普普每日安全資訊一周概覽(01.23—01.29)
?數(shù)字化轉(zhuǎn)型下的網(wǎng)絡安全與彈性在疫情肆虐的背景下,網(wǎng)絡攻擊活動日益猖獗。2020年底曝出的年度供應鏈APT攻擊事件中,美國眾多政府機構(gòu)、安全和IT公司淪陷。在日益復雜的網(wǎng)絡攻擊面前,沒有任何機構(gòu)可以幸免。增強網(wǎng)絡彈性,打造快速的恢復能力日益受到關(guān)注。網(wǎng)絡安全策略的重點從攻擊預防轉(zhuǎn)變?yōu)樵鰪娋W(wǎng)絡彈性:既然入侵不能避免,考慮維持業(yè)務正常運營,從攻擊中快速恢復過來才是更現(xiàn)實的選擇。作為網(wǎng)絡安全行業(yè)的風向標,將于5月份舉辦的RSAC峰會宣布以“彈性(RESILIENCE)”作為今年大會的主題。這表明網(wǎng)絡彈性已得到網(wǎng)絡安全產(chǎn)業(yè)界的共同關(guān)注,將對網(wǎng)絡安全創(chuàng)新乃至信息化帶來越來越重要的影響。由于網(wǎng)絡安全風險的多樣性、復雜性和不可預見性,保證網(wǎng)絡空間絕對的安全是不現(xiàn)實的。因此,網(wǎng)絡安全的工作重點逐漸從阻止網(wǎng)絡事故的發(fā)生轉(zhuǎn)向緩解事故帶來的危害,網(wǎng)絡彈性的概念就出現(xiàn)了。NIST SP 800-160(卷2)將網(wǎng)絡彈性定義為:預防、抵御、恢復和適應施加于含有網(wǎng)絡資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。網(wǎng)絡彈性的目的是使系統(tǒng)具有預防、抵御網(wǎng)絡攻擊的能力,以及在遭受網(wǎng)絡攻擊后能夠恢復和適應的能力。實現(xiàn)網(wǎng)絡彈性的五個步驟:
1)了解資產(chǎn);2)了解供應鏈;3)保持良好安全習慣;4)制定恢復計劃;5)開展網(wǎng)絡攻擊演習。
?2021年網(wǎng)絡安全預測:汽車黑客將成熱點網(wǎng)絡安全是難以預測的領(lǐng)域之一,我們能做的是洞察攻擊方法的趨勢、威脅態(tài)勢的變化、了解新技術(shù)以及暗流涌動的“網(wǎng)絡犯罪經(jīng)濟”、提供關(guān)于未來的最佳“猜測”。是的,雖然標題是預測,但以下更多只是猜測和“拋磚”。我們整理了業(yè)界對2021年的幾個有代表性的預測:1、勒索軟件“勇猛精進”:根據(jù)預測,到2021年,企業(yè)將每11秒遭受一次勒索軟件攻擊,每年所有加密貨幣交易中的70%以上將用于非法活動;持續(xù)攻擊醫(yī)療基礎(chǔ)設(shè)施可能會導致嚴重后果,2020年,勒索軟件攻擊已經(jīng)制造了數(shù)個命案,2021年,更多人可能會因網(wǎng)絡攻擊死亡。2、零日攻擊與加密貨幣:針對流行操作系統(tǒng)和應用程序的零日攻擊仍會是一個大麻煩。惡意行為者將故技重施,出售漏洞利用程序的犯罪團伙將獲得高額回報。加密貨幣仍然是一種“流通性”和隱蔽性很強的支付手段。3、汽車黑客“崛起”:以電動汽車、自動駕駛和聯(lián)網(wǎng)汽車為代表的汽車數(shù)字化時代已經(jīng)到來。2021新年,特斯拉Model Y在中國市場10小時售出10萬臺。但很少有人注意到,特斯拉也是安全漏洞賞金支出最高的汽車企業(yè)。汽車產(chǎn)業(yè)數(shù)字化和智能化面臨的最大威脅是黑客攻擊。與家用WiFi路由器和空調(diào)傳感器相比,汽車堪稱高動量的“大規(guī)模殺傷性武器”,由數(shù)百萬聯(lián)網(wǎng)冰箱和攝像頭組成的僵尸網(wǎng)絡,可以癱瘓半個美國的互聯(lián)網(wǎng),但卻無法傷及一條人命。但是大量聯(lián)網(wǎng)電動汽車一旦成為網(wǎng)絡犯罪分子的獵物,其后果不堪設(shè)想。我們討論的將不再是物聯(lián)網(wǎng)安全或者消費者隱私問題,而是大規(guī)模的恐怖襲擊和創(chuàng)紀錄的勒索贖金。2021年,我們很可能看到針對自動駕駛系統(tǒng)的多種形式的攻擊。4、內(nèi)部威脅風險加大:無論是“刪庫跑路”還是接受賄賂或泄露賬戶信息,內(nèi)部威脅風險將加大。這里所說的內(nèi)部,還包括那些能夠訪問內(nèi)部系統(tǒng)的合作伙伴。因為越來越多的攻擊者開始選擇從供應鏈中的薄弱環(huán)節(jié),例如規(guī)模較小安全能力不成熟的企業(yè)入手,進而攻擊上游或下游企業(yè)。5、5G打開安全威脅的潘多拉盒子:5G網(wǎng)絡引入的新的網(wǎng)絡關(guān)鍵技術(shù),一定程度上帶來了新的安全威脅和風險。就汽車安全而言,我們討論的將不再是物聯(lián)網(wǎng)安全或者消費者隱私問題,而是大規(guī)模的恐怖襲擊和創(chuàng)紀錄的勒索贖金。
1月17日,某論壇流出消息:“QQ會讀取網(wǎng)頁瀏覽器的歷史記錄”。隨后,該內(nèi)容被鏈接到知乎上提問,引發(fā)廣泛關(guān)注。事情曝出后,騰訊QQ在其知乎官方號上做出回應:近日,我們收到外部反饋稱PC QQ掃描讀取瀏覽器歷史記錄。對此,QQ安全團隊高度重視并展開調(diào)查,發(fā)現(xiàn)PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風險的情況,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端,不會儲存,也不會用于任何其他用途。同時騰訊做出道歉:對本次事件,我們深表歉意,內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。目前,已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風險問題,并發(fā)布全新的PC QQ版本。事件爆出后,陸續(xù)也有程序員進行復現(xiàn),發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括:讀取瀏覽器瀏覽歷史,對讀取到的url進行md5,并在本地進行比較,在md5匹配的情況下,上傳相應分組ID。其實,很多App都存在越權(quán)訪問的問題,而大數(shù)據(jù)時代下的安全問題也非一朝一夕可以攻克的。不過,我們還是希望企業(yè)可以重視隱私保護問題,為中國創(chuàng)造大數(shù)據(jù)時代下的一片凈土。
?Windows 10又現(xiàn)詭異Bug:使用Chrome瀏覽器訪問特定路徑立即藍屏這些年來Windows 10出現(xiàn)了很多的詭異Bug。例如,就在前幾天,我們報道過一個可能會破壞硬盤驅(qū)動器的錯誤。現(xiàn)在,一個導致Windows崩潰的bug的細節(jié)已經(jīng)出現(xiàn),但微軟似乎并不急于修復它。這個錯誤是由之前發(fā)現(xiàn)NTFS缺陷的同一位安全研究員Jonas Lykkegaard發(fā)現(xiàn)的。他發(fā)現(xiàn)通過訪問Chrome瀏覽器中的某個路徑,Windows10會以BSoD(藍屏死機)的方式崩潰。盡管Lykkegaard早在幾個月前就公開了該漏洞的細節(jié),但微軟仍未拿出修復方案。BSoD漏洞非常容易執(zhí)行,目前還不知道該漏洞的全部后果。Lykkegaard發(fā)現(xiàn),使用Chrome訪問路徑\.\globalroot\device\condrv\kernelconnect會導致Windows 10中的BSoD崩潰。BleepingComputer進行的測試顯示,從Windows 10版本1709一直到20H2的每一個版本的Windows 10中都可以發(fā)現(xiàn)這個bug,很大可能也影響舊版本。雖然像這樣簡單的崩潰可能看起來相當無害,但它是一些可以被攻擊者利用以掩蓋其他活動,或阻止受害者使用他們的計算機。這個錯誤甚至可以通過簡單地給受害者發(fā)送一個指向問題路徑的快捷方式文件來觸發(fā)。在給BleepingComputer的一份聲明中,微軟表示。'微軟有客戶承諾調(diào)查報告的安全問題,我們將盡快為受影響的設(shè)備提供更新'。盡管有這樣的承諾,但沒有跡象表明相當何時可能提供修復。
生命中只有三件事無可避免:死亡、稅收和云安全漏洞。如今整個世界都已經(jīng)開始往云端遷移,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。事實上,云安全問題之所以持續(xù)發(fā)作,自有其難言之隱。在高度動態(tài)的云環(huán)境中管理風險和漏洞并不容易。而企業(yè)加速遷移(尤其是疫情期間)到公共云,建立數(shù)字化競爭優(yōu)勢的迫切需求進一步放大了這種風險。更加糟糕的是,很多安全團隊使用的實踐方法、政策和工具,尤其是漏洞管理,通常是本地計算占主導地位的時代的產(chǎn)物,已經(jīng)無法適應“云優(yōu)先”和“云原生”環(huán)境。最根本的問題在于云環(huán)境中傳統(tǒng)漏洞管理方法的局限性是顯而易見的。云環(huán)境通常是高度動態(tài)且短暫的,容器的平均壽命僅為數(shù)小時。通過諸如漏洞掃描之類的常規(guī)工具來保護容器是困難的,有時甚至是不可能的。由于存在周期太短,掃描程序通常無法識別容器。更復雜的是,即便掃描工具能夠識別正在運行的容器,通常也無法提供任何評估方法。如果沒有IP地址或SSG登錄,則無法運行憑據(jù)掃描。如果我們想降低重大云安全事件的數(shù)量和損失,就必須創(chuàng)建一個能夠真實反映組織所面臨的實際安全挑戰(zhàn)的漏洞管理流程。選擇適當?shù)墓ぞ咧皇菍崿F(xiàn)這一目標的重要步驟之一。
網(wǎng)絡安全專家稱,SolarWinds Orion網(wǎng)絡管理平臺遭受的攻擊是針對美國政府網(wǎng)絡和很多大型公司數(shù)據(jù)基礎(chǔ)架構(gòu)的最嚴重黑客攻擊之一。該攻擊于2020年12月發(fā)現(xiàn),該供應鏈攻擊影響著多個美國聯(lián)邦政府機構(gòu),包括商務部、能源部和國土安全部門。此次攻擊的消息迫使思科和微軟等大型上市公司加強網(wǎng)絡分析活動,以便及時識別和緩解異常情況,避免中斷運營。在此次攻擊曝光后,SolarWinds宣布對其Orion平臺進行更新,攻擊該平臺等惡意軟件名為Supernova。根據(jù)SolarWinds的調(diào)查,攻擊者通過利用Orion平臺中的漏洞來部署惡意軟件,大約有18,000個客戶受此攻擊影響。為了應對SolarWinds的黑客攻擊,這些公司需要部署Orion更新,并仔細檢查其網(wǎng)絡的各個方面,以識別惡意軟件在何處啟動。調(diào)查人員在研究該惡意軟件攻擊時,發(fā)現(xiàn)稱為Sunburst的后門程序,該后門程序使黑客能夠接收有關(guān)受感染計算機的報告。然后,黑客利用這些數(shù)據(jù)來確定要進一步利用的系統(tǒng)。企業(yè)必須采取措施,以確保網(wǎng)絡外圍安全、信息系統(tǒng)和數(shù)據(jù)安全,并且,企業(yè)應將網(wǎng)絡保護和網(wǎng)絡安全視為關(guān)鍵任務。
?Sudo漏洞影響全球Unix/Linux系統(tǒng)近日,Qualys研究小組發(fā)現(xiàn)了sudo中一個隱藏了十年的堆溢出漏洞(CVE-2021-3156,命名:Baron Samedit),包括Linux在內(nèi)的幾乎所有Unix主流操作系統(tǒng)都存在該漏洞。通過利用此漏洞,任何沒有特權(quán)的用戶都可以使用默認的sudo配置在易受攻擊的主機上獲得root特權(quán)(無需密碼)。Sudo是一個功能強大的實用程序,大多數(shù)(如果不是全部)基于Unix和Linux的操作系統(tǒng)都包含Sudo。它允許用戶使用其他用戶的root權(quán)限運行程序。Qualys發(fā)現(xiàn)的這個sudo提權(quán)漏洞已經(jīng)隱藏了將近十年,它于2011年7月在一次提交中被引入(提交8255ed69),在默認配置下會影響從1.8.2到1.8.31p2的所有舊版本,以及從1.9.0到1.9.5p1的所有穩(wěn)定版本。通過利用該漏洞,任何沒有特權(quán)的(本地)用戶都可以在易受攻擊的主機上獲得root特權(quán)。Qualys安全研究人員已經(jīng)能夠獨立驗證漏洞并開發(fā)多種利用形式,并在Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上獲得完整的root用戶特權(quán)。其他操作系統(tǒng)和發(fā)行版也可能會被利用。該sudo漏洞于2011年的一次提交引入,已達10年之久,考慮到sudo的普遍性以及該漏洞容易被利用,該漏洞應該屬于高危評級的,建議用戶盡快加載補丁。