普普安全資訊一周概覽(0807-0813)

作者:

時(shí)間:
2021-08-13
01

谷歌發(fā)布以安全為主題的Android更新

谷歌近日推出了一個(gè)以安全為主題的Android更新,修復(fù)了30多個(gè)安全漏洞,這些漏洞會(huì)導(dǎo)致移動(dòng)用戶(hù)面臨一系列惡意攻擊。其中最嚴(yán)重的是媒體框架中的一個(gè)漏洞,該漏洞可能導(dǎo)致Android 8.1和9設(shè)備上的特權(quán)提升,或Android 10和11上的信息泄露。該漏洞被跟蹤為 CVE-2021-0519。這些問(wèn)題中最嚴(yán)重的是媒體框架組件中的一個(gè)高危安全漏洞,它可以使本地惡意應(yīng)用程序繞過(guò)將應(yīng)用程序數(shù)據(jù)與其他應(yīng)用程序隔離的操作系統(tǒng)保護(hù)。谷歌8月1日發(fā)布的安全更新包括了對(duì)Framework中三個(gè)高嚴(yán)重性提權(quán)漏洞的修復(fù),以及安卓系統(tǒng)中兩個(gè)提權(quán)漏洞和三個(gè)信息泄漏漏洞的修復(fù)。后五個(gè)漏洞均被評(píng)為高嚴(yán)重性漏洞;谷歌8月5日發(fā)布的安全更新的第二部分,修復(fù)了總共24個(gè)影響內(nèi)核組件、聯(lián)發(fā)科組件、Widevine DRM、高通組件和高通閉源組件的漏洞。這些問(wèn)題中最嚴(yán)重的是釋放后重用漏洞,它可能允許攻擊者以?xún)?nèi)核權(quán)限執(zhí)行任意代碼。攻擊者利用該漏洞可以在特權(quán)進(jìn)程的上下文中遠(yuǎn)程執(zhí)行代碼,并根據(jù)與此應(yīng)用程序關(guān)聯(lián)的權(quán)限,來(lái)安裝程序,查看、更改或刪除數(shù)據(jù),或創(chuàng)建具有完全用戶(hù)權(quán)限的新帳戶(hù)。除了上述針對(duì)Android安全公告解決的漏洞外,谷歌還修復(fù)了三個(gè)特定于Pixel設(shè)備的中等嚴(yán)重性漏洞。其中包括Pixel組件中的特權(quán)提升,以及Qualcomm閉源組件中的另外兩個(gè)未指明的漏洞。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

保持智能手機(jī)系統(tǒng)更新非常有必要,在安裝Android安全更新時(shí),你可能不會(huì)注意到任何精美的新功能,但是它們非常重要,因?yàn)樗鼈兛梢孕迯?fù)錯(cuò)誤和補(bǔ)丁漏洞。將它們想像成裝滿(mǎn)水的桶中的孔,幾個(gè)小孔可能不會(huì)使水位下跌太多,但是如果你打了足夠的孔,整個(gè)桶就可能壞掉。如有你的手機(jī)有較小的系統(tǒng)更新,請(qǐng)務(wù)必盡快下載這些更新。




普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
02

數(shù)百萬(wàn)臺(tái)操作技術(shù)設(shè)備受影響? 研究人員披露INFRA:HALT漏洞

近日,F(xiàn)orescout和 JFrog安全團(tuán)隊(duì)的安全研究人員披露了 14 個(gè)漏洞(統(tǒng)稱(chēng)為INFRA:HALT),這些漏洞影響到了200 多家供應(yīng)商制造的數(shù)百萬(wàn)臺(tái)操作技術(shù)(OT)設(shè)備中常用的名為NicheStack的TCP/IP 堆棧,攻擊者利用這些漏洞能夠?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)、信息竊取、TCP 欺騙,甚至是DNS緩存投毒。黑客一旦成功訪(fǎng)問(wèn)某個(gè)使用NicheStack系統(tǒng)機(jī)構(gòu)的OT網(wǎng)絡(luò)就能夠利用這些漏洞進(jìn)行攻擊。NicheStack是一個(gè)閉源的TCP/IP堆棧的嵌入式系統(tǒng),最初由InterNiche開(kāi)發(fā),2016年被HCC Embedded公司收購(gòu)。該系統(tǒng)旨在幫助工業(yè)設(shè)備連接互聯(lián)網(wǎng),被主要的工業(yè)自動(dòng)化供應(yīng)商(如:西門(mén)子,艾默生,霍尼韋爾,三菱電機(jī),羅克韋爾自動(dòng)化和施耐德電氣)使用在他們的可編程邏輯控制器(PLCs)和其他產(chǎn)品中。據(jù)悉,有超過(guò) 6400臺(tái)運(yùn)行NiccheStack的OT設(shè)備連接到互聯(lián)網(wǎng)。據(jù)了解,4.3版本之前的所有 NicheStack 版本都容易受到 INFRA:HALT 的影響,雖然HCC Embedded已發(fā)布補(bǔ)丁以解決這些漏洞,但使用NicheStack的易受攻擊版本的設(shè)備供應(yīng)商可能需要相當(dāng)長(zhǎng)的時(shí)間才能將更新的固件運(yùn)送給客戶(hù)。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

如果您的企業(yè)有在用的上述嵌入式系統(tǒng),可訪(fǎng)問(wèn) Amnesia 項(xiàng)目掃描器,查看自己是否使用了在 NicheStack TCP/IP 棧上運(yùn)行的設(shè)備,或者是否在受此前漏洞影響的 TCP/IP 棧上運(yùn)行。項(xiàng)目地址:https://github.com/Forescout/project-memoria-detector。



普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
03

勒索病毒成為工業(yè)環(huán)境中的典型攻擊手段

近日,研究機(jī)構(gòu)Forrester Research發(fā)布了《Now Tech Industrial Control Systems(ICS) Security Solutions Q2 2021》研究報(bào)告,該報(bào)告調(diào)研了全球28家工控安全解決方案供應(yīng)商。研究發(fā)現(xiàn):通過(guò)加密檔案系統(tǒng)或文件的勒索軟件攻擊已經(jīng)對(duì)ICS安全造成了嚴(yán)重的威脅。工業(yè)控制系統(tǒng)(ICS)是許多關(guān)鍵基礎(chǔ)設(shè)施部門(mén)運(yùn)營(yíng)技術(shù) (OT) 的重要組成部分。ICS和OT環(huán)境因其在企業(yè)中所占據(jù)的重要地位而成為吸引網(wǎng)絡(luò)攻擊者的重點(diǎn)目標(biāo),若攻擊者對(duì)ICS和OT攻擊成功,會(huì)導(dǎo)致現(xiàn)實(shí)企業(yè)業(yè)務(wù)中斷的嚴(yán)重后果。例如美國(guó)最大燃油輸送公司Colonial Pipeline的勒索軟件攻擊事件。報(bào)告指出,過(guò)去一年中,勒索軟件是OT環(huán)境中常見(jiàn)的攻擊手段。針對(duì)工業(yè)系統(tǒng)的網(wǎng)絡(luò)威脅大多數(shù)與有國(guó)家背景支持的攻擊組織有關(guān),關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)企業(yè)所面臨的網(wǎng)絡(luò)威脅正在逐年增加。除了勒索軟件,許多工業(yè)控制系統(tǒng)還容易受到漏洞攻擊。以Stuxnet為例,它是一種針對(duì)SCADA系統(tǒng)的惡意蠕蟲(chóng),之所以引人注目,是因?yàn)樗悄壳皹I(yè)內(nèi)已知的第一個(gè)針對(duì)核能設(shè)施的惡意蠕蟲(chóng),它透過(guò)感染核能設(shè)備的控制系統(tǒng)(ICS),從而對(duì)核離心機(jī)造成物理?yè)p壞。便攜式媒體(例如U盤(pán))是ICS的主要風(fēng)險(xiǎn)來(lái)源。粗心的員工可能會(huì)在不知不覺(jué)中將受感染的文件或媒體引入這些系統(tǒng)。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

制造業(yè)進(jìn)入“工業(yè)4.0”時(shí)代,信息安全工作將需要面對(duì)由無(wú)處不在的傳感器、嵌入式系統(tǒng)、智能控制系統(tǒng)和產(chǎn)品數(shù)據(jù)、設(shè)備數(shù)據(jù)、研發(fā)數(shù)據(jù)、運(yùn)營(yíng)管理數(shù)據(jù)等緊密互聯(lián)形成的一個(gè)智能網(wǎng)絡(luò),對(duì)制造業(yè)的信息安全防護(hù)能力提出了更高的要求。



普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
04

搞癱美國(guó)最大燃油管道的黑客軟件卷土重來(lái)

在今年5月,黑客團(tuán)隊(duì)“黑暗面”(DarkSide ransomware group)導(dǎo)致美國(guó)“輸油大動(dòng)脈”一度癱瘓,甚至讓美國(guó)宣布進(jìn)入國(guó)家緊急狀態(tài),也因此聲名大噪。在成功獲得了贖金后,迫于多方壓力最終DarkSide宣布解散。據(jù)外媒報(bào)道,日前,網(wǎng)絡(luò)安全公司聲稱(chēng)一個(gè)新的危險(xiǎn)黑客組織已經(jīng)成立,該組織融合了DarkSide和另外兩種著名勒索軟件的功能。根據(jù)網(wǎng)絡(luò)安全公司Recorded Future的說(shuō)法,新成立的黑客團(tuán)隊(duì)名為黑物質(zhì)集團(tuán)(BlackMatter group),該組織聲稱(chēng)其已經(jīng)成功融合了DarkSide和勒索軟件“REvil”和“Lockbit”的最佳功能。目前,BlackMatter正在活躍在各大黑客論壇上,但是它并不是為了出售自己的軟件,而是在搜集那些已經(jīng)被其他黑客攻擊的企業(yè)。Recorded Future指出,BlackMatter的目標(biāo)主要是已經(jīng)被黑客入侵的澳大利亞、加拿大、英國(guó)和美國(guó)的公司網(wǎng)絡(luò),并要求這些公司的收入至少1億美元以上。此外,網(wǎng)絡(luò)安全公司Malwarebytes表示,BlackMatter在其網(wǎng)站發(fā)表聲明稱(chēng),并不會(huì)針對(duì)醫(yī)院、關(guān)鍵基礎(chǔ)設(shè)施、國(guó)防工業(yè)和政府部門(mén)等特定行業(yè)發(fā)動(dòng)攻擊。而這一聲明與之前黑客組織DarkSide的聲明頗為相似,該組織在今年5月曾表示,其目的是為了賺錢(qián),而不是制造社會(huì)混亂。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

DarkSide與其附屬就在過(guò)去9個(gè)月中,從47名受害者那里獲得了至少價(jià)值9000萬(wàn)美元的比特幣贖金。對(duì)于像DarkSide這樣的勒索團(tuán)隊(duì)而言解散是非常普遍的操作,只不過(guò)是未來(lái)再換個(gè)名字重出江湖罷了,該團(tuán)隊(duì)的活動(dòng)態(tài)勢(shì),值得國(guó)際社會(huì)重點(diǎn)關(guān)注。



普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
05

技嘉遭勒索軟件攻擊 黑客威脅稱(chēng)不支付贖金就公開(kāi)內(nèi)部數(shù)據(jù)

硬件廠(chǎng)商技嘉(Gigabyte)本周遭到勒索軟件攻擊。黑客威脅稱(chēng)如果公司不支付贖金,將公開(kāi) 112GB 的公司內(nèi)部數(shù)據(jù)。技嘉在公告中表示,公司于本周二晚上遭到勒索軟件攻擊,但沒(méi)有對(duì)生產(chǎn)系統(tǒng)產(chǎn)生影響,因?yàn)楣舻哪繕?biāo)是位于總部的少量?jī)?nèi)部服務(wù)器。技嘉表示由于安全團(tuán)隊(duì)的迅速行動(dòng),服務(wù)器已從備份中恢復(fù)并重新上線(xiàn),但事件遠(yuǎn)未結(jié)束。援引外媒 The Record 報(bào)道,勒索軟件團(tuán)伙 RansomExx 對(duì)本次攻擊負(fù)責(zé),該團(tuán)伙聲稱(chēng)擁有 112GB 的數(shù)據(jù),其中包括技嘉和 Intel、AMD和 American Megatrends 的機(jī)密通信以及保密協(xié)議。該組織威脅要公開(kāi)所有內(nèi)容,除非技嘉愿意支付贖金。目前技嘉仍在調(diào)查本次攻擊是如何發(fā)生的,不過(guò)初步猜測(cè)可能是網(wǎng)絡(luò)釣魚(yú)電子郵件活動(dòng)或者從在線(xiàn)來(lái)源購(gòu)買(mǎi)的被盜憑據(jù),這類(lèi)攻擊通常來(lái)自于這些問(wèn)題。這并不是 RansomExx 團(tuán)隊(duì)發(fā)起的首次攻擊,在 2018 年前該團(tuán)隊(duì)以“Defray”的名稱(chēng)運(yùn)營(yíng),并攻擊了包括佳明、宏碁、仁寶、廣達(dá)和研華等公司。上個(gè)月,它還攻擊了意大利和厄瓜多爾國(guó)營(yíng)電信公司 CNT 的 Covid-19 疫苗接種預(yù)訂系統(tǒng)。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

RansomEXX 是一種相對(duì)較新的勒索軟件,去年 6 月初首次被發(fā)現(xiàn),隨后11月份,該勒索軟件發(fā)展出了Linux版本。針對(duì)這類(lèi)入侵,公司可以采取的最佳策略是,通過(guò)向網(wǎng)關(guān)設(shè)備應(yīng)用安全補(bǔ)丁,并確保它們沒(méi)有被錯(cuò)誤配置為弱憑證或默認(rèn)憑證,來(lái)保護(hù)網(wǎng)絡(luò)邊界。



普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
06

打破物理隔離!利用電源信號(hào)燈的輕微閃爍進(jìn)行竊聽(tīng)

以色列研究人員發(fā)現(xiàn)了一種新的電子對(duì)話(huà)監(jiān)控方法,他們介紹了一種名為“螢火蟲(chóng)”(Glowworm)的新型被動(dòng)TEMPEST(瞬態(tài)電磁脈沖發(fā)射監(jiān)控技術(shù))攻擊形式,能夠?qū)P(yáng)聲器與USB集線(xiàn)器上電源LED當(dāng)中的微弱強(qiáng)度波動(dòng),還原為導(dǎo)致波動(dòng)的音頻信號(hào)。該研究小組分析了目前市面上廣泛應(yīng)用的各類(lèi)消費(fèi)級(jí)設(shè)備,包括智能揚(yáng)聲器、簡(jiǎn)易PC揚(yáng)聲器以及USB集線(xiàn)器等,這些設(shè)備上的LED電源指示燈往往會(huì)受到揚(yáng)聲器輸入音頻信號(hào)的明顯影響。盡管LED信號(hào)的強(qiáng)度波動(dòng)無(wú)法被肉眼察覺(jué),但其強(qiáng)度已經(jīng)足以被耦合至一個(gè)簡(jiǎn)單光學(xué)望遠(yuǎn)鏡內(nèi)的光電二極管所捕捉。揚(yáng)聲器在消耗電流時(shí)引起的電壓變化必然引起功率波動(dòng),也因此令LED產(chǎn)生輕微閃爍;以此為基礎(chǔ),光電二極管能夠?qū)⑦@種閃爍轉(zhuǎn)換為電信號(hào),再經(jīng)由簡(jiǎn)單的模數(shù)轉(zhuǎn)換器(ADC)以音頻形式播放?!拔灮鹣x(chóng)”攻擊的最大特點(diǎn),一為新穎性、二為被動(dòng)性。由于這種方法不需要發(fā)出任何主動(dòng)信號(hào),因此不會(huì)受到任何類(lèi)型的電子對(duì)抗掃描的影響。真正令人擔(dān)心的是,它根本不需要接觸實(shí)際音頻,只要觀(guān)察音頻發(fā)生裝置上的光電副作用,它就能還原出傳輸內(nèi)容。這意味著如果使用“螢火蟲(chóng)”監(jiān)控電話(huà)會(huì)議,那么攻擊一方并不需要前往會(huì)議室,只要在遠(yuǎn)處觀(guān)察會(huì)議室音頻播放系統(tǒng)的電源指示燈就能把對(duì)話(huà)內(nèi)容還原出來(lái),因此大多數(shù)目標(biāo)根本意識(shí)不到這類(lèi)監(jiān)控行為的存在。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

“螢火蟲(chóng)”攻擊要求具備清晰的LED觀(guān)察視線(xiàn),基于此,應(yīng)對(duì)此種攻擊最簡(jiǎn)單方法就是把所有設(shè)備的LED指示燈全部朝室內(nèi)擺放,或者貼上不透明膠帶,或者拉上窗簾。對(duì)制造商來(lái)說(shuō),最低成本的解決方案就是在相對(duì)低功率的設(shè)備上為L(zhǎng)ED指示燈并聯(lián)上作為低通濾波器的電容,借此抑制電壓波動(dòng)。



普普安全資訊一周概覽(0807-0813)

普普安全資訊一周概覽(0807-0813)
07

殺毒軟件邁入寡頭時(shí)代!NortonLifeLock宣布并購(gòu)Avast

消費(fèi)者網(wǎng)絡(luò)安全巨頭NortonLifeLock宣布,同意以現(xiàn)金加股票的方式并購(gòu)殺毒軟件廠(chǎng)商Avast,借此擴(kuò)大自身在消費(fèi)級(jí)安全軟件業(yè)務(wù)領(lǐng)域的影響力。NortonLifeLock公司總部位于美國(guó)亞利桑那州坦佩市,其前身是賽門(mén)鐵克在2019年以107億美元將企業(yè)安全業(yè)務(wù)出售給博通公司后,剩下的消費(fèi)級(jí)業(yè)務(wù)。NortonLifeLock目前主要銷(xiāo)售諾頓(Norton)反病毒軟件與LifeLock消費(fèi)級(jí)身份盜竊保護(hù)產(chǎn)品。

Avast公司總部位于捷克布拉格,主要為消費(fèi)者提供免費(fèi)/付費(fèi)安全軟件,包括桌面安全以及服務(wù)器/移動(dòng)設(shè)備保護(hù)產(chǎn)品。通過(guò)這次合并,新公司將擁有超過(guò)5億用戶(hù),加速推進(jìn)消費(fèi)者網(wǎng)絡(luò)安全轉(zhuǎn)型。結(jié)合Avast在隱私方面和NortonLifeLock在身份方面的優(yōu)勢(shì),將創(chuàng)造一個(gè)廣泛且互補(bǔ)的產(chǎn)品組合,超越核心安全,向以信任為核心的解決方案邁進(jìn)。在今天宣布與Avast合并之前,2020年12月,NotonLifeLock 還以3.6億美元的現(xiàn)金交易收購(gòu)了德國(guó)殺毒軟件廠(chǎng)商小紅傘(Avira)。經(jīng)過(guò)多年大浪淘沙,目前全球范圍內(nèi)的消費(fèi)者網(wǎng)絡(luò)安全巨頭已所剩不多,僅余NortonLifeLock(包括Norton、Avira、Avast、AVG)、McAfee、ESET、Bitdefender、趨勢(shì)科技、卡巴斯基、360等屈指可數(shù)的數(shù)家公司。

普普安全資訊一周概覽(0807-0813)

普普點(diǎn)評(píng)

最近兩年,黑客活動(dòng)越來(lái)越猖狂,網(wǎng)絡(luò)攻擊近來(lái)在新聞上成為了常態(tài)。大量的科技巨頭和政府機(jī)構(gòu)都在努力應(yīng)對(duì)一系列破壞性和廣泛的網(wǎng)絡(luò)攻擊,并專(zhuān)注于加強(qiáng)旗下產(chǎn)品和服務(wù)的安全性。在企業(yè)和機(jī)構(gòu)用戶(hù)面臨威脅的同時(shí),個(gè)人用戶(hù)在網(wǎng)絡(luò)上的防護(hù)則更加不堪一擊,隨著當(dāng)前更多人開(kāi)始遠(yuǎn)程辦公,用戶(hù)如何應(yīng)對(duì)網(wǎng)絡(luò)威脅成為至關(guān)重要的一環(huán),也間接導(dǎo)致了市場(chǎng)對(duì)于網(wǎng)絡(luò)安全軟件的需求正變得越來(lái)越大,此次并購(gòu)也應(yīng)勢(shì)而生。