網絡空間對抗資訊快報
1、瑞士安全公司披露了CrowdStrike產品的漏洞
瑞士安全公司Modzero的研究人員發現了一個與CrowdStrike的Falcon端點檢測和響應產品相關的問題。具體來說,這個問題與Falcon Sensor有關,這是一個部署在每個終端設備上的輕量級代理。Sensor可以配置卸載保護,防止在沒有特殊令牌的情況下將其刪除。Modzero發現具有管理員權限的攻擊者可以繞過Windows設備上的令牌檢查并卸載傳感器,以解除CrowdStrike產品提供的保護。CrowdStrike公司承認,“漏洞的總體風險非常有限”,因為漏洞利用需要提升權限。Modzero不想通過CrowdStrike的基于HackerOne的漏洞賞金計劃報告其發現,并且披露過程并不順利。6月初,Modzero開始向CrowdStrike詢問報告其調查結果的另一種方式,即不涉及HackerOne或簽署保密協議的方式。但CrowdStrike最初無法重現該問題,后來表示這似乎不是一個有效的漏洞。Modzero后來在更新版本的CrowdStrike Falcon上測試了它的發現,并注意到供應商實際上已經采取了一些措施來防止利用,包括將 Modzero的概念驗證(PoC)漏洞標記為惡意。Modzero表示,它設法繞過了CrowdStrike的反措施,并決定公開其調查結果。在22日Modzero的博客文章和技術咨詢發布后,在 Reddit上發布的回復中,CrowdStrike提供了有關漏洞的說明,但沒有解決與披露過程本身相關的問題,盡管它確實感謝Modzero的“辛勤工作和披露”。CrowdStrike 表示,它通過7月8日發布的技術警報通知客戶該漏洞,并于8月22日更新了更多細節。技術警報將其發現歸功于 Modzero。
2、DirtyCred漏洞困擾Linux內核8年之久
來自西北大學的學術研究人員分享了“DirtyCred”的詳細信息,這是一個影響Linux內核的以前未知的權限提升漏洞。該安全漏洞被跟蹤為CVE-2022-2588,可被利用來提升權限,還可能導致容器逃逸。學者們說,這個漏洞在 Linux中已經存在了八年。在Linux內核的cls_route過濾器實現中被描述為釋放后使用,該錯誤存在是因為舊過濾器在釋放之前沒有從哈希表中刪除。具有CAP_NET_ADMIN功能的本地用戶可以利用此問題,并可能導致系統崩潰或任意代碼執行。本月早些時候 ,博士生林振鵬和吳宇航,以及邢新宇副教授在黑帽會議上解釋說,該問題類似于影響Linux內核版本5.8及更高版本的臟管道漏洞 (CVE-2022-0847)。盡管有內核地址隨機化和指針完整性檢查等保護措施,但Dirty Pipe享有盛譽的原因在于它很容易被利用,再加上它可以在不修改所有受影響的內核版本的情況下被利用。學者聲稱DirtyCred的利用方法超越了Dirty Pipe的限制,它使用Linux內核的管道機制將數據注入任意文件。“我們認為我們的新開發方法不僅比Dirty Pipe更通用,而且更強大。首先,這種利用方法不是與特定漏洞綁定,而是允許任何具有雙重釋放能力的漏洞展示類似Dirty Pipe的能力,“學者說。新的攻擊依賴于類似Dirty Pipe的能力來覆蓋具有讀取權限的任何文件,以提升系統的權限。“DirtyCred 是一個內核利用概念,它將非特權內核憑證與特權憑證交換以提升特權。DirtyCred 沒有覆蓋內核堆上的任何關鍵數據字段,而是濫用堆內存重用機制來獲得特權。雖然這個概念很簡單,但它是有效的,”研究人員說。學者們表示,DirtyCred漏洞利用無需對不同內核和架構進行修改即可運行,并且目前還沒有可用的緩解措施,他們在Linux和Android 都展示了他們的漏洞利用。
3、前安全主管指責Twitter隱藏重大缺陷
Twitter誤導了用戶和聯邦監管機構,稱其保護個人數據的能力存在明顯的弱點,該平臺的前安全主管在舉報人證詞中聲稱,這可能會影響該公司針對埃隆·馬斯克(Elon Musk)收購要約的激烈法律斗爭。在向美國證券交易委員會提交并由《華盛頓郵報》和CNN于8月23日部分公布的投訴中,Peiter Zatko還指責Twitter大大低估了平臺上自動機器人的數量——這是馬斯克撤回他的440億美元的收購交易的關鍵因素。美國有線電視新聞網援引Zatko的披露指責Twitter的“疏忽、故意無知以及對國家安全和民主的威脅”。Twitter表示今年早些時候因業績不佳而解雇Zatko,此人警告過時的服務器、易受計算機攻擊的軟件以及試圖向美國當局和公司董事會隱瞞黑客攻擊次數的高管。據報道,這位綽號為“Mudge”的黑客變身高管還聲稱,Twitter優先考慮擴大其用戶群,而不是打擊垃圾郵件和機器人。特別是,據《華盛頓郵報》報道,他指責該平臺的老板Parag Agrawal在5月的一條推文中“撒謊”。在推文中,阿格拉瓦爾說,推特“強烈鼓勵我們盡可能多地檢測和刪除垃圾郵件”。Twitter駁回了這些指控。公司發言人23日告訴法新社,Zatko在今年1月因“領導不力和表現不佳”而被解雇。發言人在一份聲明中說:“到目前為止,我們看到的是關于Twitter以及我們的隱私和數據安全實踐的虛假敘述,其中充斥著不一致和不準確的信息,并且缺乏重要的背景。”聲明繼續說,這些指控的“機會主義時機”似乎“旨在吸引注意力并對Twitter、其客戶和股東造成傷害”。“長期以來,安全和隱私一直是Twitter公司范圍內的優先事項,并將繼續如此。
4、超過80,000臺可利用的海康威視攝像機在線曝光
安全研究人員發現超過80,000臺海康威視攝像機容易受到關鍵命令注入漏洞的影響,該漏洞可通過發送到易受攻擊的Web服務器的特制消息輕松利用。該漏洞被跟蹤為CVE-2021-36260,并由海康威視通過2021年9月的固件更新解決。然而,根據CYFIRMA 布的白皮書,100個國家/地區的2,300個組織使用的數萬個系統仍未應用安全更新。有關CVE-2021-36260有兩個已知的公開漏洞,一個于2021年10月發布,第二個于2022年2月發布,因此所有技能水平的威脅參與者都可以搜索和利用易受攻擊的攝像頭。2021年12月,一個名為“Moobot”的基于Mirai的僵尸網絡利用該特定漏洞積極傳播并將系統納入DDoS(分布式拒絕服務)。2022年1月,CISA警告CVE-2021-36260 當時發布的列表中被積極利用的漏洞之一,警告組織攻擊者可以“控制”設備并立即修補漏洞。CYFIRMA表示,講俄語的黑客論壇經常出售網絡入口點,這些入口點依賴于可用于“僵尸網絡”或橫向移動的可利用海康威視攝像機。在對285,000 臺面向互聯網的海康威視Web服務器的分析樣本中,這家網絡安全公司發現大約80,000臺仍然容易受到攻擊。其中大部分位于中國和美國,而越南、英國、烏克蘭、泰國、南非、法國、荷蘭和羅馬尼亞的易受攻擊端點均超過 2,000個。
5、伊朗Charming Kitten APT使用新的Scraper竊取電子郵件
谷歌研究人員發現,伊朗高級持續威脅(APT)組織Charming Kitten在其武器庫中擁有一種新的數據抓取工具,該工具可以使用先前獲得的憑據從受害者Gmail、雅虎和Microsoft Outlook帳戶中抓取電子郵件。谷歌威脅分析小組(TAG)的一個團隊在去年12月發現了這個名為Hyperscrape的工具,并從那時起一直在跟蹤它,它在一篇新的博客文章中說。TAG 的Ajax Bash在Google的帖子中說,攻擊者通過發起被劫持的經過身份驗證的用戶會話或通過被盜憑據來偽裝成合法用戶,然后運行爬蟲程序下載受害者的收件箱。根據Bash的說法,如果攻擊者無法通過這種方式訪問該帳戶,該工具會顯示一個登錄頁面,用于手動輸入憑據以繼續,Hyperscrape會一直等待,直到找到受害者的收件箱頁面。Hyperscrape似乎自2020年就出現了,當時它的第一個樣本被發現。Charming Kitten-又名Phosphorus和無數其他名稱 - 繼續積極開發該工具。研究人員發現,到目前為止,攻擊僅限于位于伊朗的不到兩打賬戶。根據Bash的說法,雖然Hyperscrape并沒有展示任何新穎的惡意軟件的開創性,但它確實表明了 Charming Kitten致力于開發專用于特定目的的自定義功能。
6、ETHERLED:氣隙系統通過網卡LED泄漏數據
以色列研究人員Mordechai Guri發現了一種使用網卡上的LED指示燈從氣隙系統中提取數據的新方法。該方法被稱為“ETHERLED”,將閃爍的燈光轉換為可以被攻擊者解碼的摩爾斯電碼信號。捕獲信號需要一臺攝像機,該攝像機可以直接對準氣隙計算機卡上的LED燈。這些可以被翻譯成二進制數據來竊取信息。氣隙系統是通常存在于高度敏感環境(例如關鍵基礎設施、武器控制單元)中的計算機,出于安全原因,這些環境與公共互聯網隔離。然而,這些系統在氣隙網絡中工作并且仍然使用網卡。Mordechai Guri發現,如果入侵者用特制的惡意軟件感染他們,他們可以用修改LED顏色和閃爍頻率的版本替換卡驅動程序,以發送編碼數據波。ETHERLED方法可以與使用LED作為狀態或操作指示器的其他外圍設備或硬件一起使用,例如路由器、網絡附加存儲(NAS)設備、打印機、掃描儀和各種其他連接設備。與之前披露的基于光學發射的數據泄露方法(控制 鍵盤 和調制解調器中的LED)相比,ETHERLED是一種更隱蔽的方法,不太可能引起懷疑。Mordechai Guri博士的氣隙隱蔽通道方法的完整集合可以在內蓋夫本古里安大學網站的專門部分中找到。
7、法國一家醫院遭到勒索攻擊要求支付1000萬美元的贖金
法國的South Francilien醫院中心遭到網絡攻擊,嚴重擾亂了該中心的運營。Corbeil-Essonnes的South Francilien醫院中心(CHSF)是當地時間20日至21凌晨1點左右開始遭遇的計算機攻擊,嚴重擾亂了其運營活動,特別是在急診室和手術室。該機構的新聞稿,確認來自RMC的信息。一名或多位黑客向法新社透露,一名或多名黑客要求以英文形式提出的1000萬美元贖金要求。巴黎檢察官辦公室的網絡犯罪部門已對入侵計算機系統和企圖勒索有組織的團伙進行調查。檢方補充說,調查委托給打擊數字犯罪中心(C3N)的憲兵。Essonne醫院中心啟動了“ plan blanc ”,這是一項確保護理連續性的應急計劃。”計算機科學家發現了一個故障。他們認為這是一個故障(……),但當有人要求1000萬美元的贖金時,他們明白了“,醫院院長Gilles Calmes作證說。醫院的業務軟件、存儲系統(包括醫學影像)和與患者入院有關的信息系統,已根據管理層進行了下線處置,無法訪問。管理層表示,盡管這種降級模式需要使用紙質記錄,但住院患者并未受到影響。需要使用技術平臺進行護理的患者會被轉至法蘭西島的公立醫院。根據新聞稿,那些自發到急診室就診的人會接受評估,然后可能會被送往Sud Francilien醫院中心的醫療中心。
8、CISA在2022年中期選舉之前舉辦選舉安全演習
網絡安全和基礎設施安全局以及選舉界的州和地方成員上周完成了為期三天的演習,為2022年中期選舉前投票過程面臨的一系列潛在網絡和物理威脅做好準備。第五屆年度“桌面投票”演習——由CISA主辦,與選舉援助委員會、全國國務卿協會和全國州選舉主任協會協調——在人們越來越擔心與選舉有關的危害的情況下舉行錯誤信息和有針對性地騷擾選舉官員關于投票過程的完整性。CISA在新聞稿中指出,此次演習“不是為了應對任何具體或可信的威脅”,而是讓官員和選舉管理人員“有機會分享有關網絡和物理事件規劃、準備、識別、響應和恢復的實踐”。” 司法部、聯邦調查局、國土安全部、國家安全局和其他聯邦機構的官員以及州和地方選舉官員以及十多家選舉行業公司也參加了此次活動。圍繞演習的信息強調了各級政府官員正在努力在即將到來的中期之前灌輸對選舉基礎設施的安全性和彈性的信心,特別是在關于投票系統準確性的謊言繼續對選舉管理人員構成嚴重挑戰的情況下。眾議院監督和改革委員會本月早些時候發布的一份民主黨工作人員報告發現,錯誤信息的傳播“損害了選舉管理的幾乎所有要素”并“增加了顛覆選舉的可能性”。官員們補充說:“我們采取了嚴格的保障措施來確保選舉設備的網絡和物理安全,并不斷改進程序和協議,以進一步識別、響應和從潛在事件中恢復。”
9、Android 13在最新版本發布一周后被黑
Hadoken 黑客組織開發并發布了幾個繞過無障礙服務保護的惡意軟件。據Android Police門戶網站 稱,Android 13操作系統的最終版本已于8月15日發布,但網絡犯罪分子已經找到了破解它的方法。網絡安全專家發現了幾種繞過 Android 13中引入的新安全措施的病毒。這些惡意軟件可以無視常規應用程序使用無障礙服務系統的禁令,成功繞過最新的Android 13保護系統之一。專家發現,Hadoken黑客組織基于舊惡意軟件 創建了一個漏洞利用程序,成功繞過了 Android 13的限制,并使用輔助服務從受害者的設備中竊取敏感信息。據報道,攻擊分兩個階段進行,首先是一個不會引起懷疑的程序被下載到受害者的設備上,但隨后是繞過限制并請求訪問無障礙服務的第二個惡意軟件。對上述服務開放訪問的危險產生了具有適當權限的應用程序能夠對用戶進行秘密監視、攔截來自呼叫和消息的信息的風險。
