他们的访问凭证，并在我们的公司网络上部署了额外的端点保护，以帮助防止此类事件在未来再次发生。
资料来源：https://securityaffairs.co/wordpress/120816/data-breach/advanced-technology-ventures-ransomware-attack.html

10、意大利疫苗接种登记系统因勒索软件攻击而瘫痪

意大利拉齐奥地区政府在8月1日宣布，黑客攻击了管理罗马周边的拉齐奥地区COVID-19疫苗预约的公司的IT系统，导致该系统被迫关闭。拉齐奥是意大利最大的地区之一，由于涉嫌勒索软件攻击的疫苗接种登记系统遭到破坏，上周末的居民目前无法预订新的疫苗接种。
拉齐奥主席尼Zingaretti宣布，攻击者几乎加密了系统数据中心的所有文件，区域卫生网络已关闭其服务器以防止攻击蔓延。
虽然攻击者的身份和意图尚不清楚，但意大利疫苗接种登记系统的漏洞似乎实际上是勒索软件攻击。这是勒索软件黑客的常用手段，他们加密计算机网络的文件，以此要求受害者付款来换取解密密钥。另一个线索可能是疫苗接种登记系统漏洞发生在周末，这是机会主义网络犯罪分子的常见时间，他们知道自己不太可能被IT管理员注意到和阻挠。
资料来源：https://heimdalsecurity.com/blog/italian-vaccine-registration-system-possibly-hit-with-ransomware/

11、意大利能源公司ERG遭勒索软件攻击

最近，意大利能源公司ERG受到LockBit2.0勒索软件团伙的打击，现在该公司报告称其ICT基础设施“只有一些轻微的中断”。ERG是意大利领先的风电运营商，也是欧洲市场十大运营商之一，在法国、德国、波兰、罗马尼亚、保加利亚和英国的业务不断增长。
ERG报告称，在此次黑客攻击的过程中，由于其内部网络安全程序的迅速部署，其ICT基础设施仅经历了几次轻微的中断，而且目前正在解决这些中断。ERG补充说，其所有工厂都在平稳运行，没有遇到任何停机时间，从而确保了持续的业务运营。
勒索软件团伙已将这家意大利公司添加到其泄密网站上公布的受害者名单中。骗子将于2021年8月14日00:00:00开始泄露被盗数据。该LockBit勒索行动开始在九月2019年，ERG并不是唯一受到攻击的意大利组织，过去几周，多家意大利公司成为了前所未有的勒索软件攻击浪潮的目标。
资料来源：https://securityaffairs.co/wordpress/120841/cyber-crime/erg-lockbit-2-0-ransomware.html

12、美国基础设施法案为网络安全拨款20亿美元

美国参议员最近公布了一项1.2万亿美元的两党基础设施​​法案的最终版本，白宫称该法案将拨款约20亿美元用于改善美国的网络安全能力。
《基础设施投资和就业法案》包括为道路、桥梁、交通安全、公共交通、铁路、电动汽车基础设施、机场、港口、水路、宽带互联网、环境修复和电力基础设施提供资金。该法案将保护关键基础设施和公用事业，并支持公共或私人实体应对重大网络攻击和漏洞并从中恢复。计划在2028年之前每年提供2000万美元用于协助政府和私营部门组织应对网络事件，拨款5.5亿元用于加强电网安全。部分资金用于开发解决方案以识别和缓解漏洞，提高现场设备和控制系统的安全性，以及解决与劳动力和供应链相关的问题。该法案在专门讨论水基础设施和饮用水的部分中也多次提到网络威胁和解决这些问题的必要性，包括清洁水基础设施弹性和可持续性计划，该计划每年拨款2500万美元，直到2026年。
如《基础设施投资和就业法案》所述，州和地方网络安全拨款计划授权2022年2亿美元、2023年4亿美元、2024年3亿美元和2025年1亿美元，总计10亿美元。
路透社8月4日报道称，参议院可能会在未来几天内对该法案进行投票。
资料来源：https://www.securityweek.com/us-infrastructure-bill-allocates-2-billion-cybersecurity

13、Cisco、Sonatype等公司加入开源安全基金

开源安全基金会(OpenSSF)是一个专注于提高开源软件安全的跨行业论坛，它的成员名单增加了Accurics、Anchore、BloombergFinance、CiscoSystems、Codethink、CybertrustJapan、OpenUK、ShiftLeft、Sonatype和Tidelift等公司。
随着开源软件(OSS)成为应用程序开发生命周期的核心支柱，确保开源代码的安全性对于保护现代软件至关重要，无论它是在最终用户设备上还是在企业环境中使用。由于开源软件依赖于一系列第三方代码，安全团队通常很难完全了解依赖供应链，而且那里的任何漏洞都可能导致整个网络受到损害。目前，OpenSSF拥有超过45个成员和准成员，他们共同努力提高开源软件的整体安全性。然而，任何人都可以参与OpenSSF，即使是非会员。
该跨行业计划侧重于识别安全威胁、确保负责任地报告漏洞、保护关键项目以及推广最佳实践等。OpenSSF还提供记分卡，这是一个为开源软件提供风险评分的项目，以提高对与依赖项相关的安全风险的可见性，并帮助开发人员、企业和用户等做出明智的决策。记分卡的更新版本于6月下旬发布，其中包含许多安全检查、重新设计的架构以定期评估关键项目，以及更轻松地访问数据。
资料来源：https://www.securityweek.com/cisco-sonatype-and-others-join-open-source-security-foundation

14、工业网络安全公司Nozomi Networks融资1亿美元

8月2日，运营技术(OT)和物联网(IoT)网络安全解决方案提供商Nozomi Networks已获得1亿美元D轮融资。该轮融资由Triangle PeakPartners领投，Honeywell Ventures、CIA-linkedIn-Q-Tel、Keysight Technologies、Porsche Ventures Dubai Electricity、Telefónica Ventures等公司也参与了投资。迄今为止，该公司已筹集了1.54亿美元，上一轮是在2019年9月筹集的3000万美元。
Nozomi表示，这笔资金将用于帮助扩大产品开发工作并扩大其销售、营销和合作伙伴的努力。这家工业网络安全公司表示，它在2020年实现了创纪录的增长，年度经常性收入增长了110%，其客户群扩大了2倍。
该公司与洛克希德·马丁公司建立网络卓越中心的计划于6月推进，当时瑞士联邦委员会从其新型战斗机竞赛中选择了洛克希德·马丁公司的F-35。
Nozomi的融资是工业网络安全领域一系列大规模融资中的最新一轮，其中包括Dragos在2020年底筹集的1.1亿美元C轮融资和Claroty在2021年6月筹集的1.4亿美元D轮融资。
资料来源：https://www.securityweek.com/ot-security-firm-nozomi-networks-raises-100-million

15、德勤收购aeCyber​​Solutions以促进工业网络安全计划

德勤8月5日宣布收购基于应用工程解决方案的工业网络安全公司aeCyber​​Solutions。这笔交易将通过aeCyber​​Solutions业务为工业控制系统/运营技术(ICS/OT)安全提供经过良好测试的框架、方法和技术支持工具来加强德勤现有的网络安全产品。这笔交易还将带来aeCyber​​Solutions的专业人士，他们在工业部门标准制定和风险咨询服务方面拥有丰富的经验。
“针对关键基础设施的工业控制系统的网络攻击越来越复杂且影响深远，这使得网络弹性和监管合规性比以往任何时候都更加重要。”德勤风险和财务咨询负责人兼德勤会计师事务所负责人WendyFrank表示“随着工业组织进行数字化转型以采用更多新兴技术，如5G、物联网、机器学习和人工智能，我们收购aeCyber​​Solutions业务有助于我们提供领先的ICS/OT技术和相关咨询服务。”
aeSolutions工业网络安全副总裁John Cusimano补充说：“自2014年以来，我们的网络服务和解决方案已帮助工业部门组织满足其最紧迫的ICS/OT网络安全需求通过提供公司和工厂级别的评估、补救建议、计划框架和培训。加入德勤将使我们能够扩展我们服务的深度和广度，提高我们帮助客户建立更值得信赖、更有弹性和更安全的环境的能力。”
资料来源：https://www.helpnetsecurity.com/2021/08/05/deloitte-aecybersolutions/

16、Finite State B轮融资3000万美元

互联设备安全提供商Finite State 2号宣布已在B轮融资中筹集了3000万美元。迄今为止，该公司已筹集了4950万美元。本轮融资由Energize Ventures领投，Merlin Ventures和Schneider Electric Ventures也参与其中。该公司计划利用这笔资金扩大规模并更好地定位自己，以满足市场需求，这是由于关键基础设施中物联网设备的使用在增加。
FiniteState表示，它还希望为其工程、产品、销售和营销团队招聘新人才，并增加更多产品安全专家。这家总部位于俄亥俄州哥伦布的公司成立于2017年，在固件层提供网络安全控制，旨在保护设备供应链并降低OT和IT环境的风险。该公司声称其解决方案可以帮助组织成功识别供应链风险并了解连接设备和嵌入式系统在企业环境的漏洞。
“随着公司努力通过分析设备和固件来解决产品安全问题，Finite State已成为解决产品安全挑战的主要参与者，”Finite State首席执行官Matt Wyckhouse表示。
资料来源：https://www.securityweek.com/finite-state-raises-30-million-series-b-funding