一、 威胁通告
- Spring Security 身份认证绕过漏洞(CVE-2022-31692)
【发布时间】2022-11-04 15:00:00 GMT
【概述】
近日,绿盟科技CERT监测发现网上公开披露了Spring Security身份认证绕过漏洞(CVE-2022-31692)的PoC。由于存在授权不当缺陷,在特定条件下,未经身份验证的远程攻击者可通过使用FORWARD或INCLUDE进行转发,从而利用漏洞绕过授权规则,最终实现身份验证绕过。目前PoC已公开,请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatNotice
- OpenSSL多个缓冲区溢出漏洞(CVE-2022-3602、CVE-2022-3786)
【发布时间】2022-11-02 15:00:00 GMT
【概述】
2022年11月2日,绿盟科技CERT监测到openssl官方发布安全公告,修复了OpenSSL存在多个缓冲区溢出漏洞。OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。请相关用户尽快采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatNotice
- Google Chrome远程代码执行漏洞(CVE-2022-3723)
【发布时间】2022-10-31 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Google Chrome官方发布安全公告,修复了Chrome V8(JavaScript引擎)中的远程代码执行漏洞,由于Chrome V8中存在类型混淆漏洞,远程攻击者可利用该漏洞在目标系统上任意执行代码。目前官方已发现在野利用,请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatNotice
二、 热点资讯
- 俄罗斯杀手黑客组织对美国财政部发起DDoS攻击
【标签】政府
【概述】
根据美国财政部发布了一份官方确认,称俄罗斯资助的Killnet黑客组织不断针对美国金融系统,以破坏或永久摧毁整体。然而,亲俄组织在这两种情况下都失败了,因为财政部足够强大,可以非常精确地击退和减轻与袭击相关的风险。Killnet通过DDoS攻击击中目标,根据相关的威胁情报显示,这样做的成功率为27%。DDoS 攻击是指分布式拒绝服务攻击,其中网站受到大量虚假网络流量的打击,从而使服务器无法用于实际流量。值得注意的是,克里姆林宫似乎已经将数字中断西方的在线服务分配给Killnet,因为它一直在通过拒绝服务攻击针对在西方运营的公共和私人实体。当西方国家通过提供必需品、弹药和资金来支持沃洛德米尔·泽伦斯基与俄罗斯的战争时,这次袭击特别突出。
【参考链接】
https://ti.nsfocus.com/security-news/IlO5j
- 黑客称已入侵乌军使用的美国指挥软件获得战场信息
【标签】政府
【概述】
据俄罗斯相关媒体报道,一名绰号为Joker DPR的黑客宣称,已成功入侵乌克兰军队使用的美国DELTA战场指挥系统,还称乌克兰总统办公室里有其间谍。这名黑客在社交媒体Telegram上发文称,他已经成功入侵DELTA软件,并发布大量操作该软件时的屏幕截图作为证据。美国军方提供给乌克兰的这个软件系统里保存着关于己方和敌方部队的战场信息,包括装备坐标和人员数量。俄罗斯军事专家表示:被乌克兰方面用来指挥乌军的DELTA软件对俄情报部门会有帮助。DELTA是战场指挥系统的交互接口之一,允许他们在战场上交换信息。为了方便准备作战行动,就需要该软件,但它不是直接在战场上使用的系统。
【参考链接】
https://ti.nsfocus.com/security-news/IlO5f
- 代号为Opera1er的犯罪集团从银行和电信公司窃取数百万美元
【标签】银行、通信
【概述】
Opera1er组织在四年内从银行和电信公司窃取了至少1100万美元。Opera1er组织使用现成的工具对主要在非洲,孟加拉国和阿根廷的银行,金融服务公司和电信提供商进行至少35次攻击。安全研究员说对该团伙最近攻击的详细分析揭示了其作案手法的一个有趣模式:OPERA1ER主要在周末或公共假期进行攻击。这与这样一个事实有关,即从最初获得资金盗窃开始,它花费了3到12个月的时间。据确定,讲法语的黑客组织可以从非洲开展活动。帮派成员的确切人数未知。该组织使用免费提供的恶意软件和红队框架来实现其目的。攻击始于高度针对性的鱼叉式网络钓鱼电子邮件,该电子邮件加载了诱杀附件,该附件可能隐藏了远程访问木马(RAT)以及密码嗅探器和转储器。值得注意的是,这种访问会导致电子邮件和内部文档的泄露,然后研究这些电子邮件和内部文档以用于将来的网络钓鱼攻击。文件还帮助攻击者了解受害组织使用的复杂数字支付平台。
【参考链接】
https://ti.nsfocus.com/security-news/IlO5n
- 文件托管网站Dropbox宣布遭受网络钓鱼攻击
【标签】互联网
【概述】
流行的文件托管网站Dropbox宣布遭受网络钓鱼攻击。虽然没有访问任何内容,密码或支付信息,但黑客确实成功访问了他们存储在GitHub中的一些代码。该公司透露,他们意识到攻击者窃取了员工凭据,使用它们访问包含主要是API密钥,由Dropbox开发人员使用的源代码。虽然目前还不清楚这些API密钥的用途。应用程序开发人员使用的静态API密钥和其他重要凭据应以某种方式受到保护,而不是作为任何静态应用程序源代码的一部分以纯文本形式存储。数据加密或利用安全数据保管库提供了两种常见且更安全的替代方案。Dropbox 漏洞很好地提醒组织扫描其源代码存储库,以查找以纯文本形式存储的任何凭据,攻击者在获得对存储库的访问权限时可能会使用这些凭据。
【参考链接】
https://ti.nsfocus.com/security-news/IlO5h
- LockBit 3.0 团伙声称从 Thales 窃取了数据
【标签】国防
【概述】
据悉,勒索软件集团LockBit 3.0声称窃取了法国国防和科技集团Thales的数据。Thales是全球高科技领导者,在全球拥有81000多名员工。集团投资于数字和深度技术创新:大数据、人工智能、互联互通、网络安全和量子。通过将人置于决策的核心,构建对社会发展至关重要的信任未来。此前,Thales被列入Lockbit 3.0集团的受害者名单中,该团伙威胁称,如果公司不支付赎金,将在2022年11月7日前公布被盗数据。目前,勒索软件团伙尚未公布任何涉嫌被盗数据的样本。Thales告诉相关报社,它尚未收到任何直接的赎金通知。该公司补充称,已对涉嫌的安全漏洞展开调查,并通知了法国相关的国家网络安全局。
【参考链接】
https://ti.nsfocus.com/security-news/IlO4R
- 青岛胶州中心医院6685份就诊信息外泄
【标签】医疗
【概述】
因为出现多名新冠肺炎确诊病例而备受关注的青岛胶州中心医院,前段时间又因为一份疫情名单外泄而再起波澜。这份名单中包含了胶州市6685人的姓名、电话、身份证号码、个人详细居住地址及就诊类型等信息,被广泛流传于胶州人的朋友圈和微信群中。6685份名单的流传引起了很多人的担忧,很多人的隐私因此而被外泄,名单中人员的个人生活也受到了严重影响,有人还因此被谣传感染了新冠肺炎,目前相关涉案人员已经被行政拘留。
【参考链接】
https://ti.nsfocus.com/security-news/IlO4r
- 英国前首相特拉斯的手机被俄罗斯间谍入侵导致相关机密泄露
【标签】政府
【概述】
英国前首相利兹·特拉斯的私人手机在竞选时被俄罗斯间谍入侵。手机受到严重破坏,如今它被放置在政府部门的保险箱中。为了应对黑客攻击,特拉斯上任不久后更换了手机号码。该报道称网络间谍已经获得了特拉斯与主要国际合作伙伴的机密交流信息、和英国保守党政治家夸西·科沃滕的私人对话、对约翰逊的批评等,这些信息可能被用来勒索相利兹·特拉斯。专家还认为,被窃信息包括特拉斯与国际外交部长就乌克兰冲突进行的对话,可能与武器运输有关。而时任英国首相的鲍里斯·约翰逊和内阁秘书西蒙·凯斯决定对这次黑客攻击保密。对此他们表示,如果外交大臣的手机可以如此轻易地被网络间谍入侵,这对情报部门来说不是一件好事。但相关报道表示,这一事件引起了英国政府内部的担忧,议员们担心信息被窃取并泄露后造成的后果。值得注意的是,政府发言人试图淡化这一事件,解释称政府有强有力的措施来保护其基础设施免受网络威胁。
【参考链接】
https://ti.nsfocus.com/security-news/IlO3Z
- 澳洲物业公司SSKB遭网络攻击
【标签】房地产
【概述】
澳大利亚物业管理公司SSKB遭网络攻击。该黑客称,已经盗取该公司200GB的数据,并欲勒索赎金46万澳元。这是澳洲近期发生的又一起网络安全事件。该物业管理公司总部位于黄金海岸,在昆州和墨尔本有分支机构。有迹象表明,该公司的运行系统似乎遭到攻击,电话无法接通。对此,该公司网站发布了一条通告,称公司正在经历一些电话和技术问题。与此同时,黑客已经在暗网公布了进行网络攻击的证据,并要求8天内付款赎金,否则将把数据公布。该黑客称,被盗内容包括建设项目、金融文件、高管邮件、合同以及协议等。值得注意的是,SSKB尚未对该报道做出回应。
【参考链接】
https://ti.nsfocus.com/security-news/IlO43
- 欧盟最大铜矿公司遭网络攻击导致IT系统被迫中断服务
【标签】有色金属
【概述】
据悉,德国铜生产商Aurubis(中文名为奥鲁比斯)宣布遭受网络攻击,被迫关闭IT系统以防止影响蔓延。Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。Aurubis已经在官网上发布公告,称虽然各地IT系统已经关闭,但正常生产并未受到影响。在该公司发布的相关公告中指出,冶炼厂的生产和环保设施正在运行,进出货物也已转入人工维护。目前,该公司仍在评估网络攻击引发的影响,并与政府当局密切合作以加快调查进度。Aurubis的当务之急是将产量保持在正常水平,保证原材料供应和制成品的平稳交付。为此,该公司已经将部分操作转为手动模式,希望能在计算机辅助自动化功能重新上线之前,尽量保持冶炼厂货物的正常进出。Aurubis公司指出,暂时无法估算需要多长时间才能让全体系统恢复正常运行。在全面复原之前,该公司计划建立过渡性解决方案,为自身及客户提供暂时沟通渠道。目前,联络Aurubis的唯一途径只剩下电话呼叫。尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。值得注意的是,Aurubis提到这次攻击只是针对金属及采矿业的更大规模袭击中的一部分。
【参考链接】
https://ti.nsfocus.com/security-news/IlO45
- Snatch集团声称入侵了法国军事提供商HENSOLDT
【标签】军事
【概述】
Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子的公司。HENSOLDT法国为航空,国防,能源和运输部门提供广泛的关键电子解决方案,产品和服务,无论是空中,海军还是陆地应用,无论是在法国还是国外。根据公司网站,HENSOLDT法国提供任务管理系统,世界一流的传感器,嵌入式系统;测试与模拟;氢能和电力转换,命令与控制,机械解决方案,支持和咨询以及安全通信与网络安全。该公司开发特定的电子解决方案,并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准,以及测试、集成和仿真解决方案,以确保关键系统的开发。Snatch 勒索软件组织将 HENSOLDT France 添加到其 Tor 泄漏网站上发布的受害者名单中,该组织发布了被盗数据样本(94 MB)作为黑客攻击的证据。值得注意的是,相关安全研究院的研究人员先前就发现了这种勒索软件,并表示该勒索软件将其感染的计算机重新启动到安全模式以绕过常驻安全解决方案。
【参考链接】
https://ti.nsfocus.com/security-news/IlO49
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。