当前位置: 巴勒斯坦 > 巴勒斯坦发展 > 网安智库国内外最新网络安全发展态势
当前位置: 巴勒斯坦 > 巴勒斯坦发展 > 网安智库国内外最新网络安全发展态势
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
事件概览:1、香港警方模拟黑客钓鱼7成企业中招2、大量ETC车主遭短信诈骗3、中国驻比利时使馆谴责抹黑4、联合国网络安全*府专家组日前达成报告5、美国没收了APT29使用的2个域名6、美国称对JBS的攻击可能来自俄罗斯7、新型钓鱼活动:伪装成公司高管收集员工登录凭证8、NSA窃听门:斯诺登指拜登幕后参与9、以色列*方对哈马斯发起全球 AI战争10、西门子PLC可以让黑客远程运行恶意代码11、日本*府各实体的数据在网络攻击中被盗12、苹果M1芯片存在不可修补的错误13、美国将把勒索软件攻击等同于恐怖主义14、CODESYS被披露10个关键缺陷国内
01
香港警方模拟黑客钓鱼7成企业中招
据中国新闻网年6月2日报道,面对网络安全风险日增,香港警方网罪科首次与46家公司进行钓鱼演习,测试参加者对电子邮箱攻击的敏感度及警觉性,结果发现有近七成公司至少一名员工中招。邮箱诈骗案及网络钓鱼攻击肆虐全球,去年香港相关案件损失金额近23亿港元,今年 季度已高达4.8亿港元。据港媒6月1日报道,警方网罪科网络安全组警司范俊业称,一般诈骗犯利用黑客技术入侵目标公司或其商业伙伴的邮箱系统,继而通过假冒邮箱要求存款到一些傀儡银行账户。近期损失 的邮箱诈骗案发生在去年10月,一家上海汽车零件公司被骗走万美元。为此,网罪科今年4月联合香港总商会首次举办钓鱼邮箱演习,邀请了46家来自银行、金融、交通、物流、电信、医疗及能源业界的企业共人参加。结果显示,人中有人至少打开一封“有*电邮”,而46家公司中,有近七成即32家公司至少一名员工打开一封或多封“有*邮箱”,当中最“吸引人”的钓鱼邮箱是云端文件分享,占比超过三成。网罪科网络安全组总督察叶卓誉称,近期有恶意软件通过钓鱼邮箱化身为PDF文件,用户若打开就会实时受到感染。香港总商会数码、信息及电讯委员会副主席*玉娟称,商界最普遍的邮箱攻击是冒充银行邮箱,稍不留神点击假邮箱内的链接就会中招。另外,员工在公司计算机开启私人邮箱,也容易被黑客入侵,使公司的计算机网络无法正常运作,继而向公司勒索金钱。香港暴发疫情以来,特区*府曾要求公务员在家办公,一些私人企业也跟随。香港警方为此提醒市民称,个人计算机多属“低设防”,当中*后登入其公司的网络,就会如“火烧连环船”般令公司及商业伙伴中招,被黑客进行邮箱勒索。02
大量ETC车主遭短信诈骗
据央视年5月31日报道,ETC作为电子不停车收费系统,让车主通行高速路变得更为快捷方便。然而,一些不法分子也将黑手伸向了ETC车主,致使不少粗心大意的车主上当受骗。据央视财经报道,近日,四川巴中警方就破获了一起利用“ETC”实施电信网络诈骗的案件。去年10月份,四川巴中的冯先生手机收到一条短信,提醒他的ETC账户将于30日内失效。然而,当他再次输入手机验证码进行提交时,短短几秒钟,银行卡内的元就被迅速盗取。警方调查发现,犯罪嫌疑人通过冒充ETC中心、高速管理中心等机构名义,发送“ETC过期认证、系统升级、失效激活”等内容,诱骗受害人点击短信中的“钓鱼链接”。目前,案件正在进一步侦办中。03
中国驻比利时使馆谴责抹黑
据央视年5月31日报道,中国驻比利时使馆发言人26日表示,注意到比利时个别媒体在报道中无端并恶意揣测比内*部遭受网络攻击与中国有关。中方对这种毫无根据地对中国进行攻击抹黑的做法表示强烈谴责。中国是网络安全的坚定维护者,也是网络攻击的主要受害国之一,历来坚决反对并依法打击任何形式的网络攻击和网络窃密行为。中国*府不会也从未支持过任何黑客行为。网络攻击溯源难,在没有事实依据的情况下散布“有罪推定”式的言论是非常不负责任的行为。这种捕风捉影、博取眼球的做法会对不明真相的比利时民众产生极大的误导,违背新闻客观性和真实性原则,也有违媒体从业道德。该发言人指出,新闻媒体承担着为公众提供客观、真实信息的特殊社会责任。希望相关比媒体和专家摒弃误解和偏见,采取专业和负责任的态度,停止抹黑中国的行径。04
联合国网络安全*府专家组日前达成报告
央视新闻6月1日,外交部发言人汪文斌主持例行记者会。有记者提问,据了解,联合国网络安全*府专家组日前达成报告,能否介绍有关情况?汪文斌介绍,日前,由安理会五常等25个国家组成的联合国网络安全*府专家组达成最终报告,重申各国应遵守《联合国宪章》、致力于维护网络空间和平,尊重各国网络主权,并就网络空间国家行为规范提出建议。报告还吸收了中方不久前提出的《全球数据安全倡议》的一些重要主张,包括促进全球信息技术产品供应链的开放、完整、安全与稳定,倡导各国制定全面、透明、客观、公正的供应链安全风险评估机制并建立全球统一规则和标准等。此外,作为 所有联合国成员国普遍参与的*府间网络安全进程,联合国信息安全开放式工作组也在不久前成功达成报告,就网络空间国际规则以及未来机制提出建议和设想。上述两个进程相继取得积极成果,充分表明国际社会加强对话与合作,维护网络空间和平与安全,推动制定网络空间国际规则的共同愿望。汪文斌指出,中方一贯支持联合国在网络空间全球治理中发挥核心作用,建设性参与并与各方共同推动相关进程持续取得积极进展。我们愿继续与国际社会携手努力,推进网络空间全球治理和国际规则制定,打造网络空间命运共同体。国外
01
美国没收了APT29使用的2个域名
据securityaffairs年6月2日报道,美国司法部没收了APT29集团在最近的攻击中使用的两个域名,这些域名冒充美国国际开发署传播恶意软件。美国司法部(DoJ)和联邦调查局(FBI)已经查封了与俄罗斯有联系的APT29集团用于针对*府机构、智囊团、顾问和非*府组织的鱼叉式网络钓鱼攻击的两个领域。与俄罗斯有联系的SVR集团(又名APT29)以及APT28网络间谍集团参与了民主*全国委员会的黑客攻击和针对年美国总统大选的攻击。5月28日,根据弗吉尼亚州东区法院发布的命令,没收了最近鱼叉式网络钓鱼活动中使用的两个指挥控制(C2)和恶意软件分发域名,这些域名模仿了美国国际开发署(USAID)的电子邮件通信。美国司法部报告说,"这一恶意活动是5月27日微软安全警报的主要内容,该警报标题为"来自诺贝尔的新复杂电子邮件攻击",同时,它也是5月28日FBI和网络安全与基础设施安全局联合网络安全通报的主要内容“。APT29还被怀疑是SolarWinds供应链攻击的幕后黑手,据称该组织入侵了属于美国国际开发署(USAID)的电子邮件营销平台"恒定联系"上的一个帐户。民族国家黑客利用该帐户向24个国家的多个组织发送了条网络钓鱼信息。当收件人单击邮件中包含的链接时,受害者被指示从服务的子域下载恶意软件。一旦获得初步立足点,攻击者就会下载恶意工具,以便在目标系统中实现并部署其他工具或恶意有效载荷。FBI网络部门助理局长布莱恩·沃恩德兰说:"FBI仍然致力于破坏这类针对我们联邦机构和美国公众的恶意网络活动。我们将继续利用我们的国内和国际伙伴关系,以打击这些威胁“。02
美国称对JBS的攻击可能来自俄罗斯
据FREEBUF年6月2日报道,白宫6月1日表示,巴西的肉类供应商JBS告诉美国*府,对该公司在北美和澳大利亚分公司的肉类生产造成破坏的勒索软件攻击源于一个可能设在俄罗斯的犯罪组织。全球 的肉类加工商JBS6月2日晚间表示,它“在解决网络攻击方面取得了重大进展”。根据一份声明声称,该公司的“绝大多数”牛肉、猪肉、家禽和预制食品工厂将于6月3日开始运营,缓解公众对食品价格上涨的担忧。上个月,一个与俄罗斯有联系的组织在美国 的燃料管道上发动了网络攻击,该攻击使美国东南部的燃料输送中断了数天。据JBS工会官员称,6月1日停止了其所有美国工厂的牛屠宰。5月31日,袭击导致澳大利亚业务关闭。JBSUSA首席执行官安德烈·诺盖拉(AndreNogueira)表示:“我们的系统正在重新上线,我们不会浪费任何资源来对抗这种威胁”。JBS以Swift品牌销售牛肉和猪肉,在CostcoWholesaleCorp等零售商销售猪里脊肉和里脊肉。JBS还拥有鸡肉加工商PilgrimsPrideCo的大部分股份,该公司以JustBare品牌销售有机鸡肉。JBS工厂的持续关闭可能会在夏季烧烤季节进一步提高美国消费者的肉类价格,并在中国需求强劲之际扰乱肉类出口。安全公司FireEye的威胁研究员JohnHultquist说:“维持我们社会运转的供应链、物流和运输特别容易受到勒索软件的攻击,对他们的攻击可能会产生巨大的影响”。根据一份声明,美国农业部联系了几家主要的肉类加工商,以鼓励他们保持供应量并在可能的情况下屠宰更多的牲畜。该机构还敦促肉类加工商提高其IT和供应链基础设施的耐用性。一位白宫官员说,包括美国农业部和国土安全部在内的联邦机构正在密切监视肉类和家禽供应。这位官员说,这些机构还与农业加工商合作,以确保不会因网络攻击而发生价格操纵。在过去几年中,勒索软件已演变为一个紧迫的国家安全问题。许多组织(其中许多是讲俄语的人)开发了加密文件的软件,然后要求以加密货币支付密钥。03
新型钓鱼活动:伪装成公司高管收集员工登录凭证
据cnBeta.COM年6月2日报道,Cofense网络钓鱼防御中心(PDC)近日发现了一个新的网络钓鱼活动,试图通过扮演首席信息官(CIO)来收集员工的登录凭证。在发送给员工的钓鱼邮件中,正文部分看起来像是由公司内部的来源发出的,在标题中给出了公司的标志,同时还伪装有CIO签署的协议。通过伪装成为公司高管,黑客会发送一份虚假的通讯,解释该公司针对大流行病采取的新的预防措施和业务运营的变化。在新冠疫情期间,很多公司都会对他们的业务进行调整,并为他们的员工提供指导。然而,在这种情况下,威胁者正试图利用有时令人困惑的变化来窃取凭证和个人信息。如果员工误信了这封电子邮件,他们就会被跳转到一个看似微软SharePoint的页面,其中有两个文件。这些文件看起来是合法的,概述了原始电子邮件中提到的业务操作的变化。这个额外的步骤不是简单地重定向到一个登录页面,而是增加了攻击的深度,让人觉得它们是来自公司内部的实际文件。当与这些文件互动时,就会发现它们不是真实的,而是用来获取账户凭证的网络钓鱼机制。点击任何一个文件都会产生一个登录面板,提示收件人提供登录凭证以访问文件。这在大多数微软钓鱼网页中是不常见的,在这些网页中,欺骗微软登录屏幕的策略会打开一个认证器面板。通过让文件看起来是真实的,而不是重定向到另一个登录页面,用户可能更有可能提供他们的凭证以查看更新。威胁者使用的另一种技术,我们在其他活动中也看到过,那就是使用假的验证凭证。在这个例子中,前几次将登录信息输入面板时,结果会出现错误信息,"您的账户或密码不正确"。输入几次登录信息后,员工将被重定向到一个实际的微软页面。这给人的感觉是,登录信息是正确的,而且该员工现在可以访问OneDrive文件。在现实中,威胁者现在可以完全访问账户所有者的信息。04
NSA窃听门:斯诺登指拜登幕后参与
据securityaffairs年6月1日披露,丹麦国家广播电视台于5月30日报道称,丹麦国防情报局(FE)与美国国家安全局(NSA)合作收集了年至年的信息,对包括默克尔等在内的欧洲*府高官进行监视。相关指控称美国情报机构监听了德国总理默克尔的手机事情从丹麦国家广播电视台的记者近期收到了一份名为《DunhammerReport》的文件开始,该文件中包括丹麦当局对此次间谍行动进行调查的结果。据报道,丹麦国防情报局(ForsvaretsEfterretningstjeneste,FE)允许美国国家安全局(NSA)进入丹麦的一个主要互联网和电信枢纽,并允许美国情报机构监视欧洲*治家的通信。BBC方面表示,美国国家安全局已经收集了德国、法国、瑞典和挪威官员的情报。DR将此次行动称为“Dunhammer行动”,该行动通过一些欧洲新闻巨头的联合调查而被揭露。据悉,国家安全局使用监视平台XKeyscore,以监视通过位于哥本哈根附近Dragor的Sandagerg?rdan中心的通信,而国家安全局之所以选择这个枢纽,是因为它是连接丹麦和斯堪的纳维亚半岛的几个关键海底电缆的连接点。XKeyscore对在线数据进行了广泛的收集,包括电子邮件、社交媒体以及浏览历史。其实,早在年,在美国“棱镜门”事件中声名大噪的斯诺登就发布文件表示,一个名为DNIPresenter的工具允许国家安全局阅读存储的电子邮件内容,它还使情报分析人员能够通过一个被称为XKeyscore的系统跟踪用户在Facebook上的活动。而白宫当时回应称,没有监听默克尔的手机,将来也不会这样做。但白宫并没有说美国国家安全局过去是否监听过默克尔的移动电话。年,全球 的手机SIM卡生产商金雅拓(Gemalto)又证实,美国和英国情报机构很有可能入侵了该公司的网络,以便监听全球移动电话通信,监听计划的目标包括默克尔等显要人士。目前,丹麦*府已经暂停了该机构几名官员的职务,因为他们参与了此次间谍活动。瑞典国防部长胡尔特奎斯特(PeterHultqvist)在接受瑞典媒体采访时表示,“要求(美方提供)相关事件的全部信息”,挪威国防部长巴克·延森(FrankBakke-Jensen)也对媒体称“将严肃对待这些指控”。德国总理府的一名发言人则表示,他们是在被记者问及此事时才了解到该情况,并拒绝就此事进一步发表意见。与此同时,斯诺登指责拜登是此次行动的关键人物,在该行动进行时,拜登正任职美国副总统。此外,他还在Twitter上表示:“拜登已经为其不久后的欧洲之行准备好回答这个问题,当然,他是 次深深卷入这种丑闻之中。不仅是丹麦,他们的 合作伙伴也应该明确要求全面公开信息”。05
以色列*方对哈马斯发起全球 AI战争
据cnBeta.COM年6月1日报道,因机器学习的深度介入,以色列*方将“城墙卫士行动(OperationGuardianoftheWalls)”称为是 个人工智能(AI)战争。以色列国防*(IDF)情报团的一名高级*官说道,“这是以色列国防*的首次此类行动。我们采用了新的作战方法并使用了技术发展,这对整个IDF来说是一种力量倍增器”。在加沙地带11天的战斗中,以色列*队对哈马斯和巴勒斯坦伊斯兰圣战组织的目标进行了密集打击。以色列IDF披露称,它的目标是属于这两个组织的关键基础设施和人员。据了解,情报部队Unit的士兵们开发和创建了算法和代码并由此催生出了名为“炼金术士(Alchemist)”、“福音(Gospel)”和“智慧深度(DepthofWisdom)”等多个新程序,这些程序都是在战斗中使用。通过使用信号情报(SIGINT)、视觉情报(VISINT)、人类情报(HUMINT)、地理情报(GEOINT)等手段收集数据,以色列IDF拥有堆积如山的原始数据,而这些数据必须经过梳理才能找到实施打击所需的关键部分。其中,“福音”使用AI为*事情报研究部门的部队生成建议,后者用这些建议生成高质量的目标然后传递给以色列空*(IAF)展开打击。在过去两年中,以色列IDF在这个人口密集的沿海飞地聚集了数千个目标,同时实时汇集了数百个目标,其中包括瞄准特拉维夫和耶路撒冷的导弹发射器。*方认为,使用AI有助于缩短战斗时间,通过超级认知,能够有效快速地收集目标。以色列IDF对哈马斯和PIJ进行了数百次打击,包括火箭发射器、火箭制造、生产和储存地点、*事情报办公室、无人机、指挥官住所和哈马斯海*突击队。其摧毁了他们海*突击队的大部分基础设施和武器,包括几艘能携带30公斤爆炸物的自主GPS制导潜艇。而多年来,IDFUnit的卫星一直在收集GEOINT。由于其能够自动实时检测地形的变化,所以在行动期间,*方能够检测发射位置并在后续攻击中击中它们。如Unit利用卫星图像能够探测到位于一所学校附近的14个火箭发射器。另外,以色列IDF还击毙了多名PIJ和哈马斯活动分子,其中许多人被认为是高级指挥官或在他们的角色中不可替代,特别是那些领导导弹项目的研究和开发的人。尽管对哈马斯高级行动人员BassemIssa的袭击发生在被六所学校和一个诊所包围的高层建筑下面的隧道内,但并没有造成平民伤亡。Issa是加沙城的一名旅指挥官,他是自年“保护边缘行动(OperationProtectiveEdge)”以来被以色列杀害的哈马斯 *事人物。他跟哈马斯网络和导弹技术负责人JomaaTahla、发展和项目部门负责人JemalZebda及该派系武器制造部门的13名成员一起被击毙。哈马斯的地下隧道网络也在数晚的空袭中遭到严重破坏。以色列*方消息人士称,他们能够绘制居民区下方数百公里的网络地图,他们几乎对居民区了如指掌。绘制哈马斯地下网络的地图则是通过大规模的情报收集过程完成,而技术的发展和大数据的使用将所有情报融合在一起。当绘制出地图后,以色列国防*就能获得地面上和地下网络的全貌--包括隧道的深度、厚度和路线的性质等细节。在此基础上,*方得以制定出在行动中使用的攻击计划。虽然以色列IDF表示它没有摧毁整个网络,但它称已经袭击了网络的一部分,这使得哈马斯几乎不可能再次使用它。以色列IDF有能力攻破哈马斯的网络并完全勾勒出它的版图,这就消除了哈马斯作战战略的一个核心层面。以色列IDF还使用了一个被称为“炼金术士”的系统,该系统由Unit开发,其使用AI和机器学习来警告战场上的部队以防范哈马斯或PIJ可能发动的攻击。这个动态和更新的系统被战场上的每个单位指挥官使用,他们将系统部署在一个用户友好的平板电脑上。*方还在很大程度上依赖情报来实施精确打击以尽量减少平民伤亡。以色列IDF称,有多名恐怖组织成员被打死,一些平民伤亡是由于哈马斯的火箭弹没有击中或空袭哈马斯的隧道网络后民房倒塌造成的。联合国巴勒斯坦难民机构驻加沙的负责人MatthiasSchmale在接受Channel12的采访时指出,虽然空袭的凶残程度让人深感震惊,但他对以色列*队极度复杂的袭击方式印象深刻。06
西门子PLC可以让黑客远程运行恶意代码
据THEHACKERNEWS网站年5月31日报道,西门子上周五发送了固件更新,以解决SIMATICS7-和S7-0可编程逻辑控制器(PLCs)中的严重漏洞,这些控制器可能被恶意行为者利用,远程访问内存的保护区,实现不受限制和未检测到的代码执行,研究人员称之为攻击者的"圣杯"。内存保护绕过漏洞,跟踪为CVE--(CVSS分数:8.1),由运营技术安全公司Claroty通过逆向工程MC7/MC7+字节码语言发现,该语言用于在微处理器中执行PLC程序。目前没有证据表明这个弱点在野外被滥用了。德国工业自动化公司西门子(Siemens)发布的一份公告称,未经授权的远程攻击者如果能够进入TCP端口,可能会将任意数据和代码写入受保护的内存区域,或读取敏感数据以发动进一步攻击。克拉罗蒂研究员TalKeren说:"在工业控制系统(如可编程逻辑控制器)上实现本机代码执行是一个最终目标,相对而言,很少有高级攻击者达到。这些复杂的系统具有许多内存保护,必须跨栏才能使攻击者不仅运行自己选择的代码,而且保持未被发现。新的缺陷不仅允许对手在西门子S7PLC上获得本地代码执行,而且复杂的远程攻击还通过逃离用户沙盒将任意数据和代码直接写入受保护的内存区域来避免基础操作系统或任何诊断软件的检测。然而,克拉罗蒂指出,攻击将要求网络访问PLC以及"PLC下载权"。在越狱PLC的原生沙盒,该公司说,它能够注入一个恶意的内核级程序到操作系统的方式,它会授予远程代码执行。这远非西门子PLC上首次实现未经授权的代码执行。年,臭名昭著的Stuxnet蠕虫利用Windows中的多个缺陷,通过修改西门子PPC上的代码进行网络间谍和秘密破坏来重新编程工业控制系统。然后在年,研究人员演示了一种名为"Rogue7"的新攻击类别,利用其专有的S7通信协议中的漏洞,"创建一个流氓工程站,可以伪装成TIA到PLC,并注入任何有利于攻击者的信息。西门子"强烈"地建议用户更新 版本,以降低风险。该公司表示,它也正在整理进一步的更新,并敦促客户对尚未更新的产品应用对策和解决方法。07
日本*府各实体的数据在网络攻击中被盗
据ZDNet报道,存储在富士通软件中的日本*府数据已被黑客访问和窃取,黑客获得了富士通的项目WEB平台。目前富士通的软件即服务平台已被拆除,这家日本科技巨头目前正在调查攻击范围。"Fujitsu可以确认未经授权访问用于日本项目的协作和项目管理软件ProjectWEB。富士通目前正在对这一事件进行彻底审查,我们正与日本当局进行密切磋商,"富士通告诉ZDNet。作为预防措施,我们已暂停使用此工具,并且已通知任何可能受影响的客户。受影响的*府实体包括土地、基础设施、运输和旅游部、内阁秘书处,日本公共广播公司NHK在一份报告中说还包括成田机场。据报道,国土、基础设施和交通部至少有76,个员工和业务伙伴的电子邮件地址被泄露,以及该部内部邮件和互联网设置的数据。与此同时,据报道,内阁秘书处的网络安全中心的数据从其几个办公室被盗。报道说,成田机场的空中交通管制数据也被盗,这促使内阁秘书处的国家网络安全中心发出有关使用富士通软件的警报。仅在过去三周内,美国 的管道运营商之一和加拿大、新西兰和爱尔兰的医疗机构就面临着网络攻击。08
苹果M1芯片存在不可修补的错误
据securityaffairs网站年5月27日报道,一位安全专家在苹果M1芯片中发现了一个无法修复的漏洞,这种漏洞被称为M1RACLES。来自朝日利诺的软件工程师赫克托·马丁在新的苹果M1芯片中发现这一漏洞,该芯片被跟踪为CVE--。专家指出,这个问题只能通过重新设计电路来解决,但好消息是,漏洞的严重程度非常低,不会构成重大安全风险,因为还有其他侧通道可以泄露数据。M1RACLES漏洞允许在同一设备上运行的两个应用程序通过CPU级别的隐蔽通道交换数据,而无需使用内存、插座、文件或任何其他正常操作系统功能。缺陷源于这样一个事实,即编码为s3_5_c15_c10_1的Arm系统注册包含两个位,可以同时从所有内核以EL0(异常级别0、应用程序级别权限)读取和书写。"ARM系统注册编码为s3_5_c15_c10_1可从EL0访问,并包含两个可读取或编写的已实现位(位0和1)。这是一个集群寄存器,可以由集群中的所有内核同时访问。这使得它成为一个两位秘密通道,任何任意过程都可以使用该通道与另一个合作流程交换数据“,赫克托·马丁说。恶意合作流程可能会使用时钟和数据协议(例如,一方编写1x发送数据,另一方编写00请求下一位)从而在这种两位状态下构建一个强大的通道)。这允许流程交换任意数量的数据,仅受CPU开销的约束。专家不了解此注册的目的,但他认为EL0并非有意访问此注册。马丁向苹果报告了这个问题,但在撰写本文时,尚不清楚他们是否计划审查M1芯片的设计以修复它。09
美国将把勒索软件攻击等同于恐怖主义
据SOLIDOT网站年6月4日报道,美国司法部的一位高级官员表示,在ColonialPipeline遭黑客攻击以及网络犯罪分子造成的损害日益严重之后,司法部正在将勒索软件攻击的调查提升到与恐怖主义类似的优先地位。周四发给美国各地检察官办公室的内部指南称,有关勒索软件攻击的实地调查信息应与最近在华盛顿成立的一个特别工作组集中协调。指南列出的集中通知的调查包括:反杀*软件服务,非法论坛或市场,加密货币交易所,匿名托管服务,僵尸网络和洗钱服务。10
CODESYS被披露10个关键缺陷
要利用漏洞,攻击者不需要用户名或密码:拥有与工业控制器的网络接入就足够了。漏洞的主要原因是对输入数据的验证不足,这本身可能是由于未能遵守安全开发建议造成的。这家俄罗斯网络安全公司指出,它检测到了WACO提供的PLC上的漏洞,该公司与其他自动化技术公司(如贝克霍夫、康特龙、莫勒、费斯托、三菱和霍莉西斯)一起使用CODESYS软件对控制器进行编程和配置。CODESYS为用于工业控制系统的编程控制器应用程序提供了一个开发环境。这家德国软件公司赞扬维亚切斯拉夫·莫斯克文、丹尼斯·戈柳舍夫、安东·多夫曼、伊万·库尔纳科夫和积极技术公司的谢尔盖·费多宁以及SCADAfence的约西·鲁文报告了这些缺陷。CODESYSWebVisu用于在Web浏览器中可视化人机界面(HMI)的CODESYSV2.3Web服务器组件中发现了六个最严重的缺陷。这些漏洞可能被对手利用来发送专门制作的Web服务器请求,以触发拒绝服务条件、编写或读取任意代码来回控制运行时系统内存,甚至崩溃CODESYSWeb服务器。所有六个错误在CVSS比例尺度上都被评为10分中的10分——CVE---基于堆栈的缓冲区溢流CVE---不当访问控制CVE---缓冲区副本,无需检查输入大小CVE---执行不当的安全检查CVE---越界写作CVE---越界阅读另外,控制V2运行时间系统中披露的另外三个弱点(CVSS分数:8.8)可能被滥用,以处理可能导致拒绝服务条件或用于远程代码执行的恶意请求。CVE---基于堆的缓冲区溢流CVE---Stack-basedBufferOverflowCVE---不当输入验证 ,在CODESYS控制V2LinuxSysFile库(CVE--,CVSS分数:5.3)中发现的缺陷可用于调用其他PLC功能,从而允许不良角色删除文件并中断关键过程。CODESYS在其通报中警告称:"技能低下的攻击者将能够利用这些漏洞,他们的开采可能导致对PLC的远程指挥执行,这可能会破坏技术流程,并造成工业事故和经济损失“,积极技术ICS安全主管弗拉基米尔·纳扎罗夫说。利用类似漏洞的最臭名昭著的例子是使用Stuxnet。在西门子SIMATICS7-和S7-0PLC中处理过类似问题之后,CODES的缺陷披露已接近尾声,攻击者可以利用这些问题远程访问内存的保护区,实现不受限制和未检测到的代码执行。商务合作开白转载
媒体交流
理事服务请联系:15713727(
转载请注明:http://www.balesitana.com/btfz/8338.html
