Category 网络安全预警

CosmicEnergy恶意软件

新的操作技术(OT)恶意软件旨在导致电力中断

发现了一种名为CosmicEnergy的新型恶意软件,它针对操作技术领域。根据报告,该恶意软件通过利用远程终端单元(RTU),如EC 60870-5-104(IEC-104)设备,来导致电力中断,而这些设备通常在欧洲、中东和亚洲的电力传输和配电操作中使用。

背景

CosmicEnergy在功能上类似于之前的OT恶意软件家族Industroyer和Industroyer 2.0,因为这两个变种都旨在通过攻击电力传输和配电操作中常用的设备来导致电力中断。根据报告,CosmicEnergy可能与俄罗斯政府资助的电力中断和紧急响应演习有关。

公告

2023年5月25日:Mandiant发布了关于CosmicEnergy恶意软件的博客。

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

最新动态

2023年5月25日:FortiGuard Labs发布了一份威胁信号报告。

https://www.fortiguard.com/threat-signal-report/5171/

FortiGuard Labs发布了已知恶意软件的防病毒签名,并提供行为检测引擎服务来检测其他未知和0-day恶意软件。FortiGuard Labs建议组织审查其OT/ICS安全姿态,并始终遵循操作技术(OT)安全的最佳实践。

https://www.fortinet.com/resources/cyberglossary/ot-security-best-practices

Progress MOVEit Transfer存在SQL注入漏洞

零日漏洞被利用进行数据窃取攻击

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

CVEs: CVE-2023-34362

在MOVEit Transfer网络应用程序中发现了一个SQL注入漏洞,可能允许未经身份验证的攻击者访问MOVEit Transfer的数据库。根据供应商的说法,根据使用的数据库引擎(MySQL、Microsoft SQL Server或Azure SQL),攻击者可能能够获取有关数据库的结构和内容的信息,并执行可以更改或删除数据库元素的SQL语句。

背景

MOVEit Transfer是由Progress Software Corporation的子公司Ipswitch开发的托管文件传输(MFT)解决方案,它允许企业使用SFTP、SCP和基于HTTP的上传安全地在业务伙伴和客户之间传输文件。今年2月,我们曾经看到另一种MFT解决方案Fortra GoAnywhere MFT被攻击者用于勒索软件攻击各种组织,这显示文件传输解决方案仍然是勒索软件攻击的目标。要阅读完整的疫情报告,请转到下面的附加资源部分。

已宣布
2023年5月31日:Progress Software Corporation宣布了此漏洞。

链接:https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

最新进展

2023年6月2日:FortiGuard实验室发布了关于Progress MOVEit Transfer SQL注入漏洞的威胁信号。

https://www.fortiguard.com/threat-signal-report/5174

2023年6月4日:微软将利用CVE-2023-34362 MOVEit Transfer 0-day漏洞的攻击与Lace Tempest(又名Cl0p)勒索软件团伙联系起来。

https://twitter.com/MsftSecIntel/status/1665537730946670595

2023年6月7日:CISA发布了一份网络安全警报。“勒索软件团伙利用CVE-2023-34362 MOVEit漏洞”。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a

2023年6月8日:FortiGuard威胁实验室发布了一篇关于CVE-2023-34362的详细博客。

https://www.fortinet.com/blog/threat-research/moveit-transfer-critical-vulnerability-cve-2023-34362-exploited-as-a-0-day

文章引用

https://www.fortiguard.com/outbreak-alert/progress-moveit-transfer-sql-injection

Zyxel 多重防火墙漏洞积极利用并导致拒绝服务

合勤科技多个防火墙漏洞

被主动利用并造成拒绝服务
https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices

CVE:CVE-2023-28771、CVE-2023-33009、CVE-2023-33010

影响各种合勤科技设备的多个关键漏洞已被利用。据观察,攻击者像僵尸网络一样部署Mirai,导致拒绝服务条件。其中一个漏洞 CVE-2023-28771 允许未经身份验证的攻击者远程执行操作系统命令,该漏洞具有公开可用的概念验证 (PoC)。

背景

合勤科技是一家通信设备公司,在全球拥有超过100亿台设备,根据其网站为1万客户提供服务。最近发现的漏洞已被利用,据报道,基于Mirai的僵尸网络变体利用这些漏洞导致DDoS。正如 FortiGuard 爆发警报在 2022 年 2022 月报告的那样,合勤 USG FLEX 之前因其操作系统命令注入漏洞 (CVE-30525-40) 而成为 Zerobot 恶意软件的目标。根据Shodan搜索,有000,<> +合勤科技设备暴露在互联网上,易受攻击的设备数量可能更多,因为某些设备的默认设置没有暴露在互联网上。

宣布

25 年 2023 月 2023 日:供应商发布的有关 CVE-28771-2023、CVE-33009-2023、CVE-33010-<> 的公告的初始版本

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-buffer-overflow-vulnerabilities-of-firewalls31 年 2023 月 2023 日:CISA 将 CVE-28771-5 添加到其已知漏洞目录 (KEV) 中。 2023 年 2023 月 33009 日:CISA 将 CVE-2023-33010 和 CVE-<>-<> 添加到其已知被利用漏洞目录 (KEV) 中。

最新发展

5 年 2023 月 5 日:基于 Mirai 的僵尸网络仍然活跃,最近影响了多个物联网设备。转到其他资源以查看与基于 Mirai 的僵尸网络相关/影响的爆发和漏洞。 2023 年 <> 月 <> 日:FortiGuard 在合勤科技多个防火墙漏洞上添加了威胁信号

https://www.fortiguard.com/threat-signal-report/5179/FortiGuard Labs 发布了 IPS 签名,以检测任何利用 CVE-2023-28771 的攻击尝试,并进一步调查对 CVE-2023-33009 和 CVE-2023-33010 的保护。防病毒签名,用于检测和阻止与利用易受攻击的合勤科技设备相关的已知恶意软件。 强烈建议根据供应商公告更新ATP,USG Flex,VPN和ZyWALL/USG防火墙,以防止利用最近的漏洞,以完全降低风险并查找DoS“拒绝服务”,例如如果受到威胁可能出现的症状。

https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices

文章引用 FORTINET

https://www.fortiguard.com/outbreak-alert/zyxel-multiple-firewall-vulnerabilities