新闻动态

News information

六方云 安全态势周刊丨第196期

<<返回

2022年04月26日 11:30

01.

业界动态


1、美国当局透露其已在DHS外部系统中发现122个安全漏洞

4月22日报道,美国国土安全部透露其Hack DHS漏洞赏金计划已在DHS外部系统中发现122个安全漏洞。DHS向超过450名研究人员奖励了125600美元,每个漏洞的奖金平均为5000美元。Hack DHS计划于2021年12月启动,它要求黑客披露漏洞的详细信息、如何利用它以及如何使用它访问DHS系统,DHS将在48小时内验证漏洞,并在15天或更长时间内修复。

https://www.bleepingcomputer.com/news/security/hack-dhs-bug-hunters-find-122-security-flaws-in-dhs-systems/


2、Mandiant发布2021年已被利用0-day的分析报告

4月21日,Mandiant发布了2021年已被利用0-day的分析报告。报告指出,Mandiant在去年发现了80起0-day在野外被利用的事件,比2020年和2019年的总和还多了18起。2021年0-day攻击的主要厂商是微软、苹果和谷歌,占所有攻击的75%以上。针对移动操作系统Android和iOS的0-day数量也呈上升趋势,从2019年和2020年的不到5个增加到2021年的17个。大部分攻击归因于国家支持的间谍活动,利用0-day的攻击者中有三分之一出于经济动机。

https://www.mandiant.com/resources/zero-days-exploited-2021


3、2022 Pwn2Own迈阿密大赛落幕

2022年的迈阿密Pwn2Own大赛落下帷幕,主办方共为研究员发现的26个唯一0day(以及几个撞洞)颁发40万美元的奖励。值得关注的是本次Pwn四个对象均为工业控制系统协议OPC UA相关软件。

https://www.secrss.com/articles/41652


02.

关键基础设施


1、加拿大航空公司Sunwing遭到网络攻击导致航班延误

4月20日报道,加拿大航空公司Sunwing Airlines Inc遭到网络攻击。从上周日下午开始,该公司由于技术问题导致航班延误。该公司的CEO Mark Williams透露,其用于办理手续和登机的系统遭到攻击。本周二,该航空公司在Twitter上表示,他们正在手动为所有航班办理登机手续。Sunwing Airlines表示,预计延误问题依然会持续,目前尚不清楚何时会恢复正常运营。

https://www.infosecurity-magazine.com/news/cyberattackers-hit-sunwing-airlines/


03.

安全事件


1、哥斯达黎加国家财政系统遭勒索攻击:税务海关停摆

北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部大量系统受影响瘫痪,大量敏感数据被盗。哥国财政部受影响最严重,纳税人信息被盗引发大众恐慌,税务海关等系统瘫痪多天,导致该国出口业务损失惨重,至少损失2亿美元。

https://c.m.163.com/news/a/H5OC4TNA0511A5GF.html


2、Funky Pigeon遭到网络攻击后暂停接受新订单

据媒体4月19日报道,礼品卡零售商Funky Pigeon遭到网络攻击后暂停接受新订单。该公司表示,他们在上周四发现该事件后,立即对此事展开调查,确定用户数据被访问的程度,并将系统离线。直到本周一,其官网仍在提示,因为遇到了一些问题,目前无法接受新订单。Funky Pigeon没有分享更多关于攻击性质或攻击者获得公司系统访问权限的细节信息。

https://www.infosecurity-magazine.com/news/funky-pigeon-cyber-attack/


3、FBI紧急通告称BlackCat已入侵全球超过60个组织

媒体4月21日称,FBI和CISA联合发布了TLP:WHITE紧急通告。通告指出,Black Cat(也称ALPHV)在2021年11月至2022年3月期间入侵了全球超过60个组织。FBI强调了其在调查期间发现的勒索软件变种所使用的策略、技术和程序(TTP)以及与其相关的IOC。FBI表示,这是第一个成功使用RUST的勒索团伙,它的许多团伙都与Darkside/Blackmatter有关联,这表明他们拥有广泛的网络和勒索软件运营经验。该机构还称,不建议被攻击的组织向Black Cat支付赎金。

https://www.bleepingcomputer.com/news/security/fbi-blackcat-ransomware-breached-at-least-60-entities-worldwide/


4、研究团队称在Win 11安装Google Play可能会感染木马

据4月14日报道称,在Windows 11安装Google Play可能会感染木马。去年10月发布Windows 11时,微软宣布将允许用户直接在Windows中运行原生Android应用。但当今年2月发布Android子系统时,用户发现他们不能使用Google Play。在那个时候,有人在GitHub上发布了一个新工具Windows Toolbox,可为Android子系统安装Google Play。直到上周,研究团队发现Windows Toolbox实际上是一个木马,它可以执行一系列恶意PowerShell脚本,以在目标设备上安装trojan clicker和其它恶意软件。

https://www.bleepingcomputer.com/news/security/windows-11-tool-to-add-google-play-secretly-installed-malware/


5、西班牙足协RFEF遭到攻击导致邮件和音频等数据泄露

据媒体4月15日报道,西班牙皇家足球协会(RFEF)向警方报告其遭到网络攻击。此次攻击导致协会主席Luis Rubiales和秘书长Andreu Camps在内的高级管理人员的电子邮件户、私人文本和音频对话等相关信息泄露。RFEF在上周四的一份声明中表示,被盗信息很可能已提供给不同的媒体。有媒体声称已通过第三方收到了机密合同、私人WhatsApp对话、电子邮件和大量有关RFEF管理的文件。

https://www.espn.com/soccer/spain-esp/story/4642921/spanish-fa-report-cyber-attack-to-police-after-email-accounts-private-texts-stolen


04.

漏洞事件


1、联想UEFI固件驱动程序中的漏洞影响上百款笔记本电脑

4月19日报道,ESET研究人员发现影响联想上百款笔记本电脑的3个漏洞。其中两个漏洞(CVE-2021-3971和CVE-2021-3972)可用来禁用对存储UEFI固件的SPI闪存芯片的保护,并关闭UEFI安全启动功能,使恶意软件在系统重启后仍可存在。第三个漏洞(CVE-2021-3970)存在于LenovoVariable SMI处理程序中,攻击者可利用其以提升的权限执行任意代码。ESET于2021年10月11日向联想报告这些漏洞,联想于4月12日发布补丁。

https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/


2、高通和联发科芯片中的多个漏洞影响数百万Android手机

Check Point Research在4月21日披露了高通和联发科芯片的音频解码器中的3个漏洞。Apple Lossless Audio Codec(ALAC)是用于无损音频压缩的音频编码格式,Apple于2011年将其开源,这两家芯片公司在其音频解码器中使用了存在漏洞的ALAC代码。漏洞分别为输入验证不当导致信息泄露漏洞(CVE-2021-0674)、越界写入导致的提权漏洞(CVE-2021-0675)和内存访问漏洞(CVE-2021-30351),可被攻击者用来远程访问设备的媒体和音频对话。目前,漏洞均已被修复。

https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/


3、7-Zip权限提升漏洞 (CVE-2022-29072) 风险通告

4月16日,研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞(CVE-2022-29072)。由于7z.dll 的错误配置和堆溢出,在Windows 上的 7-Zip 中,允许在将扩展名为 .7z 的文件拖到Help>Contents区域时实现权限提升和命令执行。

https://nvd.nist.gov/vuln/detail/CVE-2022-29072


05.

政策监管


1、【2022-04-19】中央深改委审议通过《关于加强数字政府建设的指导意见》

2022年4月19日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十五次会议,审议通过了《关于加强数字政府建设的指导意见》。习近平在主持会议时强调,要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。

http://www.scopsr.gov.cn/xwzx/gdxw/202204/t20220420_384043.html


2、【2022-04-14】美国国会通过《国家网络安全防范联盟法案》

美国《国家网络安全防范联盟法案》在参议院获得一致同意,后续将提交总统签署生效。美国国土安全部将很快与国家网络安全防范联盟展开合作,在全美范围内加强网络安全准备与事件响应计划。此项法案授权国土安全部与美国全国大学培训项目联盟等团体合作,共同推动网络安全事件的响应与预防,为各州及地方政府、应急人员、行业利益相关方以及关键基础设施所有者提供跨领域的网络安全培训。

https://www.csoonline.com/article/3626908/18-new-cybersecurity-bills-introduced-as-us-congressional-interest-heats-up.html


06.

国家/行业标准


1、【2022-04-24】信息安全技术 工业控制系统信息安全防护能力成熟度模型等10项网络安全标准发布

根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。具体清单如下:


图片

https://std.sacinfo.org.cn/gnoc/queryInfo?id=80C6B85102E9953568CAAF0C0F408DB1