1、网络安全公司SCADAfence警告Alerton建筑系统中的漏洞

OT和物联网网络安全公司SCADAfence在由工业巨头霍尼韦尔 (Honeywell) 旗下品牌Alerton制造的广泛使用的楼宇管理系统中发现了潜在的严重漏洞。在Alerton Compass软件中发现了四个漏洞,分别是产品的人机界面 (HMI)、Ascent控制模块 (ACM)和Visual Logic组件。SCADAfence表示,这是首次将CVE标识符分配给Alerton产品中的漏洞。SCADAfence将很快发布一篇博客文章,详细介绍其调查结果。这些漏洞,其中两个被评为“高严重性”,可以通过向目标系统发送特制数据包来利用。未经身份验证的远程攻击者可以在控制器上进行配置更改或编写未经授权的代码,这两者都可能导致控制器功能发生变化。如果攻击者在控制器上写入恶意代码,受害者需要重写程序才能恢复原来的操作功能。这家网络安全公司指出,恶意更改不会反映在用户界面中,这使得攻击更有可能被忽视。SecurityWeek使用Shodan搜索引擎寻找暴露在互联网上的Alerton系统,并找到了240个结果,其中绝大多数在美国,而在加拿大则有十几个。大多数暴露的系统是HMI和控制器。SCADAfence的安全研究团队负责人Yossi Reuven向SecurityWeek证实,可以直接从互联网上利用这些漏洞。

2、Device42资产管理平台发现严重漏洞

Bitdefender对Device42资产管理平台中的多个严重漏洞发出警告,包括可被利用来执行任意代码的漏洞。Device42平台帮助管理员跟踪应用程序、设备和硬件,使他们能够管理数据中心资产、口令和服务,以及设备发现和资产标记功能。本周,Bitdefender分享了有关Device42 平台中的三个严重漏洞和Device42 ApplianceManager 控制台中的一个漏洞的信息,警告攻击者可以利用这些漏洞来实现远程代码执行。“通过利用这些问题,攻击者可以冒充其他用户,在应用程序中获得管理员级别的访问权限(通过泄漏与LFI的会话)或获得对设备文件和数据库的完全访问权限(通过远程代码执行),”Bitdefender 说。该公司的安全研究人员发现,由于该平台未正确验证提供的路径,因此无需身份验证即可读取服务器上的敏感文件 (CVE-2022-1401)。由于该平台包含硬编码的Exago加密密钥 (CVE-2022-1400),攻击者可以将这两个漏洞链接起来以访问包含会话ID的文件并对其进行解密,然后使用会话信息绕过身份验证,以经过身份验证的用户身份访问应用程序。Bitdefender还指出,攻击者随后可以利用Device42中的第三个漏洞 (CVE-2022-1399) 来“通过创建自动发现任务(*nix/CISCO NX-OS) 并使用精心设计的RCE有效负载作为用户名”来实现远程代码执行。第四个漏洞存在于Device42 Appliance Manager控制台中,这是一个远程代码执行漏洞,该漏洞需要有效凭据才能利用。但是,可以通过利用上述安全漏洞来获得这些凭据。

3、美国政府悬赏1000万美元以获取有关Conti勒索软件成员的信息

美国国务院11日宣布悬赏1000万美元,以获得有关Conti勒索软件五名高级成员的信息。正义奖赏计划是美国国务院的一项计划,奖励与影响美国国家安全的威胁行为者相关的信息。该计划最初是为了收集以美国利益为目标的恐怖分子的信息,后来扩大到为网络犯罪分子的信息提供奖励,例如俄罗斯沙虫黑客、 REvil勒索软件和Evil Corp黑客组织。当地时间11日,美国国务院首次公开了一个名为“Target”的知名Conti勒索软件运营者的面孔,悬赏高达1000万美元,以获取有关他和其他四名成员“Tramp”、“Dandis”、“Professor”和“Reshaev”的信息。Conti Ransomware是一个臭名昭著的勒索软件操作,据信它在全球范围内发动了1,000多次攻击,并收到超过1.5亿美元的赎金。AdvIntel首席执行官Vitali Kremez告诉 BleepingComputer,美国政府公告中针对的成员在Conti勒索行动中担任负责不同的工作。比如,Dandis是管理勒索软件操作的操作员和渗透测试者的技术经理和领导者。Target是运营“Ryuk/Conti”办公室的办公室经理和团队负责人。他负责网络犯罪集团的实际运作。他以拥有执法背景而闻名。

4、沙特阿拉伯大力引进以色列最先进的网络间谍和监视技术

沙特当局认为,这可以帮助他们追捕持不同政见者和沙特王储的反对者。反对派网站沙特泄密援引未具名消息人士的话说,沙特官员已与以色列公司签署合同,每年投资数百万美元用于最先进的网络间谍和监视技术。消息人士称,沙特阿拉伯和以色列公司之间日益增长的秘密网络间谍关系将为所谓的CyberIC计划铺平道路,该计划旨在保护沙特王国的网络安全部门。本周早些时候,沙特阿拉伯国家网络安全局 (NCA) 宣布了该计划的启动。该计划旨在发展和建设网络安全、网络安全技术本地化和教育内容领域的能力。最近,一家以色列公司向沙特阿拉伯出售了网络间谍技术,使该国能够追踪持不同政见者和活动人士并听取他们的信息。在前以色列军事情报官员的领导下,QuaDream多年来一直在向沙特阿拉伯出售其服务。该公司销售的 Reign间谍软件可以从 iPhone中提取数据、远程控制摄像头,并谨慎地倾听用户的声音并跟踪设备的位置。早在2018年12月上旬,《华盛顿邮报》报道称,特拉维夫直接参与向沙特阿拉伯出售复杂的间谍软件,以帮助该王国清除和杀死持不同政见者。

5、FBI警告Zeppelin勒索软件可能会多次加密目标设备

网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 11日警告美国组织,部署Zeppelin勒索软件的攻击者可能会多次加密他们的文件。这两个联邦机构还共享了攻击者的策略、技术和程序 (TTP) 以及妥协指标 (IOC),以帮助安全专业人员检测和阻止使用这种勒索软件的攻击。“FBI观察到Zeppelin攻击者在受害者的网络中多次执行恶意软件的情况,导致为每个攻击实例创建不同的ID或文件扩展名;这导致受害者需要几个唯一的解密密钥,”近日发而的的联合咨询透露了上述信息。联邦调查局最近在6月21日检测到Zeppelin是一种勒索软件即服务 (RaaS) 操作,其恶意软件经历了多次名称更改,从VegaLocker到Buran、 VegaLocker、 Jamper,现在是Zeppelin。Zeppelin的附属公司至少自 2019年以来一直活跃,目标是国防承包商和技术公司等企业和关键基础设施组织,重点关注来自 医疗保健和医疗行业的实体。他们还以窃取数据以进行双重勒索和在比特币中提出赎金请求而闻名,最初的要求从几千美元到超过一百万美元不等。FBI还要求在其企业网络中检测到Zeppelin勒索软件活动的IT管理员收集并与当地FBI外勤办公室共享任何相关信息。FBI补充说,它不鼓励向Zeppelin支付赎金要求,并建议受害者不要这样做,因为他们无法保证支付赎金会防止数据泄露或未来的攻击。

6、乌克兰高级网络官员现身黑帽大会宣称俄罗斯的数字攻击是随意、混乱的

乌克兰高级网络安全官员之一维克多·佐拉8月10日告诉CyberScoop,俄罗斯将网络攻击纳入其对乌克兰的持续攻击的总体做法是“混乱的”,反映了他们“缺乏战略”。佐拉在俄罗斯入侵六个月后于拉斯维加斯举行的黑帽网络安全大会上发表讲话说,尽管莫斯科的数字攻击很频繁,但似乎很少有人协调或针对重要目标。“大多数攻击是 [分布式拒绝服务攻击] 与志愿者一起通过Telegram渠道继续聚集在一起,或者轻松入侵网络资源、破坏或利用网络中的漏洞,获取访问权限并试图泄露数据并尝试干涉媒体,”乌克兰国家特别通信和信息保护局副局长佐拉说。佐拉表示,有“一大群人”不断攻击一系列乌克兰目标,但他们的技能各不相同,而且至少到目前为止,主要还没有造成重大影响。“我们了解他们的想法,这可能是缺乏战略,”他说。“这是这场战争的关键因素。”佐拉说,对乌克兰的网络攻击通常“在国家范围内组织得不好”,“对我们所有人来说都是一个好兆头”。俄罗斯人将继续寻找漏洞和攻击方式,“但我不相信他们有机会迅速发挥潜力。”维克多·佐拉与ESET 研究人员Robert Lipovsky、Anton Cherepanov 在Black Hat上一起上台,让数百名观众大吃一惊。ESET研究人员详细介绍了他们对Industroyer2的分析。佐拉表示,他来到Black Hat是为了继续与来自世界各地参加大会的专家、政策制定者和其他人一起争取支持和分享知识。每个人都对乌克兰正在发生的事情非常感兴趣。他想利用他在大会上的时间来争取对乌克兰网络防御的持续支持。