一、业界动态
《2020年工业信息安全态势报告》发布
2月5日,国家工业信息安全发展研究中心“2020年工业信息安全态势感知报告”线上发布会成功举办,正式发布了《2020年工业信息安全态势报告》
http://www.nisia.org.cn/filedownload/205028
NCC Group检测到利用SonicWall中0day的攻击活动
网络安全公司NCC Group周日称,它已检测到针对SonicWall网络设备中零日漏洞的主动利用尝试。目前尚不清楚此漏洞是否与SonicWall在1月23日披露的漏洞相同,但NCC认为这是极有可能的。SonicWall在其SMA 100安全公告的更新中已确认了NCC Group发现的零日漏洞,列出了受影响的设备型号并表示会在2月2日之前发布补丁程序。有关漏洞的细节并未公开,以防止其他攻击者对其进行研究并发动攻击。
https://www.zdnet.com/article/sonicwall-zero-day-exploited-in-the-wild/
Google发布2020年在野利用的零日漏洞的回顾报告
Google Project Zero发布了2020年在野利用的零日漏洞的回顾报告。报告显示,2020年总共检测到24个已被利用的零日漏洞,其中6种是前几年所披露的漏洞的变种,分别为Internet Explorer中的CVE-2020-0674、火狐中的CVE-2020-6820、谷歌浏览器中的CVE-2020-6572、Windows中的CVE-2020-0986、Freetype中的CVE-2020-15999和苹果Safari中的CVE-2020-27930。研究人员表示某些漏洞只需要更改一或两行代码就可以成为新的漏洞,因此对漏洞进行更彻底的调查和修复,则可能避免四分之一的漏洞的攻击。
https://googleprojectzero.blogspot.com/2021/02/deja-vu-lnerability.html
二、关键基础设施
货运公司Forward Air感染Hades,损失达750万美元
货运公司Forward Air遭到了Hades勒索软件攻击,造成的损失达750万美元。该攻击事件发生在去年12月15日,因感染Hades导致该公司将所有IT系统脱机以应对入侵。导致驾驶员和员工无法获取必要的文件以通过海关清关运输,其运营受到严重破坏。尽管Forward Air表示其已成功地从攻击中恢复,但还是付出了沉重代价,其在第四季度的财务业绩中的损失高达750万美元。
https://www.zdnet.com/article/trucking-company-forward-air-said-its-ransomware-incident-cost-it-7-5-million/
三、安全事件
软件公司Wind River称其遭到攻击,员工信息泄露
加利福尼亚的软件公司Wind River称其遭到攻击,导致员工的个人信息泄露。该公司称事件发生在2020年9月29日左右,黑客可能已经窃取了一个或多个文件。此次泄露的信息包括出生日期、驾照号码、公民身份证号码、社会保险号码、护照或签证号码、健康详细信息和财务账户信息等。目前,Wind River尚未提供有关受影响员工的数量或攻击者如何破坏其系统的具体信息。
https://securityaffairs.co/wordpress/114151/data-breach/wind-river-data-breach.html
多个勒索团伙针对ESXi的虚拟机中的硬盘进行加密
近期,多个勒索软件团伙正在利用VMWare ESXi产品中的漏洞,以接管企业环境中的虚拟机并对其虚拟硬盘进行加密。攻击者使用了ESXi中影响服务定位协议(SLP)的CVE-2019-5544和CVE-2020-3992漏洞,其允许多个虚拟机共享同一硬盘存储。该攻击于去年10月首次发现,与RansomExx团伙有关,自上个月Babuk Locker也发起了类似的攻击。此外,威胁情报公司KELA称,黑客去年还在暗网上出售对ESXi实例的访问权限。
https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/
SolarWinds遭攻击导致美国法院停止使用电子文件
由于担心俄罗斯黑客破坏了文件系统,近日美国法院系统禁止在敏感案件中以电子方式提交法律文件。上周下发给所有联邦法院的特别命令中强调,“包含外国政府情报部门感兴趣信息”的任何文件都必须被打印出来,并以物理形式提供。调查SolarWinds事件的政府人员怀疑克里姆林宫间谍通过后门IT工具访问了多个美国政府部门的网络,黑客可能访问了高度敏感文件。
https://www.163.com/dy/article/G1TGTH7J0511ALHJ.html
四、漏洞事件
Sudo提权漏洞影响macOS Big Sur,尚未发布补丁
Sudo提权漏洞也影响了最新版本的macOS Big Sur,尚未发布补丁程序。该漏洞被追踪为CVE-2021-3156,又名Baron Samedit,是基于堆的缓冲区溢出漏洞,可使本地用户获得root权限。Hacker House研究人员称,可以将sudo与sudoedit建立符号链接触发堆溢出,把用户的权限升级到1337 uid=0来利用该漏洞。目前已发布了针对Ubuntu、Debian和Fedora等多个Linux系统的补丁程序,但均不适用于macOS。
https://www.securityweek.com/recent-sudo-vulnerability-affects-apple-cisco-products
SonicWall SSLVPN SMA100 SQL注入漏洞 (CVE-2021-20016)
SonicWall发布SMA产品存在高危漏洞的风险通告,对应CVE编号:CVE-2021-20016。未经身份验证的远程攻击者可利用该漏洞获取目标设备的控制权。目前官方已发布安全版本修复该漏洞,建议受影响用户将SMA 100产品固件升级至10.2.0.5-d-29sv,做好资产自查以及预防工作,以免遭受黑客攻击。
https://www.secrss.com/articles/29169
研究人员发现RealtekWi-Fi模块存在严重漏洞
以色列物联网安全公司Vdoo的研究人员发现RealtekRTL8195AWi-Fi模块中存在6个严重漏洞,攻击者可以利用这些漏洞获得root访问权并完全控制设备的无线通信。RealtekRTL8195A模块是一款独立的、低功耗的Wi-Fi硬件模块,适用于多个行业的嵌入式设备,如农业、智能家居、医疗保健、游戏和汽车行业。尽管Vdoo发现的问题仅在RTL8195A上得到了验证,但它们还扩展到其他模块,包括RTL8711AM,RTL8711AF和RTL8710AF。
https://thehackernews.com/2021/02/critical-bugs-found-in-popular-realtek.html