工业网络安全“情报解码”-2021年第16期

工业网络安全“情报解码”-2021年第16期

时间:2021-10-15 作者:安帝科技

摘要

漏洞态势方面

OTORIO研究人员在InHand工业路由器中发现了13个漏洞,诸多公司的工业系统正在面临远程攻击。建筑科技巨头江森自控旗下的Exacq Technologies生产的视频监控系统被曝出存在高危漏洞,其中之一CVSS评分高达9.8。本月的周二补丁日,西门子修复了其产品的33个漏洞,主要为其SINEC网络管理系统以及SCALANCE W1750D控制器中的漏洞;施耐德电气修复其产品的20个漏洞,包括Conext太阳能发电厂产品和IGSS SCADA系统中的严重漏洞;SAP发布了13条新的安全说明,其中最重要的是修复了两个CVSS评分均为9.8的XML外部实体(XXE)注入漏洞;微软修复其产品中的74个漏洞,包括一个正在被积极利用的零日漏洞;Adobe共修复了其Acrobat Reader、Connect、Commerce和Campaign Standard产品中的10个漏洞。思科研究人员发现Anker的 Eufy Homebase产品中存在漏洞,可能导致代码执行、缓冲区溢出。OpenSea修复了一个安全漏洞,该漏洞可能允许黑客通过恶意制作NFT劫持用户帐户并清空他们的加密钱包。

安全事件方面

一名微软Azure云服务的欧洲客户于8月底遭受了每秒2.4TB(Tbps)的DDoS攻击,这是迄今为止记录的最大DDoS攻击,通过一个由大约70,000台设备组成的僵尸网络发起。日本医疗技术公司奥林巴斯在美洲的业务受到网络攻击的影响,迫使该公司关闭其部分系统,正在逐渐恢复。NCC Group的研究人员发现,被称为SnapMC的勒索组织通过利用已知漏洞进行初始访问,通常能在30分钟内突破受害者网络。

融资并购方面

运营技术(OT)网络安全公司Shift5获得2000万美元融资,用于保护飞机、火车、坦克和其他重型机械免受网络威胁和操作故障的影响。云安全公司Wiz获得2.5亿美元融资。供应商风险管理公司Black Kite融资2200万美元。

1、InHand路由器漏洞可能使许多工业公司面临远程攻击

工业网络安全公司OTORIO的研究人员在工业物联网解决方案提供商InHand Networks制造的IR615LTE路由器中总共发现了13个漏洞,其中几个严重漏洞可能会使许多工业公司面临远程攻击,包括跨站请求伪造(CSRF)、远程代码执行、命令注入、弱口令以及严重的不当授权和跨站脚本(XSS)漏洞,恶意行为者可以利用这些漏洞完全控制受影响的设备并拦截通信以窃取敏感信息。
InHand在中国、美国和德国均设有办事处,产品销往世界各地。InHand表示,其客户包括西门子、通用电气医疗、可口可乐、飞利浦医疗和其他大公司。
OTORIO表示它已经确定了数千个暴露在互联网上的InHand路由器,这些路由器可能容易受到攻击,但该公司指出,从互联网上进行攻击需要对路由器的Web管理门户进行身份验证。攻击者可以使用默认凭据或利用暴力攻击获取登录凭据来对设备进行身份验证。路由器的弱密码策略和可用于枚举所有有效用户帐户的缺陷使暴力攻击变得容易。
这家网络安全公司警告说,攻击者可以利用这些漏洞渗透到组织中。攻击者可以从InHand设备转移到受害者网络中的其他工业系统。
攻击者可能会滥用远程代码执行漏洞,通过运行CLI命令在设备上获得第一个立足点;在设备上植入第一个后门作为持久化阶段,并开始扫描内部组织网络,以提升攻击者的权限并转移到网络上的敏感资产。最终目标是获得组织的域管理员权限。当然,如果有额外的敏感网络,例如OT网络,攻击者可以尝试获得立足点并破坏产品线地板的日常运作,从而造成额外的损害和财务成本。
OTORIO于2020年11月通过CISA向InHandNetworks报告了其调查结果。然而,CISA在其咨询中表示,该供应商“尚未回应与CISA合作以缓解这些漏洞的请求。”CISA提供了一些通用缓解措施,以帮助受影响的组织降低被利用的风险。
资料来源:https://www.securityweek.com/inhand-router-flaws-could-expose-many-industrial-companies-remote-attacks

2、西门子修复其产品的33个漏洞

西门子发布了5个新公告,涵盖33个漏洞。
其SINEC网络管理系统的更新修复了15个漏洞,包括任意代码执行漏洞,虽然其中一些属于高危漏洞,但需要身份验证才可利用。
针对其基于SCALANCE W1750D控制器的直接访问点,西门子发布了涵盖15个漏洞的补丁和缓解措施,其中包括允许未经身份验证的远程攻击者在底层操作系统上引发DoS条件或执行任意代码的严重漏洞。W1750D是来自Aruba的带有品牌标签的设备,大部分漏洞都存在于ArubaOS操作系统中。
该公司还通知客户SIMATIC Process Historian中存在一个严重的身份验证漏洞。攻击者可以利用该漏洞插入、修改或删除数据。
剩下的两个公告解决了SINUMERIK控制器和RUGGEDCOM ROX设备中的高严重性拒绝服务(DoS)漏洞。对于RUGGEDCOM设备,未经身份验证的攻击者可能会在某些情况下导致永久性DoS条件。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-and-schneider-electric-address-over-50-vulnerabilities

3、施耐德电气修复其产品的20个漏洞

施耐德电气发布了6个新公告,涵盖20个漏洞。
其中一份报告描述了11个Windows漏洞对该公司Conext太阳能发电厂产品的影响。微软在2019年和2020年修复了这些漏洞,其中大多为严重或高危漏洞。
另一份公告描述了影响施耐德IGSS SCADA系统的两个关键漏洞,一个是高危漏洞,一个是中危漏洞。该公司表示,最坏的利用场景可能导致攻击者获得运行IGSS机器上对Windows操作系统的访问权限。
该公司还向用户通报了影响spaceLYnk、Wiser For KNX和fellerLYnk产品的高严重性信息泄露漏洞,以及ConneXium网络管理器软件中的高严重性命令执行问题。
最后一个公告描述了两个AMNESIA:33漏洞对ModiconTM5模块的影响。AMNESIA:33是去年在四个开源TCP/IP堆栈中发现的33个缺陷的名称。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-and-schneider-electric-address-over-50-vulnerabilities

4、江森自控旗下ExacqVision视频监控系统存在高危漏洞

网络安全公司Tenable的研究人员在建筑科技巨头江森自控旗下的Exacq Technologies生产的视频监控系统中发现了两个安全漏洞。
第一个漏洞称为直通账户安全问题,CVSS评分9.8。根据Tenable的说法,受影响的网络服务允许用户使用网络浏览器从ExacqVision服务器获取视频和其他数据。Web服务充当Web客户端和服务器之间的中介。Tenable研究人员发现,如果ExacqVision服务器配置了一个所谓的直通帐户(pass – through account),可以用于远程连接到服务器,未经身份验证的攻击者可以滥用它,以这个直通帐户的特权访问服务器。
第二个漏洞被描述为一个DoS问题,CVSS评分为8.8分。远程、未经身份验证的攻击者可以利用该漏洞通过发送特制消息来使服务器崩溃。“如果攻击者发现exaqVision软件暴露在互联网上的一个易受攻击的实例,他们可能能够在不经过身份验证的情况下获得对该软件的管理权限。这将允许他们更改配置、窃取数据、中断对exaqVision软件的访问,或完全禁用它,”Tenable解释道。
这些漏洞在7月下旬被报告给供应商,大约一个月后开发了补丁。根据江森自控的说法,这些漏洞会影响32位版本的exacqVision Server 210.06.11.0和更老的版本。用户可以升级到21.9版本或升级到64位版本,以防止利用这些漏洞。
资料来源:https://www.securityweek.com/vulnerabilities-expose-exacqvision-video-surveillance-systems-remote-attacks

5、SAP修复其产品中的严重漏洞

德国软件制造商SAP发布了13条新的安全说明并更新了之前发布的说明。其中最重要的安全说明涉及SAP环境合规性中的两个严重漏洞CVE-2020-10683和CVE-2021-23926,CVSS评分均为9.8,是潜在的XML外部实体(XXE)注入漏洞。虽然SAP没有提供这些安全漏洞的具体细节,但XML注入漏洞通常允许攻击者干扰XML数据的处理,导致信息泄露或使攻击者能够与后端系统交互。
SAP还修复了NetWeaver AS ABAP和ABAP平台中严重的不当授权问题(CVE-2021-38178,CVSS评分9.1)。攻击者可以利用该漏洞绕过质量门并将ABAP代码工件传输到质量和生产系统。
本周发布的第三个热点新闻安全说明是对SAP业务客户端中Chromium浏览器的更新。SAP新发布的安全说明中只有一个具有高严重性评级,它修复了适用于Android设备的SuccessFactors移动应用程序中的拒绝服务(DoS)漏洞(CVE-2021-40498,CVSS评分为7.8)。在执行已实现的Android方法期间,可能会与来自使用这些方法的其他Android应用程序的活动进行交互,这可能会导致潜在的网络钓鱼攻击以及DoS。
SAP新一轮补丁中剩余的10个安全说明均针对中等严重性问题,包括信息泄露、DoS、代码注入和跨站点脚本(XSS)漏洞。
资料来源:https://www.securityweek.com/sap-patches-critical-vulnerabilities-environmental-compliance

6、微软修复其产品中的74个漏洞

微软在10月12号发布的更新中修复了74个漏洞(包括Microsoft Edge在内的81个),包括4个零日漏洞,其中3个为严重漏洞,70个为高危漏洞,1个为低危漏洞。这81个漏洞(包括Microsoft Edge)被归类为:21个提权漏洞,6个安全功能绕过漏洞,20个远程代码执行漏洞,13个信息披露漏洞,5个拒绝服务漏洞,9个欺骗漏洞。
共修复了四个零日漏洞,其中一个Win32k特权提升漏洞已知在攻击中被积极利用。卡巴斯基的Boris Larin(oct0xor)发现了这个被主动利用的漏洞,它允许恶意软件或威胁行为者在Windows设备上获得更高的权限。该漏洞被威胁行为者用于针对IT公司、军事/国防承包商和外交实体的广泛间谍活动。作为攻击的一部分,攻击者安装了一个远程访问木马(RAT),该木马使用零日Windows漏洞以更高的权限提升。
微软还修复了其他三个公开披露的漏洞,这些漏洞已知不会在攻击中被利用。CVE-2021-40469-Windows DNS服务器远程代码执行漏洞,CVE-2021-41335-Windows内核特权提升漏洞,CVE-2021-41338-Windows App Container防火墙规则安全功能绕过漏洞。
资料来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2021-patch-tuesday-fixes-4-zero-days-71-flaws/?&web_view=true

7、Adobe修复了多个产品中的严重代码执行漏洞

Adobe宣布它已在其Acrobat Reader、Connect、Commerce和Campaign Standard产品中修复了总共10个漏洞。
Adobe修复了适用于Windows和Linux的Acrobat Reader中的四个漏洞。其中释放后使用和越界漏洞均为严重漏洞,它们可能导致在当前用户的上下文中任意代码执行。另外两个是中危漏洞,可用于提权。在Reader for Android中,该公司修复了一个可能导致信息泄露和任意代码执行的重要漏洞。
在适用于Windows和Linux的Adob​​e Campaign Standard中,这家软件巨头解决了一个关键的跨站脚本(XSS)漏洞。Connect中还修复了一个XSS漏洞,以及一个与不可信数据的反序列化相关的关键代码执行漏洞。Adobe ops-cli也解决了一个关键的反序列化问题,这是该公司内部使用的开源Python包装器。
Adobe Commerce产品中还修复了一个XSS漏洞。这是一个存储的XSS,无需身份验证即可被利用,但该公司只为其分配了一个重要的严重性等级。
这些漏洞似乎都没有在攻击中被利用,而且由于它们的优先级均为2或3,Adobe认为它们不太可能被恶意行为者在其操作中利用。
资料来源:https://www.securityweek.com/adobe-patches-critical-code-execution-vulnerabilities-several-products

8、Anker Eufy Homebase中的漏洞可能导致代码执行、缓冲区溢出

Cisco Talos在Anker Eufy Homebase中发现了两个漏洞。Eufy Homebase是与Anker的Eufy Smarthome生态系统配合使用的视频存储和网络网关。所有Eufy设备都连接到此云连接设备,并允许用户修改其他Eufy Smarthome设备上的设置。
TALOS-2021-1369(CVE-2021-21940)是Homebase的pushMuxer process RtspInfo功能中基于堆的缓冲区溢出漏洞。攻击者可以发送恶意数据包来触发此漏洞,从而导致基于堆的缓冲区溢出。
TALOS-2021-1370(CVE-2021-21941)是一个释放后使用漏洞,允许攻击者在目标设备上执行远程代码。与其他漏洞一样,攻击者需要发送一系列恶意数据包才能触发此漏洞利用。
思科鼓励用户尽快更新这些受影响的产品:Anker Eufy Homebase2,版本2.1.6.9h。Talos测试并确认这些版本的Homebase可被此漏洞利用。
资料来源:https://blog.talosintelligence.com/2021/10/vuln-spotlight-anker-.html?&web_view=true

9、OpenSea修复可能导致加密货币被盗的漏洞

OpenSea是全球最大的NFT(非同质化代币)市场,2021年8月,OpenSea的交易额达到34亿美元。OpenSea修复了一个安全漏洞,该漏洞可能允许黑客通过恶意制作NFT劫持用户帐户并清空他们的加密钱包。
恶意NFT会触发弹窗消息,用户必须在这些消息上接受允许黑客获取其帐户信息的后续操作。没有用户交互,该漏洞就无法被利用。具体来说,该消息将请求用户允许连接到他们的加密货币钱包。由于其他活动在OpenSea上常见此类弹窗,因此用户可能无需过多考虑即可确认连接。
随后,黑客可以发起从受害者钱包到攻击者控制的钱包的欺诈交易,这将触发来自OpenSea存储域的另一条弹出消息。如果受害者在没有注意到交易内容的情况下接受交易,他们的钱包就会被清空。值得注意的是,该漏洞是在网络安全公司对钱包盗窃报告进行调查期间发现的,但这似乎不是这些攻击中利用的漏洞。
资料来源:https://www.securityweek.com/nft-marketplace-opensea-patches-flaw-potentially-leading-cryptocurrency-theft

10、Microsoft Azure客户遭受最高峰值达2.4Tbps的DDoS攻击

微软宣布其Azure云服务在8月底缓解了每秒2.4TB(Tbps)的DDoS攻击,这是迄今为止记录的最大DDoS攻击。这次攻击针对的是欧洲的Azure客户,但微软没有透露受害者的姓名。
据微软专家称,此次攻击是通过一个由大约70,000台设备组成的僵尸网络发起的,持续时间超过10分钟,爆发时间非常短,攻击由UDP反射流量组成,是Azure之前缓解的最大攻击强度的1.4倍,观察到三个主要峰值,分别为2.4Tbps、0.55Tbps和1.7Tbps。大多数受感染的设备位于亚太地区,例如马来西亚、越南、台湾、日本和中国,以及美国。
好消息是微软成功缓解了攻击。
资料来源:https://securityaffairs.co/wordpress/123245/hacking/azure-record-ddos-attack.html

11、医疗技术公司奥林巴斯因网络攻击被迫关闭计算机系统

日本医疗技术公司奥林巴斯10月12号透露,其在美洲的业务受到网络攻击的影响。该攻击于10月10日被发现,迫使该公司关闭其部分系统,但奥林巴斯表示已在努力将它们恢复正常。这是奥林巴斯最近遭受的第二次网络攻击,奥林巴斯9月发表声明,宣布其欧洲、中东和非洲计算机网络遭到勒索软件攻击。
奥林巴斯表示:“在检测到可疑活动后,我们立即动员了一个包括取证专家在内的专业响应团队,我们目前正在以最高优先级解决这个问题,作为调查和遏制的一部分,我们已暂停受影响的系统,并已通知相关外部合作伙伴。我们目前的调查结果表明,该事件只发生在美洲,对其他地区没有已知影响。”
该公司没有透露它遭受的攻击类型,但情况表明可能是勒索软件攻击,也没有说明其数据是否遭到泄露。调查仍在进行中,奥林巴斯表示将在新信息可用时继续提供更新。
“我们正在与适当的第三方合作解决这种情况,并将继续采取一切必要措施,以安全的方式为我们的客户和业务合作伙伴提供服务。保护我们的客户和合作伙伴并保持他们对我们的信任是我们的首要任务。”
资料来源:https://securityaffairs.co/wordpress/123263/security/olympus-us-cyberattack.html

12、勒索组织SnapMC 30分钟之内即可突破受害者网络

NCC Group的研究人员透露,在过去几个月中,攻击者越来越多地破坏企业网络以窃取数据并勒索受害者,但并未中断他们的运营。被称为SnapMC的黑客组织试图利用网络服务器和VPN应用程序中的多个漏洞进行初始访问,通常会在30分钟内破坏受害者网络。该组织随后会窃取受害者数据以利用它进行勒索,但不会使用勒索软件加密文件来破坏受害者的操作。
SnapMC威胁要在网上发布被盗数据,除非支付赎金,向受害者提供被盗数据列表作为网络失陷的证据,甚至威胁要进行下一步动作。
攻击者扫描网络服务器应用程序和VPN中的多个漏洞,使其能够访问目标环境。NCC Group观察到该组织利用Telerik UI for ASPX.NET中的远程代码执行以及SQL注入漏洞。在初始访问之后,攻击者执行有效载荷以安装用于远程访问的反向shell。观察到的有效载荷表明SnapMC正在使用针对Telerik的公开可用的概念验证漏洞。威胁参与者还使用PowerShell脚本进行侦察,并在一种情况下尝试提升权限。他们还部署了各种用于数据收集和渗漏的工具。
鉴于SnapMC利用已知漏洞进行初始访问,NCC Group鼓励组织确保其所有面向Web的资产保持最新,这应该可以减轻攻击。了解易受攻击的软件并实施强大的检测和事件响应机制也应该有助于抵御攻击者。
资料来源:https://www.securityweek.com/extortionist-hacker-group-snapmc-breaches-networks-under-30-minutes

13、Shift5获得2000万美元融资用于保护军事运输车队系统

Shift5是一家专注于交通基础设施和武器系统的运营技术(OT)网络安全公司,10月12日宣布在A轮融资中筹集了2000万美元。本轮融资由645 Ventures领投,Squadra Ventures、General Advance和FirstIn跟投。
Shift5由美国陆军网络司令部的前成员创立,其目标是提供解决方案,以保护飞机、火车、坦克和其他重型机械免受网络威胁和操作故障的影响。该公司开发了一种解决方案,该解决方案依赖于“进气”组件,该组件可以部署为硬件或软件来捕获车辆数据。算法机器学习引擎持续监控潜在威胁的数据。
“Shift5的数据驱动解决方案直接集成到现有车辆平台上,从车载数字组件收集和丰富数据,并持续监控数据流的安全性和操作异常。其分析平台为车队运营商提供网络安全入侵检测、更智能的维护和改进的运营智能,”该公司在宣布该轮融资的新闻稿中表示。它补充说:“进一步的功能允许固件和配置证明以及通过中和恶意或损坏的有效载荷来保护资产的能力。Shift5还为运营技术网络安全领域提供专业服务,例如漏洞研究和能力开发。”
Shift5表示已获得重要的政府合同,其解决方案已被美国军方的多个部门以及美国的主要客运铁路系统使用。
资料来源:https://www.securityweek.com/ot-cybersecurity-firm-shift5-raises-20-million-protect-planes-trains-and-tanks

14、云安全公司Wiz获得2.5亿美元融资

云安全公司Wiz 10月11日宣布在C轮融资中筹集了2.5亿美元,Insight Partners、Greenoaks Capital、红杉资本、Index Ventures和Salesforce Ventures参与了投资。Wiz开发了一个平台,组织可以使用该平台来扫描其云配置和工作负载、评估云架构和风险因素、识别关键风险并强化其云环境。该公司表示,其产品已被Fox、Salesforce、DocuSign、Blackstone和Slack等大公司使用。
Wiz首席执行官AssafRappaport表示:“Wiz使公司几乎可以即时覆盖整个多云环境,并关联风险以将信号与噪声分开。我们不只是识别风险——我们优先考虑它们并找到其他技术无法做到的攻击媒介,但我们并不止步于此。我们还有一个专门的安全研究人员(道德黑客)团队,他们的唯一工作是在云中找到使我们的客户处于危险之中的新攻击面。”
最近几个月,Wiz披露了几个潜在的严重漏洞,包括影响Azure客户的OMIGOD漏洞和被称为ChaosDB的CosmosDB漏洞。他们还确定了一种新的DNS攻击方法,可以实现民族国家级别的间谍活动。
资料来源:https://www.securityweek.com/cloud-security-company-wiz-raises-250-million-6-billion-valuation

15、供应商风险管理公司Black Kite融资2200万美元

第三方网络风险评级服务提供商Black Kite10月13号宣布完成2200万美元的B轮融资,本轮融资由Volition Capital领投,Moore Strategic Ventures、Glasswing Ventures和DataPoint Capital跟投。
Black Kite提供了一个网络评级平台,可从技术、财务和合规性角度评估风险,以帮助客户连续和自动化地确定哪些供应商对其组织构成的风险最高。Black Kite利用MITRE开发的常用框架来计算评级并将技术术语转换为简单的字母等级。该平台还使用Open FAIR模型来计算第三方供应商或合作伙伴的违规行为可能造成的财务影响。
Black Kite的分类让客户可以了解第三方实体对各种法规和标准的合规性级别,包括NIST 800-53、ISO27001、PCI-DSS、HIPAA、GDPR、共享评估等。
有了额外的资金,Black Kite希望扩大其在不断增长但竞争日益激烈的市场中的影响力,其中包括BitSight、SecurityScorecard、RiskRecon、UpGuard、Panorays、SecZetta等主要参与者。Black Kite表示,拥有300多个客户,其客户群和员工人数比去年增加了一倍以上,最近将其总部扩展到波士顿标志性的保诚中心,并继续计划在波士顿进行快速的员工增长。
资料来源:https://www.securityweek.com/vendor-risk-management-firm-black-kite-raises-22-million