网络安全热点(2022年6月)
互联网 2022-06-20
威胁行为者以 Telerik UI 漏洞为目标,以破坏服务器、安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。攻击者利用 CVE-2019-18935 漏洞,这是一个严重严重性 (CVSS v3.1: 9.8) 的反序列化,可导致在 Telerik UI 库中远程执行 ASP.NET AJAX 的代码。许多 Web 应用程序是在开发时嵌入 Telerik UI 框架版本的项目,然后被遗忘或停止使用。这意味着仍有有效的目标可供利用。一旦获得,攻击者可以编译一个恶意 DLL,其中包含要在解封期间执行的代码,并在“w3wp.exe”进程的上下文中运行它。
2、黑客利用Zimbra漏洞窃取用户登录信息
据报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。研究人员报告了该漏洞,并对其进行描述,“未经身份验证的攻击者可以将任意 memcache 命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。
3、在AWS上使用MFA钓鱼用户
社会工程是恶意攻击者未经授权访问其目标环境的最常见方式之一。它利用了所有公司最薄弱的点——人的因素。通常情况下,如果目标正在使用多因素认证(MFA),网络钓鱼活动就会失败。然而,随着防御变得越来越复杂,攻击者及其方法也越来越复杂,这使得 MFA 几乎没有那么有效。本博客将介绍不同的开源选项,以帮助针对使用 MFA 的目标和网站执行网络钓鱼攻击。对于这篇文章,我们将针对 AWS IAM 用户登录,启用(和不启用)MFA 来演示这个概念。我们选择使用 AWS 作为示例的另一个原因是,据我们所知,之前没有发布过关于钓鱼 AWS 用户的研究,而 Rhino 的团队已经在内部使用了一段时间。
4、FSWAP项目遭受黑客攻击
北京时间2022年6月13日晚,FSWAP项目遭受黑客攻击,黑客通过操纵DEX的pool中资产比例获利。黑客共计发动三笔攻击,BlockSec成功阻断拦截了其中2笔攻击交易,帮助项目方挽回大约3500 WBNB。目前BlockSec正在同项目方联系归还拦截资金。
5、加强文化数据安全标准制定与构建文化数据安全监管体系
2022年5月下旬,中共中央办公厅、国务院办公厅印发的《关于推进实施国家文化数字化战略的意见》要求,“在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。”
6、深度解读十大热点议题,把脉产业变革趋势
2022年度的全球网络安全行业盛会RSAC落下帷幕,本次大会以“转型” (Transform)为主题,被认为是去年主题(Resilience,弹性)的延伸和拓展。从弹性到转型,RSAC的主题变化透露出网络安全产业的持续变革。本届RSAC的数据安全议题集中在数据保护,如云上行业(如医疗)数据保护、企业数据保护、数据本地化保护政策,以及政府数据交易与授权访问等。在隐私安全方面,热点议题则集中在如何保障基础设施(如5G)、设备(如汽车),以及应用(如AI、区块链)的隐私安全方面。
7、LEAF:一款功能强大的Linux安全取证框架
LEAF是一款功能强大的Linux安全取证框架,在该工具的帮助下,广大研究人员可以轻松对Linux主机执行信息安全取证任务。LEAF全称为Linux Evidence Acquisition Framework,该框架可以从Linux EXT4系统中获取文件和程序等信息安全取证信息,而且可以接收用户输入参数并进行自定义功能扩展。向LEAF提供了模块参数后,该工具将能够通过智能分析技术来提取Linux组件,并将分析数据输出到一个ISO镜像文件中。
8、攻击者利用Intel/AMD处理器提频漏洞来窃取加密密钥
在 2017 年被影响现代 Intel、AMD 和 ARM 处理器的“幽灵”(Spectre)和“熔毁”(Meltdown)侧信道攻击漏洞给震惊之后,现又有安全研究人员曝光了利用 CPU 提频(Boost Frequencies)来窃取加密密钥的更高级漏洞 —— 它就是 Hertzbleed 。该攻击通过监视任何加密工作负载的功率签名(power signature)侧信道漏洞而实现,与 CPU 中的其它因素一样,处理器功率会因工作负载的变化而有所调整。但在观察到此功率信息之后,Hertzbleed 攻击者可将之转换为计时数据(timing data),进而窃取用户进程的加密密钥。
9、伊朗攻击者对以色列和美国前高级官员进行鱼叉式网络钓鱼活动
研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。这些攻击使用定制的网络钓鱼基础设施,以及大量假冒电子邮件帐户来冒充受信任的一方。为了与新目标建立更深的信任,威胁参与者对一些受害者的收件箱进行了帐户接管,然后劫持了现有的电子邮件对话,以从目标和受信任方之间已经存在的电子邮件对话开始攻击,并以此为幌子继续对话。为了方便他们的鱼叉式网络钓鱼操作,攻击者操作了一个虚假的 URL 缩短 器 Litby[.]us来伪装网络钓鱼链接,并利用合法的身份验证服validation.com来盗取身份证件。
10、“互联网+政务服务”下的数据安全治理
为进一步打破信息孤岛、实现数据共享,助力“最多跑一次”改革和政府数字化转型,各地政府纷纷成立大数据管理局,积极推进政务云建设,实现政府信息系统整合共享。但是,随着政务信息整合共享工作的开展,各委办局数据在不断汇聚集中,在这些汇聚集中的海量数据中不乏涉及国家安全、经济发展与社会民生的重要、敏感及个人隐私数据。各种数据整合汇聚后,会涉及数据发布、数据加载、共享交换、使用和销毁等诸多环节,任一环节都可能因技术或人为因素造成敏感信息的泄露。数据安全问题已成为制约数据汇聚集中后数据开发利用、价值挖掘的主要瓶颈。解决数据安全问题最根本的途径,就是对数据进行有针对性的安全治理。
【以上信息来源于互联网,由中科至善汇总整理】
