1、FBI表示未打补丁的过时医疗设备会增加网络攻击的风险

联邦调查局(FBI)发现越来越多的漏洞是由在过时的软件和缺乏足够安全功能的设备上运行的未修补医疗设备造成的。该机构表示,医疗设备硬件通常可以使用10到30年。但是,制造商指定了底层软件的生命周期,从几个月到每台设备的最长预期寿命,让黑客有时间发现和利用漏洞。“利用医疗设备漏洞的网络威胁行为者会对医疗机构的运营功能、患者安全、数据机密性和数据完整性产生不利影响,”联邦调查局9月12日在一份私营行业通知中表示。认识到医疗设备漏洞主要源于硬件设计和软件管理,FBI表示,常规挑战包括使用标准化和专用配置,包括网络上大量托管设备、缺乏设备嵌入式安全功能以及无法升级那些功能。“传统医疗设备包含过时的软件,因为它们没有获得制造商对补丁或更新的支持,这使得它们特别容易受到网络攻击,”它补充道。FBI评估说,除了过时的软件外,医疗设备还存在其他漏洞,例如使用制造商默认配置的设备通常很容易被网络威胁参与者利用。它还包括带有定制软件的设备,需要特殊的升级和修补程序,延迟漏洞修补的实施,以及由于假定不会受到安全威胁而最初设计时没有考虑到安全性的设备。FBI进一步确认,医疗设备存在已知漏洞,这些漏洞会影响用于医疗目的的各种机器,包括那些维持患有轻度至重度医疗状况的患者的机器。

2、ICS周二补丁日:西门子、施耐德电气修复高严重性漏洞

西门子和施耐德电气发布了当地时间9月13日(周二)补丁安全公告,告知客户数十个影响其工业产品的漏洞。西门子发布了五项新公告,共描述了37个已修补漏洞。其中一项建议涉及用于管理网络服务的基于Web的Sinec INS(基础设施网络服务)应用程序中的第三方组件缺陷。在产品使用的第三方组件中,共发现了14个中高危漏洞,这些组件包括 BIND、ISC DHCP、OpenSSL、Lodash和Axios。西门子表示,这些弱点可能允许攻击者引发DoS条件、获取敏感数据或破坏系统完整性。西门子还解决了Simcenter Femap和Parasolid产品中的许多漏洞,这些漏洞受到20 个与文件解析相关的问题的影响。攻击者可以通过让目标用户打开带有受影响应用程序的特制文件来利用这些漏洞执行任意代码。Windows版本的 CoreShield单向网关(OWG)软件中修补了一个可用于本地权限提升的高严重性漏洞。Mendix SAML模块中解决了另一个严重性高的问题,即可以被用来绕过身份验证的问题。最后,西门子修复了 Ruggedcom工业网络设备中的中度DoS漏洞。施耐德电气仅发布了一项新的公告,但该公司已更新了十多项现有公告。新公告描述了EcoStruxure Machine SCADA Expert和Pro-face Blue Open Studio产品中可能导致任意代码执行、信息泄露或DoS的多个高度严重的反序列化问题。

3、Rust编程语言将变得更加安全可靠

Rust编程语言的开发者Rust基金会已经组建了一个专门的安全团队来评估和提高该语言的安全性。具有高水平网络安全技能的团队将支持Rust社区并确保语言的可靠性。与Rust提供内存安全性的概念相反,该语言不是100%安全的,Rust可能像任何其他语言一样容易受到攻击。Rust基金会执行董事 Rebecca Rumbul在9月13日 的一份声明中表示了这一点。Rust安全团队得到OpenSSF Alpha-Omega Initiative(一个专注于开源安全供应链安全的Linux基金会项目)和JFrog devops平台的支持。OpenSSF Alpha-Omega基金会和JFrog将提供人员和资源来实现最好的 Rust安全特性。最初的计划包括进行安全审计和威胁建模练习,以确定未来如何以具有成本效益的方式维护安全。该团队还将维护Rust环境中的安全实践,包括Rust Cargo包管理器和Crates.io注册表。2022年6月,一位Linux 开发人员谈到了实施Rust的计划,并描述了该语言应该包含在Linux内核中的原因。

4、Group-IB发现了一种针对Steam玩家的新型网络钓鱼方法

一种名为“浏览器中的浏览器”(BitB)的新网络钓鱼攻击方法于2022年3月被发现,在黑客中越来越流行,这种攻击手法旨在窃取专业Steam玩家的凭据。这些网络钓鱼攻击旨在出售帐户访问权限,一些已知的Steam帐户价值在100,000美元到300,000元之间。“浏览器中的浏览器”技术是在活动窗口中创建一个假浏览器窗口作为弹出登录页面。Group-IB报告说,该活动中使用的网络钓鱼工具包在黑客论坛或暗网上不向公众提供。它由聚集在Discord或 Telegram频道的黑客私下使用,以协调他们的攻击。潜在受害者会在Steam上收到消息,邀请他们加入团队参加英雄联盟、反恐精英、Dota 2或PUBG锦标赛。在此类攻击中,网络犯罪分子迅速接管Steam帐户,更改口令和电子邮件地址,使受害者更难重新获得对其帐户的控制权。在浏览器中的浏览器攻击的所有情况下,网络钓鱼窗口中的 URL都是合法的,因为攻击者可以显示他们想要的任何内容,因为它不是浏览器窗口,而只是它的呈现。该窗口还显示一个SSL证书锁定符号,指示HTTPS连接,给受害者一种错误的安全感。此外,钓鱼用户可以拖动假窗口,最小化,关闭,使得假浏览器窗口难以在浏览器中被检测到。由于此方法需要JavaScript,因此阻止JS脚本将阻止显示钓鱼登录。但是,大多数人不会阻止脚本,因为这会破坏许多流行的网站。专家建议用户小心在Steam、Discord或其他游戏相关平台上收到的消息,不要点击陌生人发送的链接。

5、伊朗黑客瞄准核安全和基因组研究中的高价值目标

作为旨在寻找敏感信息的新社会工程活动的一部分,与伊朗政府有关联的黑客一直将目标对准专门从事中东事务、核安全和基因组研究的个人。企业安全公司Proofpoint将有针对性的攻击归因于名为TA453的威胁参与者,该攻击者与在绰号APT42、Charming Kitten和Phosphorus下监控的网络活动广泛重叠。这一切都始于假冒西方外交政策研究组织的合法个人的网络钓鱼电子邮件,该电子邮件最终旨在代表伊朗伊斯兰革命卫队(IRGC)收集情报。被欺骗的角色包括来自皮尤研究中心、外交政策研究所 (FRPI)、英国查塔姆研究所和科学杂志《自然》的人。据说该技术已于2022年6月中旬部署。与其他网络钓鱼攻击的不同之处在于使用了一种称为多角色模拟(MPI)的策略,其中威胁参与者在同一电子邮件对话中使用多个角色控制的角色来增加成功的机会。Proofpoint威胁研究和检测副总裁Sherrod DeGrippo表示:“这是一种有趣的技术,因为它需要每个目标使用更多资源——可能会毁掉更多角色——以及TA453使用的各种人物之间的协调方法”。一旦最初的电子邮件引起目标的响应,该角色就会发送包含恶意 OneDrive链接的后续消息,该链接会下载Microsoft Office文档,其中一个据称暗指俄罗斯和美国之间的冲突。2022年7月,Proofpoint公司发现TA453企图伪装成记者,以引诱学者和政策专家点击恶意链接,将目标重定向到凭证收集域。

6、俄罗斯工贸部提议从零开始发展电子产品

据《生意人报》报道,工业和贸易部已经为到2030年的俄罗斯微电子工业发展准备了更新的国家政策概念。在文件中,官员们认识到该行业的关键问题:技术差距严重、对外国技术和工厂的依赖以及人员严重短缺。为了纠正这种情况,建议增加生产能力,扩大基础研究,实际上是从头开始创建轮廓工程。市场参与者和专家并不反对这些计划的基本逻辑,但强调现在行业需要的不是漂亮的战略,而是紧急援助。据政府消息人士透露,已经制定了一份战略文件,将在此基础上进一步发展该行业。该文件的制定由副部长Vasily Shpak监督。该文件计划于10月在Microelectronics-2022论坛上发布。俄罗斯微电子的突出问题包括:技术落后世界水平10-15 年;180纳米以下技术工艺开发的困难;生产能力不足;设计和生产过程对外国技术的严重依赖;无法向市场提供必要的电子产品;投资吸引力低;俄罗斯零部件生产成本高;严重的人员短缺;来自国外电子供应商的不公平竞争。该文件还指出“来自外国电子供应商的不公平竞争”。该部建议市场参与者协调“先进技术领域的研究”,“包括通过开发具有现代拓扑标准的微电子产品”提高能力,创建(几乎从零开始)电子工程产业,最后放弃外国架构在电子设计中的应用。

7、NIST与谷歌宣布建立芯片研发合作伙伴关系

美国国家标准与技术研究院与搜索引擎巨头谷歌达成了一项新协议,以帮助制造更多的芯片技术,研究人员可以将这些技术用作未来纳米技术和半导体的输入原料。通过与总部位于明尼苏达州的SkyWater Technology合作,谷歌将为芯片制造的初始生产成本提供资金,NIST将与大学附属机构一起设计芯片电路。电路设计将在开源平台上提供,以使其在学术和商业研究中的扩散民主化。“通过为研发创造一种新的、负担得起的国内芯片供应,这种合作旨在释放全国研究人员和初创公司的创新潜力,”商务部负责标准和技术的副部长兼NIST主任Laurie Locascio说。“这是一个很好的例子,说明政府、行业和学术研究人员如何共同努力,加强美国在这个至关重要的行业中的领导地位。”Locascio补充说,在今年早些时候通过具有里程碑意义的CHIPS和科学法案之前,这种伙伴关系就已经开始了。NIST促进合作的动机是降低为大学和初创研究人员提供服务的半导体制造商的间接生产成本。在私营和公共部门的支持下增加产量消除了与采购用于利用人工智能和机器学习的先进技术的芯片相关的许可费要求。NIST与谷歌的合作将特别专注于制造底层芯片,其结构旨在测量和测试芯片未来顶层的性能,例如存储设备、纳米传感器、生物电子学和量子计算设备。然后,SkyWater将生产200毫米的图案化硅晶片圆盘,作为研究实体在其他设施中使用的芯片。该标准格式旨在与半导体工厂的大多数制造机器人兼容。计划中的一些学术合作伙伴将获得筹码,其中包括密歇根大学、马里兰大学、乔治华盛顿大学、布朗大学和卡内基梅隆大学。

8、趋势科技警告用户尽快修复被积极利用Apex One的RCE漏洞

安全软件公司趋势科技13日警告客户尽快修补积极利用的Apex One安全漏洞。Apex One是一个端点安全平台,可为企业提供针对恶意工具、恶意软件和漏洞的自动威胁检测和响应。此漏洞(CVE-2022-40139)使攻击者能够在运行未修补软件的系统上远程执行任意代码。Apex One即服务客户端中的回滚机制使用的某些组件进行不正确的验证,可能会使 Apex One 服务器管理员指示受影响的客户端下载未经验证的回滚包,这可能导致远程代码执行”该公司在今天发布的安全公告中解释道。幸运的是,攻击者必须首先获得对Apex One服务器管理控制台的访问权限才能成功利用此漏洞。尽管这肯定会提高在攻击中滥用CVE-2022-40139所需的技能水平,但趋势科技13日警告客户,它已经观察到至少一次在野外的积极利用尝试。“趋势科技已观察到至少一次在野外潜在利用此漏洞的积极尝试。强烈建议客户尽快更新到最新版本,”该公司表示。用户应立即将其安装更新到最新版本 Apex One Service Pack 1 (Server Build 11092 和 Agent Build 11088)。同时,趋势科技还解决了Apex One产品中的另一个严重漏洞 (CVE-2022-40144),允许潜在的攻击者通过伪造受影响安装的请求参数来绕过身份验证。除了及时应用补丁和更新的解决方案外,还建议客户审查对关键系统的远程访问,并确保策略和周边安全是最新的。

9、WPGateway Wordpress插件中的零日漏洞在攻击中被积极利用

Wordfence威胁情报团队13日警告说,WordPress网站是针对WPGateway高级插件中的零日漏洞的攻击的积极目标。

WPGateway是一个WordPress插件,允许管理员简化各种任务,包括设置和备份站点以及从中央仪表板管理主题和插件。这个严重的权限提升安全漏洞(CVE-2022-3180)使未经身份验证的攻击者能够添加具有管理员权限的流氓用户,以完全接管运行易受攻击的WordPress插件的站点。“2022年9月8日,Wordfence威胁情报团队意识到一个被积极利用的零日漏洞被用来将恶意管理员用户添加到运行WPGateway插件的站点”。“在过去的30天内,Wordfence 防火墙已成功阻止针对超过280,000个站点的超过460万次针对此漏洞的攻击。”虽然Wordfence披露了在野外积极利用此安全漏洞,但它没有发布有关这些攻击的更多信息和有关该漏洞的详细信息。通过隐瞒这些信息,Wordfence 表示它希望防止进一步的利用。这也可能允许更多WPGateway客户在其他攻击者开发自己的漏洞并加入攻击之前修补他们的安装。如果您想检查您的网站是否在此正在进行的活动中遭到入侵,您必须使用 rangex用户名检查具有管理员权限的新用户。此外,日志中对//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1的请求将显示您的站点是攻击的目标,但不一定受到损害。“如果您安装了WPGateway插件,我们敦促您立即删除它,直到有补丁可用,并在您的WordPress仪表板中检查恶意管理员用户,”研究人员警告说。

10、黑客入侵Magento的软件供应商拟实施供应链攻击

黑客在FishPig的多个扩展中注入了恶意软件,FishPig是Magento-WordPress集成供应商,下载量超过200,000。

Magento是一个流行的开源电子商务平台,用于建立电子商店,每年支持价值数百亿美元的商品销售。入侵者控制了 FishPig的服务器基础设施,并将恶意代码添加到供应商的软件中,以访问使用这些产品的网站,这被称为供应链攻击。Sansec是一家提供电子商务恶意软件和漏洞检测服务的公司,其安全研究人员已确认“FishPig Magento安全套件”和“FishPig WordPress Multisite”遭到入侵。他们说,供应商的其他付费扩展也可能受到损害。不过,托管在GitHub上的免费扩展似乎很干净。黑客将恶意代码注入License.php,该文件用于验证高级FishPig插件中的许可证,该插件从FishPig的服务器(“license.fishpig.co.uk”)下载Linux二进制文件(“lic.bin”)。

该二进制文件是Rekoobe,一种远程访问木马 (RAT),过去曾被“ Syslogk ”Linux rootkit删除。从内存启动时,Rekoobe会加载其配置,删除所有恶意文件,并采用系统服务的名称以使其发现更加困难。最终,Rekoobe处于休眠状态,等待来自位于46.183.217.2的基于拉脱维亚的命令和控制(C2)服务器的命令。Sansec暂时没有看到任何行动,这表明违规背后的威胁行为者可能正计划出售对受感染电子商务商店的访问权限。