一、业界动态
关于加快推进互联网协议第六版 (IPv6) 规模部署和应用工作的通知
中央网信办、国家发展改革委、工业和信息化部印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》。通知落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,明确了“十四五”时期深入推进IPv6规模部署和应用的主要目标、重点任务和时间表,是各地区、各部门推进IPv6部署应用工作的指导性文件。
http://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm
Akamai DNS全球范围内中断,Steam和AWS等网站瘫痪
上周四Akamai DNS在全球范围内发生服务中断,影响了Steam、PlayStation Network、AWS、亚马逊、谷歌和Salesforce等网站。经调查,此次中断是由于Edge DNS服务中的问题导致的。该公司表示,在7月22日15:46UTC,一次软件配置更新导致了DNS系统中出现错误,中断持续了长达一个小时,在回滚软件配置更新后,服务恢复了正常运行。Akamai称其可以确认这不是针对Akamai平台的网络攻击。
https://www.bleepingcomputer.com/news/security/akamai-dns-global-outage-takes-down-major-websites-online-services/
Link11发布2021年上半年DDoS攻击态势的分析报告
Link11发布了2021年上半年DDoS攻击态势的分析报告。报告指出,在2021年Q1和Q2之间,DDoS活动增加了19%,其中一些攻击量超过了100Gbps。与2020年上半年相比,2021年的攻击次数同比增长了33%;总体攻击带宽仍然很高,最大攻击量为555 Gbps;攻击带宽急剧增加,与2020 H1相比增加了37%;2021年上半年超过100 Gbps的攻击次数多达28次。
https://www.link11.com/en/blog/threat-landscape/link11-report-discovers-record-number-of-ddos-attacks-in-first-half-of-2021/
Zscaler发布有关企业物联网安全的分析报告
网络安全公司Zscaler发布了有关企业物联网安全的分析报告。该报告指出,针对物联网设备的网络攻击比去年同比增加了700%。研究人员在18000台主机上发现了900个不同的payload,在70多个不同制造商的设备上发现了恶意软件。其中Mirai(占比34.1%)和Gafgyt(63.1%)为主要的payload,Gafgyt仅占所有攻击的5%,而Mirai占76%。此外,只有24%的物联网设备以加密方式传输数据。
https://info.zscaler.com/resources-reports-threatlabz-iot-2021
二、关键基础设施
英国地方铁路遭勒索软件攻击,自助售票系统瘫痪
英国地方公共铁路运营商北方铁路(Northern Trains)遭遇服务宕机,自助售票亭无法正常运行,官方称遭到了勒索软件的突然袭击。
https://www.theregister.com/2021/07/20/northern_trains_ticketing_system/
伊朗铁路系统遭黑真相:祸根仍然是系统裸奔
有关伊朗铁路系统遭受网络攻击的更多细节浮出了水面。2021年7月9日,星期五,伊朗国际援引革命卫队支持的法尔斯通讯社的报道称,伊朗铁路系统的全面中断可能是由于网络攻击。现在看来,攻击者至少在一个月前就侵入了系统。
https://www.securityweek.com/details-emerge-iranian-railroad-cyberattack
三、安全事件
CISA在被攻击的Pulse Secure设备中发现13个恶意样本
美国CISA发布警报,称在被攻击的Pulse Secure设备上发现了13个恶意软件样本。自2020年6月以来,美国政府机构、关键基础设施和各行业公司的Pulse Secure设备一直是攻击者的目标,攻击者利用多个漏洞(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243和CVE-2021-2289)入侵并安装webshell。CISA鼓励用户和管理员查看这13个恶意软件的分析报告(MAR),了解攻击者的技术、策略和程序(TTP)以及入侵指标(IOC)。
https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devices
法国ANSSI披露APT31利用家庭路由器发起的间谍活动
法国国家网络安全机构ANSSI披露APT31(或Zirconium)利用家庭路由器发起的间谍活动。该机构表示,此次攻击开始于2021年初,并且现在仍在进行中。在此次活动中,攻击者劫持了家庭路由器以设置受感染设备的代理网络,旨在隐藏其侦察和攻击活动。此外,ANSSI还发布了这些攻击的入侵指标(IOC)列表,并公布了此次攻击中被APT31劫持的161个IP地址的列表。
https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/
东京奥运会购票信息在网上泄露:疑似恶意软件窃取
据日媒报道,一位日本政府官员在7月21日表示,东京奥运会门票购买者的登录账号和密码在互联网上被泄露,这是组委会遭遇的一系列网络威胁的最新一次。这位匿名官员说,残奥会门票购买者和使用过夏季奥运会志愿者门户网站的人,账号信息也在网上被泄露了。攻击者可根据账号密码,获取购票者和志愿者的姓名、地址、银行账户等个人信息。
https://mp.weixin.qq.com/s/ULnriFRau-SjBuGv6mcf3Q
石油巨头沙特阿美发生数据泄露:1TB数据在暗网兜售
攻击者从沙特阿美石油公司盗窃1TB专有数据,并在暗网上出售。沙特阿拉伯石油公司,又称沙特阿美,是世界上规模最大的石油与天然气上市企业之一。这家石油巨头拥有66000多名员工,年收入近2300亿美元。名为ZeroZ的恶意团伙为这批数据开价500万美元,并表示还可以协商。沙特阿美已经将此次数据泄露归因于第三方承包商,并在采访中强调,事件本身并未对公司的日常运营造成影响。
https://www.secrss.com/articles/32777
四、漏洞事件
Win10中提权漏洞SeriousSAM影响近两年发布的版本
研究人员Jonas Lykkegaard披露了Win10中的提权漏洞SeriousSAM,影响了近两年多发布的所有版本。Lykkegaard在测试最新发布的Win11时发现,虽然Windows限制了低权限用户访问SAM、SECURITY和SYSTEM等文件夹中的敏感配置文件,但这些文件的副本也被保存在Shadow Volume Copy创建的备份文件中,而自2018年11月发布的Windows 10 v1809以来,微软一直没有阻止对这些备份的访问。
https://therecord.media/serioussam-bug-impacts-all-windows-10-versions-released-in-the-past-2-5-years/
已存在16年的漏洞影响数亿台惠普、Xerox和三星打印机
SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在,追踪为CVE-2021-3438,CVSS评分为8.8,影响超过380款的惠普和三星打印机,以及12种Xerox打印机。该漏洞位于打印驱动程序安装程序包SSPORT.SYS中,本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码,来安装、查看、更改、加密或删除数据等。目前,该漏洞已经修复。
https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/