一、业界动态
OWASP发布2021年十大Web应用安全风险榜单
近日,OWASP发布了2021年Top 10十大Web应用安全风险榜单的草案,增加了三个新的类别,同时部分安全风险的排名发生变化。
https://owasp.org/www-project-top-ten/
KELA发布有关勒索运营商如何寻找目标的分析报告
KELA于9月6日发布了有关勒索运营商如何寻找目标的分析报告。报告分析了7月份创建的48个黑客论坛的帖子,以探索勒索运营商如何寻找目标。报告指出,攻击者的要求通常包括:主要位于美国、加拿大、澳大利亚和欧洲等国;平均收入超过1亿美元;避开医疗、教育、政府和非盈利机构;避免位于独立国家联合体 (CIS) 的公司,如俄罗斯、乌克兰、摩尔多瓦、白俄罗斯等国。此外,攻击者愿意支付高达10万美元购买访问权限,其中RDP和VPN是最基本的需求。
https://ke-la.com/the-ideal-ransomware-victim-what-attackers-are-looking-for/
恶意软件TrickBot的开发人员在韩国首尔机场被捕
一名俄罗斯男子在首尔国际机场被捕,罪名是为TrickBot开发代码。根据当地媒体报道,嫌疑人于2020年2月抵达韩国,因COVID-19取消国际旅行后被困在该国一年多,在封锁解除后准备返回俄罗斯时被捕。据悉,其在2016年曾担任TrickBot的网络浏览器开发人员。韩国KBS称,该男子于9月2日在首尔法院被传讯,并要求引渡到美国,但其辩护律师反对了这一决定。
https://securityaffairs.co/wordpress/121909/cyber-crime/trickbot-gang-developer-arrested.html
二、关键基础设施
Positive Technologies发布2021年工业风险的报告
Positive Technologies于9月1日发布了2021年工业信息安全风险的分析报告。报告指出,2020年,工业部门是仅次于政府的第二大攻击目标,有12%的攻击针对工业公司。在91%的工业公司中,攻击者可以渗透进入内网,之后攻击者就可以获得用户凭据并完全控制基础设施。2021年5月,在The Standoff 2021的虚拟靶场展示了信息安全对工业组织的影响,攻击者在两天内控制了加油站,停止了天然气供应并引发了爆炸。
https://www.ptsecurity.com/ww-en/analytics/ics-risks-2021/
上万台Fortinet VPN设备登录凭证泄露
有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单,据分析里边包含12856台设备上的498908名用户的VPN登录凭证。安全研究人员发现,这些Fortinet VPN设备的IP分布在全球各地,其中位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%。掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。
https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/
三、安全事件
ESET发现BladeHawk团伙针对库尔德人的攻击活动
ESET在9月7日披露了BladeHawk团伙针对库尔德人的攻击活动。研究人员称,该活动至少自2020年3月开始活跃,利用Facebook的个人资料分发伪装成合法应用的Android后门(888 RAT和SpyNote)。ESET还发现了28个针对库尔德人的恶意Facebook帖子,用来诱使目标下载恶意软件,其中托管在第三方服务top4top.io中的8个恶意应用已被下载了1481次。
https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/
俄罗斯VTB等多家大型银行遭到大规模的DDoS攻击
9月2日深夜,俄罗斯多家大型银行遭到大规模的DDoS攻击,导致系统瘫痪,部分服务无法使用。VTB、Sberbank和Alfa-Bank银行都成功抵御住了攻击,但他们的互联网提供商Orange Business Services却遇到了问题。银行工作人员表示,通过互联网提供的所有设备,包括通过电线连接的网点、自动取款机、POS终端等,都无法正常工作。VTB银行则称此次攻击影响了使用移动支付的客户。
https://www.ehackingnews.com/2021/09/the-largest-banks-in-russia-were.html
新西兰互联网运营商Vocus遭到大规模DDoS攻击
新西兰第三大互联网运营商Vocus ISP称其在9月3日遭到大规模DDoS攻击,导致服务中断了约30分钟。Vocus在澳大利亚和新西兰提供零售、批发和企业电信服务。该公司称,由于目前全国大部分地区都在远程办公,因此此次攻击对客户产生了重大影响。之后,该公司迅速恢复了运营,并对给客户带来的不便表示歉意。
https://www.reuters.com/technology/widespread-internet-outages-hits-users-across-new-zealand-2021-09-03/
联合国遭网络入侵,大量内部数据或泄露
联合国披露,内部网络在今年4月遭到入侵。据报告该事件的安全公司Resecurity称,攻击者可能使用了暗网泄露的联合国员工账户,并窃取了大量内部数据(联合国未予置评)。攻击者的身份和动机均未知,泄露账号在暗网仅售1000美元,未开启二次验证。
https://www.bloomberg.com/news/articles/2021-09-09/united-nations-computers-breached-by-hackers-earlier-this-year
四、漏洞事件
研究人员公开验证Ghostscript中的RCE漏洞的PoC
研究人员Nguyen The Duc于9月5日在GitHub上发布了验证Ghostscript中的RCE漏洞的PoC。Ghostscript是一套基于Adobe、PostScript及PDF的页面描述语言等编译成的免费软件。该漏洞影响了Ubuntu存储库中的ImageMagick,攻击者可以通过上传恶意SVG文件在操作系统中执行恶意代码来利用该漏洞,成功利用后可完全控制服务器。
https://securityaffairs.co/wordpress/121940/hacking/ghostscript-poc-exploit.html
微软发布MSHTML中RCE漏洞(CVE-2021-40444)的通告
微软团队在9月7日发布了针对Windows中的远程代码执行漏洞(CVE-2021-40444)的缓解措施。该漏洞存在于Microsoft Office文档使用的浏览器渲染引擎MSHTML中,已在针对Windows 10上的Office 365和Office 2019的攻击活动中被利用。目前尚无可用的安全更新,Microsoft建议禁用Internet Explorer中所有的ActiveX控件作为缓解措施。
https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/
Google TensorFlow为修复RCE漏洞而不再支持YAML
Google开发的基于Python的机器学习和人工智能项目TensorFlow已经放弃了对YAML的支持。TensorFlow代码中的yaml.unsafe_load()函数存在一个漏洞,追踪为CVE-2021-37678,评分为9.3。当使用反序列化YAML格式的Keras模型时,攻击者可利用该漏洞执行任意代码。为修复此漏洞,TensorFlow决定完全放弃YAML的支持,转而使用JSON反序列化。
https://www.bleepingcomputer.com/news/security/googles-tensorflow-drops-yaml-support-due-to-code-execution-flaw/