新版《电力监控系统安全防护规定》修订发布,明年1月1日起施行;超百万辆斯柯达及大众车存安全隐患,黑客可远程追踪用户 | 牛览
日期:2024年12月13日 阅:28
新闻速览
•新版《电力监控系统安全防护规定》修订发布,明年1月1日起施行
•超百万辆斯柯达及大众车存安全隐患,黑客可远程追踪用户
•投放超200个恶意链接,新型网络钓鱼攻击全球肆虐
•黑客滥用HTML绕过邮件安全防线,鱼叉式钓鱼激增
•DCOM攻击新套路,利用Windows 安装程序来部署后门应用
•PUA泛滥!2024 年开源恶意软件数量同比飙升 200%
•CNNVD官方通报Apache Struts安全漏洞相关情况
•一小时就能破解微软 Azure MFA认证,速率限制缺失可致用户账户沦陷
•SAP发布重要安全更新:NetWeaver SSRF漏洞或威胁系统安全
•Google发布开源补丁验证工具,有望显著改善Android安全更新流程
特别关注
新版《电力监控系统安全防护规定》修订发布,明年1月1日起施行
为贯彻落实党的二十届三中全会精神,深化能源管理体制改革,完善电力监控系统网络安全技术防护体系,近日,国家发展改革委颁布了新修订的《电力监控系统安全防护规定》(国家发展改革委2024年第27号令,以下简称《规定》),自2025年1月1日起施行。原《电力监控系统安全防护规定》(国家发展改革委2014年第14号令)同时废止。
本次修订对原《规定》做了多方修改,并新增13条,修订后共六章37条,主要做了以下调整和完善:
一是明确电力监控系统范围,将罗列典型系统名称改为列举功能;
二是优化安全分区要求,在坚持原分区策略的基础上,调整原《规定》阐述逻辑及表述;
三是强化安全接入区防护要求,明确安全接入区加密认证、安全监测等技术要求;
四是强化技术防护措施,在坚持十六字原则的基础上,补充安全免疫、态势感知、动态评估和备用应急措施;
五是定义电力监控专用网络,明确承载电力监视和控制业务的专用广域数据网络、专用局域网络以及专用通信线路属于电力监控专用网络范畴;六是强化供应链及电力监控系统专用安全产品管理,明确运营者应当以合同条款的方式对电力监控系统供应商提出安全要求,明确由国家电力调度控制中心牵头组建电力监控系统专用安全产品管理委员会;
七是优化技术监督管理,明确不同主体技术监督的工作要求,增加技术监督过程中风险管控措施;
八是细化罚则。
原文链接:
网络攻击
超百万辆斯柯达及大众车存安全隐患,黑客可远程追踪用户
近日,网络安全研究人员在斯柯达及大众部分车型的信息娱乐系统中发现多个漏洞,黑客可能借此远程追踪并获取用户敏感数据。
专业汽车网络安全公司 PCAutomotive 在欧洲黑帽大会上披露,斯柯达速派 III 轿车最新款存在 12 个新的安全缺陷,这些漏洞主要存在于 MIB3 信息娱乐单元,攻击者可利用其向车辆注入恶意软件,未经授权访问多种功能。一旦漏洞被成功利用,攻击者能获取实时 GPS 坐标与车速数据,通过车载麦克风录制车内对话,截取信息娱乐显示屏截图,在车内播放任意声音,访问车主手机通讯录。攻击者无需认证,仅通过与车载媒体单元的蓝牙连接,在10米范围内就能利用这些缺陷。
研究人员还发现斯柯达及大众汽车的 OBD 接口存在问题,攻击者可借此绕过信息娱乐单元的 UDS 认证,甚至有一个漏洞使得攻击者在物理接触OBD 端口后可能在车辆高速行驶时致使发动机及其他部件关停。
受影响车辆包括 2022 年生产的斯柯达速派 III(3V3)2.0 TDI,问题可能还波及使用类似信息娱乐系统的其他斯柯达及大众车型。PCAutomotive 估计,超 140 万辆车可能存在漏洞,若算上售后配件,实际数字可能更高。作为斯柯达的母公司,大众已通过网络安全披露计划修复相关漏洞。
原文链接:
投放超 200个恶意链接,新型网络钓鱼攻击全球肆虐
Group-IB 的网络安全研究人员日前披露,一场复杂且持续的钓鱼活动正在全球范围内肆虐,瞄准了 12 个行业、15 个司法辖区内 30 多家公司的员工及相关人员,旨在窃取用户登录凭证。截至目前,该活动已成功散布超 200 条恶意链接。
此次受攻击的行业涵盖能源、时尚、金融、航空航天、制造、电信以及政府部门等。攻击者利用多种先进技术躲避检测,主要有三大“招数”:滥用受信任域名,将恶意网址嵌入 Adobe.com 和 Google AMP 等合法服务中,让安全工具难辨真假;利用活跃的公司品牌,直接从合法网站抓取受害者公司的标识与品牌,展示在钓鱼页面上;在文档平台利用假的 DocuSign 和 Adobe 通知诱使用户点击看似重要的文档链接。
用户一旦点击恶意链接,就会被导向预先填好其邮箱地址、仿真度极高的登录页面,输入凭证后,数据会通过命令与控制(C2)服务器或 Telegram 机器人实时传送给攻击者。Group – IB 发布博客称,从 Telegram 机器人的历史记录来看,被盗取的凭证来自众多不同品牌及国家的企业邮箱,影响范围极广。
原文链接:
黑客滥用 HTML绕过邮件安全防线,鱼叉式钓鱼激增
博通公司最新报告显示,黑客正利用 HTML 功能绕过邮件安全过滤器,让用户与各类组织面临钓鱼攻击的高风险。HTML 附件因其功能多样且能避开传统安全手段,成了攻击者的得力工具,其中可嵌入 JavaScript,一旦打开附件,恶意代码便会执行,如将用户重定向至钓鱼网站,或直接从用户设备窃取凭证。
研究人员介绍,攻击者最常用的手段之一是 JavaScript 混淆。他们借助 JavaScript 混淆器等现成工具,隐藏钓鱼链接、部分脚本甚至整个 HTML 文件,使安全系统极难识别与拦截。
在攻击过程中,黑客采用一系列躲避技术绕过邮件安全过滤:一是使用弃用的 JavaScript 方法,如 unescape(),而非现代的 decodeURI()和 decodeURIComponent(),因旧方法不易被反垃圾邮件引擎解读检测;二是利用 Unicode 字符及 HTML/CSS 技巧,躲过安全扫描又让用户难以察觉;三是采用内容转义,借助 URL 编码、Base64 编码等方法混淆内容,恶意代码看似无害,在受害者设备执行时才现原形;四是进行动态内容注入,通过 JavaScript 在用户交互后向网页动态插入钓鱼表单,传统检测系统发现时往往为时已晚。
原文链接:
DCOM 攻击新套路,利用Windows 安装程序来部署后门应用
Deep Instinct 的网络安全研究人员日前发现了一种新颖且威力强大的基于分布式组件对象模型(DCOM)的横向移动攻击方法,利用Windows 安装程序服务悄悄部署后门。攻击者可以利用 IMsiServer 接口实现远程代码执行并建立持久的立足据点,远程编写、加载并执行恶意动态链接库(DLL)文件,以此入侵系统。
具体来说,该攻击先是找出存在漏洞的 Windows 安装程序服务,接着利用其 COM 接口,精心制作包含恶意代码的 DLL 文件,远程写入这个 DLL,将其加载到正在运行的服务进程中。一旦恶意 DLL 被加载进 Windows 安装程序服务后,攻击者就能执行其中代码,进而获得系统的远程访问权限。
不过研究人员指出,这种 DCOM 上传与执行攻击虽威力大,但也存在局限。它要求攻击者和受害机器处于同一域内,限制其仅能在特定的组织范围内实施。而且,持续的 DCOM 加固补丁情况会降低该攻击的有效性。此外,上传的有效载荷必须是强命名的.NET 程序集,还得与目标机器的架构(x86 或 x64)相兼容,增加了攻击过程的复杂性。
原文链接:
PUA 泛滥!2024年开源恶意软件数量同比飙升 200%
Sonatype最新发布的《2024年开源恶意软件威胁报告》显示:截止2024年已识别的恶意软件包数量已超 778500 个,同比 2023 年激增 200%。研究人员表示,威胁行为者正在广泛利用恶意开源软件包攻击开发者,这是因为当下企业越来越依赖开源工具来定制 AI 模型。
报告认为,开源恶意软件在准入门槛低、无作者身份核实、使用率高且用户多样的生态系统中肆意滋生。诸如每年处理数万亿软件包请求的 npm 和 PyPI 平台,已经 成为攻击者侵入软件供应链的绝佳突破口。恶意分子专挑热门软件包下手,仿冒正版,甚至接管维护者账号重新包装恶意软件,还通过抬高版本号蒙骗构建系统,让遭污染组件混入持续集成/持续交付(CI/CD)管道,大肆传播恶意代码。
报告还发现,潜在有害应用(PUA)在所有开源恶意软件活动中占比最高,达 64.75%,这类软件可能暗藏间谍软件、广告软件或追踪组件,严重危及终端用户安全与隐私。其他常见开源恶意软件类型还包括安全持有软件包(24.2%)和数据窃取软件(7.86%)。
原文链接:
漏洞预警
CNNVD官方通报Apache Struts安全漏洞相关情况
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件。Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受此漏洞影响。
Apache Struts是美国阿帕奇(Apache)软件基金会下属的Jakarta项目中的一个子项目,是一个基于MVC设计的Web应用框架。漏洞源于Apache Struts中的文件上传模块存在逻辑缺陷导致,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件,启用了FileUploadInterceptor 模块的应用受此漏洞影响。
目前,Apache官方已发布新版本修复了该漏洞,CNNVD建议用户及时确认产品版本,尽快采取修补措施。
官方升级链接:
一小时就能破解微软 Azure MFA认证,速率限制缺失可致用户账户沦陷
Oasis Security 的安全研究人员日前透露,微软 Azure 的多重身份验证(MFA)系统存在严重漏洞,利用该漏洞可在约一小时内破解 MFA认证机制,进而未经授权访问用户账户,包括 Outlook 邮件、OneDrive 文件、Teams 聊天记录、Azure 云服务等内容。超 4 亿付费的 Microsoft 365 用户或受此漏洞影响。
该漏洞源于微软对 MFA 登录失败次数缺少速率限制,研究人员尝试登录账户失败时,可无限制地多次重试。研究人员将此次破解手段命名为“AuthQuake”,通过“快速创建新会话并枚举验证码”,能高速穷尽 6 位验证码的 100 万种可能组合,因为可同时发起大量尝试,且多次登录失败时,账户所有者毫无察觉,攻击极具隐蔽性。
此外,攻击者猜测单个验证码的可用时长比互联网工程任务组(IETF)RFC – 6238 标准建议的基于时间的一次性密码(TOTP)30 秒时长多出 2.5分钟。这让攻击者有3%的概率在延长期内猜对。经测算,恶意攻击者尝试 24 轮(约 70 分钟)后,猜对有效验证码的概率超 50%。研究团队测试时多次成功破解。
Oasis 已向微软通报此问题,微软公司目前引入了更严格的速率限制,多次失败尝试后就会触发,限制时长约半天。
原文链接:
SAP发布重要安全更新:NetWeaver SSRF漏洞或威胁系统安全
SAP日前发布了9个新安全公告和4个更新安全公告,共修复16个安全漏洞。SAP表示,目前尚未发现这些漏洞被在野利用的情况,但仍建议用户及时安装2024年12月安全补丁。
其中最严重的是NetWeaver Adobe Document Services组件中一个CVSS评分高达9.1的SSRF漏洞(CVE-2024-47578)。该漏洞影响ADSSSAP 7.50版本。攻击者可利用管理员权限从易受攻击的Web应用程序发送精心构造的请求。这种服务器端请求伪造(SSRF)漏洞通常被用于攻击防火墙后的内部系统,这些系统通常无法从外部网络访问。一旦成功利用,攻击者可以读取或修改任意文件,甚至导致整个系统不可用。
此外,SAP还修复了Web Dispatcher中一个CVSS评分为8.8的跨站脚本(XSS)漏洞(CVE-2024-47590),以及SAP NetWeaver Application Server ABAP中一个CVSS评分为8.5的远程函数调用(RFC)信息泄露漏洞(CVE-2024-54198)。
原文链接:
产业动态
Google发布开源补丁验证工具,有望显著改善Android安全更新流程
Google近日发布了开源安全补丁验证工具Vanir,该工具通过静态代码分析技术自动扫描定制平台代码,可帮助制造商快速识别缺失的安全补丁。这一创新工具的推出,有望显著改善Android生态系统中复杂的安全更新流程。
在Android生态系统中,下游制造商需要负责将安全修复整合并部署到各自的用户设备中。由于制造商拥有不同型号的设备组合,且这些设备运行着不同版本的Android操作系统和相关软件,使得更新过程既耗时又耗力。
Vanir采用自动特征优化技术和多重模式分析算法,无需依赖版本号、存储库历史记录或构建配置等元数据即可识别缺失的更新。据介绍,该工具具有97%的准确率,覆盖了95%已有公开修复的Android、Wear和Pixel设备漏洞。在Google内部,Vanir已集成到构建系统中,可测试超过1300个漏洞,迄今为止已为内部团队节省了超过500小时的补丁修复时间。
原文链接: