安全快讯Top News

工业控制系统存在可导致远程代码攻击的严重漏洞

实时自动化(RTA)499ES EtherNet/IP(ENIP)堆栈中存在一个严重漏洞,该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一,被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局(CISA)在一份咨询报告中表示:“成功利用此漏洞可能造成拒绝服务,缓冲区溢出可能允许远程代码执行。” 到目前为止,尚未发现针对此漏洞的已知公开攻击。然而,“根据互联网连接设备的公共搜索引擎,目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159,CVSS评分为9.8(满分10分),影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码,但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本,并将其集成到自己的固件,从而使多台设备处于危险之中。 研究人员表示:“在六家供应商的产品中,有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议(CIP)中使用的路径解析机制的不正确检查(CIP是一种用于组织和共享工业设备中的数据的通信协议),使得攻击者能够打开具有较大连接路径大小(大于32)的CIP请求,并导致解析器写入内存地址超出固定长度缓冲区,从而可能会导致任意代码执行。 RTA在披露中表示:“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM,攻击者有可能试图使缓冲区溢出,并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块,其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出:“与先前的披露类似(例如Ripple20或Urgent / 11),这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本,以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露,确保不能从网络访问这些设备。 CISA表示: “将控制系统网络和远程设备放在防火墙后面,并将它们与业务网络隔离开。当需要远程访问时,使用安全方法,例如虚拟专用网(VPN)。但是VPN可能存在漏洞,应将其更新为可用的最新版本。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

勒索软件 Ranzy:ThunderX 升级加密的变体

Ranzy勒索软件出现在今年9月/10月,似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新,包括加密的调整,过滤的方法,以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1403/         消息来源:SentinelLABS,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌 Android Messages 测试版将推出 RCS 端到端加密功能 以保护用户隐私

经过两年漫长时间,现在全球每一个Android用户,都可以使用取代短信的下一代短信标准。谷歌通过其Android Messages应用直接向任何安装它并将其作为默认短信应用的人提供RCS聊天服务,而无需移动运营商参与。同样重要的是,谷歌宣布终于开始启用一项关键的隐私功能:端到端加密,这意味着运营商和谷歌都无法读取这些信息的内容。 尽管加密功能只是开始向注册Android Messages公测版的用户推出,但为RCS开启加密功能是一件非常重要的事情。这是一个巨大的隐私胜利,因为这意味着在全球绝大多数人使用的智能手机平台上,短信的事实上的替代者默认情况下将是私密的。至于iPhone,我们还没有听说苹果是否打算采用RCS标准。 自从最初宣布计划过渡到RCS作为安卓系统的主要短信平台后,该标准的推广就陷入了混乱之中。去年,谷歌开始自己动手,慢慢地让不同国家的用户直接从谷歌那里获得RCS服务,而不是等待运营商开启。今天,该公司宣布这一进程已经完成,在谷歌提供服务的所有地方,都可以通过Android Messages获得RCS服务。在某些地区和某些运营商,如果他们选择,谷歌将继续允许这些运营商运行你的RCS服务。 如前所述,谷歌将在本月推出测试版,而谷歌并没有加密聊天何时能毕业进入主应用的时间表。而对于愿意注册Android Messages公测版的人来说,要知道,和往常一样,谷歌将逐步推出该功能,所以你可能不会马上得到这项加密功能。只有当双方用户都在使用Android Messages并已收到更新时,端到端加密才会在一对一的聊天中发挥作用。在群组聊天中启用端到端加密是一个更棘手的问题,所以谷歌不会承诺扩展该功能的时间表。         (消息来源:cnBeta;封面来自网络)

英国成立“国家网络部队” 以打击有组织犯罪和敌对国家活动

英国政府透露,一支由间谍、网络专家和军方成员组成的新进攻部队已经在进行网络行动,以破坏敌对国家活动、恐怖分子和犯罪分子。这个新的组织被称为国家网络部队(National Cyber Force )–旨在应对对英国国家安全的威胁,如打击恐怖阴谋,以及针对英国的军事行动等。 英国首相鲍里斯·约翰逊告诉议会,这个新组织已经成立并开始运作。他说:“我可以宣布,我们已经成立了一支国家网络部队,结合我们的情报机构和服务人员,它已经在网络空间开展行动,打击恐怖主义,有组织犯罪和敌对国家活动。” 国家网络部队汇集了来自情报机构GCHQ、国防部、国防科技实验室和秘密情报局–军情六处的专家,他们将提供其“招募和运行特工的专业知识,同时提供秘密行动技术的独特能力”。 GCHQ表示,网络行动的例子可能包括干扰手机,以防止恐怖分子能够与他们的联系人沟通,帮助防止互联网被用作严重犯罪的平台,或者保持英国军用飞机的安全,以免被敌对武器系统瞄准。 GCHQ主任杰里米-弗莱明说,国家网络部队 “汇集了情报和防御能力,以改变英国在网络空间与对手竞争的能力,保护国家、民众和我们的生活方式。” GCHQ表示,这支新部队建立在英国目前的国家进攻性网络计划基础上,包括GCHQ与军方合作开展网络行动。国家网络部队其实今年已经被政府提过几次了,早在2018年就有报道称,新部队将有2000人,预算将达到2.5亿英镑。 英国至少已经有过一些使用网络攻击或 “进攻性网络行动”的情况:2016年,政府表示对Daesh进行了网络行动;2018年,英国还被曝出对ISIS宣传网络使用了网络攻击。英国还曾向北约提供网络能力。 英国首相表示,关于国家网络部队的消息是更广泛的国防审查公告的一部分,旨在增加武装部队对技术的使用,创建一个“单一网络”来战胜敌人。 “在敌对领土上的士兵将通过卫星或无人机上的传感器对远处的埋伏发出警报,即时发出警告,利用人工智能设计最佳反应,并提供一系列选择,从召唤空中打击到命令群攻,由无人机或用网络武器麻痹敌人,”约翰逊说。 不过,如此强调网络行动并非没有批评者。由于对于什么是对网络攻击的适当反应并没有明确的规则,有人担心,由于不同的国家可能会按照不同的规则进行游戏,增加使用进攻性网络战能力可能会导致冲突时期的快速和难以控制的升级。 而有些人认为,宣传网络能力可以对潜在的攻击者起到威慑作用,但并不是所有的人都相信。直到最近NCSC的负责人Ciaran Martin在最近的一次演讲中说。“在我所有的行动经验中,我完全没有看到任何迹象表明,西方网络能力的存在,或我们使用它们的意愿,会阻止攻击者。” “我们有可能接受获取和使用更高端的网络能力是一个优先事项,而不测试这对我们自己的数字环境意味着什么的问题。我们还没有进行这种根本性的辩论,因为国家安全界和技术界并没有真正地相互交流,”他说。       (消息来源:cnBeta;封面来自网络)

ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域,针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后,据说都有 Cicada 的身影(又名 APT10、Stone Panda 和 Cloud Hopper)。 (来自:Symantec) 2009 年开始浮出水面的 Cicada,被美方认为有境外背景,且曾向日本多个组织机构发起过网络攻击。 从目前已知的信息来看,新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬,一直活跃到至少今年 10 月。 赛门铁克指出,Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术,并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。 需要指出的是,该组织最近还扩展了他们的工具包阵容,能够对评级为 10 分的 ZeroLogon 漏洞(CVE-2020-1472)展开利用。 尽管微软已于 8 月对其进行披露和修补,但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。 此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件,此前从未与 APT 有过关联。 据说该组织专注于窃取信息和开展网络间谍行动,包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据,通常会被打包并提交到 Cicada 的命令与控制服务器中。 研究人员指出,攻击者在受害者网络上耗费的时间不尽相同,或者沉寂一段时间后又再次活跃。遗憾的是,由于代码本身被加花,赛门铁克难以准确推断该组织的确切目标。 不过 DLL 侧载和 FuckYouAnti 等名称的运用,此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。 赛门铁克总结道:Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击,其危险性依然不容小觑。         (消息来源:cnBeta;封面来自网络)

IBM 披露思科 Webex 的三个高危漏洞 以“幽灵”身份加入视频会议

伴随着新冠疫情肆虐,越来越多的员工开始通过远程办公的方式进行线上协作、视频会议。而远程办公的激增,也暴露了诸多安全性和数据保密性问题。IBM 的研究人员近日对热门应用–思科 Webex 进行了测试,发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。 这些漏洞不仅能够让攻击者秘密地加入会议,甚至在被“驱逐”之后仍然可以作为音频参与者留在会议中。攻击者甚至可以在不进入呼叫的情况下从大厅获得有关会议与会者的详细信息。 视频链接:https://www.bilibili.com/video/BV11t4y1e7dP?zw 虽然当这些攻击者加入到会议中依然会触发蜂鸣声,但如果这次会议中有很多与会者,那么就非常容易被忽略。IBM 表示在发现该漏洞的同时,还发现可以通过特殊的 URL 地址来影响已经设定的会议和会议安排。 该漏洞可以发生在客户端和服务器之间的“握手”过程中。由于“不正确的输入验证和清理”,攻击者可以操纵通过WebSocket发送的请求(客户端与服务器之间的连接),并将特殊设计的值注入到请求中以作为虚拟主机加入。研究人员成功地测试了这些场景,并且可以参加会议且不会出现在与会人员列表中,也不会被发现。 IBM说,由于问题的严重性和紧迫性,它立即与Cisco共享了其发现的细节。这家网络公司致力于修复上述漏洞,并于今天发布了安全公告。这三个错误分别被标记为CVE-2020-3441, CVE-2020-3471, CVE-2020-3419,并已成功修复。由于此问题影响了大多数平台上的Webex客户端,因此该公司建议用户将其应用程序更新到最新版本。         (消息来源:cnBeta;封面来自网络)  

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

在微软披露存在于 Windows RDP 服务中的 BlueKeep 高危漏洞一年半后,目前至少仍有 245000 台 Windows 设备尚未修复该漏洞,意味着它们依然容易受到黑客的攻击。BlueKeep 于2019年5月首次发现,在对 950000 台设备的扫描中发现 25% 的设备存在该漏洞。 同样地,超过 103000 台 Windows 设备仍然容易受到 SMBGhost 的攻击,这是存在于2020年3月发布的新版 Windows 附带的服务器消息块v3(SMB)协议中的漏洞。 这两个漏洞都使攻击者可以远程控制Windows系统,并且被认为是过去几年Windows中披露的一些最严重的错误。然而,根据 SANS ISC 管理员 Jan Kopriva 在过去几周进行的研究,尽管这两个漏洞非常严重,但许多系统仍未打补丁。 根据这名来自捷克的安全研究人员的说法,目前全球仍有数百万台设备存在安全隐患,而且管理员无法修复它们,导致非常容易被恶意攻击者接管。这些系统包括 IIS 服务器、Exim 电子邮件代理,OpenSSL 客户端和 WordPress 网站等系统。 这些系统为何未打补丁的原因仍然未知,但即使是美国政府网络安全机构最近发出的警告也没有帮助。尽管有这些警告,仍然有超过 268,000 台 Exim 服务器未针对Exim错误进行修补,而超过 245,000 台针对 BlueKeep 未进行修补。         (消息来源:cnBeta;封面来自网络)

加密货币交易所 Liquid 确认遭遇黑客攻击

加密货币交易所Liquid已确认遭到黑客攻击,它仍在调查受影响的范围有多大。Liquid首席执行官Mike Kayamori在博客中表示,这次黑客攻击攻击发生在11月13日,在攻击当中黑客获得了公司域名记录的访问权限,使得黑客控制员工的电子邮件账户,随后入侵了公司的网络。 Kayamori表示,虽然加密货币资金已经 “入账”,但黑客可能已经访问了公司的文件存储。Liquid认为,黑客有能力从用户数据库中获取个人信息,如客户的电子邮件、姓名、地址和加密密码等数据。加密货币交易所Liquid表示,它正在继续调查,如果黑客获得了用户向交易所提交的用于验证身份的文件,如政府颁发的身份证、自拍照或地址证明,这可能会使用户面临身份被盗风险,或进行有针对性的攻击。 Liquid在一封电子邮件中告诉用户,为了安全起见,他们应该更改密码。通常,针对公司网络基础设施的攻击会利用弱小或重复使用的密码,这些密码被用来注册公司的域名。通过闯入并更改这些网络设置,攻击者可以在无形中控制网络,并获得对电子邮件账户和系统的访问权,而通过其他攻击途径则要困难得多。 鉴于入侵可能带来巨大经济回报,加密货币初创公司和交易所是黑客的高价值目标。2018年,Nano在一次黑客事件中被盗走1.7亿美元Binance和Coincheck在黑客入侵后分别损失了4亿美元的巨额资金,Coinrail在一次黑客攻击后损失了4000万美元,Bithumb损失了3000万美元。 加密货币交易所Liquid成立于2014年,并声称在过去的一年里促成了500亿美元的加密货币交易。       (消息来源:cnBeta;封面来自网络)

Cicada 黑客组织针对日本公司的持续性恶意攻击

有证据表明,Cicada威胁组织是针对17个地区和多个行业的公司发动攻击的幕后黑手。大规模的攻击行动针对多家日本公司,其中包括位于全球17个地区的子公司。此次活动的目标横跨多个行业的公司,包括汽车、制药和工程部门的公司,以及管理服务提供商(MSP)。 Cicada又被称作APT10、Stone Panda、Cloud Hopper),它自2009年以来一直参与间谍类型的行动。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1402/       消息来源:Symantec Enterprise Blogs,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ELF_PLEAD——BlackTech 黑客组织针对 Linux 的恶意软件

在过去的一篇文章中,我们介绍了Linux恶意软件ELF_TSCookie,它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本(ELF_PLEAD)。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1401/         消息来源:JPCERT,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。