網絡空間對抗資訊快報 - 網安 - 專業的網絡安全產業、社區、知識平臺

1、FBI表示未打補丁的過時醫療設備會增加網絡攻擊的風險

聯邦調查局(FBI)發現越來越多的漏洞是由在過時的軟件和缺乏足夠安全功能的設備上運行的未修補醫療設備造成的。該機構表示，醫療設備硬件通常可以使用10到30年。但是，制造商指定了底層軟件的生命周期，從幾個月到每臺設備的最長預期壽命，讓黑客有時間發現和利用漏洞。“利用醫療設備漏洞的網絡威脅行為者會對醫療機構的運營功能、患者安全、數據機密性和數據完整性產生不利影響，”聯邦調查局9月12日在一份私營行業通知中表示。認識到醫療設備漏洞主要源于硬件設計和軟件管理，FBI表示，常規挑戰包括使用標準化和專用配置，包括網絡上大量托管設備、缺乏設備嵌入式安全功能以及無法升級那些功能。“傳統醫療設備包含過時的軟件，因為它們沒有獲得制造商對補丁或更新的支持，這使得它們特別容易受到網絡攻擊，”它補充道。FBI評估說，除了過時的軟件外，醫療設備還存在其他漏洞，例如使用制造商默認配置的設備通常很容易被網絡威脅參與者利用。它還包括帶有定制軟件的設備，需要特殊的升級和修補程序，延遲漏洞修補的實施，以及由于假定不會受到安全威脅而最初設計時沒有考慮到安全性的設備。FBI進一步確認，醫療設備存在已知漏洞，這些漏洞會影響用于醫療目的的各種機器，包括那些維持患有輕度至重度醫療狀況的患者的機器。

2、ICS周二補丁日：西門子、施耐德電氣修復高嚴重性漏洞

西門子和施耐德電氣發布了當地時間9月13日（周二）補丁安全公告，告知客戶數十個影響其工業產品的漏洞。西門子發布了五項新公告，共描述了37個已修補漏洞。其中一項建議涉及用于管理網絡服務的基于Web的Sinec INS（基礎設施網絡服務）應用程序中的第三方組件缺陷。在產品使用的第三方組件中，共發現了14個中高危漏洞，這些組件包括 BIND、ISC DHCP、OpenSSL、Lodash和Axios。西門子表示，這些弱點可能允許攻擊者引發DoS條件、獲取敏感數據或破壞系統完整性。西門子還解決了Simcenter Femap和Parasolid產品中的許多漏洞，這些漏洞受到20 個與文件解析相關的問題的影響。攻擊者可以通過讓目標用戶打開帶有受影響應用程序的特制文件來利用這些漏洞執行任意代碼。Windows版本的 CoreShield單向網關(OWG)軟件中修補了一個可用于本地權限提升的高嚴重性漏洞。Mendix SAML模塊中解決了另一個嚴重性高的問題，即可以被用來繞過身份驗證的問題。最后，西門子修復了 Ruggedcom工業網絡設備中的中度DoS漏洞。施耐德電氣僅發布了一項新的公告，但該公司已更新了十多項現有公告。新公告描述了EcoStruxure Machine SCADA Expert和Pro-face Blue Open Studio產品中可能導致任意代碼執行、信息泄露或DoS的多個高度嚴重的反序列化問題。

3、Rust編程語言將變得更加安全可靠

Rust編程語言的開發者Rust基金會已經組建了一個專門的安全團隊來評估和提高該語言的安全性。具有高水平網絡安全技能的團隊將支持Rust社區并確保語言的可靠性。與Rust提供內存安全性的概念相反，該語言不是100%安全的，Rust可能像任何其他語言一樣容易受到攻擊。Rust基金會執行董事 Rebecca Rumbul在9月13日的一份聲明中表示了這一點。Rust安全團隊得到OpenSSF Alpha-Omega Initiative（一個專注于開源安全供應鏈安全的Linux基金會項目）和JFrog devops平臺的支持。OpenSSF Alpha-Omega基金會和JFrog將提供人員和資源來實現最好的 Rust安全特性。最初的計劃包括進行安全審計和威脅建模練習，以確定未來如何以具有成本效益的方式維護安全。該團隊還將維護Rust環境中的安全實踐，包括Rust Cargo包管理器和Crates.io注冊表。2022年6月，一位Linux 開發人員談到了實施Rust的計劃，并描述了該語言應該包含在Linux內核中的原因。

4、Group-IB發現了一種針對Steam玩家的新型網絡釣魚方法

一種名為“瀏覽器中的瀏覽器”（BitB）的新網絡釣魚攻擊方法于2022年3月被發現，在黑客中越來越流行，這種攻擊手法旨在竊取專業Steam玩家的憑據。這些網絡釣魚攻擊旨在出售帳戶訪問權限，一些已知的Steam帳戶價值在100,000美元到300,000元之間。“瀏覽器中的瀏覽器”技術是在活動窗口中創建一個假瀏覽器窗口作為彈出登錄頁面。Group-IB報告說，該活動中使用的網絡釣魚工具包在黑客論壇或暗網上不向公眾提供。它由聚集在Discord或 Telegram頻道的黑客私下使用，以協調他們的攻擊。潛在受害者會在Steam上收到消息，邀請他們加入團隊參加英雄聯盟、反恐精英、Dota 2或PUBG錦標賽。在此類攻擊中，網絡犯罪分子迅速接管Steam帳戶，更改口令和電子郵件地址，使受害者更難重新獲得對其帳戶的控制權。在瀏覽器中的瀏覽器攻擊的所有情況下，網絡釣魚窗口中的 URL都是合法的，因為攻擊者可以顯示他們想要的任何內容，因為它不是瀏覽器窗口，而只是它的呈現。該窗口還顯示一個SSL證書鎖定符號，指示HTTPS連接，給受害者一種錯誤的安全感。此外，釣魚用戶可以拖動假窗口，最小化，關閉，使得假瀏覽器窗口難以在瀏覽器中被檢測到。由于此方法需要JavaScript，因此阻止JS腳本將阻止顯示釣魚登錄。但是，大多數人不會阻止腳本，因為這會破壞許多流行的網站。專家建議用戶小心在Steam、Discord或其他游戲相關平臺上收到的消息，不要點擊陌生人發送的鏈接。

5、伊朗黑客瞄準核安全和基因組研究中的高價值目標

作為旨在尋找敏感信息的新社會工程活動的一部分，與伊朗政府有關聯的黑客一直將目標對準專門從事中東事務、核安全和基因組研究的個人。企業安全公司Proofpoint將有針對性的攻擊歸因于名為TA453的威脅參與者，該攻擊者與在綽號APT42、Charming Kitten和Phosphorus下監控的網絡活動廣泛重疊。這一切都始于假冒西方外交政策研究組織的合法個人的網絡釣魚電子郵件，該電子郵件最終旨在代表伊朗伊斯蘭革命衛隊(IRGC)收集情報。被欺騙的角色包括來自皮尤研究中心、外交政策研究所 (FRPI)、英國查塔姆研究所和科學雜志《自然》的人。據說該技術已于2022年6月中旬部署。與其他網絡釣魚攻擊的不同之處在于使用了一種稱為多角色模擬(MPI)的策略，其中威脅參與者在同一電子郵件對話中使用多個角色控制的角色來增加成功的機會。Proofpoint威脅研究和檢測副總裁Sherrod DeGrippo表示：“這是一種有趣的技術，因為它需要每個目標使用更多資源——可能會毀掉更多角色——以及TA453使用的各種人物之間的協調方法”。一旦最初的電子郵件引起目標的響應，該角色就會發送包含惡意 OneDrive鏈接的后續消息，該鏈接會下載Microsoft Office文檔，其中一個據稱暗指俄羅斯和美國之間的沖突。2022年7月，Proofpoint公司發現TA453企圖偽裝成記者，以引誘學者和政策專家點擊惡意鏈接，將目標重定向到憑證收集域。

6、俄羅斯工貿部提議從零開始發展電子產品

據《生意人報》報道，工業和貿易部已經為到2030年的俄羅斯微電子工業發展準備了更新的國家政策概念。在文件中，官員們認識到該行業的關鍵問題：技術差距嚴重、對外國技術和工廠的依賴以及人員嚴重短缺。為了糾正這種情況，建議增加生產能力，擴大基礎研究，實際上是從頭開始創建輪廓工程。市場參與者和專家并不反對這些計劃的基本邏輯，但強調現在行業需要的不是漂亮的戰略，而是緊急援助。據政府消息人士透露，已經制定了一份戰略文件，將在此基礎上進一步發展該行業。該文件的制定由副部長Vasily Shpak監督。該文件計劃于10月在Microelectronics-2022論壇上發布。俄羅斯微電子的突出問題包括：技術落后世界水平10-15 年；180納米以下技術工藝開發的困難；生產能力不足；設計和生產過程對外國技術的嚴重依賴；無法向市場提供必要的電子產品；投資吸引力低；俄羅斯零部件生產成本高；嚴重的人員短缺；來自國外電子供應商的不公平競爭。該文件還指出“來自外國電子供應商的不公平競爭”。該部建議市場參與者協調“先進技術領域的研究”，“包括通過開發具有現代拓撲標準的微電子產品”提高能力，創建（幾乎從零開始）電子工程產業，最后放棄外國架構在電子設計中的應用。

7、NIST與谷歌宣布建立芯片研發合作伙伴關系

美國國家標準與技術研究院與搜索引擎巨頭谷歌達成了一項新協議，以幫助制造更多的芯片技術，研究人員可以將這些技術用作未來納米技術和半導體的輸入原料。通過與總部位于明尼蘇達州的SkyWater Technology合作，谷歌將為芯片制造的初始生產成本提供資金，NIST將與大學附屬機構一起設計芯片電路。電路設計將在開源平臺上提供，以使其在學術和商業研究中的擴散民主化。“通過為研發創造一種新的、負擔得起的國內芯片供應，這種合作旨在釋放全國研究人員和初創公司的創新潛力，”商務部負責標準和技術的副部長兼NIST主任Laurie Locascio說。“這是一個很好的例子，說明政府、行業和學術研究人員如何共同努力，加強美國在這個至關重要的行業中的領導地位。”Locascio補充說，在今年早些時候通過具有里程碑意義的CHIPS和科學法案之前，這種伙伴關系就已經開始了。NIST促進合作的動機是降低為大學和初創研究人員提供服務的半導體制造商的間接生產成本。在私營和公共部門的支持下增加產量消除了與采購用于利用人工智能和機器學習的先進技術的芯片相關的許可費要求。NIST與谷歌的合作將特別專注于制造底層芯片，其結構旨在測量和測試芯片未來頂層的性能，例如存儲設備、納米傳感器、生物電子學和量子計算設備。然后，SkyWater將生產200毫米的圖案化硅晶片圓盤，作為研究實體在其他設施中使用的芯片。該標準格式旨在與半導體工廠的大多數制造機器人兼容。計劃中的一些學術合作伙伴將獲得籌碼，其中包括密歇根大學、馬里蘭大學、喬治華盛頓大學、布朗大學和卡內基梅隆大學。

8、趨勢科技警告用戶盡快修復被積極利用Apex One的RCE漏洞

安全軟件公司趨勢科技13日警告客戶盡快修補積極利用的Apex One安全漏洞。Apex One是一個端點安全平臺，可為企業提供針對惡意工具、惡意軟件和漏洞的自動威脅檢測和響應。此漏洞(CVE-2022-40139)使攻擊者能夠在運行未修補軟件的系統上遠程執行任意代碼。Apex One即服務客戶端中的回滾機制使用的某些組件進行不正確的驗證，可能會使 Apex One 服務器管理員指示受影響的客戶端下載未經驗證的回滾包，這可能導致遠程代碼執行”該公司在今天發布的安全公告中解釋道。幸運的是，攻擊者必須首先獲得對Apex One服務器管理控制臺的訪問權限才能成功利用此漏洞。盡管這肯定會提高在攻擊中濫用CVE-2022-40139所需的技能水平，但趨勢科技13日警告客戶，它已經觀察到至少一次在野外的積極利用嘗試。“趨勢科技已觀察到至少一次在野外潛在利用此漏洞的積極嘗試。強烈建議客戶盡快更新到最新版本，”該公司表示。用戶應立即將其安裝更新到最新版本 Apex One Service Pack 1 （Server Build 11092 和 Agent Build 11088）。同時，趨勢科技還解決了Apex One產品中的另一個嚴重漏洞 (CVE-2022-40144)，允許潛在的攻擊者通過偽造受影響安裝的請求參數來繞過身份驗證。除了及時應用補丁和更新的解決方案外，還建議客戶審查對關鍵系統的遠程訪問，并確保策略和周邊安全是最新的。

9、WPGateway Wordpress插件中的零日漏洞在攻擊中被積極利用

Wordfence威脅情報團隊13日警告說，WordPress網站是針對WPGateway高級插件中的零日漏洞的攻擊的積極目標。

WPGateway是一個WordPress插件，允許管理員簡化各種任務，包括設置和備份站點以及從中央儀表板管理主題和插件。這個嚴重的權限提升安全漏洞(CVE-2022-3180)使未經身份驗證的攻擊者能夠添加具有管理員權限的流氓用戶，以完全接管運行易受攻擊的WordPress插件的站點。“2022年9月8日，Wordfence威脅情報團隊意識到一個被積極利用的零日漏洞被用來將惡意管理員用戶添加到運行WPGateway插件的站點”。“在過去的30天內，Wordfence 防火墻已成功阻止針對超過280,000個站點的超過460萬次針對此漏洞的攻擊。”雖然Wordfence披露了在野外積極利用此安全漏洞，但它沒有發布有關這些攻擊的更多信息和有關該漏洞的詳細信息。通過隱瞞這些信息，Wordfence 表示它希望防止進一步的利用。這也可能允許更多WPGateway客戶在其他攻擊者開發自己的漏洞并加入攻擊之前修補他們的安裝。如果您想檢查您的網站是否在此正在進行的活動中遭到入侵，您必須使用 rangex用戶名檢查具有管理員權限的新用戶。此外，日志中對//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1的請求將顯示您的站點是攻擊的目標，但不一定受到損害。“如果您安裝了WPGateway插件，我們敦促您立即刪除它，直到有補丁可用，并在您的WordPress儀表板中檢查惡意管理員用戶，”研究人員警告說。

10、黑客入侵Magento的軟件供應商擬實施供應鏈攻擊

黑客在FishPig的多個擴展中注入了惡意軟件，FishPig是Magento-WordPress集成供應商，下載量超過200,000。

Magento是一個流行的開源電子商務平臺，用于建立電子商店，每年支持價值數百億美元的商品銷售。入侵者控制了 FishPig的服務器基礎設施，并將惡意代碼添加到供應商的軟件中，以訪問使用這些產品的網站，這被稱為供應鏈攻擊。Sansec是一家提供電子商務惡意軟件和漏洞檢測服務的公司，其安全研究人員已確認“FishPig Magento安全套件”和“FishPig WordPress Multisite”遭到入侵。他們說，供應商的其他付費擴展也可能受到損害。不過，托管在GitHub上的免費擴展似乎很干凈。黑客將惡意代碼注入License.php，該文件用于驗證高級FishPig插件中的許可證，該插件從FishPig的服務器（“license.fishpig.co.uk”）下載Linux二進制文件（“lic.bin”）。

該二進制文件是Rekoobe，一種遠程訪問木馬 (RAT)，過去曾被“ Syslogk ”Linux rootkit刪除。從內存啟動時，Rekoobe會加載其配置，刪除所有惡意文件，并采用系統服務的名稱以使其發現更加困難。最終，Rekoobe處于休眠狀態，等待來自位于46.183.217.2的基于拉脫維亞的命令和控制(C2)服務器的命令。Sansec暫時沒有看到任何行動，這表明違規背后的威脅行為者可能正計劃出售對受感染電子商務商店的訪問權限。