六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第108期

2020年06月22日 10:11

一、业界动态

美国大规模DDoS攻击实为T-Mobile配置错误导致

前几天在Twitter上流传有美国正遭受大规模的DDoS攻击的谣言,实际是由于配置错误导致的T-Mobile中断。Cloudflare的CEO Matthew Prince推文表示,因为T-Mobile对其网络配置进行了一些更改,导致了在6个小时中出现了一系列的网络故障,他还发布 了Cloudflare统计的详细信息图以阐述此事件。T-Mobile技术总裁Neville Ray表示,他们正在努力解决该问题。目前,语音和文本传输问题已经解决。

https://www.bleepingcomputer.com/news/security/t-mobile-outage-caused-by-configuration-error-not-a-ddos-attack/

TCP/IP软件库中新漏洞Ripple20,或将影响数十亿网络设备

美国国土安全部和CISA ICS-CERT于6月16日发出警告,在TCP/IP软件库中的新漏洞Ripple20,可能会影响来自世界各地的500多名供应商生产的数十亿(甚至更多)IoT设备。该漏洞是以色列网络安全公司JSOF的研究人员发现的,位于Treck,Inc.开发的TCP/IP软件库中,共有19个0day漏洞,被统称为“Ripple20”。这19个漏洞都是内存损坏问题,源于使用不同协议(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太网链路层)在网络上发送的数据包的处理错误。

https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html

思科发布2020年夏季的应急响应趋势报告

思科发布了2020年夏季的应急响应趋势报告。分析发现,电子邮件仍然是恶意病毒最主要的传播媒介,而针对远程桌面服务(RDS)以及Citrix和Pulse VPN设备的攻击有所增加。这一季度黑客的重点目标为医疗保健和科技行业,与上一季度的金融服务和政府部门有所不同。勒索软件是此季度最主要的攻击方式,而Ryuk已经连续四个季度在应急响应中占据了威胁领域的主导地位。

https://blog.talosintelligence.com/2020/06/CTIR-trends-q3-2020.html

再次刷新!AWS遭遇2.3 Tbps最大规模DDoS攻击

亚马逊称其AWS Shield 服务在今年2月中旬成功拦截了2.3 Tbps的DDOS攻击,这是史上最大规模的DDOS 攻击,上次最大规模的DDOS攻击记录是2018年3月的1.7 Tbps。

https://www.secrss.com/articles/20412

 

二、关键基础设施

西门子的PLC存在严重漏洞,可导致DoS攻击

西门子的LOGO!可编程逻辑控制器(PLCs)存在严重漏洞,可被利用修改设备配置或发起DoS攻击。西门子表示,该漏洞影响了其所有版本的LOGO!8 BM设备,以及用于极端条件的SIPLUS版本。该漏洞是因为缺少验证而存在的,未经身份验证的黑客可以访问TCP的135端口,并读取和修改设备的配置。目前尚未发布补丁程序,但是西门子公司表示可以通过纵深防御来降低该漏洞被利用的风险。

https://www.securityweek.com/critical-vulnerabilities-expose-siemens-logo-controllers-attacks

 

三、安全事件

黑客利用Apple中DLL劫持漏洞分发恶意挖矿软件

网络安全公司Morphisec发现,黑客正在利用Apple推送服务中的DLL劫持漏洞分发恶意挖矿软件。苹果在执行推送通知服务可执行文件(APSDaemon.exe)时会加载applevertion.DLL,由于该可执行文件不检查正在加载的是否为合法的appleverations .dll,这使得黑客可以将他替换成恶意的DLL文件。Morphisec表示,在此轮攻击中黑客使用了欺诈性软件包来利用苹果的APSDaemon.exe、AnyToIso和CrystalBit软件中的DLL劫持漏洞来安装挖矿软件。

https://www.bleepingcomputer.com/news/security/coinminer-exploits-apple-apsdaemon-vulnerability-to-evade-detection/

黑客冒充领英招聘人员,针对欧洲和中东军事和航空组织

网络安全公司ESET的研究人员发现了一种新型的高度复杂的间谍活动,黑客冒充领英招聘人员针对欧洲和中东军事和航空航天组织,旨在窃取敏感文件。此次活动中,黑客冒充Collins Aerospace和General Dynamics的招聘人员,向航空航天和国防公司相关的员工发送消息和伪装成薪资信息的恶意文件。受害者下载该恶意文件后,黑客会尝试利用其入侵网络,成功后便会发起暴力攻击,以窃取管理帐户的登录凭据。考虑到目标公司的类型,ESET认为攻击者的目标可能是敏感的业务和技术信息。

https://www.hackread.com/hackers-linkedin-recruiters-scam-military-aerospace-firms/

黑客劫持了牛津大学邮件系统进行Office 365网络钓鱼

Check Point研究人员发现,黑客劫持了牛津大学的电子邮件系统来进行网络钓鱼活动,旨在窃取欧洲、亚洲和中东用户的Microsoft Office 365登录凭据。黑客发送伪造的语音邮件提醒声称受害者的语音邮箱中有一条语音信息,并诱使其打开邮件中的恶意链接,之后用户会被重定向到钓鱼页面。此外,大部分的钓鱼邮件来自牛津大学不同部门的合法子域,并且黑客还利用了Adobe服务器上托管的域,以躲避钓鱼邮件检测系统。

https://www.bleepingcomputer.com/news/security/hijacked-oxford-server-used-by-hackers-for-office-365-phishing/

 

四、漏洞事件

远程桌面的USB驱动存在漏洞,可利用此漏洞进行提权

网络安全公司SentinelOne发现远程桌面的USB驱动存在漏洞,黑客可以利用此漏洞进行提权。该漏洞被追踪为CVE-2020-9332,位于FabulaTech开发的“用于远程桌面的USB”的驱动程序中,其客户包括Google、微软、万事达卡、美国宇航局、路透社、英特尔等公司。研究人员发现,FabulaTech的驱动程序调用了IoCreateDevice,该程序不会通过安全检查来阻止低权限的实体的访问,这允许非特权用户添加并控制OS信任的软件设备。目前,该漏洞尚未被修复。

https://www.bleepingcomputer.com/news/security/bug-in-usb-for-remote-desktop-lets-hackers-add-fake-devices/

ARM CPU新漏洞为Spectre变体,可导致侧信道攻击

Google的SafeSide小组发现ARM CPU存在新的投机执行漏洞,为Spectre变体,可导致侧信道攻击。研究人员再在ARM处理器的Armv8-A(Cortex-A)CPU体系结构中发现了一个名为直线推测( Straight-Line Speculation ,SLS) 的新漏洞,被追踪为CVE-2020-13844。SLS被认为是Spectre漏洞的变体,但二者的攻击范围略有不同,SLS漏洞仅影响Arm Armv-A处理器,而Spectre漏洞影响所有主要芯片制造商的CPU。到目前为止,该漏洞还没有在野利用。

https://www.phoronix.com/scan.php?page=news_item&px=Arm-Straight-Line-Speculation

GTP协议存在漏洞,可被利用对蜂窝网络进行DoS攻击

Positive Technologies发布报告表示,GTP协议存在漏洞,可被利用对蜂窝网络进行DoS攻击、欺诈攻击和数据窃取。该漏洞影响了使用2G、3G、4G网络的设备,以及部分使用5G网络的手机设备。报告表示,研究人员所测试的每一个网络都存在该漏洞,可被黑客利用发起DoS攻击、破坏合法用户的访问权限、窃取网络服务和带宽或者泄露用户的个人信息。Positive Technologies表示,该漏洞存在于协议的体系结构中而不是其实现中,并且研究人员建议用户在GTP级别过滤流量并采取GSMA安全建议以防御攻击。

https://www.darkreading.com/vulnerabilities---threats/protocol-vulnerability-threatens-mobile-networks/d/d-id/1338068

79款Netgear路由器被曝远程劫持0day,暂无补丁

研究员在 GitHub 上发布 PoC 代码,并表示他能够“以 root 身份在 TCP 端口8888启动路由器的 telnet 守护进程且无需代码即可登录”。

https://www.secrss.com/articles/20405

 

 


more

手机扫码打开

logo