目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)TCL安卓電視中存在嚴重安全漏洞

　　(二)臺灣筆記本電腦制造商仁寶遭受勒索軟件攻擊

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)施耐德PLC中存在兩個安全漏洞

　　(二)PcVue SCADA產品中存在嚴重漏洞可致工業組織遭受攻擊

　　(三)新型蠕蟲Gitpaste-12針對Linux服務器和IoT設備

　　(四)黑客利用SonarQube配置錯誤從美國政府機構和私人企業竊取源代碼

　　(五)特朗普訴訟網站存在SQL注入漏洞可泄露選民信息

　　(六)巴西高級選舉法院遭受重大網絡攻擊

　　(七)Cisco IOS XR軟件存在嚴重DoS漏洞可致黑客遠程攻擊ASR路由器

　　(八)澳大利亞發布關鍵基礎設施安全立法修正案征求意見稿

　　(九)歐盟網絡安全局發布《保護物聯網準則》

　　(十)新型銀行木馬Ghimob攻擊112個金融應用程序

　　(十一)針對以色列的勒索軟件攻擊疑似與伊朗威脅組織有關

　　(十二)黑客雇傭組織CostaRicto使用定制惡意軟件攻擊南亞機構

　　(十三)新型模塊化后門ModPipe針對餐飲和酒店業管理軟件

　　(十四)Palo Alto Networks將以8億美元收購數字資產監控公司Expanse

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)TCL安卓電視中存在嚴重安全漏洞

　　TCL是全球第三大電視制造商，近日安全研究人員發布安全報告稱，發現了TCL Android TV中存在的幾個嚴重漏洞。在研究低端Android機頂盒時，研究人員發現這些設備的設計方式存在一些嚴重漏洞。

　　在不檢查每個設備的細微差別的情況下，所有智能電視產品都是基于Android的。電視市場中有四種電視產品，如電視棒、電視盒、智能電視和Android電視。它們都是基于ARM的單板計算機(SBC)。多數芯片是32位的，有些是64位的，但它們都像Raspberry Pi的競爭對手一樣，它們通過微型但功能強大的Mali GPU專注于GPU性能。

　　每個被測試的產品至少存在一個以下安全漏洞：端口22打開，并允許以root用戶身份進行SSH訪問;端口5555打開，并允許未經身份驗證的安卓(adb)作為root用戶;根目錄設備，在多個位置具有世界可執行的二進制文件;運行adb和ssh守護進程的開放WiFi網絡。

　　安全研究人員表示，“在目睹這些設備的安全性多么糟糕或缺乏這些安全性之后，我計劃以一種實際的基于Shell的蠕蟲形式編寫一個真正的POC，它可以在我擁有的4到5個電視棒之間跳躍?！?/p>

　　TCL是一家中國大型電子制造公司。該公司一直在以驚人的速度增長其全球市場份額。研究人員進行了一次遠程桌面會話，并在電視上進行了一次簡單的nmap掃描，以確定它已經開箱即用。

　　如果我們nmap安卓手機，我們通常會發現0個開放的TCP端口。但是在這種情況下，它顯示了許多開放的端口。盡管有某些理由使電視具有開放端口，但上述許多服務值得深入研究。

　　在“遠程桌面”會話中，當將所有URL手動輸入到聯機瀏覽器時，某些頁面為空白頁面。這可以指示API端點。有些頁面只是掛在瀏覽器上。獲得其余的nmap掃描后，端口7989顯示404錯誤。這意味著該文件存在，但我們無權查看它。Http://10.0.0.117:7989沒有在瀏覽器中返回頁面。

　　互聯網號碼分配機構(IANA)未將端口7989列在標準TCP / UDP端口列表中。這意味著，如果不掃描所有65,535個端口，大多數掃描儀將跳過該端口。其次，特定的根頁面為空白。因此，要在每個端口掃描相當多的頁面，端口掃描時間將成倍增加。

　　TCL已識別并接受了該漏洞，并表示已修補此問題。最后，研究人員對該設備進行了初步測試，未發送任何更新警告。

　　參考來源：GBHackers http://dwz.date/djg8

　　(二)臺灣筆記本電腦制造商仁寶遭受勒索軟件攻擊

　　臺灣筆記本電腦制造商仁寶電子(Compal Electronics)近日遭受了勒索軟件DoppelPaymer攻擊，攻擊者要求近1700萬美元的贖金。

　　仁寶是全球第二大筆記本電腦原創設計制造商(ODM)，包括蘋果、惠普、戴爾、聯想和宏基在內的知名公司都在重新打造其設備或設計的品牌。

　　上周末，臺灣媒體報道仁寶遭受了網絡攻擊，但仁寶聲稱這只是他們辦公室自動化系統的“異?！?。UDN報道稱，“Lu Qingxiong表示主要原因是辦公自動化系統出現異常，懷疑公司被黑客入侵。該公司已緊急修復了大部分，預計今天將恢復正常。Lu Qingxiong強調，康柏并沒有像外界報道的那樣受到黑客的勒索，目前生產一切正常?！?/p>

　　研究人員在獲得了一張用于攻擊的勒索單據，證實Compal遭受了DoppelPaymer勒索軟件攻擊。

　　DoupelPaymer是一種勒索軟件操作，通過訪問管理員憑據并利用這些憑據在整個Windows網絡中傳播來攻擊企業目標。一旦他們獲得對Windows域控制器的訪問權限，就會將勒索軟件有效負載部署到網絡上的所有設備。根據勒索通知中鏈接的DoppelPaymer Tor網站的消息，勒索軟件團伙索要1100比特幣(約為16725500.00美元)才能收到解密器。

　　根據贖金紙條和DoppelPaymer過去的歷史記錄，攻擊者很可能竊取了未加密的數據作為攻擊的一部分。然后，這些被盜數據被用作雙重勒索策略，勒索軟件團伙威脅稱，如果不支付贖金，就會在數據泄露網站上發布這些文件。最初的勒索贖金只是一個“起步價”，對于決定支付贖金的受害者來說，通常會協商到一個低得多的金額。

　　其他在過去被DoppelPaymer攻擊的受害者還包括墨西哥國家石油公司、加州Torrance、紐卡斯爾大學、佐治亞州霍爾縣和Bretagne Télécom。

　　參考來源：BleepingComputer http://dwz.date/djNS

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)施耐德PLC中存在兩個安全漏洞

　　Trustwave安全研究人員11月12日發布博客文章稱，其在施耐德EcoStruxure Machine Expert v1.0和Schneider Electric M221(固件1.10.2.2)可編程邏輯控制器(PLC)中發現了兩個漏洞，攻擊者可能會利用這些漏洞來危害PLC，進而攻擊更復雜的關鍵基礎設施。

　　PLC是電力公用事業和工廠等環境中的關鍵設備。它們控制工廠裝配線和其他工業環境中的物理機械占地面積，是運營技術(OT)網絡的關鍵部分。

　　第一個漏洞CVE-2020-7566是small-space seed 漏洞，使得攻擊者能夠發現EcoStruxure Machine-Expert Basic用于應用程序保護的加密密鑰。有兩種類型的應用程序保護可用：讀保護保護控制器的應用程序不被工程工作站上的任何未經授權的人員讀取;寫保護控制器的應用程序不被未經授權的更改。

　　研究人員指出，暴力破解之所以成為可能，要歸功于兩個漏洞：第一，加密過程中使用的隨機隨機數和密鑰是以明文交換的。其次，用于生成密鑰的種子只有兩個字節長。這意味著只有65,535種可能的種子組合。

　　第二個漏洞CVE-2020-7568是應用程序保護機制的安全繞過問題，這可能會為更大規模的攻擊打開大門。研究人員發現了一個替代通道來繞過控制器上的讀保護功能。研究人員表示，“這種讀保護功能是為了保護部署在控制器上的應用程序不被未經授權的人員下載。惡意攻擊者可以利用[繞過]繞過保護，從m221控制器下載應用程序?！眰溆猛ǖ朗亲鳛榈谌街苯酉蚩刂破靼l送應用程序數據請求的能力。

　　TrustWave研究人員表示，這反過來將允許攻擊者對M221的核心應用進行偵察，為更復雜的后續攻擊鋪平道路。這是因為應用程序包含部署在控制器上的控制邏輯。這種邏輯使用工業控制系統(ICS)中的“標簽”，通過操作技術(OT)網絡進行通信。

　　施耐德電氣建議為工程軟件打補丁，更新控制器固件，并攔截防火墻上的端口。TrustWave補充稱，客戶還應該為不同的應用程序保護使用兩個不同的復雜密碼，并采取措施確保只有工程工作站和授權的客戶才能直接與PLC通信。

　　ICS引起了安全研究人員和聯邦政府越來越多的關注。例如，美國國土安全部宣布，關鍵基礎設施已成為今年CISA的主要重點。

　　事實上，隨著關注度的提高，越來越多的漏洞在ICS設備中被發現。例如，像Pwn2Own這樣的黑客競賽已經開始聚焦于ICS。

　　這些努力正在取得成果：今年3月，羅克韋爾自動化(Rockwell Automation)和江森自控(Johnson Controls)發現了影響PLC和物理訪問控制系統的關鍵漏洞。今年7月，在CISA就即將發生的關鍵基礎設施攻擊發出可怕警告之后，ICS-CERT就施耐德電氣Triconex TriStation和Tricon通信模塊中的一個關鍵安全漏洞發布了一份咨詢報告。這些安全儀表系統(SIS)控制器負責在出現問題時關閉工廠運行，并充當工業設施的自動安全防御系統，旨在防止設備故障和爆炸或火災等災難性事件。他們過去曾在2017年的Triton攻擊中成為攻擊目標。

　　參考來源：ThreatPost http://dwz.date/djVc

　　(二)PcVue SCADA產品中存在嚴重漏洞可致工業組織遭受攻擊

　　卡巴斯基研究人員在法國ARC Informatique開發的PcVue SCADA/HMI解決方案中發現了三個潛在的嚴重漏洞，包括允許攻擊者控制工業流程或造成破壞的漏洞。

　　卡巴斯基的研究人員對PcVue產品進行了分析，他們總共發現了三個漏洞。隨著12.0.17版本的發布，供應商已經修補了安全漏洞，并共享了一些緩解措施和解決辦法，以幫助客戶防止攻擊。

　　卡巴斯基高級安全研究員Andrey Muravitsky是發現PcVue漏洞的功臣之一。他表示ARC Informatique“做得非常出色”，并在接到通知5個月后修補了所有漏洞，工業解決方案提供商修復漏洞通常需要更長的時間。

　　最嚴重的漏洞與接口中接收到的消息的不安全反序列化有關，它可能導致遠程代碼執行。另外兩個漏洞被評為高危漏洞，一個可用于DoS攻擊，另一個是信息泄露問題，使得攻擊者能夠訪問合法用戶的會話數據。

　　卡巴斯基在10月份發布了針對這些漏洞的警告，并表示利用這些漏洞很容易，不需要任何用戶交互。美國網絡安全和基礎設施安全局(CISA)上周發布了一份咨詢報告，警告各組織注意這些漏洞帶來的風險。

　　Muravitsky稱，擁有TCP端口8090網絡訪問權限的攻擊者可以利用這些漏洞，并在網絡和移動后端服務器上實現任意代碼執行。如果易受攻擊的組件暴露在網絡上，也可能從互聯網進行遠程攻擊?！肮粽呖梢栽谂cOT網絡相連的計算機上執行命令，并擴大攻擊面，在某些情況下，攻擊者可以控制工業過程并造成破壞?！?/p>

　　參考來源：SecurityWeek http://dwz.date/dhKg

　　(三)新型蠕蟲Gitpaste-12針對Linux服務器和IoT設備

　　Juniper Threat Labs研究人員11月5日發布博客文章稱，其發現了一種針對基于Linux x86服務器以及基于Linux的IoT設備(基于ARM和MIPS CPU)的新型蠕蟲病毒，該惡意軟件使用GitHub和Pastebin來存儲組件代碼，并包含至少12種不同的初始攻擊媒介，故研究人員稱之為“Gitpaste-12”。Juniper Threat Labs研究人員在2020年10月15日的攻擊中首次檢測到它。

　　Juniper Threat Labs研究人員在11月5日的博客文章中表示，“沒有哪款惡意軟件是好東西，但蠕蟲尤其令人討厭。他們以自動方式傳播的能力可能導致組織內部橫向傳播，或者導致主機試圖感染互聯網上的其他網絡，從而給組織帶來不良聲譽?！?/p>

　　攻擊的第一階段是系統的初始破壞階段。該惡意軟件的各種攻擊模塊包括11個先前披露的漏洞。其中包括Apache Struts(CVE-2017-5638)、 Asus路由器(CVE-2013-5948)、opendreambox的Webadmin插件(CVE-2017-14135)和Tenda路由器(CVE-2020-10987)中的漏洞。

　　研究人員表示，該惡意軟件將嘗試利用已知的漏洞利用這些漏洞來破壞系統，還可能嘗試暴力破解密碼。破壞系統后，一個主Shell腳本隨后將被上載到受害機器，并開始下載并執行Gitpaste-12的其他組件。

　　該腳本設置了一個從Pastebin下載的cron job。cron job是類似Unix的計算機操作系統中的基于時間的作業調度程序。cron job會調用腳本并每分鐘再次執行一次。研究人員認為，該腳本大概是一種可以將更新推送到僵尸網絡的機制。

　　然后，它從GitHub(https：// raw [.] githubusercontent [.] com / cnmnmsl-001 /-/ master / shadu1)下載腳本并執行。該腳本包含中文注釋，并且攻擊者可以使用多個命令來禁用不同的安全功能。這些措施包括剝離系統防御，包括防火墻規則、selinux(LinuxR系統的安全體系結構)、apparmor(Linux內核安全模塊，允許系統管理員限制程序的功能)、以及常見的攻擊預防和監視軟件。Gitpaste-12的初始攻擊媒介利用了11個漏洞。

　　研究人員表示，該惡意軟件還具有一些禁用云安全代理的命令，“這清楚地表明威脅者打算針對阿里云和騰訊提供的公共云計算基礎架構?！?/p>

　　Gitpaste-12還具有允許其運行針對Monero加密貨幣的加密礦機的命令。研究人員表示，“它還通過攔截'readdir'系統調用并跳過'/ proc'中tcpdump，sudo，openssl等進程的目錄來防止管理員收集有關正在運行的進程的信息。 Linux中的'/ proc'目錄包含有關正在運行的進程的信息。例如，“ps”命令使用它來顯示有關正在運行的進程的信息。但不幸的是，對于這個威脅參與者，此實現未達到他們預期的目標?！?/p>

　　最終，該惡意軟件還包含一個以LD_PRELOAD加載的庫(hide.so)，該庫下載并執行Pastebin文件(https：// pastebin [.] com / raw / Tg5FQHhf)，該庫可承載更多的惡意代碼。

　　研究人員表示，他們報告了Pastebin URL以及上面提到的Git存儲庫，該存儲庫下載了該惡意軟件的惡意腳本。Git倉庫于2020年10月30日關閉?！斑@將阻止該僵尸網絡的擴散?！?/p>

　　就其蠕蟲功能而言，Gitpaste-12還包含一個腳本，該腳本對其他計算機發起攻擊，以嘗試復制和傳播惡意軟件。研究人員稱，“該惡意軟件會選擇一個隨機的/ 8 CIDR進行攻擊，并將嘗試該范圍內的所有地址?！睙o類域間路由(CIDR)是一種分配IP地址和進行IP路由的方法，這意味著攻擊針對的是隨機CIDR范圍內的所有IP地址。

　　研究人員表示，該腳本的另一個版本還為反向Shell命令打開了端口30004和30005。端口30004使用傳輸控制協議(TCP)，它是TCP / IP網絡中的主要協議之一;端口30005是基于雙向SOAP / HTTP的協議，可在路由器或網絡交換機等設備與自動配置服務器之間提供通信。

　　蠕蟲會產生廣泛的影響，如在2019年的一項活動中所看到的那樣，該蠕蟲利用Exim郵件傳輸代理(MTA)中的漏洞使用可蠕蟲攻擊在受害者的Linux系統上獲得遠程命令執行。研究人員說，目前有超過350萬臺服務器受到攻擊的威脅。

　　到目前為止，2020年已出現了幾種新的蠕蟲，包括旨在安裝加密礦工的Golang蠕蟲，并且最近改變了其策略以增加對Windows服務器的攻擊，并增加了一系列新的漏洞利用方法。8月份，發現了一個名為TeamTNT的蠕蟲，它通過Amazon Web Services(AWS)云傳播并收集憑據。一旦收集到登錄信息，惡意軟件就會登錄并部署XMRig挖掘工具來挖掘Monero加密貨幣。

　　參考來源：ThreatPost http://dwz.date/djp7

　　(四)黑客利用SonarQube配置錯誤從美國政府機構和私人企業竊取源代碼

　　美國FBI近日發布安全警報稱，警告威脅者正在濫用配置錯誤的SonarQube應用程序，以從美國政府機構和私營企業訪問和竊取源代碼存儲庫。

　　FBI在該警報中表示，該入侵事件至少從2020年4月開始發生。該警報特別警告SonarQube的所有者， SonarQube是一個基于Web的應用程序，公司已將其集成到其軟件構建鏈中，以測試源代碼并發現安全漏洞，然后再將代碼和應用程序推廣到生產環境中。SonarQube應用程序安裝在Web服務器上，并連接到源代碼托管系統，如BitBucket、GitHub或GitLab帳戶或Azure DevOps系統。

　　但是FBI表示，一些公司沒有保護這些系統，在他們的默認配置(端口9000)上運行，并帶有默認的管理員憑據(admin/admin)。威脅行動者濫用了這些錯誤配置來訪問SonarQube實例，轉到連接的源代碼存儲庫，然后訪問和竊取專有或私有/敏感應用程序。

　　FBI官員提供了兩個關于該事件的兩個案例：“2020年8月，未知威脅參與者通過公共生命周期存儲庫工具從兩個組織泄漏了內部數據。被盜數據來自SonarQube實例，該實例使用了受影響組織網絡上運行的默認端口設置和管理員憑據。該活動類似于2020年7月的一次數據泄漏，在該事件中，一個確定的網絡參與者通過安全性較差的SonarQube實例從企業中竊取了專有源代碼，并在自托管的公共存儲庫中發布了該源代碼?！?/p>

　　該FBI警報涉及軟件開發人員和安全研究人員中鮮為人知的問題。雖然網絡安全行業經常警告稱，將MongoDB或Elasticsearch數據庫在沒有密碼的情況下暴露在網絡上的危險性，但SonarQube卻并沒有經常警告。但是，自2018年5月以來，一些安全研究人員就一直在警告將SonarQube應用程序在線暴露給默認憑據的危險。

　　當時，數據泄露獵人鮑勃·迪亞琴科(Bob Diachenko)警告稱，當時在線提供的約3000個SonarQube實例中大約有30%到40%沒有啟用密碼或身份驗證機制。今年，一位名叫Till Kottmann的瑞士安全研究人員也提出了配置錯誤的SonarQube實例的同一問題。全年以來，Kottmann在公共門戶網站上收集了數十家科技公司的源代碼，其中許多來自SonarQube應用程序。

　　Kottmann表示，“大多數人似乎絕對沒有改變任何設置，而實際上在SonarQube的設置指南中對此進行了正確解釋 。我不知道當前公開的SonarQube實例的數量，但是我懷疑它的變化量很大。我猜想它仍然遠遠超過1,000臺服務器(由Shodan索引)，這些服務器都是很容易受到攻擊，因為這些服務器要么不需要授權，要么留下了默認憑據?！?/p>

　　為防止此類泄漏，FBI警報列出了公司可以采取的一系列步驟來保護其SonarQube服務器，首先是更改應用程序的默認配置和憑據，然后使用防火墻來防止未經授權的用戶未經授權訪問該應用程序。

　　參考來源：ZDNet http://dwz.date/dhyN

　　(五)特朗普訴訟網站存在SQL注入漏洞可泄露選民信息

　　安全研究人員Todd Rossin偶然發現，為特朗普競選活動建立的DontTouchTheGreenButton.com網站存在SQL注入漏洞，可泄露亞利桑那州選民數據，包括投票者姓名、生日、地址、ID、SSN號碼等信息。

　　美國總統大選的結果使唐納德·特朗普感到不悅，因此在不同州提起多起訴訟，指責各州的民調結果腐敗。其中一個針對亞利桑那州馬里科帕縣(Maricopa County，Arizona)，旨在讓選民舉報欺詐行為。但是，發現該網站泄漏了選民個人信息，包括姓名、地址。該DontTouchTheGreenButton.com網站存在SQL注入漏洞，可以收集選民的社會保險號碼和出生日期。

　　特朗普指控選民欺詐，希望獲得律師和競選團隊的所需的證據，使之變成清晰的訴訟。此類網站的創建幫助團隊從報告任何違規行為的選民那里收集信息，但是發現該平臺泄漏了聲稱拒絕投票的選民數據。

　　該選民欺詐報告網站有一個Google表單，您以使用該表單搜索姓名，其他詳細信息會根據姓名自動顯示，任何人都可以看到。用戶自己也注意到了SQL注入漏洞。使用該技術有助于獲取個人信息，例如姓名，地址，生日和社會保險號。

　　進一步分析表明，請求中公開的API密鑰和應用程序ID導致運行任何查詢和公開投票者數據的機會。該信息可以很容易地從服務中竊取。但是，最初的報告和新聞報道發布后，該API已從網站上刪除。

　　任何人都可以公開獲得有關選民的信息，但是隱私問題是Hastily網站批量數據收集的問題。個人信息的泄漏引發了有關隱私和安全性的問題。該網站要求提供姓名、地址、SSN、電話號碼、電子郵件。任何想舉報涉嫌選民欺詐的人都會透露很多細節。

　　不幸的是，所揭示的暴露技術非常簡單，因此黑客可以獲得大量數據，并將其用于以后的網絡釣魚詐騙、直接的垃圾郵件活動。一些報告指出，許多用戶測試了該漏洞，并成功訪問了數千名選民的個人信息。它是通過隨機選擇參數，字母組合并運行有缺陷的腳本來實現的。

　　該問題已報告給亞利桑那州選舉委員會和馬里科帕郡縣記錄員。特朗普競選團隊設法解決了這個問題，并從訴訟站點中刪除了該API。不幸的是，這花了超過12個小時。這意味著，任何不良行為者都可以從網站上抓取數據并存儲這些詳細信息以供惡意使用。

　　參考來源：2SPYWARE http://dwz.date/djm3

　　(六)巴西高級選舉法院遭受重大網絡攻擊

　　巴西高級法院(STJ)近日遭受了重大網絡攻擊，致使其業務運營停滯了整整一周。

　　該事件是在11月3日進行數次審判時檢測到的。據STJ稱，在法院的網絡中發現了一種病毒，作為預防措施，已斷開與互聯網的鏈接，導致審理程序被取消，包括電子郵件在內的所有法院系統以及電話系統也都無法使用。

　　STJ部長溫貝托·馬丁斯(Humberto Martins)11月5日就此事件發表了聲明，稱此次攻擊事件并沒有影響有關法院正在進行的訴訟的信息。據部長的聲明稱，該攻擊對數據訪問進行了加密，但是STJ有適當的備份。

　　此后有消息稱，該攻擊還影響了法院的備份，該事件是巴西有史以來最嚴重的網絡安全事件。除巴西陸軍的網絡防御中心和STJ的技術供應商(包括微軟等公司)外，該機構現在正在使用磁帶備份來恢復系統環境。

　　事實上，幾乎所有正在進行的STJ會議都已暫停。據法院稱，在恢復工作進展的過程中，只有緊急案件會被處理，預計系統將于在11月10日啟動并運行。

　　應STJ的要求，聯邦警察展開了調查。巴西總統賈爾·博爾索納羅(Jair Bolsonaro)11月5日在直播會議中表示，攻擊者要求支付勒索贖金，并且已經找到了負責該事件的威脅者。但是，該說法尚未得到警方的證實。

　　在該事件發生之前，11月1日有消息稱巴西全國司法委員會是其服務器“未經授權訪問”的目標。

　　參考來源：ZDNet http://dwz.date/dhwH

　　(七)Cisco IOS XR軟件存在嚴重DoS漏洞可致黑客遠程攻擊ASR路由器

　　思科11月10日發布安全公告稱，其IOS XR軟件中存在一個嚴重漏洞，可使未經驗證的遠程攻擊者破壞思科聚合服務路由器(ASR)。

　　該漏洞源于Cisco iOS XR，這是Cisco Systems廣泛部署的網絡互連操作系統(IOS)的一系列產品。該操作系統為思科ASR9000系列提供動力，該系列是完全分布式的路由器，旨在解決視頻流量的大量激增。

　　思科在安全公告中表示，“成功利用該漏洞可能導致受影響的設備耗盡緩沖區資源，從而使設備無法處理或轉發流量，從而造成拒絕服務狀態?！?/p>

　　該漏洞(CVE-2020-26070)是由Cisco IOS XR軟件的入口數據包處理功能問題造成的，CVSS得分8.6分。入口數據包處理是一種用于對來自不同網絡的傳入數據包進行排序的技術。

　　該漏洞是由于受影響設備處理網絡通信量時資源分配不當造成的。攻擊者可以通過向受影響的設備發送特定的第2層或第3層協議數據單元(PDU)流來攻擊該漏洞，最終耗盡其緩沖區資源并使設備崩潰。

　　當設備遇到緩沖區資源耗盡時，可能會在系統日志中看到以下消息：%PKT_INFRA-SPP-4-PKT_ALLOC_FAIL：無法分配n個數據包進行發送。

　　思科表示：“該錯誤消息表明，設備無法在軟件交換模式下分配緩沖區資源和轉發網絡流量。建議客戶聯系他們的支持組織以查看錯誤消息，并確定設備是否已受到利用此漏洞的攻擊?！彼伎票硎?，該設備需要重新啟動才能恢復功能。如果Cisco ASR 9000系列路由器運行的Cisco IOS XR軟件版本早于版本6.7.2或7.1.2，則該漏洞會影響這些路由器。Cisco在Cisco IOS XR軟件版本6.7.2及更高版本以及版本7.1.2及更高版本中修復了此漏洞。

　　值得注意的是，IOS軟件、IOS XE軟件、IOS XRv 9000路由器和NX-OS軟件不受影響。思科表示：“思科產品安全事件響應團隊(PSIRT)沒有發現有任何公開聲明或惡意使用本公告中描述的漏洞?！?/p>

　　思科最近處理了其產品線上的各種漏洞。上周，思科披露其AnyConnect安全移動客戶端軟件的Windows、MacOS和Linux版本中存在零日漏洞。幾周前，思科發現了一個嚴重漏洞，未經身份驗證的遠程攻擊者可以利用該漏洞發起一系列惡意攻擊-從拒絕服務(DoS)到跨站點請求偽造(CSRF)。

　　思科最近還發出了警告，稱Cisco IOS XR軟件的思科發現協議實施存在一個漏洞(CVE-2020-3118)，攻擊者正在積極利用該漏洞。未經驗證的相鄰攻擊者可以利用該漏洞在受影響的設備上執行任意代碼或重新加載。

　　參考來源：ThreatPost http://dwz.date/djUc

　　(八)澳大利亞發布關鍵基礎設施安全立法修正案征求意見稿

　　澳大利亞聯邦政府11月9日發布了《2020年安全立法修正案(關鍵基礎設施)法案》的征求意見稿，該法案旨在修訂《2018年關鍵基礎設施安全法》，以實施“增強澳大利亞關鍵基礎設施的安全性和彈性的框架?！?/p>

　　澳大利亞政府的關鍵基礎設施彈性戰略(Critical Infrastructure Resilience Strategy)目前將關鍵基礎設施定義為：“那些物理設施、供應鏈、信息技術和通信網絡，如果遭到破壞、退化或長時間無法使用，將嚴重影響國家的社會或經濟福祉，或影響澳大利亞進行國防和確保國家安全的能力”。

　　在關鍵基礎設施的廣泛定義范圍內，該法案目前對電力、天然氣、水和海運港口部門的特定實體規定了監管義務。該條例草案的解釋性文件表示，“但是，隨著安全形勢的發展，我們在所有關鍵基礎設施領域管理風險的方法也必須如此?！?/p>

　　因此，該法案的修正旨在加強該法案中的義務，并將其覆蓋范圍擴大到通信、金融服務和市場、數據存儲和處理、國防工業、高等教育和研究、能源、食品和雜貨、保健和醫療、空間技術、運輸以及供水和污水處理部門。該草案建議將對這些資產負責的實體也納入擬議的“國家安全業務”新定義范圍。內政部長還將有權宣布一項關鍵基礎設施資產為“具有國家意義的系統”。

　　條例草案對通訊業的定義是：提供運載服務;提供廣播服務;擁有或經營與提供運載服務有關的資產;擁有或經營與傳送廣播服務有關的資產;或管理澳洲域名系統。

　　該法案還將對該部門的三類關鍵基礎設施資產進行定義：電信、廣播傳輸和域名系統。根據該法案，“數據存儲或處理部門”的定義是指澳大利亞經濟中涉及在商業基礎上提供數據存儲或處理服務的部門。這包括企業數據中心、托管服務數據中心、托管數據中心和云數據中心。行業定義還包括三種類型的云服務：基礎設施即服務(IaaS)、軟件即服務(SaaS)和平臺即服務(PaaS)。

　　根據該文件，如果資產由作為數據存儲或處理提供商的實體擁有或運營，則該資產是“關鍵數據存儲或處理資產”;該資產完全或主要用于在商業基礎上提供給最終用戶的數據存儲或處理服務，該最終用戶是聯邦、州或領地，或由聯邦、州或領地的法律設立的法人團體。

　　“該定義涵蓋了管理對澳大利亞國家利益具有重要意義的數據的數據中心和云服務提供商。它不打算涵蓋數據存儲是所提供的主要服務(例如可能導致存儲其客戶的某些數據的會計服務)的次要產品或只是其副產品的實例?！?/p>

　　在條例草案中，“關鍵業務資料”的定義為：與最少20,000名個人有關的個人資料;敏感資料;與關鍵基建資產有關的任何研究及發展的資料;與運作關鍵基建資產所需的任何系統有關的資料;或與關鍵基建資產有關的風險管理及業務連續性的資料。

　　對于“關鍵數據存儲或處理資產”，責任實體是向聯邦、州或領地政府客戶以及其他關鍵基礎設施資產提供數據存儲或處理的實體。但是，只有在責任實體知道其正在存儲或處理關鍵基礎設施資產的業務關鍵數據的情況下，該資產才會成為關鍵數據存儲或處理資產。

　　內政部了解到，這一門檻將涵蓋至少100個數據中心實體，包括數字轉型局政府供應小組中的那些實體和至少30個云服務提供商。同時，空間部門將被定義為澳大利亞經濟中涉及商業提供與空間有關的服務的部門，并反映了對維持澳大利亞與空間有關的服務的供應和供應至關重要的那些職能。

　　條例草案還介紹了金融服務及市場部門、國防工業部門、食品及雜貨、高等教育及研究、醫療保健部門、運輸部門、能源部門，以及供水及污水處理部門的定義。

　　如果該法案獲得通過，還將為關鍵基礎設施實體引入積極的安全義務(PSO)，并得到特定行業要求和強制性報告要求的支持;加強對國家最重要的實體的網絡安全義務;以及政府為應對澳大利亞系統遭受的重大網絡攻擊而向實體提供的援助。

　　這一框架將適用于關鍵基礎設施的所有者和運營商，而不考慮所有權安排。該征求意見稿指出，“這為關鍵基礎設施的所有者和運營商創造了一個公平的競爭環境，并保持了澳大利亞現有的開放投資環境，從而確保了采用安全措施的企業不會處于商業劣勢?！?/p>

　　PSO將在該法案現有義務的基礎上，進一步“將準備、預防和緩解活動納入關鍵基礎設施資產的正常運營，確?；痉盏膹椥缘玫郊訌姟?。政府希望它也能提高對關鍵基礎設施資產威脅的態勢感知能力。

　　PSO涉及三個方面：采用和維護一個全危害關鍵基礎設施風險管理計劃;強制向澳大利亞信號局報告嚴重網絡安全事件;以及在需要時，向關鍵基礎設施資產登記冊提供所有權和運營信息。政府表示，將與業界合作，設計支撐風險管理計劃義務的行業具體要求。條例草案亦會擴大“關鍵基礎設施資產登記冊”的范圍，并賦予內政部長“隨時準備”的權力，以確?！肮卜諚l例”只在適當的情況下適用。

　　在“加強網絡安全義務”的標題下，民政事務大臣可要求對國家具有重大意義的系統的責任實體開展一項或多項規定的網絡安全活動，例如制定網絡安全事件應對計劃、進行網絡安全演習以建立網絡準備、脆弱性評估和提供系統信息。

　　該法案還引入了一個政府援助制度，以應對適用于所有關鍵基礎設施部門資產的嚴重網絡安全事件?！罢J識到，在大多數情況下，行業應在政府的支持下對絕大多數網絡安全事件做出響應。但是，政府對保護澳大利亞的國家利益負有最終責任。作為最后的手段，該法案為政府提供了援助，以在重大網絡攻擊期間或之后保護資產?！?/p>

　　內政部公布了在發布征求意見稿之前收到的194份意見書中的128份。有關該法案的磋商將持續到2020年11月27日。

　　參考來源：ZDNet http://dwz.date/djEj

　　(九)歐盟網絡安全局發布《保護物聯網準則》

　　物聯網供應鏈已成為網絡安全中的薄弱環節，有可能使組織通過他們未意識到的漏洞來面對網絡攻擊。11月9日，歐盟網絡安全局(ENISA)發布《保護物聯網準則》，對整個物聯網供應鏈提出了建議，以幫助保護組織免受構建互聯事物時可能出現的漏洞的影響，旨在確保安全性構成物聯網產品開發整個生命周期的一部分。

　　該準則的一項關鍵建議是，應將網絡安全專業知識進一步整合到組織的各個層面，包括工程、管理、營銷和其他部門，以便供應鏈任何部分的任何人都能夠識別潛在風險，希望在產品開發周期的早期階段發現并解決這些風險，并防止它們成為一個重大問題。

　　同時該準則還建議在物聯網開發過程的每個階段都采用“設計安全”，重點是仔細計劃和風險管理，以確保盡早發現設備的任何潛在安全問題。該報告表示，“在設計階段做出的早期決定通常會對后期階段產生影響，尤其是在維護階段?！?/p>

　　另外一個建議是，組織在整個產品開發和部署周期中應建立更好的關系，以解決當相關人員之間沒有通信時可能出現的安全漏洞。其中包括由于零部件供應鏈中缺乏可見性而導致的設計錯誤，在零件制造商與IoT供應商之間存在誤解或缺乏協調時，可能會發生這種情況。

　　但是，并非所有責任都應由物聯網制造商承擔。該文件還建議客戶和最終用戶組織應在供應鏈實施中發揮作用，并且“可以從專用資源到研究當前形勢并根據具體情況調整現有最佳實踐而受益匪淺”。

　　ENISA執行主任Juhan Lepassaar表示，“確保信通技術產品和服務供應鏈應是進一步采用信息和通信技術產品和服務的先決條件，尤其是對于關鍵基礎設施和服務。只有這樣，我們才能像IoT那樣從廣泛部署中獲得收益?！?/p>

　　參考來源：ZDNet http://dwz.date/djgf

　　(十)新型銀行木馬Ghimob攻擊112個金融應用程序

　　卡巴斯基實驗室研究人員發現了一個名為Ghimob的新型銀行木馬，能夠從112個金融應用中竊取數據。

　　卡巴斯基實驗室(Kaspersky Lab)的網絡安全研究人員在7月詳細介紹了四個不同的巴西銀行木馬家族，名為Tetrade，針對巴西、拉丁美洲和歐洲的金融機構。這四個惡意軟件家族分別是Guildma、Javali、Melcoz和Grandoreiro，攻擊目標為巴西一家銀行集團，組織正在發展針對海外銀行用戶的功能。巴西地下網絡犯罪被認為是最專注于開發和商業化銀行特洛伊木馬程序的組織。

　　現在，卡巴斯基全球研究和分析團隊(GReAT)的專家們收集了進一步的證據，證明Tetrade背后的惡意軟件運營商(追蹤名稱為Guildma)已經擴大了他們的策略，用間諜軟件感染移動設備。Ghimob旨在針對來自巴西、巴拉圭、秘魯、葡萄牙、德國、安哥拉和莫桑比克的銀行、金融科技公司、交易所。

　　卡巴斯基發布的報告顯示，“Ghimob是口袋里的成熟間諜：一旦感染完成，黑客可以遠程訪問受感染的設備，用受害者的智能手機完成欺詐交易，從而避免機器識別，金融機構采取的安全措施以及所有他們的反欺詐行為系統?！?/p>

　　Ghimob Trojan能夠在適當的位置記錄屏幕鎖定圖案，然后重新播放以解鎖設備。當攻擊者必須執行交易時，他們可以將黑屏顯示為覆蓋或全屏打開某些網站，以誘騙受害者使用后臺運行的金融應用程序之一在后臺執行交易的同時查看該屏幕。在用戶打開或登錄的受害者設備上。

　　專家注意到，Ghimob與Guildma共享C2基礎架構，威脅者使用相同的TTP繼續發送網絡釣魚電子郵件來傳播惡意軟件。這些郵件旨在誘使毫無戒心的用戶點擊下載Ghimob APK安裝程序的惡意URL。

　　Ghimob還有一個有趣的地方，它使用C2s和Cloudflare保護的fallback，用DGA隱藏真實的C2，并使用其他一些技巧。與其他BRATA或Basbanke相比，Ghimob要先進得多，并且實現了廣泛的功能。該特洛伊木馬支持與其他移動RAT類似的常見功能，比如可以通過在應用程序抽屜中隱藏圖標來掩蓋其存在，并濫用Android的可訪問性功能。

　　在監視Guildma Windows惡意軟件活動時，研究人員還發現了用于分發Windows盒的ZIP文件和APK文件的惡意URL，它們都來自同一個URL。如果點擊惡意鏈接的用戶代理是基于Android的瀏覽器，則下載的文件將是Ghimob APK安裝程序。這樣分發的APK被偽裝成流行應用的安裝者;它們不在Google Play上，而是托管在Guildma運營商注冊的幾個惡意域中。一旦安裝到手機上，該應用程序將濫用可訪問性模式來獲得持久性，禁用手動卸載，并允許銀行木馬捕獲數據、操縱屏幕內容并為欺詐者提供完全遠程控制：這是一種非常典型的移動RAT。

　　Ghimob是第一個巴西移動銀行特洛伊木馬程序，它可以從許多國家的銀行、金融科技公司、交易所、加密交易所和金融機構的信用卡中竊取憑證。

　　參考來源：SecurityAffairs http://dwz.date/djQx

　　(十一)針對以色列的勒索軟件攻擊疑似與伊朗威脅組織有關

　　多消息來源顯示，近日針對以色列公司的兩次勒索軟件攻擊已被追蹤到與伊朗威脅組織有關。自10月份以來，以色列各種規模的公司成為了勒索軟件攻擊目標，攻擊者使用Pay2Key和WannaScreen勒索軟件，侵入公司網絡、竊取公司數據、加密文件，并要求支付巨額費用以提供解密密鑰。

　　此外，以色列網絡安全咨詢公司Konfidas的創始人兼首席執行官Ram Levi表示，除了這一策略，Pay2Key勒索軟件組織本周還在暗網上推出了一個“泄密目錄”，該組織現在正在泄露他們從拒絕支付贖金的公司那里竊取的數據。

　　Pay2Key的攻擊是一個特別的案例，因為與最近發生的大多數其他勒索軟件行動不同，這些攻擊反復發生，主要集中在攻擊以色列公司。

　　全球各地都發現了WannaScream勒索軟件的攻擊事件，但以色列安全公司Proflo的創始人兼首席執行官Omri Segev Moyal表示，目前這種勒索軟件是通過一種勒索軟件即服務(RaaS)模式提供的，一個從勒索軟件的創造者那里租用勒索軟件的組織特別針對以色列公司。Proflo是當地安全公司之一，目前正在為許多陷入困境的以色列公司提供事件響應(IR)服務。該公司表示，它跟蹤了以色列公司向位于伊朗的加密貨幣交易所Excoino支付的數筆款項。

　　Moyal表示，“WannaScream和Pay2Key勒索軟件的整體復雜度非常平均。Pay2Key的復雜度較低，這使我們能夠輕松跟蹤比特幣流量 。我們的團隊在位于伊朗的加密貨幣交易所Excoino上確定了退出策略。這種行為對于主要的勒索軟件運營商而言非常罕見。經驗豐富的運營商將進行混合服務，通過Binance子交易所(如ChangeNow)或其他不太熟悉的交易所(如coin2cards)在不同硬幣之間交換。在這種情況下，我們還沒有看到任何此類攻擊。這可能表明了攻擊者的來歷，盡管眾所周知，這可能是一個錯誤的標志?！?/p>

　　Moyal認為，Pay2Key和WannaScream都是不成熟的簡單操作。例如，在某些早期的Pay2Key事件中，勒索軟件的命令和控制服務器沒有向某些支付了贖金要求的受害者釋放解密密鑰，從而使公司無法恢復其文件。以WannaScream為例，勒索軟件解密程序是受害者在支付贖金要求后收到的解密文件的應用程序，在某些情況下也出現了錯誤，同樣，即使在付款后，公司也無法恢復數據。

　　幾個月來，以色列和伊朗都指責對方對彼此的重要基礎設施開展網絡攻擊。然而到目前為止，沒有任何證將在以色列發生的Pay2Key或WannaScream攻擊與伊朗政府實體聯系起來。

　　參考來源：ZDNet http://dwz.date/djR3

　　(十二)黑客雇傭組織CostaRicto使用定制惡意軟件攻擊南亞機構

　　黑莓(BlackBerry)研究人員發現了一個名為CostaRicto的雇傭黑客組織的活動，該組織被發現使用一款此前未被記錄的惡意軟件攻擊南亞金融機構和全球娛樂公司。

　　BlackBerry的研究報告顯示，“在過去的六個月里，黑莓研究和情報小組一直在監視一場針對全球不同受害者的網絡間諜活動。這場被黑莓稱為CostaRicto的活動似乎是由‘雇傭黑客’操作的，他們擁有定制的惡意軟件工具和復雜的VPN代理和SSH隧道功能?！?/p>

　　對全球范圍內的目標實體而言，它們中的大多數位于印度、孟加拉國、新加坡和中國，這表明威脅行為體可能位于南亞。

　　在使用竊取的憑證進入目標的基礎設施后，網絡雇傭兵建立了一個SSH隧道來下載后門和一個名為CostaBricks的有效載荷裝載器。CostaBricks是一個定制的基于VM的有效負載加載程序，它執行一個嵌入式字節碼來解碼并將有效負載直接注入目標系統的內存中。CostaRicto被觀察到使用CostaBricks加載器交付一個名為SombRAT的C++編譯可執行文件(這個名稱來自Overwatch游戲角色Sombra)。

　　后門實現了模塊化結構，它實現了RAT功能，并能夠以插件或獨立二進制文件的形式執行其他惡意有效負載。惡意軟件支持50種不同的命令，并能夠執行多個操作，例如收集系統信息、將惡意DLL注入內存、枚舉存儲中的文件、滲漏數據、列出和殺死進程以及將文件上傳到C2。

　　研究人員分析了SombRAT的六個版本，第一個版本可以追溯到2019年10月，而最新的變體是在8月份發現的。專家認為，該惡意軟件正在積極開發中。黑莓(BlackBerry)分析師注意到，該集團攻擊中使用的一個IP地址與早些時候的一次釣魚行動有關，最初被認為是與俄羅斯有關聯的APT28組織所為。這種情況表明，Costaricto APT代表其他威脅行為者發動了攻擊。

　　參考來源：SecurityAffairs http://dwz.date/djWV

　　(十三)新型模塊化后門ModPipe針對餐飲和酒店業管理軟件

　　ESET研究人員發現了一款新型模塊化后門ModPipe，專為針對運行Oracle MICROS Restaurant Enterprise Series(RES)3700的POS系統而設計，這是一款廣泛用于餐廳和酒店業的管理套件。

　　后門的突出特點是在于其模塊化結構，允許實現高級功能。自2019年底ESET的專家首次發現惡意軟件的“基本”組件以來，ESET就已經意識到這些模塊的存在。專家們分析的其中一個模塊名為GetMicInfo，它實現了一種算法，允許操作員通過從Windows注冊表值解密數據庫密碼來收集密碼。

　　ESET的分析報告顯示，“后門的獨特之處在于它的可下載模塊及其功能，因為它包含一種自定義算法，旨在通過從Windows注冊表值解密來收集RES 3700 POS數據庫密碼。這表明后門程序的作者對目標軟件有很深的了解，他們選擇了這種復雜的方法，而不是通過更簡單但更響亮的方法來收集數據，比如鍵盤記錄?！?/p>

　　通過ModPipe滲出的憑證，操作員可以訪問數據庫內容，包括各種定義和配置、狀態表以及有關POS交易的信息。雖然金融數據，如信用卡號碼和到期日，受到了在Res3700POS系統中實施的加密的保護，但威脅制造者可以使用另一個可下載的模塊來解密數據庫的內容。

　　分析報告表示，“根據文件，要實現這一點，攻擊者必須對“特定于站點的密碼短語”的生成過程進行反向工程，該密碼短語用于導出敏感數據的加密密鑰。然后，這個過程必須在模塊中實現，并且由于使用了Windows數據保護API(DPAPI)，直接在受害者的機器上執行?！?/p>

　　ModPipe的模塊化架構由基本組件和可下載模塊組成：

　　1、初始刪除程序，包含下一階段永久加載程序的二進制文件(32位和64位)的初始Dropper，并將相應版本安裝到受危害的計算機上。

　　2、持久加載器解包并加載主模塊的下一階段。

　　3、主模塊是執行惡意軟件主要功能的核心組件。它創建一個用于與其他惡意模塊通信的管道，卸載/安裝這些模塊，并充當調度器來處理模塊和攻擊者的C&C服務器之間的通信。

　　4、聯網模塊用于與中央控制中心進行通信。

　　5、可下載模塊是那些旨在為后門添加特定功能的組件，例如竊取數據庫密碼和配置信息、掃描特定IP地址或獲取正在運行的進程及其加載模塊的列表的功能。

　　ESET詳細介紹的其他模塊包括“ModScan 2.20”，用于收集有關已安裝的POS系統的附加信息(例如，版本、數據庫服務器數據)，以及“Proclist”，用于收集有關當前運行的進程的詳細信息。

　　研究人員總結表示，“ModPipe的架構、模塊及其功能也表明，它的編寫者對目標RES3700POS軟件有廣泛的了解。運營商的熟練程度可能來自多個場景，包括竊取和反向工程專有軟件產品、濫用其泄露的部分或從地下市場購買代碼?！?/p>

　　參考來源：SecurityAffairs http://dwz.date/djWw

　　(十四)Palo Alto Networks將以8億美元收購數字資產監控公司Expanse

　　硅谷網絡安全巨頭帕洛阿爾托網絡公司(Palo Alto Networks)計劃通過收購Expanse來增強其保護客戶的能力。Expanse是一家擅長監控互聯網上可能面臨網絡攻擊的資產的公司。

　　Palo Alto Networks預計將在2月底前完成這筆8億美元的交易，旨在提升該公司名為Cortex的安全運營中心(SOC)產品。Expanse的強項是繪制和管理公司、政府機構和其他組織的數字攻擊面。此次收購發生在涉及網絡安全公司的大型交易相對平靜的一年，此前在2019年底出現了一波并購熱潮。

　　Palo Alto Networks表示，總部位于舊金山的Expanse的技術將幫助其保護部分網絡，而當客戶對IT進行現代化改造時，這些部分可能會被忽視。隨著越來越多的企業和政府機構將業務轉移到云端，并在冠狀病毒大流行期間保持大規模的遠程工作能力，這一過程只會加速。

　　Palo Alto Networks董事長兼首席執行官Nikesh Arora在新聞發布會上表示，這項交易將使Palo Alto Networks提供“第一個將組織攻擊面外部視圖與內部視圖相結合的解決方案，以主動應對所有安全威脅?！痹撔侣劯宸Q，公司的客戶包括財富500強公司和美國軍方。公司聯合創始人Tim Junio和Matt Kraning將加入Palo Alto Networks。

　　今年的其他網絡安全大交易包括Forescout出售給一家私募股權公司，Fastly收購Signal Sciences，以及Checkmarx從一家私募股權公司轉到另一家。與2019年相比，此類交易仍在穩步進行。分析師指出，風險資本對較小公司的投資有所下降。DataTribe的一份報告稱，今年前兩個季度，整個科技行業的早期投資下降了約45%。

　　參考來源：CyberScoop http://dwz.date/djTy

　　(如未標注，均為天地和興工業網絡安全研究院編譯)