六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第124期

2020年10月19日 09:15

一、业界动态

车联网网络安全白皮书 (2020年) 正式发布

2020年9月24日,在工业和信息化部网络安全管理局的指导下,由中汽数据有限公司牵头编制的《车联网网络安全白皮书(2020年)》正式发布。

https://mp.weixin.qq.com/s/4FimIhG5fUqXq7cgb4tE-Q

微软联合多个安全厂商成功捣毁僵尸网络TrickBot

由Microsoft Defender团队、FS-ISAC、ESET、Lumen Black Lotus Labs、NTT和Symantec组成的联盟通过共同的努力,成功的捣毁了僵尸网络TrickBot。事前,这些技术公司花费数月时间收集了超过125000个TrickBot恶意软件样本并分析其内容,提取和映射了有关恶意软件内部工作的信息,包括僵尸网络控制受感染计算机所用服务器。在掌握这些信息后,微软于本月上法庭,要求法官授予其对TrickBot服务器的控制权,以捣毁该僵尸网络。

https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet

CTI团队发布了有关新兴网络安全趋势的研究报告

埃森哲的网络威胁情报(CTI)团队发布了有关新兴网络安全趋势的研究报告,包括对勒索软件运营商与漏洞销售者之间关系性质的调查。其发现随着勒索软件的持续盈利,购买被盗的凭证和漏洞等渗透到目标系统的方法已经越来越流行。目前,支付赎金可以达到六位数甚至更多,具体取决于目标及其估计价值。因此,勒索软件组织正在寻求减少攻击的初始访问阶段的方法,以加快流程速度,并尽可能多的获得非法收入。

https://www.zdnet.com/article/ransomware-operators-buy-network-access-from-the-underground-to-speed-up-infection/

Telsy披露针对航空行业的SPACE RACE社会工程攻击

2020年5月初,Telsy分析了针对航空行业的SPACE RACE社会工程攻击。这些攻击通过社交网络LinkedIn进行,针对航空航天和航空电子领域的个人发起社会工程攻击。黑客在LinkedIn伪造虚拟身份,冒充卫星影像公司的HR招聘人员,并通过内部私人消息与目标人员联系,诱使他们下载包含有关假工作假期信息的恶意附件。研究人员认为该行动与黑客组织Muddywater有关。

https://www.telsy.com/operation-space-race-reaching-the-stars-through-professional-social-networks/

迈克菲IPO欲揽6亿美元,公司估值36亿美元

迈克菲公司寻求在即将到来的首次公开募股(IPO)中筹集6亿多美元资金。此前几周,迈克菲的首次公开募股(IPO)申请中,欲筹集资金暂定为1亿美元,而投资者估计,最终金额可能超过20亿美元。

https://www.secrss.com/articles/26042

 

二、关键基础设施

Talos披露Allen-Bradley适配器中未修补的DoS漏洞

Cisco Talos的研究人员披露了5个严重的缓冲区溢出漏洞,影响了4.003版或更早版本的Allen-Bradley设备。攻击者可以通过发送特制的恶意数据包来利用上述漏洞,这将导致受害者的网络与设备之间的通信丢失,从而导致拒绝服务。生产商建议将设备配置为仅接受来自端口44818上可信任来源的CIP连接,并实施网络分段和安全控制,以最大程度地减少影响。

https://securityaffairs.co/wordpress/109480/ics-scada/allen-bradley-adapter-dos-flaws.html

  

三、安全事件

黑客公开美国连锁餐厅Dickey的300万用户支付卡信息

Gemini Advisory发现,黑客在暗网Joker's Stash公开了美国烧烤连锁餐厅Dickey's BBQ Pit的300万用户的支付卡信息。Gemini称黑客是通过入侵Dickey餐厅使用的POS机窃取信息的,并已成功破坏了遍布30个州的156个餐厅。此外,这些数据似乎是在2019年7月至2020年8月之间被窃取的,黑客主要针对使用了过时磁条技术的卡,并且每张卡的平均价格仅为17美元。

https://www.zdnet.com/article/card-details-for-3-million-dickeys-customers-posted-on-carding-forum/

美国的监狱因数据库配置错误泄露囚犯与律师间通话的内容

位于美国圣路易斯的监狱因数据库配置错误泄露囚犯与律师间通话的内容。研究人员Bob Diachenko发现,至少从4月开始,监狱的一个服务器便暴露在公网上。此次泄露的信息包括浏览和搜索通话记录、囚犯与其朋友、家人和律师之间的通话记录、呼叫者的电话号码、犯人名称以及通话时间。该监狱确认了此事件,并表示是由于第三方供应商不小心删除了密码,从而导致服务器暴露。

https://techcrunch.com/2020/10/10/prison-visitation-homewav-leak/

法国集装箱运输集团CMACGM遭遇网络攻击

总部位于法国的全球第四大集装箱运输集团CMACGM在上个月遭遇网络攻击,致使其业务活动陷入瘫痪。CMACGM于9月28日首次报告了这一事件,称在恶意软件攻击其外围服务器后,该公司关闭了对其在线服务的访问。目前CMACGM已恢复其在线业务服务。

https://ask.wandouxueyuan.com/intelligence/5578

黑客利用VPN和Windows漏洞攻击政府网络

FBI和CISA发布的联合安全警报中称,黑客通过结合利用VPN和Windows漏洞来访问美国政府网络。这两个漏洞分别为FortinetVPN中的CVE-2018-13379和WindowsZerologon中的CVE-2020-1472。警报中表示,该攻击活动将导致未经授权访问选举支持系统,但目前为止没有证据表明选举数据的完整性受到了损害。警报中表示,还发现了针对非政府网络的攻击。

https://ask.wandouxueyuan.com/intelligence/5577

 

四、漏洞事件

MDSec研究人员发现Windows Update可被用来执行恶意文件

MDSec研究人员David Middlehurst发现,Windows Update可被用来执行恶意文件。WSUS/Windows Update客户端(wuauclt)是位于%windir%\ system32\的应用程序,可使用户从命令行控制Windows Update Agent的某些功能。攻击者可以通过使用命令行利用特制的DLL加载wuauclt,从而在Windows 10系统上执行恶意代码。Middlehurst发现wuauclt也可以用作LoLBin,并在野外找到了其相关的样本。

https://www.bleepingcomputer.com/news/security/windows-update-can-be-abused-to-execute-malicious-files/

unit42研究人员披露Linux内核中的提权漏洞(CVE-2020-14386)

unit42研究人员在审核Linux内核中的数据包套接字源代码时,发现了Linux内核中的提权漏洞(CVE-2020-14386)。该漏洞是一个内存损坏漏洞,可用于将Linux系统上的非root用户的权限升级为root用户。Palo Alto Networks Cortex XDR客户可以通过结合使用行为威胁防护(BTP)和本地特权升级保护功能来预防该漏洞。

https://unit42.paloaltonetworks.com/cve-2020-14386/

F2FS工具集存在代码执行和信息泄露漏洞

思科Talos最近发现F2FS工具集的各种功能中存在多个代码执行和信息泄露漏洞。F2FS是在嵌入式设备中常见的文件系统工具集,可创建、验证和修复Flash-FriendlyFileSystem文件。攻击者可以向目标提供恶意文件来触发这些漏洞,从而给目标造成各种不利影响。Talos已测试并确认受影响版本包括F2fs-Tools的版本1.13.0和版本1.12.0。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1046

微软安全更新修复TCP/IP远程执行代码漏洞(CVE-2020-16898)

微软发布了本月安全更新,共修复了87个安全漏洞。此次安全更新中修复了WindowsTCP/IP远程执行代码漏洞,该漏洞由WindowsTCP/IP堆栈不正确地处理ICMPv6路由器播发数据包导致,成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。但要利用此漏洞,攻击者必须将特制的ICMPv6路由器广告数据包发送到远程Windows计算机。

https://ask.wandouxueyuan.com/intelligence/5587

 


more

手机扫码打开