目 錄

　　第一章 國外關鍵信息基礎設施安全動態

　　(一)天普大學CIRWA項目跟蹤關鍵基礎設施的勒索軟件攻擊

　　(二)飛利浦患者監護產品存在漏洞，可致患者數據泄露

　　(三)美國退伍軍人事務部遭受網絡攻擊泄露4.6萬退伍軍人信息

　　(四)美國指控三名伊朗黑客竊取航空航天和衛星數據

　　(五)加拿大知名貨運公司Manitoulin遭受勒索軟件攻擊

　　(六)微軟修復有史以來最嚴重的漏洞Zerologon

　　(七)藍牙欺騙漏洞BLESA影響數十億物聯網設備

　　(八)美國眾議院通過《物聯網網絡安全改進法案》

　　(九)MITRE發布針對黑客組織FIN6仿真計劃

　　(十)NSA發布關于UEFI安全啟動自定義指南

　　(十一)英國NCSC發布漏洞披露指南

　　(十二)CISA分享伊朗黑客使用的Web Shell詳細信息

　　(十三)CISA成為監督ICS和醫療設備的CVE編號頒發機構

　　(十四)MobileIron設備存在嚴重漏洞，可致服務器遭受遠程攻擊

　　(十五)近2000家Magento商店遭受大規模黑客攻擊

　　(十六)塞舌爾銀行遭受勒索軟件攻擊

　　(十七)針對教育機構的DDoS攻擊數量激增

　　第一章 國外關鍵信息基礎設施安全動態

　　(一)天普大學CIRWA項目跟蹤關鍵基礎設施的勒索軟件攻擊

　　美國天普大學(Temple University)的研究小組提出了一個名為CIRWA(關鍵基礎設施勒索軟件攻擊庫)的項目，旨在跟蹤全球關鍵基礎設施上的勒索軟件攻擊。

　　該項目于2019年9月啟動，截至2020年8月，專家們收集了自2013年11月以來發生的687起勒索軟件攻擊記錄。該項目的維護人員還將攻擊映射到MITRE ATT&CK框架。任何人都可以請求訪問數據。

　　對于每一次勒索軟件攻擊，研究人員收集了廣泛的信息，包括目標組織、攻擊的數據、攻擊開始的日期、目標組織的位置、攻擊的持續時間、勒索軟件家族、贖金金額、支付方式、行業、是否支付了金額，以及信息的來源。

　　根據2013-2020年期間的總結調查結果，針對性最強的關鍵基礎設施是政府設施，其次是教育和醫療保健。對關鍵基礎設施最活躍的威脅參與者是勒索軟件Maze運營商，而勒索軟件攻擊的典型持續時間為1周或更短，最常要求的贖金金額為50,000美元或更少。研究人員表示，在13起已知事件中，勒索軟件運營商要求的賠償額超過500萬美元。

　　研究人員收集的數據非常有趣，對未來關于關鍵基礎設施安全的研究項目非常有用。研究人員強調了來自安全社區的貢獻的重要性，任何人都可以向CIRWA提交與攻擊相關的信息。

　　參考來源：SecurityAffairs http://dwz.date/c6SQ

　　(二)飛利浦患者監護產品存在漏洞，可致患者數據泄露

　　CISA近日發布安全警報稱，飛利浦患者監護解決方案中發現存在八個漏洞，可能為攻擊者提供未經授權的患者數據訪問權限，成功利用這些漏洞可能導致未經授權的訪問、中斷的監控和訪問信息和/或患者數據的收集。盡管這些漏洞的等級為中危及低危，但即使是低技能的黑客也可利用它們。

　　ERNW的研究人員發現，這些安全漏洞是德國聯邦信息安全辦公室(BSI)監督的一個名為ManiMed的大型項目的一部分，受影響的設備包括IntelliVue患者監護儀系統、患者信息中心IX(PIC IX)軟件和為遠程啟用提供動力的PerformanceBridge Focus Point。ManiMed項目的結果將于12月公布。

　　已發現的漏洞包括csv文件中公式元素的不正確中和(cve-2020-16214)、跨站點腳本(cve-2020-16218)、不正確的身份驗證(cve-2020-16222)、證書吊銷檢查不正確(cve-2020-16228)、長度參數不一致的處理不當(cve-2020-16224)、輸入語法正確性的不正確驗證(cve-2020-16220)、輸入驗證不正確(cve-2020-16216)以及資源暴露到錯誤的控制范圍(CVE-2020-16212)。

　　飛利浦已經發布了關于這些漏洞的建議，確認利用這些漏洞需要較低的技能水平。該公司還解釋說，想要利用這些漏洞的攻擊者需要物理訪問監控站和患者監視器，或者訪問醫療設備網絡。目前還沒有已知的針對這些問題的公開利用漏洞。到目前為止，飛利浦公司還沒有收到任何利用這些問題或臨床使用事件的報告，也沒有收到我們能夠將其與此問題聯系起來的臨床應用事件的報告。

　　飛利浦目前正在開發解決這些問題的新版本：PIC IX將于2020年底更新，IntelliVue版本N.00和N.01將于2021年第一季度更新，PerformanceBridge Focus將于2021年第二季度更新，IntelliVue版本M.04將于2021年底更新。2023年將實施證書吊銷機制。

　　飛利浦還建議實施緩解措施：將飛利浦患者監控網絡與醫院局域網(LAN)物理隔離，并使用適當的安全措施限制對患者監控網絡的訪問;確保僅在需要注冊新設備時才運行簡單證書注冊協議(SCEP)服務;以及在使用SCEP注冊新設備時使用唯一的長質詢密碼。

　　此外，應通過物理安全控制防止未經授權登錄PIC IX應用程序(服務器應保存在上了鎖的數據中心)，遠程訪問PIC IX服務器應僅在必備條件下授予;對床邊監護儀和PIC IX應用程序的登錄訪問權限應僅授予受信任用戶基于角色的最低權限。

　　參考來源：SecurityWeek http://dwz.date/c7fc

　　(三)美國退伍軍人事務部遭受網絡攻擊泄露4.6萬退伍軍人信息

　　美國退伍軍人事務部(The Department of Veterans Affairs，VA)9月14日披露其網絡系統遭受網絡攻擊，導致近4.6萬名退伍軍人個人信息泄露，支付給地區醫療機構的錢也被轉移。事件起于由VA金融服務中心(Financial Services Center，FSC)管理一個和軍人保健有關的線上應用遭未授權人士存取，并竊走VA要支付給地區醫療機構的錢。經過初步調查，這名人士利用社交工程手法及驗證協議的漏洞，成功取得權限而存取應用系統，然后變更系統內的財務信息，以便轉移錢的流向。

　　代管的FSC發現后已經將系統下線，直到內部IT系統完成徹底安全檢查才會恢復開放使用。但是VA并未說明入侵事件發生及發現的時間點。目前調查還在持續，但VA相信黑客也已竊取退伍軍人的個人信息，包括社會安全號碼等。VA已通知受影響的前官兵和遺屬，并提供信用卡泄露監控服務。

　　這是VA已知第二起重大資料泄露事件。2006年5月VA一名員工家中遭竊，致使存有2,650萬條退伍軍人資料的筆記本電腦連帶遺失。介入調查的監察長辦公室曾批評，該部對于硬件資產遺失態度輕忽、毫無警覺心。

　　參考來源：iThome http://dwz.date/c6QR

　　(四)美國指控三名伊朗黑客竊取航空航天和衛星數據

　　美國司法部9月17日宣布對三名伊朗國民提出指控，據信他們竊取了與美國航空航天和衛星技術有關的信息。

　　其中一名嫌疑人是34歲的普爾卡里姆·阿拉比(Pourkarim Arabi)，據說他恐怖組織伊斯蘭革命衛隊(IRGC)的成員。另外兩人是34歲的穆罕默德·巴亞蒂(Mohammad Bayati)和年齡不詳的穆罕默德·禮薩·埃斯帕格姆(Mohammad Reza Espgham)。

　　根據美國司法部的說法，這些人至少在2015年7月至2019年2月期間進行了網絡運動，他們一度擁有一份超過1800個目標在線賬戶的名單，這些賬戶與衛星和航空航天公司以及美國、澳大利亞、英國、以色列和新加坡的政府組織有關。

　　該指控表示，黑客利用社會工程欺騙在航空航天和衛星部門工作的人交出信息，這些信息稍后可以用來創建虛假的電子郵件賬戶和域名。他們利用這些資源發送釣魚電子郵件，目的是向他們的目標個人發送惡意軟件。惡意軟件通常是RAT，讓他們能夠訪問受害者的計算機和網絡。

　　被告隨后使用額外的黑客工具來維持未經授權的訪問，提升他們的權限，并竊取伊朗革命衛隊尋求的數據。利用這些方法，嫌疑人成功地破壞了多個受害者網絡，導致受害者公司的敏感商業信息、知識產權和個人數據被盜，其中包括一家衛星跟蹤公司和一家衛星語音和數據通信公司。

　　嫌疑人面臨各種指控，包括密謀入侵計算機、未經授權訪問受保護的計算機獲取信息、故意損壞受保護的計算機、加重身份盜竊和共謀進行電信詐騙。他們已經被簽發逮捕令，如果他們在美國被定罪，他們可能會在監獄里呆上好幾年。

　　這是美國政府本周宣布的針對伊朗黑客的第三輪指控。美國司法部此前宣布對兩名黑客活動者提出指控，他們針對Qasem Soleimani被殺事件誹謗網站，后來又對兩名國家資助的黑客提出指控，據說這兩名黑客至少從2013年起就瞄準了多個行業。 美國本周還指控兩名俄羅斯網絡罪犯涉嫌參與一項價值1700萬美元的加密貨幣詐騙計劃，以及五名據稱與中國有關聯的威脅組織APT41成員。

　　參考來源：SecurityWeek http://dwz.date/c7me

　　(五)加拿大知名貨運公司Manitoulin遭受勒索軟件攻擊

　　9月11日，加拿大大型貨運公司Manitoulin Transport的數據被黑客泄露在網絡上。7月31日，員工報告系統訪問問題后，該公司意識到其遭受了勒索軟件攻擊。由于Manitoulin決定不向黑客付款，故其數據最終被公布在網絡上。

　　通常，黑客使用勒索軟件攻擊來破壞公司的系統，竊取其數據，并阻止公司訪問。隨后黑客要求支付贖金，以換取恢復公司的訪問權限。如果公司拒絕付款，則黑客將在網上泄露被盜數據。

　　Manitoulin總裁Jeff King表示：“我們不認為他們掌握了足夠的與我們有關的信息，在這次攻擊中似乎沒有任何客戶數據或信息受到損害。我們的IT團隊立即響應，沒有關鍵任務系統受到損害。但這無疑提高了我們的警惕?！盞ing還指出，該公司此后采取了額外措施加強內部網絡安全，并一直在與一家外部安全公司合作，調查和應對攻擊。

　　幸運的是，該公司能夠在攻擊發生后的兩天內繼續正常運行。但在加拿大，針對卡車運輸公司的網絡攻擊正在增加。自八月以來，黑客已經攻擊并泄漏了加拿大各地公司的數據，包括TFI International的Canpar Express、Axxess International、Beler Holdings、Fuel Transport和Indian River Express。

　　Emsisoft的威脅分析師Brett Callow表示，“我懷疑這其中存在聯系，這可能是因為數據是從同一來源竊取的，并且曾經用來破壞其他公司?！盋allow還補充表示，以Manitoulin運輸公司為目標的黑客組織Conti也是對Axxess International和Beler Holdings進行攻擊的黑客組織。

　　加拿大皇家騎警拒絕對任何具體事件發表評論，但表示，“加拿大皇家騎警知道許多部門發生勒索軟件事件。我們正在與警務合作伙伴、加拿大政府和國際執法界的合作伙伴緊密合作，以應對網絡犯罪?！?/p>

　　Manitoulin運輸公司是加拿大第14大貨運公司，擁有745輛卡車。

　　參考來源：CDL LIFE http://dwz.date/c6h7

　　(六)微軟修復有史以來最嚴重的漏洞Zerologon

　　近日荷蘭安全公司Secura發布了關于CVE-2020-1472的詳細技術報告。該漏洞名為Zerologon，是根據域控制器對用戶進行身份驗證協議Netlogon中的特權提升漏洞，可被濫用以輕松接管在企業網絡中作為域控制器運行的Windows Server，CVSS評分為10分。上個月微軟已修補了該漏洞，但此前并未公開漏洞細節。

　　Secura研究人員表示，該漏洞名為Zerologon，利用了Netlogon身份驗證過程中使用的弱加密算法。此漏洞允許攻擊者操縱Netlogon身份驗證過程，并且：

　　l 嘗試對域控制器進行身份驗證時，模擬網絡上任何計算機的身份;

　　l 在Netlogon身份驗證過程中禁用安全功能;

　　l 更改域控制器的Active Directory上的計算機密碼(所有加入域的計算機的數據庫及其密碼)。

　　攻擊是通過在某些Netlogon身份驗證參數中添加零字符來完成的，故該漏洞名為Zeroologon。

　　整個攻擊速度非?？?，最多可以持續三秒鐘。此外，攻擊者使用Zerologon攻擊的方式沒有任何限制。例如，攻擊者還可偽裝成域控制器本身并更改其密碼，從而使黑客可以接管整個公司網絡。

　　Zerologon攻擊的使用方式存在一些限制。首先，它不能用于從網絡外部接管Windows Server。攻擊者首先需要在網絡內部立足。然而，如果滿足此條件，被攻擊的公司就游戲結束了。

　　Secura研究團隊說：“這種攻擊產生了巨大的影響。它基本上允許本地網絡上的任何攻擊者(例如惡意內部人員或僅將設備插入本地網絡端口的人)完全危害Windows域?！?/p>

　　此外，此漏洞還是惡意軟件和勒索軟件團伙的福音，這些團伙通常依靠感染公司網絡內的一臺計算機，然后再傳播到其他多個計算機。使用Zerologon，此任務會大大簡化。

　　但是，對于Microsoft而言，對Zerologon進行修補并非易事，因為該公司必須修改數十億臺設備連接到公司網絡的方式，但這會擾亂無數公司的運營。

　　此修補過程計劃分兩個階段進行。第一次發生在上個月，當時微軟發布了一次針對Zerologon攻擊的臨時修復程序。此臨時補丁使所有Netlogon身份驗證都必須具有Netlogon安全功能(Zerologon已禁用)，從而有效地打破了Zerologon攻擊。

　　盡管如此，一個更完整的補丁計劃在2021年2月發布，以防攻擊者找到繞過8月份補丁的方法。不幸的是，微軟預計稍后的補丁會破壞某些設備上的身份驗證。使用Zerologon進行攻擊是特定的，主要是因為該漏洞的嚴重性、廣泛的影響以及對攻擊者的好處。

　　Secura尚未發布用于武器化Zerologon攻擊的POC，但該公司預計，在其報告在線傳播之后，這些代碼最終將浮出水面。截至14日下午五點，武器化的POC已經公開，這意味著該漏洞的攻擊窗口現已打開。同時，該公司發布了Python腳本，該腳本可以告訴管理員他們的域控制器是否已正確修補。

　　參考來源：ZDNet http://dwz.date/c6k2

　　(七)藍牙欺騙漏洞BLESA影響數十億物聯網設備

　　美國普度大學研究人員近日發表論文稱，其發現了一個藍牙低能量(BLE)漏洞，該漏洞允許欺騙攻擊，可能會影響人類和機器執行任務的方式。研究人員表示，它可能會影響數十億物聯網(IoT)設備，并且在Android設備中仍未打補丁。BLESA漏洞會影響重新連接過程，重新連接過程是設備在丟失或丟失配對后重新進入范圍時發生的。

　　BLE欺騙攻擊(BLESA)漏洞源于設備重新連接過程中的身份驗證問題，這是安全專家經常忽視的一個領域。重新連接發生在兩個設備連接后，其中一個設備移出范圍(或斷開)，然后再次連接。重新連接在工業物聯網環境中很常見，例如，在斷開連接并進入監控模式之前，傳感器可能會定期連接到服務器以傳輸遙測數據。

　　成功的BLESA攻擊允許惡意攻擊者與設備連接(通過繞過重新連接身份驗證要求)，并向其發送欺騙數據。在物聯網設備的情況下，這些惡意數據包可以說服機器執行不同的或新的行為。對于人類來說，攻擊者可以向設備提供欺騙性信息。

　　這個漏洞尤其嚴重，因為BLE協議無處不在，因為它的能效和使用簡單，被數十億設備用來配對和連接。該研究團隊包括成員 Jianliang Wu,、Yuhong、Vireshwar、Dave(Jing)Tian、Antonio Bianchi、Mathias Payer和Donyan Xu。

　　研究人員表示：“為了便于采用，BLE需要有限的用戶交互或沒有用戶交互才能在兩個設備之間建立連接?！辈恍业氖?，這種簡單性是幾個安全問題的根本原因。

　　該論文描述了攻擊者發起BLESA攻擊的容易程度：一旦發現啟用了BLE的設備所連接的服務器，威脅參與者也會與其配對以獲取其屬性。這很容易，因為BLE協議被設計成允許任何設備與另一BLE設備連接以獲取這些信息。

　　研究人員表示，BLE進一步方便了攻擊的訪問，因為它的廣告數據包總是以明文傳輸，所以攻擊者可以很容易地通過廣告相同的數據包并克隆其MAC地址來冒充良性服務器。

　　研究人員解釋表示，在攻擊的下一階段，威脅參與者開始廣播欺騙的廣告數據包，以確保每當客戶端試圖與之前配對的服務器啟動新會話時，它都會收到欺騙的廣告數據包。此時，對手已經準備好向客戶發起BLESA攻擊。

　　該論文重點介紹了BLE規范中允許BLESA攻擊的兩個關鍵漏洞。如果設備重新連接期間的身份驗證標記為可選而不是強制，則會發生其中一個問題?？蛻舳撕头掌骺赡軙x擇禁用特定屬性的[身份驗證]。因此，在基本屬性的情況下，可能會違反屬性訪問請求和響應的機密性、完整性和真實性目標。

　　研究人員表示，出現另一個弱點是因為當客戶端在配對后重新連接到服務器時，該規范提供了兩種可能的身份驗證程序，這意味著身份驗證可能會被規避。他們在論文中詳細描述了這兩種類型的攻擊。

　　研究人員說，攻擊者可以在Linux、Android和iOS平臺上的BLE實現上使用BLESA。具體來說，基于Linux的Bluez IoT設備、基于Android的Fluoride 和iOS BLE堆棧都容易受到攻擊，而Windows的BLE實現仍然不受影響。

　　他們指出，研究人員就這些漏洞聯系了蘋果、谷歌和Bluez團隊，蘋果為該漏洞分配了CVE-2020-9770，并在6月份修復了它。然而，測試的設備，即運行Android 10的Google Pixel XL中的Android BLE實現仍然容易受到攻擊。

　　據研究人員稱，Bluez開發團隊表示，他們將用使用適當的BLE重新連接程序的代碼取代向BLESA攻擊開放其設備的代碼，這些代碼不容易受到攻擊。

　　這是本月在藍牙領域發現的第二個重大漏洞。上周，BLURtest漏洞被公布，該漏洞允許無線范圍內的攻擊者繞過身份驗證密鑰，并在中間人攻擊中窺探設備。

　　參考來源：threatpost http://dwz.date/c7jw

　　(八)美國眾議院通過《物聯網網絡安全改進法案》

　　美國眾議院9月15日通過了《物聯網網絡安全改進法案》，該法案旨在提高物聯網設備的安全性。該法案于2017年首次提出，并于2019年重新提出，現在必須在參議院獲得通過，然后才能由總統簽署成為法律。

　　該兩黨法案得到了德克薩斯州共和黨眾議員威爾·赫德(Will Hurd)、伊利諾伊州民主黨眾議員羅賓·凱利(Robin Kelly)、弗吉尼亞州民主黨參議員馬克·華納(Mark Warner)、科羅拉多州共和黨議員科里·加德納(Cory Gardner)的支持。還有幾家主要的網絡安全和科技公司支持這項法案，包括BSA、Mozilla、Rapid7、Cloudflare、CTIA和Tenable。

　　Warner在該法案在眾議院獲得通過后表示，“眾議院通過這項立法是在打擊不安全的物聯網設備對我們個人和國家安全構成的威脅方面的一項重大成就。坦率地說，今天的制造商就是沒有適當的市場激勵措施來妥善保護他們制造和銷售的設備，這就是為什么這項立法如此重要。我贊揚女議員凱利和議員赫德在過去兩年里為推動這項立法所做的努力。我期待著繼續努力，使這項兩黨兩院通過的法案在參議院通過終點線?！?/p>

　　如果成為法律，《物聯網網絡安全改進法案》將要求NIST發布有關物聯網產品安全開發、補丁、身份管理和配置管理的標準和指導方針。聯邦政府收購的所有物聯網設備都必須遵守這些建議。NIST還必須與研究人員、行業專家和國土安全部合作，發布關于協調披露物聯網設備中發現的漏洞的指導意見，與美國政府合作的承包商和供應商將必須采用漏洞披露政策。

　　參考來源：SecurityWeek http://dwz.date/c7bK

　　(九)MITRE發布針對黑客組織FIN6仿真計劃

　　近日MITRE Engenuity威脅信息防御中心與網絡安全行業合作伙伴啟動了一個名為對手仿真庫(Adversary Emulation Library)的項目，該項目免費提供當今最大黑客組織的模擬計劃，以使組織能夠評估其針對現實世界威脅的防御能力，并幫助培訓安全團隊捍衛其網絡。該項目托管在GitHub上，提供免費下載的仿真計劃。

　　仿真計劃是分步指南、腳本和命令的集合，這些指南、腳本和命令描述和執行特定對手的劇本中常見的惡意操作。仿真計劃的目標是測試網絡防御，并查看自動化安全系統或人工操作員是否在攻擊發生之前、之中和之后檢測到攻擊，然后更新安全性程序以解決任何錯誤。

　　MITRE對手仿真庫中的第一個內容是針對FIN6的仿真計劃，FIN6是當今最大的出于財務動機的網絡犯罪組織之一。FIN6自2015年以來一直活躍，主要針對運營高流量POS(銷售點)支付終端的公司，而FIN6會利用內部網絡來安裝POS惡意軟件，從而竊取支付卡信息。FIN6計劃是MITRE打算在未來幾個月免費提供的眾多計劃中的第一個。

　　該計劃是由MITER和MITER Engenuity的一部分的多個行業合作伙伴共同制定的，MITER Engenuity是一個非營利性組織，目前由來自全球的23個組織和高度復雜的安全團隊組成。微軟，富士通和AttackIQ是MITER Engenuity的成員，并與MITER共同制定了今天發布的FIN6計劃。

　　在成立非營利組織MITER Engenuity以執行這些計劃并將其免費提供之前，MITRE Corporation此前發布了另外兩個仿真計劃，第一個是 2017年針對中國國家資助的黑客組織APT3，第二個是在2020年年初為俄羅斯國家資助的黑客組織APT29準備的。根據 MITER Corporation部門經理Jon Baker發布的博客文章，這兩個版本的積極反饋激發了MITER領導者與行業合作伙伴一起編寫仿真計劃結構的工作 。

　　關于FIN6的一個鮮為人知的事實是，該組織有時還會在入侵的某些網絡上部署勒索軟件，以及像Magecart那樣的skimmer，這些都是MITRE FIN6仿真計劃中包含的小細節，這說明了該仿真計劃的質量和準確性。

　　參考來源：ZDNet http://dwz.date/c6es

　　(十)NSA發布關于UEFI安全啟動自定義指南

　　美國國家安全局(NSA)9月15日發布了關于統一可擴展固件接口(UEFI)安全啟動功能的指南，該功能可滿足組織定制的需求。

　　UEFI是傳統基本輸入輸出系統(BIOS)的替代品，可跨多個體系結構使用，提供更廣泛的定制選項、更高的性能、更高的安全性以及對更多設備的支持。在過去的幾年中，針對固件的攻擊在受害者系統上的持續增加，特別是在操作系統上運行的防病毒軟件無法識別和阻止固件級別的威脅的情況下。這就是Secure Boot發揮作用的地方，它提供了一種驗證機制來降低早期啟動漏洞和固件利用的風險。

　　然而，根據NSA的說法，不兼容問題通常會導致安全引導被禁用，該機構建議不要禁用安全引導。此外，它強烈鼓勵自定義Secure Boot以滿足組織的需求。定制使管理員能夠實現引導惡意軟件防御、內部威脅緩解和靜態數據保護的好處。出于兼容性原因，管理員應該選擇自定義安全引導，而不是禁用它。根據實施情況，定制可能需要基礎設施簽署它們自己的引導二進制文件和驅動程序。

　　在該指南中，該機構建議系統管理員和基礎設施所有者將他們的計算機遷移到UEFI本機模式，在所有端點上啟用安全引導并對其進行自定義，并建議所有固件都得到適當的保護并定期更新。

　　NSA還指出，安全引導應該配置為“審核固件模塊、擴展設備和可引導操作系統映像(有時稱為徹底模式)”，并且應該使用可信平臺模塊(TPM)來確保固件和安全引導配置的完整性。

　　NSA的報告包括有關UEFI和Secure Boot的所有內容的技術信息，同時還提供了有關管理員如何自定義Secure Boot的廣泛詳細信息，包括有關可用于滿足多個使用案例的可用高級自定義選項的信息。

　　參考來源：SecurityWeek http://dwz.date/c7dg

　　(十一)英國NCSC發布漏洞披露指南

　　英國國家網絡安全中心(NCSC)發布了漏洞披露指南，已幫助公司實施漏洞披露流程，或在已經建立漏洞披露流程的情況下對其進行改進。

　　這份名為“漏洞披露工具包”的文件，強調了各種規模的組織都需要為負責任的錯誤報告提供開放的態度，并鼓勵這樣做。

　　如今，漏洞披露程序非常有意義，因為大多數網絡攻擊都是安全問題造成的，研究人員不斷發現新的漏洞。報告問題可能特別困難，在許多情況下，大部分精力都花在尋找可以采取相關措施的聯系人上。

　　英國NCSC稱，安全漏洞一直被發現，人們希望能夠直接向負責的組織報告。一家致力于減少其基礎設施中漏洞數量的公司，可以提供更安全的產品和服務，并降低成為網絡攻擊受害者的風險。

　　英國NCSC發布的這份指南并不是一本更容易披露漏洞的規則手冊，而是為更好的流程或實施流程提供了必要的信息。它由三個主要部分組成，描述了如何將外部漏洞信息定向給合適的人，以及報告需遵循關閉漏洞的框架標準。

　　NCSC建議設立一個專門的聯系人(電子郵件地址或安全的網頁表格)，并使其易于查找。這可以使用security.txt標準輕松實現，該標準是一個發布在域根的/.well目錄中的純文本文件。該文件可以包括公司的安全聯系人和漏洞披露策略，也可以鏈接到它們。如果需要加密通信，則其他字段可以包含公鑰或首選語言。

　　在消除網絡釣魚的嫌疑后，及時對未經請求的漏洞報告做出響應應該是標準的做法，與發現者接觸，即使只是為了感謝他們。

　　NCSC建議公司避免強迫發現者簽署保密協議，因為個人只是想確保漏洞已得到修復。讓研究人員了解解決該問題的進展情況，這表明他們對發現和報告工作的透明度和贊賞。這樣做的好處是發現者可以重新測試并確認問題不再存在。

　　該指南的發布是將漏洞報告嵌入英國立法框架的序言。政府目前正在制定法律，要求智能設備制造商為漏洞披露政策提供公共聯系人。

　　參考來源：BleepingComputer http://dwz.date/c6RB

　　(十二)CISA分享伊朗黑客使用的Web Shell詳細信息

　　美國網絡安全與基礎設施安全局(CISA )09月15日發布了一篇惡意軟件分析報告，詳細介紹了伊朗黑客使用的Web Shell。

　　Web Shell使黑客能夠在受害系統上執行代碼、枚舉目錄、部署其他有效負載、竊取數據以及瀏覽受害網絡?？梢允褂闷渌M件來擴展攻擊者的命令和控制(C&C)功能。

　　該報告顯示，其觀察到一個針對美國IT、政府、醫療、金融和保險組織的伊朗威脅參與者，在攻擊中使用ChunkyTuna，Tiny和China Chopper Web Shell。該參與者針對一些著名的漏洞，包括Pulse Secure虛擬專用網(VPN)、Citrix Application Delivery Controller(ADC)、Gateway以及F5的BIG-IP ADC產品。

　　今年8月底，Crowdstrike透露，總部位于伊朗的網絡間諜組織PIONEER KITTEN、PARISITE、UNC757和FOX KITTEN，據信代表伊朗政府運營，一直在針對多個行業的機會主義攻擊中存在同樣的漏洞。

　　CISA沒有提到他們報告中提到的伊朗威脅參與者的名字，詳細說明了19個惡意文件的功能，其中許多是China Chopper web shell的組件。

　　Web Shell支持JavaScript代碼的交付和執行，但也包括用于偵聽來自攻擊者服務器(應用程序服務提供商(ASP)應用程序)的傳入HTTP連接，以及啟用目錄枚舉、有效負載執行和數據外泄功能的組件。

　　開源項目FRP的一個版本也被用于隧道傳輸各種類型的連接(ClearSky在2020年2月的一份報告中還披露了FRP在Fox Kitten攻擊中的使用)，PowerShell shell腳本被用來訪問由微軟的KeePass密碼管理軟件存儲的加密憑證。

　　CISA表示，攻擊者可能已使用FRP實用程序對出站遠程桌面協議(RDP)會話進行隧道傳輸，從而允許從防火墻邊界外部持續訪問網絡。China Chopper Web shell還提供了在邊界內持續導航受害者網絡的能力。利用‘KeeThief’實用程序，可以訪問敏感的用戶密碼憑據，并且可能能夠轉移到受害者網絡之外的用戶帳戶。

　　CISA的報告還詳細介紹了另外7個文件，這些文件被確認為ChunkyTuna和tinyWeb shell，旨在為操作員提供從遠程服務器傳遞命令和數據的能力。

　　參考來源：SecurityWeek http://dwz.date/c7h9

　　(十三)CISA成為監督ICS和醫療設備的CVE編號頒發機構

　　通用漏洞披露(CVE)9月15日宣布，網絡安全和基礎架構安全局(CISA)被任命為頂級根CVE編號頒發機構(CNA)，將監督為工業控制系統(ICS)和醫療設備中的漏洞分配CVE標識符的CNA。CNA負責為自己或第三方產品中發現的漏洞發布CVE標識符。頂級根CNA不僅可以分配CVE，而且還負責管理特定域或社區中的CNA。

　　贊助CVE計劃的CISA現在還被指定為工業控制系統(ICS)和作為CVE編號頒發機構(CNA)參與的醫療設備供應商的頂級根CVE編號頒發機構。CNA是被授權為在特定范圍內影響產品的漏洞分配CVE ID的組織。頂級根CNA(例如CISA)在給定域或社區中管理一組CNA，并且可以為漏洞分配CVE ID。

　　作為ICS和醫療設備的頂級根，CISA負責確保CVE ID的有效分配，實施CVE計劃規則和指南以及在其管理下管理CNA。它還負責招募和加入新的CNA，并解決其范圍內的糾紛。

　　將CISA建立為頂級根源，可以鞏固有效地為ICS和醫療設備漏洞分配CVE ID所需的廣泛專業知識，并能夠快速識別和解決特定于這些環境的問題。

　　MITRE的首席系統工程師、CVE計劃委員會成員Chris Levendis表示，“這與CVE計劃的聯合增長戰略相一致，該戰略以可持續的，由利益相關者驅動的方式擴展CVE計劃。CVE計劃很高興能與CISA合作，發展該計劃，以更好地滿足利益相關者的需求?！?/p>

　　作為國家的風險顧問，CISA在眾多公共和私人利益相關者中扮演著值得信賴的信息經紀人的角色。在這一角色中，CISA促進了更多的信息共享，以幫助這些利益相關者做出更明智的決策，以更好地理解和管理來自網絡和物理威脅的風險。

　　CISA網絡安全助理總監Bryan Ware表示：“繼續鼓勵工業控制系統和醫療設備漏洞的公開透明披露是CISA的關鍵任務。這一擴展將鼓勵更多的供應商參與CVE計劃，并讓CISA在利益相關者參與度更高時為其提供更好的支持?！?/p>

　　最初，CISA將監督七個CNA，包括Alias Robotics、ABB、CERT @ VDE 、江森自控、博世、西門子、Gallagher Group。

　　CVE董事會創始成員Kent Landfield表示：“CVE董事會非常高興看到CISA加強并提供正確解決和支持不斷擴展的ICS和醫療控制生態系統所需的功能。漏洞不僅存在于CVE計劃過去涵蓋的IT平臺中。今天的漏洞可能會影響生命和肢體。能夠快速將CVE分配給這些漏洞，使社區可以共同協作以快速緩解這些漏洞?！?/p>

　　參考來源：CISA http://dwz.date/c7nT

　　(十四)MobileIron設備存在嚴重漏洞，可致服務器遭受遠程攻擊

　　安全咨詢公司DEVCORE研究人員Orange Tsai 9月12日發布博客文章，披露了影響MobileIron的移動設備管理(MDM)解決方案的幾個潛在的嚴重漏洞的詳細信息，其中包括一個未經身份驗證的攻擊者可以利用該漏洞在受影響的服務器上遠程執行代碼的漏洞。

　　安全咨詢公司DEVCORE的研究人員發現了這些漏洞，并于4月初報告給MobileIron，補丁程序于6月15日發布，供應商于7月1日發布了公告。

　　可以利用這些安全漏洞進行遠程代碼執行(CVE-2020-15505)，從目標系統讀取任意文件(CVE-2020-15507)，并遠程繞過身份驗證機制(CVE-2020-15506)。受影響的產品包括MobileIron Core(版本10.6和更早版本)，MobileIron Sentry，MobileIron Cloud，企業連接器和報告數據庫。

　　在該博客中，Orange Tsai聲稱，由于MobileIron產品的廣泛使用，他們決定對其產品進行分析，MobileIron聲稱有超過20,000家企業使用其解決方案。而研究人員的分析表明，全球財富500強中有超過15%的組織將其MobileIron服務器暴露于互聯網，包括Facebook。

　　Orange Tsai表示，利用CVE-2020-15505(與反序列化相關的問題)足以使遠程未經身份驗證的攻擊者在易受攻擊的MobileIron服務器上實現任意代碼執行?；ヂ摼W上目前大約有10,000臺可能暴露的服務器，盡管補丁已發布了數月，但Tsai聲稱互聯網上大約30%的服務器仍未打補丁。

　　在看到修補程序發布兩周后Facebook未能修補其MobileIron服務器后，DEVCORE通過其漏洞賞金計劃向Facebook報告了此問題。通過在其中一臺服務器上“彈出shell”向Facebook展示了該漏洞的影響。Facebook為這份報告提供了一筆賞金，但金額并未透露。

　　在Orange Tsai披露了漏洞的詳細信息后不久，有人創建并發布了針對CVE-2020-15505 的概念驗證(PoC)漏洞。白帽子聲稱知道該漏洞賞金社區成員成功進行了利用嘗試。

　　參考來源：SecurityWeek http://dwz.date/c6vm

　　(十五)近2000家Magento商店遭受大規模黑客攻擊

　　網絡安全公司Sansec研究人員9月14日表示，在周末有近2000家Magento商店遭受了黑客攻擊，是有史以來規模最大的攻擊活動。該攻擊名為CardBleed，是一種典型的Magecart攻擊，注入的惡意代碼會攔截未受懷疑的商店客戶的付款信息。

　　大多數被黑客入侵的網站都運行了Magento 1版本，但在某些情況下，受感染的商店也正在運行Magento2。Sansec研究人員證實，這是自2015年以來他們觀察到的最大規模的自動化攻擊。專家報告說，威脅攻擊者在12日攻擊了1058家商店，在13日入侵了603家，在14日入侵了233家。

　　在此次攻擊中，威脅參與者在被黑客入侵的網站上植入了一個軟件分離器，該軟件被竊取了用戶在結帳頁面上輸入的支付數據。然后攻擊者將其擴散到俄羅斯托管的服務器中。Sansec研究人員推測，在周末，成千上萬的在線商店客戶的個人和財務信息被盜。

　　專家認為，騙子可能正在使用一種新的漏洞攻擊代碼，該代碼是在幾周前在一個黑客論壇上由俄羅斯賣家以5,000美元的價格出售的，該黑客在線上使用的名字為“z3r0day”。z3r0day聲明他只出售10個該漏洞利用程序的副本。

　　該漏洞利用可以在線驅動仍在95,000個網站上運行的Magento 1版本。官方PCI要求在服務器上使用惡意軟件和漏洞掃描程序，例如Sansec的eComscan。Sansec還建議訂閱替代的Magento 1補丁程序支持，例如Mage One提供的支持。

　　參考來源：SecurityAffairs http://dwz.date/c6qE

　　(十六)塞舌爾銀行遭受勒索軟件攻擊

　　塞舌爾中央銀行(CBS)通過新聞聲明披露，塞舌爾開發銀行(DBS)于9月9日遭受了勒索軟件攻擊，CBS和DBS立即對事件進行了調查，并正在評估攻擊的程度。該銀行未提供攻擊的技術細節，例如感染其系統的勒索軟件家族。目前還不清楚攻擊者在加密銀行系統之前是否還竊取了一些數據。

　　塞舌爾開發銀行是由塞舌爾政府和一些股東組成的合資企業，其中包括銀行、法國合作銀行、歐洲投資銀行、DEG、渣打銀行和巴克萊銀行。自創建以來，渣打銀行的股份由Nouvobanq接管。塞舌爾開發銀行回購了巴克萊的股份，政府購買了DEG的股份，因此將其持股比例提高到60.50%。此后，政府和DBS購買了巴克萊銀行和DEG的股份，使塞舌爾政府獲得了對該銀行60.50%股份的控制權。

　　CBS強調，DBS需要在整個過程中與客戶和其他利益相關者保持溝通，特別是在銀行業內部。一旦清楚地了解了這一現實的全部情況，CBS將向公眾提供進一步的細節。CBS最后宣布采取適當措施保護金融體系的完整性，并維持對銀行業的信心。CBS致力于向客戶和利益相關者通報事件的發展和調查的最新情況。

　　最近，另一家銀行披露了一起勒索軟件攻擊事件，智利銀行BancoEstado也因感染而被迫關閉分支機構。

　　參考來源：SecurityAffairs http://dwz.date/c6NB

　　(十七)針對教育機構的DDoS攻擊數量激增

　　Check Point研究人員發現，在過去3個月中，黑客對教育、研究和返校等領域的興趣激增。新的學年已經開始，研究人員更深入地研究了這些攻擊的特征。攻擊者針對不同地區使用了不同的方法和攻擊策略，美國的DDoS攻擊數量增加，歐洲的信息泄露數量增加，亞洲漏洞利用次數增加。

　　研究人員表示，針對教育機構和學術界的DDoS攻擊將激增。由于冠狀病毒的流行，在線學習的普及率正在不斷提高，但威脅行為體正在對世界各地的教育機構和學術界發起分布式拒絕服務(DDoS)。DDoS攻擊給目標教育機構造成了嚴重問題，例如網絡和在線課程的暫時中斷。

　　大多數攻擊的目標是美國的教育機構，在7月至8月期間，學術部門的平均每周增長30%。與5月和6月相比，攻擊次數從468次增加到608次。

　　激增的原因是DDoS攻擊，通常由黑客活動主義者部署。但是，有時候，在混亂的背后，是學生們嘗試免費在線獲取的專用工具。

　　CheckPoint的報告表示，“我們發現主要的增長來自DDos攻擊。DoS/DDoS攻擊呈上升趨勢，是網絡停機的主要原因。無論是黑客活動者為了引起人們對某個原因的關注而實施的攻擊，還是試圖非法獲取數據或資金的欺詐者，還是地緣政治事件的結果，DDoS攻擊都是一種破壞性的網絡武器。除了教育和研究之外，來自各個行業的組織每天都面臨這樣的攻擊?！?/p>

　　專家報告說，在佛羅里達州一名青少年黑客的案例中，該人在虛擬課堂的前三天對美國最大的學區發動了大規模的DDoS攻擊，導致操作中斷。

　　在歐洲也觀察到類似情況，在7月至8月期間，每個組織在學術領域的平均每周攻擊次數從638次增加到793次，增長了24%。在亞洲，專家觀察到威脅行為者針對DoS、遠程執行代碼和信息披露問題的幾種攻擊。

　　與前兩個月相比，7-8月學術部門每個組織的平均每周攻擊次數從1322次增加到1598次，增長了21%?？紤]到亞洲所有部門，攻擊數量的總體增長率只有3.5%。CheckPoint的分析還證實，今年美國有多家教育機構是勒索軟件攻擊的受害者。

　　參考來源：SecurityAffairs http://dwz.date/c6sH

　　(如未標注，均為天地和興工業網絡安全研究院編譯)