工业网络安全“情报解码”-2021年第11期
时间:2021-09-24 作者:安帝科技
摘要
政策法规方面
《重要数据识别指南》(征求意见稿)全文首度公开,本标准提出了重要数据的特征,明确了识别重要数据的基本流程以及对重要数据的描述格式,为重要数据安全保护工作提供支撑。
漏洞态势方面
思科修复了IOS XE软件中的一系列严重漏洞,其中最严重的漏洞CVSS评分高达10。Netgear修复了SOHO路由器中的远程代码执行漏洞,消除了远程工作时使用个人SOHO设备连接到企业资源的风险。研究人员在70余款海康威视摄像机中发现严重漏洞,当这些摄像头部署在敏感地点时,关键基础设施也可能面临威胁。由于Microsoft Exchange协议存在漏洞,数十万Windows域凭据遭泄露。VMware呼吁用户尽快更新,以修复vCenter Server中严重漏洞。Nagios网络管理产品被曝出存在11个严重漏洞,其上千客户受到影响,带来新的供应链风险。AWS WorkSpaces中存在远程代码执行漏洞,亚马逊已发布版本更新进行了修复。
安全事件方面
研究人员Diachenko和Clario发现了活动管理公司EventBuilder的一个未受保护的Microsoft Azure Blob存储,其中包含超过100,000名活动注册者的信息。无独有偶,Comparitech网络安全研究负责人Bob Diachenko发现了一个数据库,其中有超过1.06亿前往泰国的旅客的个人详细信息。BlackMatter勒索软件团伙袭击了美国农民合作社NEW Cooperative,并要求支付590万美元的赎金。
融资并购方面
观成科技获泰岳梧桐战略融资,将持续发力政企市场。身份解决方案供应商Saviynt融资1.3亿美元,将着力提升基于云的身份解决方案。第三方风险管理公司Panorays融资4200万美元,旨在帮助组织消除与第三方供应商相关的安全风险的解决方案。网络安全供应商Jscrambler融资1500万美元,将用于保护用户数据、减少欺诈和防止用户劫持的集成解决方案。
1、《重要数据识别指南》(征求意见稿)全文首度公开
在我国数据安全监管制度中,“重要数据”具有举足轻重的位置。《网络安全法》最早在数据出境安全评估制度中引入了“重要数据”的概念;《数据安全法》在设立我国数据分类分级制度时又强调了重要数据,并要求各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。不仅如此,《数据安全法》以及其他多部法律、法规和政策文件对重要数据保护提出了一系列责任义务要求。显然,一个组织是否收集、存储和处理重要数据,对其数据安全合规有直接重大影响。因此,什么是重要数据,这成为了一个迫切需要回答的重要基础性问题。目前,国家标准《重要数据识别指南》正在按程序编制,征求意见稿已经完成,即将征求社会意见。
本标准提出了重要数据的特征,明确了识别重要数据的基本流程以及对重要数据的描述格式。本标准为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考,为重要数据安全保护工作提供支撑。
《重要数据识别指南》因其基础性而十分敏感,因关系监管制度而影响广泛,编制难度极大。本次公布的征求意见稿仅为初始阶段的成果,相信在各界的反馈下,标准还将历经多轮次改动。
资料来源:https://mp.weixin.qq.com/s/hxSXxm3MvECjD49Z55H_aw
https://posts.careerengine.us/p/614c599003e1366d31ca2c76?from=latestPostSidePanel
2、思科修复IOS XE软件中的严重漏洞
思科22号宣布为IOS XE软件中的一系列严重漏洞提供补丁,这些漏洞可被利用来远程执行任意代码、导致拒绝服务或操纵设备配置。其中最严重的是CVE-2021-34770,CVSS评分为10,这可能会导致在没有身份验证的情况下以管理员权限远程执行代码。该漏洞存在于Catalyst 9000无线控制器IOS XE软件的无线接入点控制和配置(CAPWAP)协议处理中,该漏洞还可被利用来导致拒绝服务(DoS)条件。
据思科称,由于验证CAPWAP数据包的过程存在缺陷,攻击者可以将精心设计的数据包发送到易受攻击的设备以运行任意代码或导致设备崩溃并重新加载。该漏洞影响Catalyst 9300、9400和9500系列交换机、Catalyst 9800和9800-CL无线控制器以及Catalyst接入点上的嵌入式无线控制器。
思科还修复了IOS XE SD-WAN中的缓冲区溢出漏洞,未经身份验证的远程攻击者可能会利用该漏洞以root权限执行任意命令或导致拒绝服务条件。跟踪为CVE-2021-34727,CVSS评分9.8,该漏洞是由于流量处理过程中边界检查不足而存在的。受影响的产品包括1000和4000系列集成服务路由器(ISR)、1000系列聚合服务路由器(ASR)和云服务路由器1000V系列。
思科在IOS XE中修补的第三个漏洞是CVE-2021-1619,CVSS评分9.8,该漏洞存在于平台的身份验证、授权和计费(AAA)功能中。由于变量未初始化,该漏洞允许未经身份验证的远程攻击者发送NETCONF或RESTCONF请求以绕过身份验证并操纵设备配置或导致拒绝服务。
思科已经发布了所有三个漏洞的补丁,并表示不知道它们被广泛利用。这些补丁是思科2021年9月针对IOS和IOS XE软件的安全建议包的一部分发布的,该包共包含25条建议,描述了这些平台中的27个漏洞,包括13个高危和11个中危漏洞。
资料来源:https://www.securityweek.com/cisco-patches-critical-vulnerabilities-ios-xe-software
3、Netgear修复SOHO路由器中的远程代码执行漏洞
GRIMM的安全研究人员称,Netgear的小型办公室/家庭办公室(SOHO)路由器中的一个安全漏洞可被利用以root身份远程执行任意代码。该漏洞位于多个Netgear路由器型号上Circle家长控制服务的更新过程中,跟踪为CVE-2021-40847。
由于Netgear提供未签名和未加密的数据库更新(通过HTTP),能够在易受攻击的设备上发起中间人攻击的攻击者可以使用精心制作的数据库文件响应更新请求,这将允许攻击者覆盖设备上的可执行文件。
虽然受影响的设备通常不会在企业网络中找到,但由于全球大流行而转向远程工作意味着许多组织可能有员工使用潜在易受攻击的个人SOHO设备连接到企业资源。
Netgear 20号发布了大约十几种设备型号的补丁,即R6400v2、R6700、R6700v3、R6900、R6900P、R7000、R7000P、R7850、R7900、R8000和RS400路由器。制造商强烈建议用户尽快下载并安装可用的固件更新。
此外,GRIMM建议禁用易受攻击的组件以降低攻击风险,并使用虚拟专用网络(VPN)客户端来加密所有网络流量并防止中间人攻击。GRIMM软件安全负责人Adam Nichols表示:“此漏洞的影响在于,它允许攻击者监控和修改通过受感染设备发送的流量,并为横向网络移动提供一个支点。”
资料来源:https://www.securityweek.com/netgear-patches-remote-code-execution-flaw-soho-routers
4、超70款海康威视摄像机存在严重漏洞
研究人员WatchfulIP发现海康威视超70款摄像机和NVR受到一个严重漏洞的影响,该漏洞可以让黑客在没有任何用户交互的情况下远程控制设备,被追踪为CVE-2021-36260,CVSS评分9.8。WatchfulIP在9月18号公布了该漏洞,但没有公开任何技术细节。攻击者可以利用该漏洞获得root访问权限并完全控制设备,还可以使用受感染的设备访问内部网络。WatchfulIP警告说:“鉴于这些摄像头可能在敏感地点部署,关键基础设施也可能面临风险。”
研究人员补充道:“只需要访问http(s)服务器端口(通常是80/443),不需要用户名或密码,也不需要由相机所有者发起任何操作。相机本身的任何记录都无法检测到它。”
海康威视将其描述为一个由输入验证不足引起的命令注入漏洞,可以使用特制消息加以利用。海康威视指出,如果攻击者可以访问该设备的网络或该设备暴露在互联网上,则可能会被利用。该问题会影响旧的和新的海康威视摄像机和NVR—已提供受影响产品的列表。
该漏洞于6月向供应商报告,并于9月19日发布了一份公告,宣布固件补丁可用。研究人员表示,“虽然在各种海康威视固件门户上部署不一致,但补丁固件部分可用。”
资料来源:https://www.securityweek.com/many-hikvision-cameras-exposed-attacks-due-critical-vulnerability
5、由于Microsoft Exchange协议漏洞,数十万凭据泄露
Guardicore的安全研究人员发现了Microsoft Exchange自动发现功能中的一个漏洞,该漏洞可被利用来从全球用户那里获取Windows域和应用程序凭据。Exchange电子邮件服务器的Microsoft自动发现协议功能为用户客户端的应用程序提供了一种简单的方法,可以通过最少的用户输入来配置自己。据微软称,大多数用户都知道他们的电子邮件地址和密码,通过这两条信息,您可以检索启动和运行所需的所有其他详细信息。电子邮件客户端通常会查询来自用户电子邮件地址域的多个预定URL以自动配置自己。
根据Guardicore的说法,该漏洞是由于以下问题、“退避”算法以及上述协议在某些应用程序中的执行不佳造成的。专家发现,自动发现机制使用了“退避”程序,以防它找不到Exchange服务器的自动发现端点。
在2021年4月16日至2021年8月25日期间,安全公司设置的服务器收到了数百个请求,其中包含数千个凭据。研究人员从Microsoft Outlook等各种应用程序中总共捕获了372,072个Windows域凭据和96,671个唯一凭据。研究人员发现能够从多个垂直领域的不同公司中找到凭据,包括时装和珠宝、食品制造商、投资银行、发电厂、电力输送、中国市场的上市公司、房地产、运输和物流等。
资料来源:https://securityaffairs.co/wordpress/122510/hacking/microsoft-exchange-autodiscover-feature-bug.html
6、AWS WorkSpaces中存在远程代码执行漏洞
Rhino安全实验室的研究人员在AWS WorkSpaces桌面客户端中发现了一个漏洞,攻击者可以利用该漏洞远程执行任意代码。跟踪为CVE-2021-38112,当用户从浏览器打开恶意WorkSpaces URI时,可能会触发安全漏洞,允许远程攻击者在易受攻击的系统上执行任意代码。
AWS WorkSpaces是一项完全托管的桌面虚拟化服务,可为用户提供对远程资源的快速访问。WorkSpaces部署在Amazon Virtual Private Cloud(VPC)中,可以作为桌面客户端部署在Windows和Linux计算机上。在Windows上安装时,客户端会注册一个自定义URI,允许用户从浏览器启动WorkSpaces。
Rhino Security的研究人员发现,当使用URI启动时,WorkSpaces应用程序没有正确清理传递给命令行的参数,以对Amazon服务进行身份验证,这可能允许执行任意命令。“由于WorkSpaces客户端基于Chromium嵌入式框架(CEF),这允许将参数注入命令行,这些参数滥用已知的调试CEF命令行参数(-gpu-launcher),允许执行任意命令。”研究人员解释说。
现代浏览器通过对URI中的特殊字符进行URL编码来防止命令和参数注入,但在WorkSpaces中,问题在于URL解码,因为URI参数中的参数用于在未清理的情况下启动新命令。
研究人员注意到RegCode参数在启动时被验证,从而确保它是一个有效的WorkSpaces注册码,这意味着攻击者可以使用任何有效的代码,然后在URI中注入“–gpu-launcher”参数,指定CEF将执行的命令。研究人员解释说:“当受害者合法访问其WorkSpaces环境时,此漏洞还可能允许攻击者通过在WorkSpaces客户端本身中配置代理设置或键盘记录用户名和密码来潜在地转移到AWS WorkSpaces主机中。”
Rhino Security于5月25日向亚马逊报告了该漏洞。该问题已在6月29日发布的AWS WorkSpaces 3.1.9版中得到解决。
资料来源:https://www.securityweek.com/remote-code-execution-vulnerability-found-aws-workspaces
7、VMware呼吁关注vCenter Server严重漏洞
VMware 21号发布了一份新公告,警告称vCenter Server和Cloud Foundation设备中存在多达19个漏洞,远程攻击者可以利用这些漏洞来控制受影响的系统。其中最紧迫的是分析服务中的任意文件上传漏洞(CVE-2021-22005,CVSS评分9.8),它影响了vCenter Server 6.7和7.0的部署。该公司指出:“通过网络访问vCenter Server上的端口443的恶意行为者可能会利用此漏洞通过上传特制文件在vCenter Server上执行代码。任何可以访问vCenter Server的人都可以利用此漏洞。无论vCenter Server的配置设置如何,都可以访问网络。”
“[CVE-2021-22005]的后果很严重,公开可用的漏洞利用可能只是时间问题——或许就在披露后几分钟。”VMware在一个常见问题解答中说,敦促客户立即更新他们的vCenter安装。
“随着勒索软件的威胁迫在眉睫,最安全的立场是假设攻击者可能已经通过使用网络钓鱼或鱼叉式网络钓鱼等技术控制了桌面和用户帐户,并采取了相应的行动。这意味着攻击者可能已经能够从企业防火墙内部访问vCenter Server,时间至关重要。”该公司补充道。
资料来源:https://thehackernews.com/2021/09/vmware-warns-of-critical-file-upload.html
8、Nagios网络管理产品中的漏洞使诸多公司面临风险
Claroty研究人员在Nagios广泛使用的网络管理产品中发现了11个可用于服务器端请求伪造(SSRF)、欺骗、访问信息、本地权限提升和远程代码执行的漏洞。Claroty创建了一个概念验证(PoC)漏洞,展示了经过身份验证的攻击者如何链接一些漏洞以使用root权限执行shell命令。这些漏洞可能对组织构成严重风险,因为这些类型的产品可能成为恶意行为者的诱人目标。已发现这些漏洞会影响Nagios XI、XI Switch Wizard、XI Docker Wizard和XI Watch Guard。供应商在8月份为每个受影响的产品发布了补丁。
Nagios Core是一个开源工具,用于监控IT基础设施,而NagiosXI是一个商业版本,扩展了Core版本的功能。该供应商表示,其软件已被全球数千家组织使用,其中包括一些主要品牌,如Verizon和IBM。
虽然在许多情况下利用需要身份验证,但Claroty指出,Nagios具有自动登录功能,管理员可以使用该功能设置只读帐户,任何用户都可以在没有凭据的情况下连接到该帐户。该公司指出了影响SolarWinds和Kaseya的事件,以强调使用第三方IT管理产品所带来的风险。
资料来源:https://www.securityweek.com/flaws-nagios-network-management-product-can-pose-risk-many-companies
9、未修复的高危漏洞影响Apple macOS计算机
网络安全研究人员21号披露了macOS Finder中一个未修补的零日漏洞的详细信息,远程攻击者可能会利用该漏洞诱骗用户在机器上运行任意命令。macOS Finder中的一个漏洞允许扩展名为inetloc的文件执行任意命令,这些文件可以嵌入电子邮件中,如果用户点击它们将执行嵌入其中的命令,而不会向用户提供提示或警告。
这个漏洞是由于macOS处理INETLOC文件的方式——打开互联网位置的快捷方式,如RSS提要、Telnet连接或其他在线资源和本地文件——导致一种情况,允许在没有任何警告的情况下执行嵌入在这些文件中的命令。在这种情况下,INETLOC指的是一个‘file://’协议,它允许在本地运行存储的文件。如果INETLOC文件附加到电子邮件,点击附件将在没有警告的情况下触发漏洞。
尽管较新版本的macOS已屏蔽了“file://”前缀,但仍可以通过简单地将协议更改为File://”或“fIle://”来有效绕过检查来利用该漏洞。较新版本的macOS已经屏蔽了’file://’前缀,但是他们做了一个大小写匹配导致’File://’或’file://’绕过检查。目前,该漏洞尚未修补。
资料来源:https://thehackernews.com/2021/09/unpatched-high-severity-vulnerability.html
10、EventBuilder暴露了超过100,000名活动注册者的信息
活动管理公司EventBuilder暴露了包含至少100,000名在其平台上注册活动的用户个人信息的文件。研究人员Diachenko和Clario发现了一个未受保护的Microsoft Azure Blob存储,其中包含数千个大型CSV和JSON文件。这些文件存储了超过一百万条记录,包括包含至少100,000名活动注册者的个人详细信息的记录。该公开的信息包括姓名,电子邮件地址,公司名称,岗位,电话号码,用户回答问卷的信息。
“有问题的存储应该是部分公开的,以托管仅链接访问的录制会话。但是,出于某种原因,网络研讨会组织者将注册人信息放入blob。”Clario在博客文章中解释道,“这意味着它对公共存储桶搜索者(Grayhat Warfare)的索引开放,从而泄露他们的个人信息,并可能使他们面临成为全球黑客攻击目标的危险。”
EventBuilder是一个广泛使用的事件管理平台,专为Microsoft Teams和其他Microsoft产品而设计。该公司表示,其平台每月用于制作1,000多个虚拟活动。
数据泄露于6月10日被发现,并立即报告给EventBuilder,后者在某个时候解决了这个问题。
资料来源:https://www.securityweek.com/eventbuilder-exposed-information-over-100000-event-registrants
11、1亿泰国游客的详细信息被曝光
消费者安全公司Comparitech 20号在一份报告中表示,其网络安全研究负责人Bob Diachenko于8月发现了一个数据库,其中有超过1.06亿前往泰国的旅客的个人详细信息,但泰国当局很快封锁了泄密事件。
该公司表示,在过去十年中前往泰国的任何外国人都可能在此次事件中暴露了他们的信息,包括他们的姓名、护照号码和居留身份。Comparitech表示,Diachenko还在数据库中找到了自己的姓名和进入泰国的详细信息,其中包含可追溯到2011年的信息。
泰国当局于8月22日收到通知,并在第二天获得了数据,泰国当局表示数据未被任何未授权方访问。泰国网络犯罪调查局表示不知道这起事件,但正在调查此事。
资料来源:https://www.securityweek.com/details-100m-visitors-thailand-exposed-online-research-firm
12、美国农民合作社遭勒索攻击后被索要590万美元赎金
BlackMatter勒索软件团伙袭击了美国农民饲料和谷物合作社NEW Cooperative,并要求支付590万美元的赎金。勒索软件团伙声称窃取了1,000GB数据,包括soilmap.com项目的源代码、财务信息、网络信息、研发结果、敏感员工信息、法律和执行信息以及KeePass导出。如果在五天内没有支付赎金,BlackMatter威胁要把赎金加倍。NEW Cooperative表示,勒索软件感染了其部分系统,该组织已将其系统脱机以防止威胁传播,该合作社还声称已成功遏制了威胁。NEW Cooperative通知了执法部门,并聘请了网络安全专家来调查此次攻击。
BlackMatter勒索软件的诞生首先被Recorded Future的研究人员发现,他们还报告说,该团伙正在使用两个网络犯罪论坛(例如Exploit和XSS)上发布的广告建立一个附属网络。该组织正在招募能够访问年收入超过1亿美元或更大的大型企业网络的骗子,试图用其勒索软件感染他们。该集团正在美国、英国、加拿大或澳大利亚寻找企业网络。
BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防工业组织和非营利公司。8月,该团伙实施了针对VMware ESXi虚拟机平台的Linux加密器。Twitter上分享的谈判页面截图显示,NEW Cooperative告诉BlackMatter,由于它们在粮食、猪肉和鸡肉的食品供应链中的作用,它们是关键的基础设施。该公司表示,约有40%的粮食生产在其软件上运行,并警告勒索软件团伙,他们必须就此次攻击与CISA和监管机构联系。BlackMatter的回应是否定的,该组织告诉合作社,他们不“遵守规则”。
资料来源:https://securityaffairs.co/wordpress/122410/cyber-crime/black-matter-new-cooperative.html
13、观成科技获泰岳梧桐战略融资,将持续发力政企市场
观成科技宣布获得新一轮战略融资,本轮投资方为泰岳梧桐资本,这是继今年2月份完成Pre-A轮融资后的又一次融资。观成科技表示:本轮融资完成后,观成科技将加快完善产品布局,加大力度投入政企市场拓展。随着政企网络中加密业务占比日益上升和攻防对抗的持续升级,政府、金融等行业在基于加密流量的安全管控和威胁检测需求日益迫切。
泰岳梧桐管理合伙人安静表示:观成科技作为国内一家以加密流量检测分析为核心技术的创新型网络安全厂商,其产品定位、团队氛围和商业化进展我们都比较看好。当前流量加密化趋势明显,越来越多的政企客户对于加密流量的威胁检测和防御需求极为迫切,观成科技的产品在广大客户应用过程中反馈较好,我们相信观成科技会为越来越多的政企客户提供更好的安全产品及服务。同时,泰岳梧桐会大力支持观成科技的业务发展并为其对接相应的产业资源,从财务投资和业务层面与观成科技进行紧密的战略合作!
资料来源:https://mp.weixin.qq.com/s/jdEdo5CcqWfpKGwSE0pI5A
14、身份解决方案供应商Saviynt融资1.3亿美元
身份和访问治理解决方案提供商Saviynt 20号宣布,已从HPS Investment Partners和PNC银行获得1.3亿美元的投资。迄今为止,该公司已筹集了1.7亿美元的资金。Saviynt计划将资金投入研发和人员,以更好地满足对其基于云的身份解决方案的需求。
世界各地的组织越来越意识到与身份相关的安全漏洞带来的风险,正在转向零信任方法,其中身份管理是核心部分。除了身份治理(IGA),该公司的企业身份云平台还提供特权访问、云安全和精细应用程序访问功能。
Saviynt首席执行官Amit Saha表示:“随着公司继续优先考虑业务转型,重点关注身份定义的安全边界,以降低混合劳动力风险、满足不断变化的法规并保护多云环境,对我们的云身份解决方案的需求从未如此高涨。”
资料来源:https://www.securityweek.com/identity-solutions-provider-saviynt-raises-130-million
15、第三方风险管理公司Panorays融资4200万美元
第三方风险管理解决方案提供商Panorays 23号宣布在B轮融资中筹集了4200万美元。本轮资金由Greenfield Partners牵头,Aleph、Oak HC/FT、BlueRed Partners、Greenspring Associates和Moneta VC参与。该公司表示,它将利用这笔资金开发新工具并在美国和国际上进行扩张。该公司提供旨在帮助组织消除与第三方供应商相关的安全风险的解决方案。其SaaS平台提供供应商评估、参与和监控功能。Panorays表示,其客户包括北美、欧盟和英国的银行、金融服务、保险和医疗机构。
Panorays的创始人Matan Or-El表示:“在经历了行业动荡的一年之后,包括SolarWinds、Accellion、Kaseya和Codecov在内的众多供应链攻击事件发生后,企业正在寻找一种解决方案来管理第三方安全风险,Panorays的创新技术可确保公司与其供应商无缝合作,以最大限度地降低安全风险。”
资料来源:https://www.securityweek.com/third-party-risk-management-firm-panorays-raises-42-million
16、网络安全供应商Jscrambler融资1500万美元
客户端网络安全提供商Jscrambler 23号宣布完成了由Ace Capital Partners领投的1500万美元A轮融资,现有投资者Sonae IM和葡萄牙风险投资公司也参与其中。该公司表示,这笔投资将用于扩大在美国和整个欧洲的营销和销售计划,以及加快产品路线图以更好地满足客户需求。该安全公司还表示,这笔资金将帮助其提供旨在保护用户数据、减少欺诈和防止用户劫持的集成解决方案,同时确保合规性。
Jscrambler声称其客户端Web安全解决方案可以解决浏览器无法防御的Web供应链弱点,从而防止潜在的破坏性数据泄露。Jscrambler联合创始人兼首席执行官Rui Ribeiro表示:“我们正处于网络安全的关键转折点。今年连续发生的备受瞩目的软件供应链攻击让每个人都对攻击者破坏私人和公共组织的关键应用程序所造成的巨大损失保持警惕。“
Jscrambler成立于2014年,总部位于葡萄牙波尔图,在葡萄牙里斯本和加利福尼亚州洛杉矶设有办事处。该公司专注于保护电子商务交易或网络和移动服务的客户端。
资料来源:https://www.securityweek.com/web-security-provider-jscrambler-raises-15-million