工业网络安全“情报解码”-2021年第14期

工业网络安全“情报解码”-2021年第14期

时间:2021-09-30 作者:安帝科技

摘要

漏洞态势方面

趋势科技修复服务器保护解决方案中的身份验证绕过漏洞,CVSS评分高达9.8。谷歌发布了紧急Chrome更新,以修复一个正在被积极利用的零日漏洞。研究人员在Windows中发现了一个漏洞,所有Win8及以上的设备均面临被植入rootkit的风险。SonicWall修复SMA设备中的严重漏洞,其中CVE-2021-20034可将设备重置为出厂设置。QNAP修复QVR软件中的3个漏洞,其中两个属于严重漏洞,CVSS评分均为9.8。思科发现家用D-LINK DIR-3040网状路由器中存在信息泄露漏洞,影响较小。此外,开发人员修复了Apache HTTP Server中的5个漏洞。

安全事件方面

一个黑客组织试图通过利用Zoho用户身份验证设备中的零日漏洞破坏美国休斯顿港网络,港口当局声称他们有效地防御了这次攻击。一家美国汽车公司遭Colossus勒索软件攻击,200GB的数据被泄露,被索要400,000美元赎金以换取解密密钥。梭子鱼网络的数据显示,2021年上半年,由恶意软件产生的流量在互联网流量中的占比达到了39%,绝大多数恶意流量来自北美。ImmuniWeb宣布推出一款免费在线工具,旨在帮助组织识别未受保护的云存储。

融资并购方面

网络保险公司Coalition获2.05亿美元融资,将用于加速扩大规模以及扩展新的保险产品线。英国的威胁检测公司SenseOn宣布已完成2000万美元A轮融资,以扩展其基于人工智能的网络安全平台业务。韩国电子巨头LG宣布计划以约2.4亿美元收购汽车网络安全公司Cybellum,将帮助其开发更安全的汽车软件并增强其汽车零部件业务。F5宣布将以6800万美元现金收购威胁检测公司Threat Stack,以增强跨应用程序基础架构和工作负载的可见性。

1、趋势科技修复服务器保护解决方案中的严重漏洞

趋势科技已针对趋势防毒墙服务器版中的关键身份验证绕过漏洞发布了补丁。该漏洞被跟踪为CVE-2021-36745,CVSS评分9.8,远程攻击者可以利用该漏洞完全绕过易受攻击系统上的身份验证。该漏洞是由来自网络防御研究所的Yuto Maeda于4月发现的,并通过趋势科技的零日计划(ZDI)进行了报告。
企业级实时恶意软件检测解决方案为服务器提供病毒、间谍软件和rootkit保护,同时还自动化安全操作。还打包清理功能,该软件功能支持多平台。
防毒墙服务器版控制台中存在特定缺陷。该问题是由于在身份验证之前缺乏适当的验证造成的。攻击者可以利用该系统上这个漏洞绕过认证。趋势科技表示,该漏洞影响适用于Windows的ServerProtect for Storage(SPFS)6.0、适用于EMC Celerra(SPEMC)5.8的ServerProtect、适用于网络设备文件管理器(SPNAF)5.8的ServerProtect和适用于Microsoft Windows/Novell Netware(SPNT)5.8的ServerProtect。现在所有受影响的版本都有修复程序,建议用户尽快更新他们的安装。
趋势科技表示,缓解此类漏洞的一个因素是攻击者通常需要物理或远程访问易受攻击的机器。因此,如果远程访问不可用且外围安全是最新的,则利用不太可能成功。“然而,即使漏洞利用可能需要满足几个特定条件,趋势科技强烈鼓励客户尽快更新到最新版本。”该公司指出。
资料来源:https://www.securityweek.com/trend-micro-patches-critical-vulnerability-server-protection-solution

2、谷歌修复正在被积极利用的Chrome零日漏洞

谷歌发布了一个紧急Chrome更新,以修复一个正在攻击中被积极利用的零日漏洞。该漏洞被追踪为CVE-2021-37973,被描述为Portals API中的一个释放后使用问题,Portals API是一种网页导航技术,可在转换到新页面时预呈现内容,以获得无缝体验。
谷歌没有提供CVE-2021-37973的技术细节,但警告说它的漏洞利用已被公布。这家搜索巨头感谢来自Google TAG的Clément Lecigne以及来自Google Project Zero的Sergei Glazunov和Mark Brand报告了该漏洞。
多状态信息共享和分析中心(MS-ISAC)警告说,可以利用该安全漏洞在易受攻击的系统上执行任意代码,从而允许攻击者潜在地“查看、更改或删除数据”。
在单独的公告中,美国网络安全和基础设施安全局(CISA)鼓励用户和管理员尽快应用更新。“谷歌已经发布了适用于Windows、Mac和Linux的Chrome版本94.0.4606.61。此版本解决了一个漏洞—CVE-2021-37973—攻击者可以利用该漏洞来控制受影响的系统。该漏洞的漏洞利用存在于野外。”CISA说。
资料来源:https://www.securityweek.com/chrome-94-update-patches-actively-exploited-zero-day-vulnerability

3、Microsoft WPBT漏洞可让黑客在Windows设备上植入rootkit

安全研究人员在Microsoft Windows平台二进制表(WPBT)中发现了一个漏洞,可利用该漏洞进行轻松攻击,在2012年以来所有Windows计算机上安装rootkit。Rootkit是威胁行为者创建的恶意工具,旨在通过深入操作系统来逃避检测,并用于在逃避检测的同时完全接管受感染的系统。WPBT是微软从Windows8开始引入的固定固件ACPI(高级配置和电源接口)表,允许供应商在每次设备启动时执行程序。
然而,除了使OEM能够强制安装无法与Windows安装介质捆绑的关键软件之外,这种机制还可以允许攻击者部署恶意工具,正如微软在其自己的文档中所警告的那样。
“由于此功能提供了在Windows环境中持续执行系统软件的能力,因此基于WPBT的解决方案尽可能安全并且不会将Windows用户暴露于可利用的条件变得至关重要。”微软解释说。“特别是,WPBT解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。”
自2012年Windows8首次引入该功能以来,Eclypsium研究人员发现的弱点就存在于Windows计算机上。这些攻击可以使用各种技术,允许写入ACPI表(包括WPBT)所在的内存或使用恶意引导加载程序。这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA攻击来实现。
Eclypsium研究人员表示:“Eclypsium研究团队发现了微软WPBT功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。这个弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA等)被利用。”
资料来源:https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/

4、SonicWall修复SMA设备中的严重漏洞

SonicWall发布了补丁以修复影响其某些安全移动访问(SMA)设备的严重漏洞。该漏洞被追踪为CVE-2021-20034,CVSS评分9.1,远程、未经身份验证的攻击者可以利用该漏洞从目标设备中删除任意文件,这可能导致设备被重置为出厂设置。该漏洞还可以让攻击者获得对底层主机的管理员访问权限。SMA100系列设备的最新更新还修复了两个中等严重性漏洞,其中一个可导致权限提升为root,一个可用于经过身份验证的任意代码注入和DoS攻击。
这家网络安全公司强调说,它没有看到该漏洞在野外被利用的证据。考虑到已知SMA设备已成为恶意行为者的目标,在某些情况下甚至在发布补丁之前,在供应商的咨询中强调这一声明也就不足为奇了。奇虎360的研究员Wenxu Yin向SonicWall报告了CVE-2021-20034。已发现该漏洞会影响运行10.2.1.0-17sv、10.2.0.7-34sv和9.0.0.10-28sv及更早版本的SMA200、210、400、410和500v设备。每个受影响的版本都已发布补丁。“该漏洞是由于对受限目录的文件路径的不当限制可能导致任意文件删除为’nobody’。”SonicWall在其安全通知中解释说。
SonicWall表示,它在超过215个国家和地区拥有超过50万客户,因此其产品成为恶意黑客的目标也就不足为奇了。
资料来源:https://www.securityweek.com/sonicwall-patches-critical-vulnerability-sma-appliances

5、QNAP修补QVR软件中的严重漏洞

台湾网络附加存储(NAS)设备制造商QNAP宣布为其QVR视频管理解决方案中的几个严重漏洞提供补丁。这些漏洞被跟踪为CVE-2021-34348和CVE-2021-34351,CVSS评分均为9.8,攻击者可以远程利用这些漏洞在受影响的系统上运行任意命令。此外,制造商还修复了CVE-2021-34349(CVSS评分7.2),该漏洞也会导致任意命令执行。
尽管这三个漏洞都可以被远程利用,但CVE-2021-34349要求攻击者在易受攻击的系统上拥有高权限才能成功利用。
QNAP在其公告中指出,这些漏洞仅影响某些已达到使用寿命(EOL)状态且不再销售的设备。该公司已通过发布QVR 5.1.5 build 20210803修复了这些漏洞,并鼓励用户更新到此版本或更高版本以确保他们免受潜在攻击。QNAP没有提到任何针对这些漏洞的持续利用尝试,但恶意行为者在公开披露后不久就开始利用QNAP设备中的安全漏洞并不少见。
QNAP QVR是一种视频监控解决方案,可让用户轻松同时管理多台服务器和摄像机,提供实时监控、视频录制和回放以及连接管理功能。
资料来源:https://www.securityweek.com/qnap-patches-critical-vulnerabilities-qvr-software

6、开发人员修复了Apache HTTP Server中的5个漏洞

Apache HTTP安全团队发现了一个CVSS评分8.1的高危漏洞,CVE-2021-40438。该漏洞允许远程攻击者执行SSRF攻击,是由于对mod代理模块中用户提供的输入的验证不足所导致的。使用选定的URI路径发送特制的HTTP请求可能会诱使Web服务器向任意系统发起请求。这将允许攻击者访问本地网络中的敏感数据或向其他服务器发送恶意请求。
PortSwigger安全研究员James Kettle于5月11日报告了CVE-2021-33193,被评为中等严重性漏洞。该漏洞允许通过HTTP/2发送精心设计的请求用来绕过验证控制并由mod代理转发,这可能导致请求拆分或缓存中毒。
9月16日发布的补丁解决了这些漏洞以及其他三个漏洞。其中包括中等严重性的NULL指针取消引用错误、模块mod proxy uwsgi中的边界条件可能触发拒绝服务(系统崩溃)条件以及仅涉及第三方模块的低影响漏洞。HTTP Server 2.4.49修复了这五个漏洞。
资料来源:https://portswigger.net/daily-swig/developers-fix-multitude-of-vulnerabilities-in-apache-http-server?&web_view=true

7、D-LINK DIR-3040网状路由器中存在信息泄露漏洞

Cisco Talos在D-LINK DIR-3040智能WiFi网状路由器中发现了一个可利用的信息泄露漏洞CVE-2021-21913,该漏洞可能允许攻击者最终关闭设备或从网状网络中删除其他连接的设备。
攻击者可以通过特制的网络请求触发该漏洞。最终,攻击者可以查看MQTT服务中的敏感信息,包括主设备的root密码。然后,他们可以推送适当的负载以在目标设备上执行远程代码,从而可能允许他们重新启动网状网络上的任何设备或从网状网络中完全删除设备。
DIR-3040是基于AC3000的无线互联网路由器,可为用户创建网状网络,允许他们连接环境中的多个设备,通常在家中使用。
思科鼓励用户尽快更新这些受影响的产品:D-LINK DIR-3040路由器,版本1.13B03。Talos测试并确认这些版本的库可以被此漏洞利用。
资料来源:https://blog.talosintelligence.com/2021/09/vuln-spotlight-d-link-.html?&web_view=true

8、美国休斯顿港遭网络攻击

CISA官员报告称,一个黑客组织试图通过利用Zoho用户身份验证设备中得零日漏洞破坏休斯顿港网络,这是美国主要的港口机构之一。港口当局声称他们有效地防御了这次攻击,并补充此次攻击没有影响操作数据以及系统。
据CrowdStrike安全公司的首席情报分析师Matt Dahl称,该零日漏洞主要被用于8月下旬的网络攻击,Zoho在9月8日修复了该漏洞(CVE-2021-40539)。CISA官员声称,他们仍未将针对休斯顿港的攻击归咎于特定的黑客组织或外国政府。
休斯顿港是全美最大的港口,拥有水运吨位,是休斯顿地区、德克萨斯州和美国的重要经济中心,与休斯顿香奈儿船公司一起持有和管理公共码头和码头已有100多年的历史。200多个私人码头和8个公共码头以及联邦水路为德克萨斯州提供了近135万个工作岗位和320万个全国工作岗位,同时德克萨斯州的经济活动为3390亿美元——占德克萨斯州国内生产总值(GDP)的20.6%,对全国的经济影响总计8019亿美元。
资料来源:https://www.ehackingnews.com/2021/09/port-of-houston-attacked-employing-zoho.html

9、一家美国汽车公司遭Colossus勒索软件攻击

zerox威胁情报小组发现了一种名为Colossus的勒索软件变种,它会影响运行微软Windows操作系统的机器。该勒索软件有许多功能,包括通过Themida二进制打包和沙箱逃避功能。一家美国的汽车经销商集团遭其攻击,攻击者威胁要泄露200GB的被盗数据。要求支付400,000美元以换取解密密钥,他们已指示受害者通过自定义域上的“支持页面”与他们联系。ZeroFox的安全研究人员指出,Colossus运营商似乎熟悉现有的勒索软件即服务(RaaS)组织,甚至可能与其中之一直接相关。
该勒索软件运营商于9月19日通过Tucows为支持门户注册了域,并使用dnspod作为其DNS提供商。ZeroFox没有观察到与Colossus勒索软件产品或附属程序相关的暗网聊天,但这并不意味着该操作与其他勒索软件即服务(RaaS)组织无关。
虽然Colossus特定的公开勒索软件泄漏站点尚不存在,但可能会在未来几周内出现,以从不愿支付赎金的受害者那里泄漏数据。
资料来源:https://www.securityweek.com/colossus-ransomware-hits-automotive-company-us

10、恶意软件产生了39%的互联网流量

根据梭子鱼网络的数据,2021年1月至6月,64%的互联网流量是由自动化工具产生的。其中,由恶意软件产生的流量占比达到了39%,25%由生产工具产生。攻击者使用机器人进行DDoS攻击,从个人帐户中暴力破解密码,并创建网络钓鱼站点。
绝大多数恶意流量(67%)来自北美。欧洲以22%的数据位居第二,亚洲以8%位居第三。其余3%位于大洋洲、南美洲和非洲。
根据Group-IB的数据,俄罗斯在产生有害流量的IP地址数量方面位居前5位。“2021年8月,俄罗斯用于DDoS攻击的机器人流量比其他月份增加了10倍。”Orange Business Services俄罗斯和独联体地区主管Olga Baranova补充道。
根据梭子鱼网络,在2021年上半年,恶意机器人最常被定向到电子商务组织的网站和服务,以及需要登录和密码的授权页面。据俄罗斯Rostelecom-Solar的Solar JSOC网络攻击监控和响应中心副主任Alexei Pavlov称,机器人主要用于攻击电子商务、银行和公共服务。然而,专家最近观察到机器人在能源行业、住房和公共服务、医疗、教育和娱乐领域的活动。
资料来源:https://www.ehackingnews.com/2021/09/malicious-software-reportedly-generates.html

11、ImmuniWeb推出用于识别未受保护的云存储免费工具

瑞士的网络和应用程序安全公司ImmuniWeb 9月28号宣布推出一款免费在线工具,旨在帮助组织识别未受保护的云存储。
ImmuniWeb,前身为High-TechBridge,表示IT和网络安全专业人员可以使用新工具轻松快速地识别AWS、Microsoft Azure、Google Cloud Platform、IBM Cloud、Oracle Cloud、Digital Ocean、Rackspace中未受保护的云存储实例以及其他十几种公共云服务。识别和保护未受保护的云存储实例对于防止数据泄漏很重要。最近许多导致数百万条记录暴露的事件都涉及未受保护的云存储。除了查找未受保护的云存储之外,新的云安全测试还可以检测IAM错误配置和影子云帐户。用户只需输入其网站的URL即可执行测试——不需要云凭据。完成测试最多可能需要15分钟,但该公司表示通常会更快。出于合规目的,测试结果包括有关存储数据的地区或国家/地区的信息。
ImmuniWeb表示,该工具利用了OSINT、大数据和智能预测技术。为了防止滥用,用户需要注册一个免费帐户并对其进行验证,以收集暴露的云存储桶的URL。
为云安全测试工具提供的免费API允许组织每天进行多达4次免费测试。免费的云安全监控服务目前处于测试阶段。
ImmuniWeb社区版提供多种免费工具,包括用于测试移动应用安全性、网站安全性、暗网暴露和SSL安全性。该公司声称,迄今为止,其免费工具已被用于执行近2亿次安全测试。
资料来源:https://www.securityweek.com/immuniweb-launches-free-tool-identifying-unprotected-cloud-storage

12、网络保险公司Coalition获2.05亿美元融资

美国网络保险公司Coalition在E轮融资中筹集了2.05亿美元,估值超过35亿美元。迄今为止,该公司已筹集了超过5亿美元的资金。该轮融资由Durable Capital、T. Rowe Price和Whale Rock Capital共同牵头,现有投资者也参与其中。Coalition表示这笔资金将用于加速规模和扩展到新的保险产品线。
Coalition是北美最大的网络保险公司之一。该公司声称拥有超过50,000名客户,他们提供免费的网络安全工具,旨在帮助他们预防和应对安全事件。
Coalition的首席执行官兼联合创始人Joshua Motta表示:“我们正在构建一种以技术为核心的新型保险。这是一种截然不同的方法,它正在发挥作用,因为我们为一个缓慢释放数据全部力量的行业设定了新标准。”
Motta补充说:“转移风险是不够的——我们积极监控投保人的数字风险,帮助他们解决漏洞,追回被盗资金,并减少我们的投保人经历的索赔数量。随着我们帮助各种规模的组织管理数字经济中的风险,Coalition已准备好实现巨大增长。”
资料来源:https://www.securityweek.com/cyber-insurance-firm-coalition-raises-205-million-35-billion-valuation

13、英国威胁检测公司SenseOn融资2000万美元

英国的威胁检测公司SenseOn9月27号宣布已完成2000万美元A轮融资,以扩展其基于人工智能的网络安全平台业务。该公司由David Atkinson于2017年创立,宣称其“人工智能三角测量”技术通过模仿人类安全分析师的思考和行动方式,以实现威胁检测、调查和响应过程的自动化。据该公司称,这笔额外资金将有助于支持研发并扩大其上市团队的规模。A轮融资由Eight Roads Ventures领投,现有投资者MMC Ventures、Crane Venture Partners和Winton Ventures Limited跟投。
在进入网络安全领域的商业领域之前,Atkinson在英国的专业军事单位工作了超过15年,他是第一位网络操作员。
通过结合传统孤立安全域的检测和响应功能,SenseOn表示其平台主动检测并关闭外部威胁和恶意内部人员,同时提高安全团队的效率。
资料来源:https://www.securityweek.com/uk-based-threat-detection-firm-senseon-raises-20-million

14、LG将收购汽车网络安全公司Cybellum

韩国电子巨头LG电子宣布计划以约2.4亿美元收购以色列汽车网络安全公司Cybellum。LG表示,最初将以1.4亿美元收购Cybellum 64%的股份,并将在不久的将来收购剩余股份——如果估值不变,剩余股份的价值将接近8000万美元。这家韩国科技巨头还计划在第四季度完成交易流程后,通过一项简单的未来股权协议(SAFE)向这家网络安全公司投资2000万美元。
Cybellum提供车辆网络安全风险评估解决方案,该公司声称与世界各地的汽车制造商和供应商合作。该公司的网络数字孪生平台旨在通过创建其软件组件的详细展示并检查其漏洞来保护车辆免受网络威胁。还向用户提供解决已识别问题的建议。
收购Cybellum是LG“通过战略收购、联盟和合作伙伴关系加强其业务组合战略的一部分,重点关注其汽车零部件业务。”LG表示,此次收购将帮助其开发更安全的汽车软件并增强其汽车零部件业务,同时允许Cybellum扩展其解决方案。收购完成后,Cybellum仍将是一个独立的实体和品牌。
“Cybellum开发了业内最全面的产品安全管理产品,与LG的合作将使我们能够进一步加速实现我们的愿景。我们预计在不久的将来会显着增长。”Cybellum首席执行官Slava Bronfman说。
资料来源:https://www.securityweek.com/lg-acquire-vehicle-cybersecurity-firm-cybellum

15、F5以6800万美元现金收购威胁检测公司Threat Stack

云应用和安全解决方案提供商F5宣布将以6800万美元现金收购威胁检测公司Threat Stack。Threat Stack提供了一个监控云、混合云、多云和容器化环境的平台,可以自动关联事件以识别可疑活动。F5表示,其应用程序和API保护解决方案将与Threat Stack的云安全功能相结合,以增强跨应用程序基础架构和工作负载的可见性。
“应用程序是当今现代企业的支柱,保护它们对我们的客户来说是至关重要的任务。”F5安全执行副总裁Haiyan Song表示,“Threat Stack带来了技术和人才,这些技术和人才将加强F5的安全能力,并通过更广泛的云可观察性和为客户提供可操作的安全洞察来进一步推进我们的自适应应用程序愿景。”
该交易预计将在F5 2022财年第一季度(截至2021年12月31日)完成,预计将在2022财年增加约1500万美元的收入。
资料来源:https://www.securityweek.com/f5-acquire-threat-stack-68-million-cash