新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第138期

<<返回

2021年01月25日 10:09

一、业界动态

国家工业信息安全漏洞库发布《2020年工业信息安全漏洞态势年度简报》

国家工业信息安全漏洞库(CICSVD)发布《2020年工业信息安全漏洞态势年度简报》(以下简称《2020年漏洞年报》)。《2020年漏洞年报》立足于CICSVD收录和发布的漏洞数据,从漏洞总体情况、漏洞成因、受影响产品、单位贡献排名、重要安全漏洞告警等方面进行了重点分析。

https://www.cics-vd.org.cn/list/reportWeekPdf.html?id=183

paloalto发布2021年网络安全的预测报告

paloalto发布了2021年网络安全的预测报告。报告指出,网络安全预测和规划变得不可预测;推动云交付的网络和安全性开始转型,转向安全访问服务边缘(SASE);5G安全不仅限于运营商,在5G上的任何人都需要注意安全性;机器学习将帮助网络安全系统变得更加主动,在攻击中做出反应并不断学习,以防止0day威胁、自动执行策略建议并主动提高安全性;物联网安全将比以往任何时候都重要;数据保护更为关键,但可用范围也更广。

https://blog.paloaltonetworks.com/2021/01/network-security-predictions

德国笔记本零售商因监控员工被GDPR罚款1040万欧元

德国笔记本零售商NBB(notebooksbilliger.de)因利用视频监控员工被GDPR罚款1040万欧元。该公司两年前在其仓库、销售区和普通工作区中安装了视频监控系统,目的是防止和调查被盗和跟踪产品。德国数据监管机构表示利用如此密集的视频监控,已经严重侵犯员工的权利。此外,NBB还在客户不知情的情况下,在其销售场所测试设备时记录了客户的信息,这是另一个重大的隐私侵犯行为。此次是根据2018年发布的GDPR在德国、乃至整个欧洲处以的最高罚款之一。

https://www.zdnet.com/article/gdpr-german-laptop-retailer-fined-eur10-4m-for-video-monitoring-employees/

FireEye公布SolarWinds黑客技术细节

SolarWinds供应链攻击中,黑客(美国情报服务和计算机安全机构认定是俄罗斯国家黑客组织)专门针对两类人:能够访问高级信息的人和系统管理员。缓解措施建议,审查所有系统管理员账户,特别是查看是否有任何“已配置或添加到特定服务主体的账户”并删除它们,然后搜索可疑的应用程序凭据并将其删除。该公司还在GitHub上发布了一个名为“Azure AD调查器”的免费检测工具(https://github.com/fireeye/Mandiant-Azure-AD-Investigator),该工具能够检测企业网络是否被SolarWinds Orion的后门软件入侵。

https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf

 

二、关键基础设施

俄罗斯铁路存在可访问其监控系统的漏洞

俄罗斯铁路公司存在漏洞,可用来访问其监控系统和内部服务。该漏洞是由于默认情况下MikroTik路由器上的密码未更改所导致的,黑客可利用该漏洞在一周内关闭铁路上的所有监控,而恢复系统需要至少一个月的时间,花费1.3亿卢布(180万美元)。目前,该漏洞已被修复,但不能确定是否有攻击者利用其非法访问过公司的系统。

https://www.ehackingnews.com/2021/01/hackers-accessed-thousands-of.html

西门子 PLM 产品被曝数十个漏洞,可导致代码执行

西门子通知客户称某些产品开发解决方案受二十多个漏洞的影响,可导致攻击者利用恶意文件执行任意代码。这些漏洞由多个研究人员发现、由趋势科技 ZDI 和 CISA 协调发布。受影响的产品均由专注于产品生命周期管理 (PLM) 解决方案的西门子 Digital Industries Software 开发。

https://www.securityweek.com/tens-vulnerabilities-siemens-plm-products-allow-code-execution

 

三、安全事件

CHwapi医院感染勒索软件,上百台手术被迫取消

CHwapi医院于本周日遭到勒索软件攻击,上百台手术被迫取消。此次攻击发生在星期日晚上8点46分左右,CHwapi医院的300台计算机中,有至少80台受到了影响。由于无法再访问系统中的个人数据,工作人员被迫开始查看旧的纸质数据。面对这种情况,该院也取消了周一的上百台手术。该院称,目前并没有数据泄露,黑客也没有提出赎金要求。

https://m.lavenir.net/cnt/dmf20210118_01546284/le-chwapi-victime-d-une-cyber-attaque-des-operations-annulees

研究团队发现FreakOut利用多个新漏洞的攻击活动

研究团队发现僵尸网络FreakOut利用多个新漏洞的攻击活动。此次攻击主要针对TerraMaster操作系统、Zend Framework和Liferay Portal,利用了CVE-2020-28188、 CVE-2021-3007和CVE-2020-7961漏洞。FreakOut具有服务端口扫描、收集信息、网络嗅探或发动分布式拒绝服务(DDoS)攻击等功能,可感染Linux设备,并利用其挖加密货币、在公司网络上横向传播或伪装成受影响的公司攻击其他目标。

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

Nitro PDF用户数据库大规模泄露

黑客免费公开泄露包含超过7700万条Nitro PDF用户记录数据库。

https://mp.weixin.qq.com/s/jcB73xXgYJIM1KwbsjKZ-Q

 

四、漏洞事件

JSOF披露Dnsmasq中7个命名为DNSpooq的漏洞

JSOF的研究人员披露了Dnsmasq中的7个DNSpooq漏洞。Dnsmasq是基于*NIX操作系统的DNS转发客户端,通常在各种网络设备的固件中。此次总共披露了7个漏洞,他们被统称为DNSpooq,其中4个是缓冲区溢出漏洞,可能导致远程执行代码,而其他3个漏洞则可导致DNS缓存中毒。JSOF称攻击者可结合使用DNSpooq和旧版Dnsmasq软件,对直接暴露在Internet上的Dnsmasq进行攻击,并且受影响设备所处的内网上的其它设备也将处于危险之中。

https://www.zdnet.com/article/dnspooq-lets-attackers-poison-dns-cache-records/

FiberHome FTTH ONT路由器中存在28个后门帐户

研究人员Pierre Kim发现FiberHome FTTH ONT路由器中存在28个后门帐户和多个其他漏洞。该路由器主要部署于南美和东南亚,通常安装在选择千兆位的公寓楼内、家庭或企业内部。Kim称其发现大量可被滥用来接管ISP的后门和漏洞,例如后门允许攻击者通过发送特制的HTTPS请求[https:// [ip]/telnet?enable=0&key=calculated(BR0_MAC)]与路由器的Telnet连接,Web服务器包含22个由不同的Internet服务提供商使用的硬编码凭据等。

https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/