安全快讯Top News

思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥

Hackernews 编译,转载请注明出处: 思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出,在受影响的设备上可能会观察到以下情况: 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能: ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥,并吊销可能与这些RSA密钥相关的任何证书,因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

超过 60% 的企业公开暴露 SSH 协议

研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 据ExtraHop最新发布的报告,全球大多数组织都在向公共互联网公开暴露敏感和不安全的协议,这可能会使攻击面扩大。 报告分析了一系列企业IT环境,基于开放端口和敏感协议暴露情况对网络安全状况进行基准测试。 研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 该研究还显示,超过三分之一(36%)的组织通过不安全的文件传输协议(FTP)暴露了至少一个设备,该协议以纯文本形式发送文件,这意味着它们很容易被拦截。 超过五分之二(41%)的受访企业至少拥有一台暴露LDAP的设备,该设备可被用于在Active Directory中查找用户名。这些协议以纯文本形式传输查询,可能会使凭据面临风险。 令人惊讶的是,报告还发现,尽管远程连接协议(Telnet)自2002年以来已被弃用,但仍有12%的组织至少有一台设备将Telnet暴露在公共互联网上。 SMB协议是WannaCry和其他攻击的热门目标,是企业的另一个常见安全风险。超过一半(51%)的医疗组织和45%的SLED组织拥有多个暴露SMB协议的设备。 ExtraHop首席信息安全官Jeff Costlow将这些端口和协议称为“门和走廊”,攻击者使用这些端口和协议来探索网络和发动攻击。 “知道哪些协议在你的网络上运行以及哪些漏洞与它们相关极为重要,”他补充道:“这使防御者能够基于其风险承受能力做出明智的决定并采取行动——例如在环境中保持软件和硬件的持续资产报告,快速、持续地修补软件,以及投资用于实时洞察和分析的工具。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45646 封面来源于网络,如有侵权请联系删除

阿卡迈阻止了欧洲最大型 DDoS 攻击

本月早些时候,Akamai Technologies(阿卡迈技术公司,下称阿卡迈)平息了欧洲史上最大型分布式拒绝服务(DDoS)攻击,将一家东欧公司从30多天的持续重创中解救出来。 作为网络安全和云服务供应商,阿卡迈表示,攻击高潮出现在7月21日,14个小时内达到峰值每秒6.596亿数据包(Mpps)和每秒853.7千兆比特每秒(Gbps)。 在一篇博客文章中,阿卡迈云安全业务部门产品经理Craig Sparling写道:“该攻击针对大量客户IP地址,是阿卡迈Prolexic平台上历来挫败的最大型全球横向攻击。” Sparling没有透露遭攻击公司的名称,但表示这家公司是阿卡迈在东欧的客户。在30天的时间里,该客户遭到通过多种途径发起的75次攻击。用户数据报协议(UDP)是这场DDoS攻击中最常用的途径,创纪录的峰值中就有UDP攻击的身影。 其他攻击方法还包括:UDP分片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP分片、PSH ACK洪水、FIN洪水和PUSH洪水。数据清洗系统能够清除大部分危险流量。 DDoS攻击的流量表明,网络犯罪团伙“利用由被黑设备构成的复杂全球性僵尸网络来策划这场攻击活动。”Sparling写道。“整场攻击中没有哪个数据清洗中心处理了超过100Gbps的攻击。” Prolexic平台囊括全球20个大容量数据清洗中心,分布在世界各地,便于就近处理DDoS攻击和保护受害者。在攻击中,流量经阿卡迈Anycast网络流经最近的清理中心,阿卡迈安全运营指挥中心在此应用各种缓解控制措施来阻止攻击。 DDoS攻击的目的是用流量洪水冲击目标企业,使其无法再开展线上业务。应用层攻击可利用僵尸网络发起流量洪水,淹没Web服务器等联网软件,使其无法处理合法请求。网络层攻击通常针对系统处理入站网络数据包的能力。 “分布式拒绝服务攻击(DDoS)的风险从未像现在这样大。”Sparling写道,“过去几年里,企业遭遇了大量的DDoS勒索、新型威胁、国家支持的激进黑客行动,还有威胁领域前所未有的创新招数。而且攻击者毫无放缓迹象。” 今年4月,卡巴斯基发布报告称,一季度DDoS攻击创下历史新高,环比暴增46%,针对性攻击的数量甚至增加了81%。这家网络安全公司认为,俄乌冲突或许是DDoS威胁范围不断扩大的原因之一。 Cloudflare在4月挫败了创纪录的HTTPS DDoS攻击,仅仅两个月后又战胜了更大规模的攻击。这家公司同样在报告中称,第一季度DDoS攻击增加了645%之巨。 Cloudflare研究人员称,在4月和6月的网络安全事件中,DDoS攻击的持续演进得到了体现。攻击者在两起案例中都使用了垃圾HTTPS请求来淹没网站。此外,6月的网络流量洪水源自云服务提供商而非住宅互联网服务提供商,这表明攻击者不得不劫持虚拟机来放大攻击,而不是劫持更简单的物联网设备和家庭网关。 本月早些时候,Cloudflare表示,6月份每秒2600万次请求(RPS)的攻击是Mantis僵尸网络所为,而Mantis正是Meris僵尸网络的进化版。Meris在2021年9月攻击了俄罗斯科技巨头Yandex。 去年,微软两次报告称缓解了史上最大型DDoS攻击,其中包括2021年11月Azure客户遭受的一次攻击,该攻击峰值达到了每秒3.47兆兆比特(Tbps)。 转自 安全内参,原文链接:https://www.secrss.com/articles/45666 封面来源于网络,如有侵权请联系删除

Sophos:首次发现三个勒索软件连续攻击同一个网络

Sophos X-Ops在报告中称某汽车供应商的系统在5月的两周内被三个不同的勒索软件团伙入侵,文件遭多重加密,其中两次攻击发生的间隔甚至是在两小时内。 在这些攻击之前,2021年12月,一个可能的初始访问代理(IAB)对该公司的系统进行了初步入侵,攻击者利用防火墙的错误配置,使用远程桌面协议(RDP)连接入侵域控制器服务器。 Sophos X-Ops在本周三发布的报告称虽然双重勒索软件攻击越来越常见,但这是他们看到的第一起三个独立的勒索软件攻击者使用同一个入口点来攻击一个组织的事件。 两个月内三次被攻破 在最初的入侵之后,LockBit、Hive和ALPHV/BlackCat的附属攻击组织也分别在4月20日、5月1日和5月15日进入了受害者的网络。 5月1日,LockBit和Hive勒索软件的有效载荷在两小时内利用合法的PsExec和PDQ Deploy工具在整个网络中分发,在每次攻击中加密了十多个系统,与LockBit关联的攻击组织还窃取了数据并将其外流到Mega云存储服务。 Sophos X-Ops 在报告中对事件细节进行了补充,其表示由于Hive攻击是在Lockbit之后2小时开始的,Lockbit勒索软件仍在运行,因此这两个小组不断发现没有标志着它们被加密的扩展名的文件。 两周后,5月15日,当这家汽车供应商的IT团队仍在恢复系统时,一个BlackCat攻击者也连接到了被LockBit和Hive入侵的同一管理服务器。在安装了合法的Atera Agent远程访问解决方案后,攻击者获得了网络上的持久性,并渗出了被盗数据。 在半小时内,BlackCat的附属攻击机构在网络上使用PsExec交付了自己的勒索软件有效载荷,在使用被攻击的凭证在网络上横向移动后,加密了六台机器。 攻击时间线 通过删除影子副本和清除被攻击系统上的Windows事件日志,这个最后的攻击者也使恢复尝试和Sophos团队的事件响应工作变得复杂。 BlackCat删除了Sophos可以用来追溯这三个勒索软件团伙在受害者网络中活动的证据。 Sophos的事件响应人员在5月中旬协助受害者进行攻击调查时,发现文件被Lockbit、Hive和BlackCat勒索软件加密了三次,并在被加密的系统上发现了三种不同的赎金笔记。 “事实上,正如下面的截图所示,一些文件甚至被加密了五次,”Sophos团队向外界透露称。“因为Hive攻击是在Lockbit之后2小时开始的,Lockbit勒索软件仍在运行,所以这两个小组不断发现没有标志着它们被加密的扩展的文件。” 被加密了5次的文件 如何抵御勒索软件 Sophos还发布了一份白皮书,分享了关于防御来自多个勒索软件团伙的类似攻击的指导。 建议企业保持其系统的最新状态,并调查其环境中是否有威胁者引入的后门或漏洞,作为失败的保障,以便在被驱逐时重新获得对网络的访问。 Sophos还建议锁定VNC和RDP等服务或从外部访问的远程访问解决方案。如果需要远程访问,系统只能通过VPN到达,并且只能通过具有强制多因素认证(MFA)和强密码的账户。网络也应该被分割,将关键的服务器分离到VLAN中,整个网络都应该被扫描和审计,以及时发现未打补丁和有漏洞的设备。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341648.html 封面来源于网络,如有侵权请联系删除

因从事间谍活动,前 Twitter 员工最高可判 20 年监禁

据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。 据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看,2013 年,阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募,在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限,在未经授权的情况下,非法获取了有关批评阿拉伯政权用户的非公开信息(主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息)。 随后,2 人将这些信息告诉了一名与沙特政府有关联的沙特官员,作为回报,阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是,据说为了阻碍调查,阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局(FBI)探员时撒了谎,称收到的这块手表是 “垃圾”,仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调,阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下,以持不同政见者的批评者为目标,以期获取他们的私人数据信息,这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341604.html 封面来源于网络,如有侵权请联系删除

GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

Hackernews 编译,转载请注明出处: 云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。 该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。” 本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

思科证实被勒索攻击,泄露数据 2.8 GB

2022年8月10日,思科证实,Yanluowang勒索软件集团在今年5月下旬入侵了公司网络,攻击者试图以泄露被盗数据威胁索要赎金。 对此,思科发言人表示,攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据,声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日,攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统,并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户(包含从其浏览器同步的凭据)后,使用员工被盗的凭据获得了对思科网络的访问权限。随后,攻击者多因素身份验证 (MFA) 推送说服员工接受该通知,并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终,攻击者者诱骗受害者接受其中一个 MFA 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟,Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,其中就包括后门。 在获得初始访问权限后,攻击者进行了各种活动来维护访问权限,最大限度地减少取证,并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境,但在未来的几周内,Yanluowang依旧尝试重新获得访问权限,均未成功。 黑客声称从思科窃取数据 虽然思科一再强调,Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出,“我们没有在这次攻击中观察到勒索软件的部署,但使用的 TTP 与“勒索软件前活动”一致,这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中,我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据,大约有3100个文件,其中很多文件涉及保密协议、数据转储和工程图纸。此外,攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件,作为攻击的证据,并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341607.html 封面来源于网络,如有侵权请联系删除

CISA 警告:2021 年的顶级恶意软件已经使用多年

网络安全和基础设施安全局与澳大利亚网络安全中心合作,于周四发布了网络安全咨询, 详细介绍了去年观察到的主要恶意软件。根据该公告,2021 年最常见的恶意软件包括远程访问木马、银行木马、信息窃取程序和勒索软件。 具体来说,2021年的顶级恶意软件是:Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader。 例如,Qakbot 和 TrickBot 被用来创建用于勒索软件攻击的僵尸网络。同时,Formbook、Agent Tesla 和 Remcos 被用来进行大规模网络钓鱼活动,这些活动使用 COVID-19 主题来窃取个人信息和企业或个人凭据。该公告指出,“开发人员会创建恶意软件,恶意软件分发者通常会通过这些恶意软件将恶意软件分发给恶意软件最终用户。” 一些恶意软件也作为合法软件销售。 CISA 和 ACSC 表示,这些顶级菌株中的大多数已经使用了 5 年以上——有些已经使用了 10 多年——它们各自的代码库演变成几个变体。这些机构指出,恶意代码得到支持、改进、更新和重用,这有助于延长恶意软件及其不同版本的寿命。 政府机构敦促组织使用联合咨询中的建议,并补充说,不良行为者使用这些毒株“为组织提供了更好地准备、识别和减轻来自这些已知恶意软件的攻击的机会。” 建议包括及时向系统应用补丁和更新软件、实施用户培训、保护远程桌面协议、为已知漏洞修补系统和进行离线数据备份,以及利用多因素身份验证和实施网络分段。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/KRCgtZSeHhzdxuD4qukgCA 封面来源于网络,如有侵权请联系删除

印度央行催促借贷应用程序为消费者提供更大的透明度和控制权

印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。 周三发布的指导方针规定了谁可以向印度的借款人贷款,他们可以从借款人那里收集哪些数据,并授权扩大披露要求,此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。 贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度,并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。 根据指导方针,在任何情况下,数字贷款公司应停止访问手机资源,如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下,才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。 近年来,在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下,这些指导方针在去年首次提出,其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序,并实施了更有力的措施来防止滥用。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1302983.htm 封面来源于网络,如有侵权请联系删除

CISA 警告 Windows 和 UnRAR 漏洞在野被利用

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的,但他的报告被错误地归类为未描述安全风险,因此被驳回。今年,安全研究员j00sean再次引起了公众的关注,他总结了攻击者可以通过利用它实现的目标,并提供了视频证明。 该漏洞的成功利用需要用户交互,这是一个很容易通过社会工程克服的障碍,尤其是在电子邮件和基于Web的攻击中,微软在今天的一份咨询中表示: 在电子邮件攻击场景中,攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中,攻击者可能拥有一个网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用该漏洞的特制文件。 自6月初以来,0patch微补丁服务已为大多数受影响的Windows 版本(Windows 7/10/11 和 Server 2008 至 2022)提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分,微软今天解决了CVE-2022-34713 。该公司指出,该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333,它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置,从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题,该报告描述了如何将其用于远程执行代码,从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候,被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞,美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341495.html 封面来源于网络,如有侵权请联系删除