网络空间对抗资讯快报

1、瑞士安全公司披露了CrowdStrike产品的漏洞

瑞士安全公司Modzero的研究人员发现了一个与CrowdStrike的Falcon端点检测和响应产品相关的问题。具体来说，这个问题与Falcon Sensor有关，这是一个部署在每个终端设备上的轻量级代理。Sensor可以配置卸载保护，防止在没有特殊令牌的情况下将其删除。Modzero发现具有管理员权限的攻击者可以绕过Windows设备上的令牌检查并卸载传感器，以解除CrowdStrike产品提供的保护。CrowdStrike公司承认，“漏洞的总体风险非常有限”，因为漏洞利用需要提升权限。Modzero不想通过CrowdStrike的基于HackerOne的漏洞赏金计划报告其发现，并且披露过程并不顺利。6月初，Modzero开始向CrowdStrike询问报告其调查结果的另一种方式，即不涉及HackerOne或签署保密协议的方式。但CrowdStrike最初无法重现该问题，后来表示这似乎不是一个有效的漏洞。Modzero后来在更新版本的CrowdStrike Falcon上测试了它的发现，并注意到供应商实际上已经采取了一些措施来防止利用，包括将 Modzero的概念验证(PoC)漏洞标记为恶意。Modzero表示，它设法绕过了CrowdStrike的反措施，并决定公开其调查结果。在22日Modzero的博客文章和技术咨询发布后，在 Reddit上发布的回复中，CrowdStrike提供了有关漏洞的说明，但没有解决与披露过程本身相关的问题，尽管它确实感谢Modzero的“辛勤工作和披露”。CrowdStrike 表示，它通过7月8日发布的技术警报通知客户该漏洞，并于8月22日更新了更多细节。技术警报将其发现归功于 Modzero。

2、DirtyCred漏洞困扰Linux内核8年之久

来自西北大学的学术研究人员分享了“DirtyCred”的详细信息，这是一个影响Linux内核的以前未知的权限提升漏洞。该安全漏洞被跟踪为CVE-2022-2588，可被利用来提升权限，还可能导致容器逃逸。学者们说，这个漏洞在 Linux中已经存在了八年。在Linux内核的cls_route过滤器实现中被描述为释放后使用，该错误存在是因为旧过滤器在释放之前没有从哈希表中删除。具有CAP_NET_ADMIN功能的本地用户可以利用此问题，并可能导致系统崩溃或任意代码执行。本月早些时候 ，博士生林振鹏和吴宇航，以及邢新宇副教授在黑帽会议上解释说，该问题类似于影响Linux内核版本5.8及更高版本的脏管道漏洞 (CVE-2022-0847)。尽管有内核地址随机化和指针完整性检查等保护措施，但Dirty Pipe享有盛誉的原因在于它很容易被利用，再加上它可以在不修改所有受影响的内核版本的情况下被利用。学者声称DirtyCred的利用方法超越了Dirty Pipe的限制，它使用Linux内核的管道机制将数据注入任意文件。“我们认为我们的新开发方法不仅比Dirty Pipe更通用，而且更强大。首先，这种利用方法不是与特定漏洞绑定，而是允许任何具有双重释放能力的漏洞展示类似Dirty Pipe的能力，“学者说。新的攻击依赖于类似Dirty Pipe的能力来覆盖具有读取权限的任何文件，以提升系统的权限。“DirtyCred 是一个内核利用概念，它将非特权内核凭证与特权凭证交换以提升特权。DirtyCred 没有覆盖内核堆上的任何关键数据字段，而是滥用堆内存重用机制来获得特权。虽然这个概念很简单，但它是有效的，”研究人员说。学者们表示，DirtyCred漏洞利用无需对不同内核和架构进行修改即可运行，并且目前还没有可用的缓解措施，他们在Linux和Android 都展示了他们的漏洞利用。

3、前安全主管指责Twitter隐藏重大缺陷

Twitter误导了用户和联邦监管机构，称其保护个人数据的能力存在明显的弱点，该平台的前安全主管在举报人证词中声称，这可能会影响该公司针对埃隆·马斯克(Elon Musk)收购要约的激烈法律斗争。在向美国证券交易委员会提交并由《华盛顿邮报》和CNN于8月23日部分公布的投诉中，Peiter Zatko还指责Twitter大大低估了平台上自动机器人的数量——这是马斯克撤回他的440亿美元的收购交易的关键因素。美国有线电视新闻网援引Zatko的披露指责Twitter的“疏忽、故意无知以及对国家安全和民主的威胁”。Twitter表示今年早些时候因业绩不佳而解雇Zatko，此人警告过时的服务器、易受计算机攻击的软件以及试图向美国当局和公司董事会隐瞒黑客攻击次数的高管。据报道，这位绰号为“Mudge”的黑客变身高管还声称，Twitter优先考虑扩大其用户群，而不是打击垃圾邮件和机器人。特别是，据《华盛顿邮报》报道，他指责该平台的老板Parag Agrawal在5月的一条推文中“撒谎”。在推文中，阿格拉瓦尔说，推特“强烈鼓励我们尽可能多地检测和删除垃圾邮件”。Twitter驳回了这些指控。公司发言人23日告诉法新社，Zatko在今年1月因“领导不力和表现不佳”而被解雇。发言人在一份声明中说：“到目前为止，我们看到的是关于Twitter以及我们的隐私和数据安全实践的虚假叙述，其中充斥着不一致和不准确的信息，并且缺乏重要的背景。”声明继续说，这些指控的“机会主义时机”似乎“旨在吸引注意力并对Twitter、其客户和股东造成伤害”。“长期以来，安全和隐私一直是Twitter公司范围内的优先事项，并将继续如此。

4、超过80,000台可利用的海康威视摄像机在线曝光

安全研究人员发现超过80,000台海康威视摄像机容易受到关键命令注入漏洞的影响，该漏洞可通过发送到易受攻击的Web服务器的特制消息轻松利用。该漏洞被跟踪为CVE-2021-36260，并由海康威视通过2021年9月的固件更新解决。然而，根据CYFIRMA 布的白皮书，100个国家/地区的2,300个组织使用的数万个系统仍未应用安全更新。有关CVE-2021-36260有两个已知的公开漏洞，一个于2021年10月发布，第二个于2022年2月发布，因此所有技能水平的威胁参与者都可以搜索和利用易受攻击的摄像头。2021年12月，一个名为“Moobot”的基于Mirai的僵尸网络利用该特定漏洞积极传播并将系统纳入DDoS（分布式拒绝服务）。2022年1月，CISA警告CVE-2021-36260 当时发布的列表中被积极利用的漏洞之一，警告组织攻击者可以“控制”设备并立即修补漏洞。CYFIRMA表示，讲俄语的黑客论坛经常出售网络入口点，这些入口点依赖于可用于“僵尸网络”或横向移动的可利用海康威视摄像机。在对285,000 台面向互联网的海康威视Web服务器的分析样本中，这家网络安全公司发现大约80,000台仍然容易受到攻击。其中大部分位于中国和美国，而越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚的易受攻击端点均超过 2,000个。

5、伊朗Charming Kitten APT使用新的Scraper窃取电子邮件

谷歌研究人员发现，伊朗高级持续威胁(APT)组织Charming Kitten在其武器库中拥有一种新的数据抓取工具，该工具可以使用先前获得的凭据从受害者Gmail、雅虎和Microsoft Outlook帐户中抓取电子邮件。谷歌威胁分析小组(TAG)的一个团队在去年12月发现了这个名为Hyperscrape的工具，并从那时起一直在跟踪它，它在一篇新的博客文章中说。TAG 的Ajax Bash在Google的帖子中说，攻击者通过发起被劫持的经过身份验证的用户会话或通过被盗凭据来伪装成合法用户，然后运行爬虫程序下载受害者的收件箱。根据Bash的说法，如果攻击者无法通过这种方式访问该帐户，该工具会显示一个登录页面，用于手动输入凭据以继续，Hyperscrape会一直等待，直到找到受害者的收件箱页面。Hyperscrape似乎自2020年就出现了，当时它的第一个样本被发现。Charming Kitten-又名Phosphorus和无数其他名称 - 继续积极开发该工具。研究人员发现，到目前为止，攻击仅限于位于伊朗的不到两打账户。根据Bash的说法，虽然Hyperscrape并没有展示任何新颖的恶意软件的开创性，但它确实表明了 Charming Kitten致力于开发专用于特定目的的自定义功能。

6、ETHERLED：气隙系统通过网卡LED泄漏数据

以色列研究人员Mordechai Guri发现了一种使用网卡上的LED指示灯从气隙系统中提取数据的新方法。该方法被称为“ETHERLED”，将闪烁的灯光转换为可以被攻击者解码的摩尔斯电码信号。捕获信号需要一台摄像机，该摄像机可以直接对准气隙计算机卡上的LED灯。这些可以被翻译成二进制数据来窃取信息。气隙系统是通常存在于高度敏感环境（例如关键基础设施、武器控制单元）中的计算机，出于安全原因，这些环境与公共互联网隔离。然而，这些系统在气隙网络中工作并且仍然使用网卡。Mordechai Guri发现，如果入侵者用特制的恶意软件感染他们，他们可以用修改LED颜色和闪烁频率的版本替换卡驱动程序，以发送编码数据波。ETHERLED方法可以与使用LED作为状态或操作指示器的其他外围设备或硬件一起使用，例如路由器、网络附加存储(NAS)设备、打印机、扫描仪和各种其他连接设备。与之前披露的基于光学发射的数据泄露方法（控制 键盘 和调制解调器中的LED）相比，ETHERLED是一种更隐蔽的方法，不太可能引起怀疑。Mordechai Guri博士的气隙隐蔽通道方法的完整集合可以在内盖夫本古里安大学网站的专门部分中找到。

7、法国一家医院遭到勒索攻击要求支付1000万美元的赎金

法国的South Francilien医院中心遭到网络攻击，严重扰乱了该中心的运营。Corbeil-Essonnes的South Francilien医院中心(CHSF)是当地时间20日至21凌晨1点左右开始遭遇的计算机攻击，严重扰乱了其运营活动，特别是在急诊室和手术室。该机构的新闻稿，确认来自RMC的信息。一名或多位黑客向法新社透露，一名或多名黑客要求以英文形式提出的1000万美元赎金要求。巴黎检察官办公室的网络犯罪部门已对入侵计算机系统和企图勒索有组织的团伙进行调查。检方补充说，调查委托给打击数字犯罪中心（C3N）的宪兵。Essonne医院中心启动了“ plan blanc ”，这是一项确保护理连续性的应急计划。”计算机科学家发现了一个故障。他们认为这是一个故障（……），但当有人要求1000万美元的赎金时，他们明白了“，医院院长Gilles Calmes作证说。医院的业务软件、存储系统（包括医学影像）和与患者入院有关的信息系统，已根据管理层进行了下线处置，无法访问。管理层表示，尽管这种降级模式需要使用纸质记录，但住院患者并未受到影响。需要使用技术平台进行护理的患者会被转至法兰西岛的公立医院。根据新闻稿，那些自发到急诊室就诊的人会接受评估，然后可能会被送往Sud Francilien医院中心的医疗中心。

8、CISA在2022年中期选举之前举办选举安全演习

网络安全和基础设施安全局以及选举界的州和地方成员上周完成了为期三天的演习，为2022年中期选举前投票过程面临的一系列潜在网络和物理威胁做好准备。第五届年度“桌面投票”演习——由CISA主办，与选举援助委员会、全国国务卿协会和全国州选举主任协会协调——在人们越来越担心与选举有关的危害的情况下举行错误信息和有针对性地骚扰选举官员关于投票过程的完整性。CISA在新闻稿中指出，此次演习“不是为了应对任何具体或可信的威胁”，而是让官员和选举管理人员“有机会分享有关网络和物理事件规划、准备、识别、响应和恢复的实践”。” 司法部、联邦调查局、国土安全部、国家安全局和其他联邦机构的官员以及州和地方选举官员以及十多家选举行业公司也参加了此次活动。围绕演习的信息强调了各级政府官员正在努力在即将到来的中期之前灌输对选举基础设施的安全性和弹性的信心，特别是在关于投票系统准确性的谎言继续对选举管理人员构成严重挑战的情况下。众议院监督和改革委员会本月早些时候发布的一份民主党工作人员报告发现，错误信息的传播“损害了选举管理的几乎所有要素”并“增加了颠覆选举的可能性”。官员们补充说：“我们采取了严格的保障措施来确保选举设备的网络和物理安全，并不断改进程序和协议，以进一步识别、响应和从潜在事件中恢复。”

9、Android 13在最新版本发布一周后被黑

Hadoken 黑客组织开发并发布了几个绕过无障碍服务保护的恶意软件。据Android Police门户网站 称，Android 13操作系统的最终版本已于8月15日发布，但网络犯罪分子已经找到了破解它的方法。网络安全专家发现了几种绕过 Android 13中引入的新安全措施的病毒。这些恶意软件可以无视常规应用程序使用无障碍服务系统的禁令，成功绕过最新的Android 13保护系统之一。专家发现，Hadoken黑客组织基于旧恶意软件 创建了一个漏洞利用程序，成功绕过了 Android 13的限制，并使用辅助服务从受害者的设备中窃取敏感信息。据报道，攻击分两个阶段进行，首先是一个不会引起怀疑的程序被下载到受害者的设备上，但随后是绕过限制并请求访问无障碍服务的第二个恶意软件。对上述服务开放访问的危险产生了具有适当权限的应用程序能够对用户进行秘密监视、拦截来自呼叫和消息的信息的风险。