网络安全热点新闻摘编(1.3-1 .9)

发布时间 2022-01-12

国外热点

 

1、地铁安防门被曝存在多个严重的安全漏洞

全球领先的安全研究团队 Talos 近日发现,Garrett 金属探测器的网络组件中存在许多严重的安全漏洞。这些漏洞可能允许远程攻击者绕过身份验证要求、篡改金属探测器配置,甚至在设备上执行任意代码。

资料显示,Garrett 是美国著名金属探测器品牌,旗下有多款产品,包括手持式金属探测器、拱形金属探测器等,被广泛应用于机场、地铁、学校、法院、监狱、娱乐场所等多个场景。

Garrett 公司金属探测器的网络安全漏洞主要集中在 Garrett iC 模块上。该模块可以为Garrett 公司旗下两款流行的步行式探测器(Garrett PD 6500i 和 Garrett MZ 6100)提供网络连接,用户可以通过网络和这两款产品进行连接和通信,可实现远程实时控制和监控设备,实时记录拱形下通过的人数并分析统计数据和图表,以优化安全检查站的安全措施。

 图片 2.png

原文链接:

https://mp.weixin.qq.com/s/fsOXmpBshMUo_SzjxsSUXg

 

2、微软 Exchange 服务器爆 2022 年第一个漏洞,导致无法发送邮件

2022 年 1 月 1 日,来自全球各地的微软 Exchange 管理员报告称,FIP-FS 引擎中的一个 bug 拦截了服务器发送的邮件。

Exchange 管理员和安全研究人员 Joseph Roosen 称,这一事件发生的原因是微软使用 int 32 变量来保存日期值,因此可保存的日期的最大值为 2,147,483,647。但 2022 年日期的最小值为 2,201,010,001,比 int 32 可保存的日期最大值还大,使得扫描引擎产生错误无法对要发送的邮件成功扫描。

该漏洞触发后,Exchange 服务器事件日志中会出现 1106 错误,"The FIP-FS ScanProcess failed initialization. Error: 0x8004005. Error Details: Unspecified Error"或"Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long."。

 

原文链接:

https://mp.weixin.qq.com/s/UsqGMTLWjaSIc5ZOSEdRQQ

 

3、新型恶意软件 iLOBleed Rootkit 首次针对惠普 iLO 固件发起攻击

近日研究人员首次发现 rootkit 病毒(也称为 iLOBleed)正针对惠普企业服务器展开攻击,能够从远程感染设施并擦除数据。此次攻击由伊朗网络安全公司 Amnpardaz 发现,iLOBleed 是有史以来首次针对 iLO 固件的恶意软件。

专家解释说,针对 iLO 的恶意软件非常难以防控,因为它以高权限运行(高于操作系统中的任何访问级别),可以做到不被管理员和检测软件察觉。通过篡改此模块,允许恶意软件在重新安装操作系统后继续存在。

我们将在本文中分析 rootkit 的攻击流程以及它是如何隐藏在 iLO 中,且无法通过固件升级删除,隐藏起来持续发起攻击。该恶意软件已被野外使用了一段时间,我们一直在监控其性能。

 图片 1.png

原文链接:

https://mp.weixin.qq.com/s/3mRub4Mq-a-WW5UJcYjGKg

 

4、攻击者滥用 MSBuild 绕过检测和植入恶意软件

攻击者滥用 MSBuild 绕过检测和植入 Cobalt Strike beacon。

微软 Build Engine 是用于构建 Windows 应用的平台,主要用于未安装 Visual Studio的环境中。MSBuild 引擎可以为项目文件提供 XML 方案,以控制 build 平台如何处理和构建软件。其中有一个名为 tasks 的项目文件元素是用于在项目构造过程中作为独立的可执行组件来运行。研究人员发现 tasks 文件被攻击者滥用于运行恶意代码。

这是研究人员一周内第二次发现滥用 MSBuild 的恶意软件活动。攻击活动受限使用有效的账户来进行 RDP 访问,然后通过远程 Windows 服务(SCM)来在网络中传播,最后滥用 MSbuild task 特征来推送 Cobalt Strike beacon 到其他主机。

 图片 3.png

原文链接:

https://mp.weixin.qq.com/s/u-StQCcZgEaddTImbp0Q5w

 

国内热点

1、 十三部门修订发布《网络安全审查办法》,2 月 15 日起施行(附全文及问答)

1 月 4 日,“网信中国“发布消息,国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部 、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自 2022 年 2 月15 日起施行。

国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自 2020 年 6 月 1 日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。

 

原文链接:

https://mp.weixin.qq.com/s/vvg_FJMMpfEjLvY3aN31hQ

 

2、物联网设备固件安全监测报告

近年来,物联网与 5G、人工智能、区块链、大数据、IPv6 等技术深度融合应用,新技术、新产品、新模式不断涌现,随着经济社会数字化转型和智能升级步伐加快,物联网广泛应用于智慧城市、数字乡村、智能交通、智慧农业、智能制造、智能建造、智慧家居等领域,已成为新型基础设施的重要组成部分。据 IDC 预测,到 2025 年全球物联网设备数将达到416 亿台。

固件是物联网设备的关键组成部分,通常存储于嵌入式设备的 ROM、EEPROM 及 flash等非易失性存储器件中,包括了设备运行所需的关键内容。固件向下与底层硬件交互,向上承载着各类设备应用。

 图片 4.png

原文链接:

https://mp.weixin.qq.com/s/o804s2G8T15x2Ht4quRD7g

 

3、预测 | 2022 年起网络安全将迎接哪些挑战

事实上,与其在勒索软件备份策略上下功夫,企业不如专注于自身端点检测和响应策略。归根结底,企业不应过度关注症状,而是关注事件根源。

近几年,随着勒索软件攻击增加,越来越多企业选择支付赎金来“赎回”珍贵数据。在微观层面上,表明这些企业并没有做好应对网络攻击的准备,而是在成本效益方面分析是否支付赎金。然而,在宏观层面上,支付赎金软件的企业可能加剧和加速了勒索软件问题的发生。在微观与宏观层面的激励结构保持一致之前,企业会继续处于恶性勒索软件循环中。

 

原文链接:

https://mp.weixin.qq.com/s/n5LFGj-fcaliBwP0qE2luw

 

漏洞数据统计

1、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞353个,其中高危漏洞103个、中危漏洞220个、低危漏洞30个。漏洞平均分值为5.84。本周收录的漏洞中,涉及0day漏洞229个(占65%),其中互联网上出现“Redisgraph Online-matrimonial-project-in-php文件上传漏洞、projectworlds car rental management system跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数3412个,与上周(36493个)环比减少91%。

来源:CNVD

 

2、安全漏洞分布情况

从厂商分布来看,Mozilla基金会新增漏洞最多,有20个。各厂商漏洞数量分布如下表所示:

 图片 5.png

本周国内厂商漏洞23个,台湾合勤公司和齐博公司漏洞数量最多,有4个。国内厂商漏洞整体修复率为86.96%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到13.04%。漏洞类型统计如下表所示

 图片1.png

来源:CNNVD