CISA 发布 AA22-103A 新警报:警惕针对 ICS/SCADA 设备的 APT 网络攻击
本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。 (来自:CISA) 具体说来是,此类攻击多针对施耐德电气的 PLC(通用控制器)、欧姆龙 Sysmac N PLC 和开放平台统一通信架构(OPC UA)服务器而发起。 鉴于上述产品亦在美国诸多重要的工业设施中得到了广泛的使用,美国多个联邦部门在警报中发出了严厉的提醒: 一旦被攻击者获得对相关运营技术(OT)的最终访问权限,特定工具将能够对内网进行扫描、破坏和建立远程控制能力。 此外针对工控主板驱动漏洞的利用,也潜在于基于 Windows 操作系统的工程信息技术(IT)或 OT 环境的工作站中。 通过制定和维护对 ICS / SCADA 设备的访问权限,APT 参与者可顺利提权、在 OT 环境中四处游荡,进而破坏关键设备或系统功能。 正因如此,有关部门才不厌其烦地在每一份馆建设施实施警报中给出相关检测和缓解建议。 本轮攻击波及施耐德电气的 MODICON 和 MODICON Nano PLC,影响 TM251、TM241、M258、M23、LMC058 和 LMC078 等型号。 欧姆龙 Sysmac NJ NX8 PLC 亦有在列,受影响的产品涵盖了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型号。 ICS 网络安全软件公司 aDolus Technology 首席技术官 Eric Byres 在接受 The Record 采访时指出:基于通用的“共同合作协议”,OPC UA 的大多数供应商系统都允许配合多方的产品使用。 安全公司 Dragos 首席执行官 Robert Lee 补充道,他们一直在追踪此类针对 ICS 的恶意软件。可知其最初以施耐德电气和欧姆龙等厂家的产品为目标,且会利用本机功能来逃避安全检测。 庆幸的是,大部分此类恶意软件尚未在目标网络中被激活,意味着广大基础设施运营商仍有机会在灾难发生前迅速落实防御措施。 据悉,此类恶意软件最初似乎特别针对液化天然气和电力等能源基础设施。但从本质上来剖析,可知其亦可在各种各样的工业控制器和系统上运行。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258133.htm 封面来源于网络,如有侵权请联系删除
CISA 主管:Log4j 漏洞影响巨大 安全业面临一场持久战
美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。 (截图 via NIST) 在周一的电话会议期间,CISA 主任 Jen Easterly 向记者透露:尽管还有许多攻击未见诸报端,但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。 该漏洞波及数以千万计的互联网联网设备,影响范围之广,使之成为 CISA 史上最糟糕的一次经历。 此外攻击者可能正在等待一个大家都感到懈怠的时机,从而让 Log4Shell 能够在未来更好地用于入侵。 (截图 via CISA) Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件,其同样归咎于开源软件中的一个漏洞,最终导致近 1.5 亿美国人的个人信息泄露。 截至目前,大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的,就是微软旗下的《我的世界》游戏服务器。 与此同时,世界各地也发生了类似的大规模攻击。比如上月,比利时国防部就证实,其系统也因 Log4j 安全漏洞而遭到了破坏。 (消息及封面来源:cnBeta)
CISA 示警 Log4j 破坏力惊人 数亿台设备受到影响
在本周一的电话简报中,网络安全和基础设施安全局(CISA)局长 Jen Easterly 告诉行业领导者,近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的,但也是她整个职业生涯中遇到的最严重漏洞之一。她表示:“我们预计该漏洞将被复杂的行为者广泛利用,我们只有有限的时间来采取必要的措施,以减少损害的可能性。该问题是一个未经认证的远程执行漏洞,可能允许入侵者接管受影响的设备”。 在与关键基础设施所有者和运营商的通话中,CISA 漏洞管理办公室的 Jay Gazlay 表示数以亿计的设备将会受到影响。作为国土安全部的一个组成部分,CISA 最快将在周二建立一个专门的网站,以提供信息并打击“积极的虚假信息”。该机构负责网络安全的执行助理主任 Eric Goldstein 说该漏洞将“允许远程攻击者轻松控制他们利用该漏洞的系统”。 该行业简报是世界各地政府官员发出的最新警报,CISA 在周末与奥地利、加拿大、新西兰和英国等国一起发出了警告。Goldstein说,CISA预计各种攻击者都会利用这一漏洞,从加密者到勒索软件集团,甚至更多。他说:“目前还没有证据表明存在积极的供应链攻击”。 Gazlay 说,企业需要“持续的努力”才能变得安全,即使在应用了 Apache 的补丁之后,也需要勤奋更新。Gazlay 说:“没有任何单一的行动可以解决这个问题”。如果认为任何人“在一两个星期内就能解决这个问题”,那是一个错误。 (消息及封面来源:cnBeta)
研究人员公布 BrakTooth 蓝牙漏洞利用代码 CISA 敦促供应商尽快修复
随着公开漏洞利用代码和一款概念验证工具的发布,美国网络与基础设施安全局(CISA)也及时地向供应商发去了通报,以敦促其尽快修复影响数十亿设备(手机 / PC / 玩具)的拒绝服务(DoS)和代码执行攻击漏洞。ThreatPost 指出,用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束,相关测试套件和完整漏洞利用代码现已向公众开放访问。 BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub(来自:CISA) 据悉,BrakTooth 是一系列影响 1400 多款蓝牙商用产品的缺陷,数十亿受影响的设备都依赖于经典蓝牙协议来通讯。 正如原文指出的那样,攻击者只需找到现成的售价仅 14.80 美元的 ESP32 板子(AliExpress 上的同类产品甚至低到 4 美元)。 然后利用自定义链接管理协议(LMP)固件,即可在计算机上运行 BrakTooth 漏洞的概念验证攻击代码。 受影响的蓝牙 SoC 厂商与型号列表 早在 9 月发表的一篇论文中,新加坡大学研究人员就已经披露了最初的 16 个漏洞(现已多达 22 个),并将其统称为“BrakTooth”。 他们在 1400 多款嵌入式芯片组件中所使用的闭源商用 BT 堆栈中发现了漏洞,并详细说明了它们可能导致的一系列攻击类型。除了常见的拒绝服务(DoS),其中一个漏洞还可能导致任意代码执行(ACE)。 自论文发表以来,已有不少厂商发布了修补更新。与此同时,研究人员也曝光了更多易受攻击的设备,甚至苹果 iPhone 智能机 / MacBook 笔记本电脑也未能幸免。 此外 BrakTooth 漏洞还影响到了微软 Surface、戴尔台式 / 笔记本电脑、索尼 / OPPO 智能机、以及沃尔玛 / 松下等品牌的音频设备。 受影响设备的漏洞补丁状态和 SDK / 固件版本 截止 9 月,该团队已分析 11 家供应商的 13 款 BT 硬件,并列出了 20 份通用漏洞披露(CVE)公告 —— 其中四个来自英特尔和高通。 不久后,高通发布了 V6(8.6)和 V15(8.15)的 CVE,但研究人员指出或许仍有许多其它产品未被他们统计在内,比如片上系统(SoC)、BT 模块和其它 BT 终端产品。 周一的时候,芯片组供应商 Airoha、联发科和三星陆续披露了旗下某些设备易受攻击的报告。 英特尔、高通和三星的部分设备仍在等待补丁,但来自高通和德州仪器(TI)的某些产品已被列入不打算修复的列表,还有不少供应商正在调查此问题。 (消息及封面来源:cnBeta)
CISA 向美国企业与机构发布勒索软件防御和响应指南
在过去几个月里,美国企业遭受了一系列破坏性的的勒索软件攻击,有鉴于此,国土安全部的网络安全和基础设施安全局(CISA)发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外,该文件建议公司如果成为勒索软件攻击的目标,不要支付赎金。 《保护敏感信息和个人信息免受勒索软件导致的数据泄露》全文: https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf 概况介绍中写道:”勒索软件对所有政府和私营部门组织,包括关键基础设施组织,都是一个严重且日益增长的威胁。作为回应,美国政府推出了StopRansomware.gov网站,这是一个集中各种资源的政府网页,提供勒索软件资源、指导和警报”。 根据该机构的文件,为防止成为勒索软件攻击的受害者,企业应采取如下步骤: 解决面向互联网的漏洞和错误配置,减少攻击者利用这一攻击面的可能性 制定、维护和行使基本的网络事件响应计划、弹性战略和相关的通信计划 保持数据的离线、加密副本,并定期验证备份 减少收到网络钓鱼邮件的可能性 坚持正确的网络健康准则 有些预防措施很容易采取,例如经常进行离线备份。这种保护策略的一个重要组成部分是在发生勒索软件事件时避免感染、删除或加密所带来的损失。实现这一目标的方法之一是确保所有软件都是最新的,无论是固件、应用程序、操作系统、框架,还是其他类型的软件。CISA还建议定期进行漏洞扫描,以确定和解决漏洞,重点是那些影响互联网相关设备的漏洞。 (消息及封面来源:cnBeta)
CISA 命令美国政府机构紧急修补 PrintNightmare 漏洞
本月早些时候,安全研究人员意外地发布了一个零日漏洞和概念验证代码,证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软迅速地发布了一个带外修复程序,现在网络安全和基础设施安全局(CISA)已经命令政府机构紧急对联邦计算机应用这个补丁。 CISA说:”已经验证了各种概念证明的有效性,并担心如果不加以缓解,利用这一漏洞可能导致机构网络的全面系统受损。这一判断是基于目前威胁者在外部对这一漏洞的利用,进一步利用这一漏洞的可能性,受影响的软件在联邦企业中的普遍性,以及机构信息系统被破坏的高可能性。” 紧急指令21-04主要内容,并附有最后期限: 在2021年7月14日(星期三)美国东部时间晚上11:59之前,停止并禁用所有微软活动目录(AD)域控制器(DC)上的打印线轴服务。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,将2021年7月的累积更新应用于所有Windows服务器和工作站。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,对所有运行微软Windows操作系统的主机(行动1下的域控制器除外)完成指令中详述的选项1、2或3。 验证上述选项1、2和3的注册表和/或组策略设置是否正确部署。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,确保技术和/或管理控制措施到位,以确保新配置的或以前断开连接的服务器和工作站得到更新,并在连接到机构网络之前拥有上述定义的设置。 在2021年7月21日(星期三)美国东部时间下午12:00之前,使用所提供的模板提交一份完成报告。 CISA还建议机构在所有不用于打印的系统上禁用Windows 10 Print Spool,普通Windows 10用户则可以通过安装刚刚发布的2021年7月累积更新来保护自己。 (消息及封面来源:cnBeta)
CISA 勒令联邦机构 24 小时内安装补丁 修复 Windows 严重漏洞
美国国土安全部(DHS)下属的网络安全部门本周四发布行政令,要求联邦民用机构立即对新发现的 Windows 漏洞 SIGRed 进行安全修复,理由是该漏洞对这些的机构的安全构成了“不可接受的重大风险”。 这是 DHS 下属的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)有史以来发布的第三道命令,要求各大机构在 24 小时内对用于域名系统的 Windows 服务器打补丁,或者部署其他的缓解方案。机构内并非用于 DNS,但受影响的服务器要在7月24日前打上补丁。 在指令是非常紧迫性的,CISA 强调:“基于该漏洞被利用的可能性,受影响软件在整个联邦企业中的广泛使用,机构信息系统被破坏的可能性很高,以及成功破坏的严重影响”。 Check Point的研究人员发现了Windows DNS的安全漏洞,并在5月份向微软报告。如果不打补丁,就会使Windows服务器容易受到攻击,不过微软指出,目前还没有发现这个缺陷被利用的证据。 “DNS服务器漏洞是一件非常严重的事情,”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织,无论大小,如果不打补丁,都会面临重大安全风险,最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞,那么别人也已经发现了这个漏洞也不是不可能。” (稿源:cnBeta,封面源自网络。)