新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第164期

<<返回

2021年08月23日 09:44

一、业界动态

Check Point发布2021年7月教育行业威胁态势的报告

Check Point发布了2021年7月教育和科研行业威胁态势的分析报告。报告指出,在2021年7月,教育和科研行业是遭到攻击最多的行业,每个组织每周平均遭到1739次攻击,比2021年上半年增长了29%。今年7月,印度该行业的组织遭到的攻击最多,每个组织平均每周5196次攻击,比2021年H1增长了22%,其次为意大利(5016次攻击,增加70%)和以色列(4011次,增加51%)。

https://blog.checkpoint.com/2021/08/18/check-point-research-education-sector-sees-29-increase-in-attacks-against-organizations-globally/

SNIcat技术可绕过Cisco多款安全设备的流量监测

8月18日,Cisco成为继F5 Networks、Fortinet和Palo Alto Networks之后第4家正式承认SNIcat可绕过其安全设备流量监测的网络安全供应商。SNIcat是挪威安全公司mnemonic于2020年8月发现的一种数据泄露技术。目前,受到影响的设备包括运行了FTD(Firepower威胁防御)的Cisco防火墙、运行了WSA(网络安全设备)模块的设备以及所有ISA3000(工业安全设备)防火墙。Cisco预计在不久后将会发布补丁和检测规则。

https://therecord.media/cisco-security-devices-are-vulnerable-to-snicat-data-exfiltration-technique/

美国石油学会发布新版管道网络安全标准

美国石油学会(API)发布了第3版标准(Std) 1164,“管道控制系统网络安全”,强调了天然气和石油行业对保护美国关键基础设施免受恶意和潜在破坏性网络攻击的持续承诺。

https://www.secrss.com/articles/33628

NERC报告:北美大型电力供应商网络事件大幅上升

北美能源可靠性公司(North American Energy Reliability Corporation, NERC)的年度报告显示,去年,在许多类别的事件中,上报给北美电力行业信息共享中心的网络安全相关事件数量增加了一倍以上。当地时间8月17日发布的2021年可靠性状况报告称,NERC再次没有收到导致电力负荷损失的网络安全事件报告。NERC对加拿大和美国的大型电力供应商实施强制性可靠性标准。

https://www.secrss.com/articles/33589

 

二、关键基础设施

缅因州当地政府称两家污水处理厂遭到勒索软件攻击

美国缅因州(Maine)当地政府称该州的两家污水处理厂遭到了勒索软件攻击。该州的环境保护部门DEP指出攻击发生在Mount Desert和Limestone,这是缅因州污水系统第一次遭到入侵。Limestone负责人称攻击者于7月4日攻击了他们一台运行了Windows 7系统的计算机,目前没有居民的信息泄露。Mount Desert负责人表示攻击导致办公室的电脑停机了3天,但是处理厂没有受到影响,也没有居民的信息泄露。

https://bangordailynews.com/2021/08/15/news/in-a-first-for-maine-ransomware-hackers-hit-2-public-wastewater-plants/

 

三、安全事件

研究团队发现Aggah针对亚洲制造业的鱼叉式钓鱼活动

Anomali的研究团队发现了始于2021年7月上旬的鱼叉式网络钓鱼活动,针对整个亚洲的制造业。Aggah最早于2019年3月由Unit 42的研究人员发现,主要针对阿拉伯联合酋长国(UAE)的组织。此次活动中,攻击者伪装成英国FoodHub.co.uk发送钓鱼邮件,诱使用户登录已被入侵的mail.hoteloscar.in/images网站,并分发Warzone RAT。据分析,Aggah最新的攻击目标包括中国台湾的制造公司Fon-star和工程公司FomoTech,以及韩国的电力公司现代电气。

https://www.anomali.com/blog/aggah-using-compromised-websites-to-target-businesses-across-asia-including-taiwan-manufacturing-industry

福特汽车的网站存在漏洞可泄露公司机密和客户信息

福特汽车的官方网站存在漏洞可泄露客户数据库、员工记录和内部票证等。该漏洞是由于信息泄露漏洞CVE-2021-27653导致的,存在于配置错误的Pega Infinity客户管理系统中,攻击者需要先访问Pega Chat access Group网站的后端web面板利用此漏洞。泄露数据包括客户和员工记录、财务账号、数据库名称和表、OAuth访问令牌、内部支持票、脉冲动作、内部接口和搜索栏历史等。研究人员称,漏洞影响范围很大,可用来获取大量敏感信息并接管帐户。

https://www.bleepingcomputer.com/news/security/ford-bug-exposed-customer-and-employee-records-from-internal-systems/

ClearSky发现Siamesekitten针对以色列的间谍活动

ClearSky的研究人员在8月17日披露了伊朗APT组织Siamesekitten针对以色列的间谍活动。ClearSky于2021年5月初检测到该团伙针对以色列的一家IT公司的第一次攻击,并在5月和7月又检测到了多次攻击。在此次活动中,黑客伪装成ChipPc和Software AG等知名公司的人力资源部员工,以诱人的职位诱使目标进入钓鱼网页下载远程访问木马DanBot。因为此次攻击主要针对IT和通信公司,因此ClearSky推测黑客可能旨在对他们的客户发起供应链攻击。

https://www.clearskysec.com/siamesekitten/

 

四、漏洞事件

Fortinet FortiWeb WAF存在未修复的命令注入0day

Fortinet FortiWeb Web应用程序防火墙(WAF)存在命令注入0day,攻击者利用该漏洞可以通过SAML服务器配置页面以root用户身份执行任意命令。虽然攻击者必须通过了目标设备管理界面的身份验证才能利用此漏洞,但如果与其他漏洞(例如身份验证绕过漏洞CVE-2020-29015)结合使用,可以完全控制目标服务器。Fortinet已将该漏洞的修复计划推迟到8月底,研究人员建议建议管理员禁止从不受信任的网络访问FortiWeb设备的管理界面以防止此类攻击。

https://securityaffairs.co/wordpress/121221/security/fortinet-fortiweb-os-command-injection.html

BlackBerry QNX中存在BadAlloc漏洞影响数百万设备

CISA和BlackBerry本周二在发布警报称,攻击者可以利用黑莓QNX操作系统上的BadAlloc漏洞接管设备或发起拒绝服务攻击。该漏洞是C运行时库的calloc()函数中的整数溢出漏洞,追踪为CVE-2021-22156,是统称为BadAlloc的25个漏洞之一,CVSS评分为9.0,最初由微软于2021年4月披露。Politico在另一份报告中透露,BlackBerry拒绝在4月下旬公布BadAlloc漏洞,而是计划私下联系客户并通知他们该漏洞。

https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html

ThroughTek Kalay P2P SDK远程代码执行漏洞 (CVE-2021-28372) 预警

8月17日,Mandiant(FireEye)与美国网络安全和基础设施安全局(CISA)合作披露了ThroughTek Kalay P2P SDK存在远程代码执行漏洞,漏洞CVE编号:CVE-2021-28372。该漏洞影响范围较广,且漏洞危害较大。攻击者可利用该漏洞访问敏感信息(如摄像头音视频)或远程执行代码,最终完全接管受影响的设备。目前厂商已发布SDK更新,建议受影响用户及时更新或升级SDK进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

https://mp.weixin.qq.com/s/-vKUapX-bIc5eTvI4I76Gg

关于SonicWall Analytics 配置错误漏洞的预警

SonicWall Analytics是美国SonicWall公司的一款适用于网络的高性能管理和报告引擎。该漏洞是由于Java 调试线协议 (JDWP) 接口安全配置错误导致,攻击者可利用该漏洞可在未授权的情况下,构造恶意数据远程执行恶意代码,最终控制目标设备。

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0018