安全态势周刊

News information

六方云 安全态势周刊丨第301期

<<返回

2024年06月13日 08:00

01.

业界动态


1、国家能源局印发《电力网络安全事件应急预案》

为加强电力网络安全事件应急能力建设,规范各单位电力网络安全事件应急处置工作,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响,国家能源局制定了《电力网络安全事件应急预案》。

https://www.secrss.com/articles/66902



2、卢森堡和爱沙尼亚牵头“技术联盟”增强乌克兰的网络防御

由西方12国组成的“IT联盟”已筹集总计5800万欧元(6290万美元),用于协助乌克兰发展信息和通信技术,提升其信息技术和网络安全防御能力,从而赋予乌克兰在战场上的技术优势。“IT联盟”由爱沙尼亚和卢森堡于2023年9月牵头成立,现有的其他成员国包括比利时、丹麦、冰岛、意大利、日本、拉脱维亚、立陶宛、荷兰、英国和乌克兰。该联盟是乌克兰国防联络小组(UDCG)内的一个专门国家团体,致力于为乌克兰国防部和武装部队提供 IT、通信和网络安全领域的支持。

https://www.secrss.com/articles/66740


3、Muhstik僵尸网络利用Apache RocketMQ漏洞实施DDoS攻击

据观察,名为Muhstik的分布式拒绝服务(DDoS)僵尸网络利用影响Apache RocketMQ的现已修补的安全漏洞来选择易受攻击的服务器并扩大其规模。其中,Muhstik主要针对物联网设备和基于Linux的服务器,并因其感染设备并利用它们进行加密货币挖矿和发起分布式拒绝服务(DDoS)攻击的能力而臭名昭著。该恶意软件活动最早可追溯到2018年,其主要利用已知的安全漏洞,特别是与Web应用程序相关的漏洞实现传播。最新加入利用漏洞列表的是CVE-2023-33246(CVSS 评分:9.8),一个影响Apache RocketMQ的严重安全漏洞,允许远程和未经身份验证的攻击者通过伪造RocketMQ协议内容或使用更新配置功能来实现远程代码执行。

https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html


4、微软弃用Windows NTLM身份验证协议

微软已正式弃用WindowsWindows服务器上的NTLM身份验证协议,并表示开发人员应过渡到Kerberos或协商身份验证,以防止将来出现问题。NTLM是一种身份验证协议,于1993年作为Windows NT 3.1的一部分首次发布,并作为LAN管理器(LM)协议的后继者。微软表示,目前仍广泛使用的NTLM协议自6月份起将不再积极开发,并将逐步淘汰,转而采用更安全的替代协议。

https://www.bleepingcomputer.com/news/microsoft/microsoft-deprecates-windows-ntlm-authentication-protocol/



02.

关键基础设施


1、乌克兰卫星电视系统攻击事件安全分析

据外媒报道,2024年5月9日,黑客对乌克兰的电视频道进行了入侵,使得部分乌克兰居民意外观看到了莫斯科红场的胜利日阅兵直播。这次攻击影响了StarLightMedia和Inter两家电视台的卫星广播,攻击分别在当日上午10点至10点18分、11点27分至11点29分以及中午12点51分至12点55分三个时间段内发生。为了应对这一情况,相关频道不得不暂时切断卫星信号。

https://www.freebuf.com/articles/paper/402167.html



03.

安全事件


1美国洛杉矶联合学区遭数据泄露,黑客出售超11GB信息

洛杉矶联合学区疑似遭遇数据泄露,黑客声称出售超 11GB包含数百万学生和数千名教师的个人信息。洛杉矶联合学区(LAUSD)官员正在调查黑客声称出售被盗数据库的事件,以确认其真实性。据称,该被盗数据库包含数百万学生和数千名教师的个人信息。黑客称,黑客论坛上以 1000 美元价格出售的 CSV 文件包含超过 11GB 的数据,数据包括 2600 多万条学生信息、24000 多条教师信息和大约 500 条员工信息。

https://www.bleepingcomputer.com/news/security/los-angeles-unified-school-district-investigates-data-theft-claims/


2跨境电商熊猫购支付赎金后被撕票,上千万用户数据泄露

近日,因大规模销售假货案而登上新闻热搜的中国跨境电商平台Pandabuy遭遇黑客二次勒索,黑客在数据泄露论坛以4万美元的价格出售包含1700万条用户数据的“Pandabuy的完整数据库”。据BleepingComputer报道,Pandabuy声称此前曾为阻止被盗数据泄露支付过一次赎金,但同一黑客本周再次对其进行勒索。

https://www.bleepingcomputer.com/news/security/pandabuy-pays-ransom-to-hacker-only-to-get-extorted-again/


3乌克兰对俄政府机构发起大规模网络攻击

当地时间6月5日,一名消息人士称,乌克兰国防部情报总局的网络专家对俄政府机构和大公司进行了大规模分布式拒绝服务(DDoS)攻击。消息称,俄罗斯多个政府机构和私营企业的工作实际上已经瘫痪。

https://www.secrss.com/articles/66836

4国内知名电器集团售后系统遭入侵,涉案金额高达1.2亿元

去年2月23日,仪陇县公安局接群众举报,县城一家电器售后服务老板徐某山,经常使用 一款“A助手软件”对某某电器售后服务APP进行操作,频繁上传电器安装地址和照片。根据举报线索,民警判断徐某山行为疑似存在使用黑客程序进行网络攻击的行为。遂开展专案侦查工作,围绕“A助手软件”开展逆向破解分析,发现这完全就是黑客攻击软件,未经某某集团授权。这款软件突破了系统安全防护,实现非法侵入、控制目的,能够伪造安装服务工单,上传至售后服务系统,用以骗取售后服务安装维护费用,涉案金额高达30余万元。2023年3月12日,在掌握该团伙所有人员身份和轨迹后,专案组成功抓获包括老板徐某山在内的犯罪嫌疑人10人。

https://www.secrss.com/articles/66832


04.

漏洞事件


1、PHP CGI Windows平台远程代码执行漏洞 (CVE-2024-4577)

PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/



2、Apache OFBiz路径遍历漏洞 (CVE-2024-36104)

Apache OFBiz 路径遍历漏洞(CVE-2024-36104) 在互联网上公开,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。

https://ofbiz.apache.org/security.html



05.

安全标准


1、全国网安标委就国家标准《网络安全技术 关键信息基础设施边界确定方法》征求意见

为更好地保障能源、交通、水利、金融、公共服务、电子政务、国防科技工业等关键信息基础设施的网络安全,明确关键基础设施边界的确定方法,进一步完善相关技术标准和规范,全国网络安全标准化技术委员会秘书处印发《网络安全技术 关键信息基础设施边界确定方法(征求意见稿)》

https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.tc260.org.cn%2Ffile%2F2024-05-31%2F489176b0-b82a-41a6-b972-38001664781e.doc&wdOrigin=BROWSELINK


06.

政策发布


1、国家能源局印发《电力网络安全事件应急预案》

为深入贯彻习近平总书记关于网络强国的重要思想,加强电力网络安全事件应急能力建设,规范各单位电力网络安全事件应急处置工作,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响,国家能源局制定了《电力网络安全事件应急预案》。

https://zfxxgk.nea.gov.cn/2024-05/16/c_1310777555.htm