【一周安全资讯0717】谷歌发现四个0day漏洞被积极利用;伊朗铁路

发布日期:2021-07-19 10:38   来源:未知   阅读:

  第4届“金叶轮”暖通空调设计大赛 助建行业创原标题:【一周安全资讯0717】谷歌发现四个0day漏洞被积极利用;伊朗铁路遭网络攻击

  【2021年针对关键制造业漏洞的攻击事件激增】新的研究表明,在2021年上半年,关键制造业的漏洞增加了148%,基于勒索软件的全套服务(RaaS)驱动了大部分攻击数量的增幅。Nozomi Networks的报告发现ICS-CERT的漏洞也增加了44%。制造业是最容易受到影响的行业,而能源行业也被证明是脆弱的。Nozomi Networks联合创始人兼首席技术官Moreno Carullo说:Colonial Pipeline、JBS和最新的Kaseya软件供应链攻击都是痛苦的教训,说明勒索软件攻击的威胁是真实的。安全专业人员必须用网络安全和可视性解决方案来武装自己,这些解决方案要纳入实时威胁情报,并使之能够以可操作的建议和计划来快速应对。了解这些犯罪组织的工作方式,并预测未来的攻击,对于他们抵御这种不幸的新常态至关重要。

  【2021年6月头号恶意软件:Trickbot仍然位居榜首】近日,威胁情报部门Check Point Research (CPR)发布了其2021年6月最新版《全球威胁指数》报告。研究人员报告称,Trickbot仍然是为活跃且最猖獗的恶意软件(于5月首次跃居榜首)。Trickbot结合了僵尸网络和银行木马,可窃取财务信息、账户登录凭证及个人身份信息,并在网络中传播和投放勒索软件。上个月CPR报告称,在过去12个月中,平均每周勒索软件攻击次数增加了93%。此外,该部门还警告称,勒索软件攻击通常并非始于勒索软件。例如,在Ryuk勒索软件攻击中,Emotet恶意软件被用于侵入网络,然后网络感染了本月头号恶意软件Trickbot,最后该勒索软件对数据进行了加密。CPR还指出,“HTTP标头远程代码执行”是最常被利用的漏洞,全球47%的组织因此遭殃,其次是“MVPower DVR远程代码执行”,影响了全球45%的组织。“Dasan GPON 路由器身份验证绕过”在最常被利用的漏洞排行榜中位列第三,全球影响范围为44%。

  【工信部:2023年网络安全产业规模超过2500亿元,年复合增长率超过15%】为加快推动网络安全产业高质量发展,提升网络安全产业综合实力,工业和信息化部起草了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(以下简称《行动计划》)。根据《行动计划》,到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。产业规模方面,网络安全产业规模超过2500亿元,年复合增长率超过15%。技术创新方面,一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。需求释放方面,电信等重点行业网络安全投入占信息化投入比例达10%。重点行业领域安全应用全面提速,中小企业网络安全能力明显提升,关键行业基础设施网络安全防护水平不断提高。

  【微软5亿美元收购网络安全公司RiskIQ】微软本周证实,已经以5亿美元收购网络安全(数字威胁管理)公司RiskIQ。微软表示,收购RiskIQ是为了“帮助我们共同的客户更全面地了解其业务面临的全球威胁,更好地了解那些面向互联网的脆弱资产,构建世界一流的威胁情报。”RiskIQ成立于2019年,主要为那些需要保护企业数字资产和映射基础设施的组织提供可见性和情报服务,该公司的EDP安全审计引擎可以自动绘制企业组织外部可访问的基础设施。RiskIQ的技术很可能会被融入到Azure云服务中,以帮助应为加强自身的安全产品和服务。此次收购(如果进展顺利的话)并不是微软在网络安全领域的首次收购,今年6月微软收购了物联网安全初创公司ReFirm Labs,去年6月收购了工业网络安全初创公司CyberX。根据Crunchbase的数据显示,RiskIQ已经累计筹集了8300万美元的风投资金。

  【伊朗国家铁路遭网络攻击,各地车站大屏传播虚假延误信息】据伊朗国内的法尔斯通讯社报道,伊朗铁路系统遭遇网络攻击,攻击者在全国各地车站的显示屏上大肆发布关于火车延误或取消的虚假信息。显示屏上的通报信息提到,火车“因网络攻击而长时间延误”或“取消”,并敦促乘客拨打电话查询更多详细信息。而这里留下的,恰恰是伊朗最高领导人阿亚图拉·阿里·哈梅内伊办公室的座机号码。网络攻击导致伊朗火车站爆发出“前所未有的混乱局面”。不过法尔斯社称,攻击活动并未引发运力中断,希望尽量淡化事件影响。ABC News报道称,“法尔斯社后来删除了报道,转而引用国家铁路公司发言人萨德·塞克里的的解释,即「中断」并未对火车乘运服务造成任何影响。”截至目前,仍不清楚这次攻击的幕后黑手是谁,也没有任何团伙宣称对此次事件负责。

  【施耐德PLC被发现存在远程执行代码漏洞】日前,研究团队声称发现了关于Schneider Modicon PLC的一个漏洞(CVE-2021-22779),该漏洞是Modicon 统一消息应用服务(UMAS)协议的一个身份验证绕过漏洞,为攻击者覆盖系统内存并执行远程代码敞开了大门。这意味着攻击者利用该漏洞不仅可以操纵PLC本身,还可以以硬件为跳板进行进一步的攻击部署。Modicon PLC本身广泛应用于能源公用事业、建筑服务、HVAC系统和其他敏感系统,因此硬件的损坏也可能导致后果严重的物理世界的损失。Armis研究副总裁Ben Seri表示:CVE-2021-22779本身不仅仅是一个身份验证绕过漏洞,该漏洞还可以让攻击者回滚可以阻止远程代码执行的安全措施。“一方面,这是嵌入式设备中的漏洞”,Seri 解释:“但另一方面,这也是基本设计的深度缺陷”,“PLC 在设计时就应该考虑如何维护安全性,其次才是本身的功能运作”。该漏洞涉及在开发过程中用于调试Modicon硬件的未记录指令。通常,这些调试命令对用户是锁定的,并且只能为管理员账户使用。然而,存在CVE-2021-22779漏洞的情况下,一些命令被对外暴露出来,攻击者使用这些命令就可以检索管理员密码哈希。Seri认为,制造商未能为硬件构建必要的保护措施,在工控领域可能因此而带来更大的威胁。

  【黑客组织REvil突然“隐身”与美俄施压有关?俄政府并不知情】通过勒索软件制造多起大规模网络袭击的黑客组织“REvil”13日突然“隐身”,多家英美媒体猜测这与美国和俄罗斯政府施压有关,但俄媒14日援引俄总统新闻秘书佩斯科夫的话称,俄政府并不知情。据俄塔社14日报道,佩斯科夫当天表示,克里姆林宫对“REvil”从“暗网”中消失的原因并不知情。他强调,俄罗斯认为任何网络犯罪都是不可接受的。“俄罗斯和美国应该合作打击这一犯罪。有关该团体的详细信息,不幸的是,我不掌握。但俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”据《纽约时报》等媒体13日证实,“REvil”运营的多家网站于当天凌晨下线。网络安全公司CrowdStrike前首席技术官阿尔佩罗维奇表示,“REvil”在“暗网”上的博客仍然可以访问,但受害者用来与“REvil”谈判、并在付款时获得解密工具的一些关键网站,已无法访问。

  【谷歌:四个0day漏洞被积极利用,领英已被攻击】近日,谷歌安全人员分享了4个新的0day漏洞的信息。并且,谷歌还透露,与俄罗斯有关的APT组织正在利用其中的Safari零日漏洞攻击 LinkedIn 用户。这四个安全漏洞于今年早期被发现,影响了Google Chrome、Internet Explorer和WebKit浏览器引擎。有趣的是,四个漏洞中的三个是由同一家政府支持的商业监控供应商开发。第四个漏洞(CVE-2021-1879)则可能是由一个与俄罗斯有关的APT组织开发。此外,谷歌安全人员还表示,今年已经有33个零日漏洞被用于公开披露的攻击,比2020年期间的总数多11个。虽然Chrome和Internet Explorer的0day是由同一个供应商开发并出售给世界各地想要提高其监控能力的客户,但它们没有被用于任何高调的攻击活动。CVE-2021-1879 WebKit/Safari漏洞则不然。据谷歌称,该漏洞通过 LinkedIn Messaging被用来针对西欧国家的政府官员,向他们发送恶意链接。www.bm9w6.cn