标签: CISA

CISA 警告:2021 年的顶级恶意软件已经使用多年

网络安全和基础设施安全局与澳大利亚网络安全中心合作,于周四发布了网络安全咨询, 详细介绍了去年观察到的主要恶意软件。根据该公告,2021 年最常见的恶意软件包括远程访问木马、银行木马、信息窃取程序和勒索软件。 具体来说,2021年的顶级恶意软件是:Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader。 例如,Qakbot 和 TrickBot 被用来创建用于勒索软件攻击的僵尸网络。同时,Formbook、Agent Tesla 和 Remcos 被用来进行大规模网络钓鱼活动,这些活动使用 COVID-19 主题来窃取个人信息和企业或个人凭据。该公告指出,“开发人员会创建恶意软件,恶意软件分发者通常会通过这些恶意软件将恶意软件分发给恶意软件最终用户。” 一些恶意软件也作为合法软件销售。 CISA 和 ACSC 表示,这些顶级菌株中的大多数已经使用了 5 年以上——有些已经使用了 10 多年——它们各自的代码库演变成几个变体。这些机构指出,恶意代码得到支持、改进、更新和重用,这有助于延长恶意软件及其不同版本的寿命。 政府机构敦促组织使用联合咨询中的建议,并补充说,不良行为者使用这些毒株“为组织提供了更好地准备、识别和减轻来自这些已知恶意软件的攻击的机会。” 建议包括及时向系统应用补丁和更新软件、实施用户培训、保护远程桌面协议、为已知漏洞修补系统和进行离线数据备份,以及利用多因素身份验证和实施网络分段。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/KRCgtZSeHhzdxuD4qukgCA 封面来源于网络,如有侵权请联系删除

CISA 警告 Windows 和 UnRAR 漏洞在野被利用

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的,但他的报告被错误地归类为未描述安全风险,因此被驳回。今年,安全研究员j00sean再次引起了公众的关注,他总结了攻击者可以通过利用它实现的目标,并提供了视频证明。 该漏洞的成功利用需要用户交互,这是一个很容易通过社会工程克服的障碍,尤其是在电子邮件和基于Web的攻击中,微软在今天的一份咨询中表示: 在电子邮件攻击场景中,攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中,攻击者可能拥有一个网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用该漏洞的特制文件。 自6月初以来,0patch微补丁服务已为大多数受影响的Windows 版本(Windows 7/10/11 和 Server 2008 至 2022)提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分,微软今天解决了CVE-2022-34713 。该公司指出,该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333,它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置,从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题,该报告描述了如何将其用于远程执行代码,从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候,被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞,美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341495.html 封面来源于网络,如有侵权请联系删除

CISA 将 Zimbra 电子邮件漏洞添加到被利用漏洞目录中

Hackernews 编译,转载请注明出处: 8月4日,美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞,有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924(CVSS评分:7.5),这是平台中的命令注入漏洞,可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示:“Zimbra Collaboration允许攻击者将memcached命令注入目标实例,从而导致任意缓存条目的覆盖。” 具体而言,该漏洞与用户输入验证不足有关,如果成功利用该漏洞,攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞,2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节,也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用,建议用户对软件进行更新,以减少潜在的网络攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA 命令美国联邦机构在 7 月 22 日前为 CVE-2022-26925 打补丁

近日,美国网络安全和基础设施安全局CISA再次将CVE-2022-26925漏洞添加到已知漏洞目录中,并命令联邦文职行政部门FCEB在7月22日前按规定执行修复。CVE-2022-26925漏洞允许未经身份验证的攻击者能够在匿名模式下通过NTLM的身份验证,这可能会导致攻击者夺取整个域的控制权。 据悉在今年5月,CISA曾将CVE-2022-26925 Windows LSA添加在“已知漏洞目录”中,并发布了强制修复的命令,但很快CISA就将这条公告删除。原因微软2022年5月的周二补丁虽然声称解决了CVE-2022-26925漏洞,但在安装后该问题仍然没有彻底解决。 CISA 在该问题的公告中写道:“ 2022年5月10日的微软常规更新中存在域控制器部署认证失败的问题,该问题可能导致企业可能会在服务器或客户端遇到服务的认证失败,如网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护可扩展认证协议(PEAP)都会受到影响。” 微软在6月向CISA通报了问题的解决方案。根据美国联邦约束性操作指令(BOD)22-01,为了减少已知被利用的漏洞的重大风险,美国联邦文职行政部门FCEB必须在7月22日之前解决已发现的漏洞,以保护其网络免受利用目录中的缺陷的攻击。 网络安全专家们还建议私营机构审查该漏洞目录并解决其基础网络架构中的漏洞。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/338298.html 封面来源于网络,如有侵权请联系删除

CISA 发出警告:美国多州使用的投票机存在软件漏洞

在发送给美国各州选举官员的一份通知中,美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞,如果不加以解决,很容易受到黑客攻击。 Jack Hanrahan/Erie Times-News CISA 表示,目前并没有证据表明有黑客利用 Dominion Voting Systems 公司的设备漏洞来篡改选举结果。该咨询是基于一位知名计算机科学家和长期诉讼案专家证人的测试,该诉讼案与前总统唐纳德·特朗普在 2020 年大选失利后推动的盗窃选举的虚假指控无关。 根据美联社获取的这份报告,其中详细介绍了 9 个漏洞,并建议采取保护措施,以防止或检测其利用。在有关选举的错误信息和虚假信息的漩涡中,CISA 似乎行走在不惊动公众和强调选举官员采取行动的边界线上。 在一份声明中,CISA 执行董事布兰登·威尔士(Brandon Wales)表示:“各州的标准选举安全程序将检测出对这些漏洞的利用,在许多情况下将完全防止这些企图。然而,该建议似乎表明各州做得还不够。它敦促迅速采取缓解措施,包括继续和加强防御性措施,以减少利用这些漏洞的风险。公告说,这些措施需要在每次选举前实施,而很明显,所有使用这些机器的州都没有这样做”。 密歇根大学计算机科学家亚历克斯-霍尔德曼(J. Alex Halderman)撰写了这份咨询报告,他长期以来一直认为,使用数字技术来记录选票是危险的,因为计算机本身容易受到黑客攻击,因此需要采取多种保障措施,但这些措施并没有得到统一的遵守。他和其他许多选举安全专家都坚持认为,使用手写纸质选票是最安全的投票方法,也是唯一可以进行有意义的选举后审计的选择。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276043.htm 封面来源于网络,如有侵权请联系删除

CISA 发布 AA22-103A 新警报:警惕针对 ICS/SCADA 设备的 APT 网络攻击

本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。 (来自:CISA) 具体说来是,此类攻击多针对施耐德电气的 PLC(通用控制器)、欧姆龙 Sysmac N PLC 和开放平台统一通信架构(OPC UA)服务器而发起。 鉴于上述产品亦在美国诸多重要的工业设施中得到了广泛的使用,美国多个联邦部门在警报中发出了严厉的提醒: 一旦被攻击者获得对相关运营技术(OT)的最终访问权限,特定工具将能够对内网进行扫描、破坏和建立远程控制能力。 此外针对工控主板驱动漏洞的利用,也潜在于基于 Windows 操作系统的工程信息技术(IT)或 OT 环境的工作站中。 通过制定和维护对 ICS / SCADA 设备的访问权限,APT 参与者可顺利提权、在 OT 环境中四处游荡,进而破坏关键设备或系统功能。 正因如此,有关部门才不厌其烦地在每一份馆建设施实施警报中给出相关检测和缓解建议。 本轮攻击波及施耐德电气的 MODICON 和 MODICON Nano PLC,影响 TM251、TM241、M258、M23、LMC058 和 LMC078 等型号。 欧姆龙 Sysmac NJ NX8 PLC 亦有在列,受影响的产品涵盖了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型号。 ICS 网络安全软件公司 aDolus Technology 首席技术官 Eric Byres 在接受 The Record 采访时指出:基于通用的“共同合作协议”,OPC UA 的大多数供应商系统都允许配合多方的产品使用。 安全公司 Dragos 首席执行官 Robert Lee 补充道,他们一直在追踪此类针对 ICS 的恶意软件。可知其最初以施耐德电气和欧姆龙等厂家的产品为目标,且会利用本机功能来逃避安全检测。 庆幸的是,大部分此类恶意软件尚未在目标网络中被激活,意味着广大基础设施运营商仍有机会在灾难发生前迅速落实防御措施。 据悉,此类恶意软件最初似乎特别针对液化天然气和电力等能源基础设施。但从本质上来剖析,可知其亦可在各种各样的工业控制器和系统上运行。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258133.htm 封面来源于网络,如有侵权请联系删除

CISA 主管:Log4j 漏洞影响巨大 安全业面临一场持久战

美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。 (截图 via NIST) 在周一的电话会议期间,CISA 主任 Jen Easterly 向记者透露:尽管还有许多攻击未见诸报端,但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。 该漏洞波及数以千万计的互联网联网设备,影响范围之广,使之成为 CISA 史上最糟糕的一次经历。 此外攻击者可能正在等待一个大家都感到懈怠的时机,从而让 Log4Shell 能够在未来更好地用于入侵。 (截图 via CISA) Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件,其同样归咎于开源软件中的一个漏洞,最终导致近 1.5 亿美国人的个人信息泄露。 截至目前,大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的,就是微软旗下的《我的世界》游戏服务器。 与此同时,世界各地也发生了类似的大规模攻击。比如上月,比利时国防部就证实,其系统也因 Log4j 安全漏洞而遭到了破坏。   (消息及封面来源:cnBeta)

CISA 示警 Log4j 破坏力惊人 数亿台设备受到影响

在本周一的电话简报中,网络安全和基础设施安全局(CISA)局长 Jen Easterly 告诉行业领导者,近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的,但也是她整个职业生涯中遇到的最严重漏洞之一。她表示:“我们预计该漏洞将被复杂的行为者广泛利用,我们只有有限的时间来采取必要的措施,以减少损害的可能性。该问题是一个未经认证的远程执行漏洞,可能允许入侵者接管受影响的设备”。 在与关键基础设施所有者和运营商的通话中,CISA 漏洞管理办公室的 Jay Gazlay 表示数以亿计的设备将会受到影响。作为国土安全部的一个组成部分,CISA 最快将在周二建立一个专门的网站,以提供信息并打击“积极的虚假信息”。该机构负责网络安全的执行助理主任 Eric Goldstein 说该漏洞将“允许远程攻击者轻松控制他们利用该漏洞的系统”。 该行业简报是世界各地政府官员发出的最新警报,CISA 在周末与奥地利、加拿大、新西兰和英国等国一起发出了警告。Goldstein说,CISA预计各种攻击者都会利用这一漏洞,从加密者到勒索软件集团,甚至更多。他说:“目前还没有证据表明存在积极的供应链攻击”。 Gazlay 说,企业需要“持续的努力”才能变得安全,即使在应用了 Apache 的补丁之后,也需要勤奋更新。Gazlay 说:“没有任何单一的行动可以解决这个问题”。如果认为任何人“在一两个星期内就能解决这个问题”,那是一个错误。   (消息及封面来源:cnBeta)

研究人员公布 BrakTooth 蓝牙漏洞利用代码 CISA 敦促供应商尽快修复

随着公开漏洞利用代码和一款概念验证工具的发布,美国网络与基础设施安全局(CISA)也及时地向供应商发去了通报,以敦促其尽快修复影响数十亿设备(手机 / PC / 玩具)的拒绝服务(DoS)和代码执行攻击漏洞。ThreatPost 指出,用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束,相关测试套件和完整漏洞利用代码现已向公众开放访问。 BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub(来自:CISA) 据悉,BrakTooth 是一系列影响 1400 多款蓝牙商用产品的缺陷,数十亿受影响的设备都依赖于经典蓝牙协议来通讯。 正如原文指出的那样,攻击者只需找到现成的售价仅 14.80 美元的 ESP32 板子(AliExpress 上的同类产品甚至低到 4 美元)。 然后利用自定义链接管理协议(LMP)固件,即可在计算机上运行 BrakTooth 漏洞的概念验证攻击代码。 受影响的蓝牙 SoC 厂商与型号列表 早在 9 月发表的一篇论文中,新加坡大学研究人员就已经披露了最初的 16 个漏洞(现已多达 22 个),并将其统称为“BrakTooth”。 他们在 1400 多款嵌入式芯片组件中所使用的闭源商用 BT 堆栈中发现了漏洞,并详细说明了它们可能导致的一系列攻击类型。除了常见的拒绝服务(DoS),其中一个漏洞还可能导致任意代码执行(ACE)。 自论文发表以来,已有不少厂商发布了修补更新。与此同时,研究人员也曝光了更多易受攻击的设备,甚至苹果 iPhone 智能机 / MacBook 笔记本电脑也未能幸免。 此外 BrakTooth 漏洞还影响到了微软 Surface、戴尔台式 / 笔记本电脑、索尼 / OPPO 智能机、以及沃尔玛 / 松下等品牌的音频设备。 受影响设备的漏洞补丁状态和 SDK / 固件版本 截止 9 月,该团队已分析 11 家供应商的 13 款 BT 硬件,并列出了 20 份通用漏洞披露(CVE)公告 —— 其中四个来自英特尔和高通。 不久后,高通发布了 V6(8.6)和 V15(8.15)的 CVE,但研究人员指出或许仍有许多其它产品未被他们统计在内,比如片上系统(SoC)、BT 模块和其它 BT 终端产品。 周一的时候,芯片组供应商 Airoha、联发科和三星陆续披露了旗下某些设备易受攻击的报告。 英特尔、高通和三星的部分设备仍在等待补丁,但来自高通和德州仪器(TI)的某些产品已被列入不打算修复的列表,还有不少供应商正在调查此问题。   (消息及封面来源:cnBeta)

CISA 向美国企业与机构发布勒索软件防御和响应指南

在过去几个月里,美国企业遭受了一系列破坏性的的勒索软件攻击,有鉴于此,国土安全部的网络安全和基础设施安全局(CISA)发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外,该文件建议公司如果成为勒索软件攻击的目标,不要支付赎金。 《保护敏感信息和个人信息免受勒索软件导致的数据泄露》全文: https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet  Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf 概况介绍中写道:”勒索软件对所有政府和私营部门组织,包括关键基础设施组织,都是一个严重且日益增长的威胁。作为回应,美国政府推出了StopRansomware.gov网站,这是一个集中各种资源的政府网页,提供勒索软件资源、指导和警报”。 根据该机构的文件,为防止成为勒索软件攻击的受害者,企业应采取如下步骤: 解决面向互联网的漏洞和错误配置,减少攻击者利用这一攻击面的可能性 制定、维护和行使基本的网络事件响应计划、弹性战略和相关的通信计划 保持数据的离线、加密副本,并定期验证备份 减少收到网络钓鱼邮件的可能性 坚持正确的网络健康准则 有些预防措施很容易采取,例如经常进行离线备份。这种保护策略的一个重要组成部分是在发生勒索软件事件时避免感染、删除或加密所带来的损失。实现这一目标的方法之一是确保所有软件都是最新的,无论是固件、应用程序、操作系统、框架,还是其他类型的软件。CISA还建议定期进行漏洞扫描,以确定和解决漏洞,重点是那些影响互联网相关设备的漏洞。   (消息及封面来源:cnBeta)