Archives 6 月 2023

CosmicEnergy恶意软件

新的操作技术(OT)恶意软件旨在导致电力中断

发现了一种名为CosmicEnergy的新型恶意软件,它针对操作技术领域。根据报告,该恶意软件通过利用远程终端单元(RTU),如EC 60870-5-104(IEC-104)设备,来导致电力中断,而这些设备通常在欧洲、中东和亚洲的电力传输和配电操作中使用。

背景

CosmicEnergy在功能上类似于之前的OT恶意软件家族Industroyer和Industroyer 2.0,因为这两个变种都旨在通过攻击电力传输和配电操作中常用的设备来导致电力中断。根据报告,CosmicEnergy可能与俄罗斯政府资助的电力中断和紧急响应演习有关。

公告

2023年5月25日:Mandiant发布了关于CosmicEnergy恶意软件的博客。

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

最新动态

2023年5月25日:FortiGuard Labs发布了一份威胁信号报告。

https://www.fortiguard.com/threat-signal-report/5171/

FortiGuard Labs发布了已知恶意软件的防病毒签名,并提供行为检测引擎服务来检测其他未知和0-day恶意软件。FortiGuard Labs建议组织审查其OT/ICS安全姿态,并始终遵循操作技术(OT)安全的最佳实践。

https://www.fortinet.com/resources/cyberglossary/ot-security-best-practices

Progress MOVEit Transfer存在SQL注入漏洞

零日漏洞被利用进行数据窃取攻击

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

CVEs: CVE-2023-34362

在MOVEit Transfer网络应用程序中发现了一个SQL注入漏洞,可能允许未经身份验证的攻击者访问MOVEit Transfer的数据库。根据供应商的说法,根据使用的数据库引擎(MySQL、Microsoft SQL Server或Azure SQL),攻击者可能能够获取有关数据库的结构和内容的信息,并执行可以更改或删除数据库元素的SQL语句。

背景

MOVEit Transfer是由Progress Software Corporation的子公司Ipswitch开发的托管文件传输(MFT)解决方案,它允许企业使用SFTP、SCP和基于HTTP的上传安全地在业务伙伴和客户之间传输文件。今年2月,我们曾经看到另一种MFT解决方案Fortra GoAnywhere MFT被攻击者用于勒索软件攻击各种组织,这显示文件传输解决方案仍然是勒索软件攻击的目标。要阅读完整的疫情报告,请转到下面的附加资源部分。

已宣布
2023年5月31日:Progress Software Corporation宣布了此漏洞。

链接:https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

最新进展

2023年6月2日:FortiGuard实验室发布了关于Progress MOVEit Transfer SQL注入漏洞的威胁信号。

https://www.fortiguard.com/threat-signal-report/5174

2023年6月4日:微软将利用CVE-2023-34362 MOVEit Transfer 0-day漏洞的攻击与Lace Tempest(又名Cl0p)勒索软件团伙联系起来。

https://twitter.com/MsftSecIntel/status/1665537730946670595

2023年6月7日:CISA发布了一份网络安全警报。“勒索软件团伙利用CVE-2023-34362 MOVEit漏洞”。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a

2023年6月8日:FortiGuard威胁实验室发布了一篇关于CVE-2023-34362的详细博客。

https://www.fortinet.com/blog/threat-research/moveit-transfer-critical-vulnerability-cve-2023-34362-exploited-as-a-0-day

文章引用

https://www.fortiguard.com/outbreak-alert/progress-moveit-transfer-sql-injection

Zyxel 多重防火墙漏洞积极利用并导致拒绝服务

合勤科技多个防火墙漏洞

被主动利用并造成拒绝服务
https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices

CVE:CVE-2023-28771、CVE-2023-33009、CVE-2023-33010

影响各种合勤科技设备的多个关键漏洞已被利用。据观察,攻击者像僵尸网络一样部署Mirai,导致拒绝服务条件。其中一个漏洞 CVE-2023-28771 允许未经身份验证的攻击者远程执行操作系统命令,该漏洞具有公开可用的概念验证 (PoC)。

背景

合勤科技是一家通信设备公司,在全球拥有超过100亿台设备,根据其网站为1万客户提供服务。最近发现的漏洞已被利用,据报道,基于Mirai的僵尸网络变体利用这些漏洞导致DDoS。正如 FortiGuard 爆发警报在 2022 年 2022 月报告的那样,合勤 USG FLEX 之前因其操作系统命令注入漏洞 (CVE-30525-40) 而成为 Zerobot 恶意软件的目标。根据Shodan搜索,有000,<> +合勤科技设备暴露在互联网上,易受攻击的设备数量可能更多,因为某些设备的默认设置没有暴露在互联网上。

宣布

25 年 2023 月 2023 日:供应商发布的有关 CVE-28771-2023、CVE-33009-2023、CVE-33010-<> 的公告的初始版本

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-buffer-overflow-vulnerabilities-of-firewalls31 年 2023 月 2023 日:CISA 将 CVE-28771-5 添加到其已知漏洞目录 (KEV) 中。 2023 年 2023 月 33009 日:CISA 将 CVE-2023-33010 和 CVE-<>-<> 添加到其已知被利用漏洞目录 (KEV) 中。

最新发展

5 年 2023 月 5 日:基于 Mirai 的僵尸网络仍然活跃,最近影响了多个物联网设备。转到其他资源以查看与基于 Mirai 的僵尸网络相关/影响的爆发和漏洞。 2023 年 <> 月 <> 日:FortiGuard 在合勤科技多个防火墙漏洞上添加了威胁信号

https://www.fortiguard.com/threat-signal-report/5179/FortiGuard Labs 发布了 IPS 签名,以检测任何利用 CVE-2023-28771 的攻击尝试,并进一步调查对 CVE-2023-33009 和 CVE-2023-33010 的保护。防病毒签名,用于检测和阻止与利用易受攻击的合勤科技设备相关的已知恶意软件。 强烈建议根据供应商公告更新ATP,USG Flex,VPN和ZyWALL/USG防火墙,以防止利用最近的漏洞,以完全降低风险并查找DoS“拒绝服务”,例如如果受到威胁可能出现的症状。

https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices

文章引用 FORTINET

https://www.fortiguard.com/outbreak-alert/zyxel-multiple-firewall-vulnerabilities

什么是WIFI 6 ,WIFI 6的应用场景

Wi-Fi 6(原称:IEEE 802.11.ax)即第六代无线网络技术,是Wi-Fi标准的名称。是Wi-Fi联盟创建于IEEE 802.11标准的无线局域网技术。Wi-Fi 6将允许与多达8个设备通信,最高速率可达9.6Gbps。

    相比于前几代的WiFi技术,新一代WiFi 6主要特点在于:

            速度更快

            相比于上一代802.11ac的WiFi 5,WiFi 6最大传输速率由前者的3.5Gbps,提升到了9.6Gbps

            延时更低

            WiFi 6不仅仅是上传下载速率的提升,还大幅改善网络拥堵的情况,允许更多的设备连接至无线网络,并拥有一致的高速连接体验,而这主要归功于 同时支持上行与下行的MU-MIMO和OFDMA新技术。

            容量更大

            WiFi 6引入了BSS Coloring着色机制,标注接入网络的各个设备,同时对其数据也加入对应标签,传输数据时有了对应的地址,直接传输到位而不会发生混乱。

            着色机制展示

            更安全

            WiFi 6(无线路由器)设备若需要通过WiFi联盟认证,必须采用WPA 3安全协议,安全性更高。

            更省电

            WiFi 6引入了TARget Wake Time(TWT)技术,允许设备与无线路由器之间主动规划通信时间,减少无线网络天线使用及信号搜索时间,能够一定程度上减少电量消耗,提升设备续航时间。

WIFI6的应用场景:

            1. 承载4K/8K/VR等大宽带视频

            Wi-Fi6技术支持2.4G和5G频段共存,其中5G频段支持160MHz频宽,速率最高可达9.6Gbps的接入速率,其5G频段相对干扰较少,更适合传输视频业务,同时通过BSS着色技术、MIMO技术、动态CCA等技术降低干扰,降低丢包率,带来更好地视频体验。

            2. 承载网络游戏等低时延业务

            网络游戏类业务属于强交互类业务,在宽带、时延等方面提出了更高的要求,对于VR游戏,最好的接入方式就是Wi-Fi无线方式,Wi-Fi6的信道切片技术提供游戏的专属信道,减低时延,满足游戏类业务特别是云VR游戏业务对低时延传输质量的要求。

            3. 智慧家庭智能互联

            智慧家庭智能互联是智能家居、智能安防等业务场景的重要因素,当前家庭互联技术存在不同的局限性,Wi-Fi6技术将给智能家庭互联带来技术统一的机会,将高密度、大数量接入、低功耗优化集成在一起,同时又能与用户普遍使用的各种移动终端兼容,提供良好的互操作性。

            4. 行业应用

            Wi-Fi6作为新一代高速率、多用户、高效率的Wi-Fi技术,在行业领域中有广泛的应用前景,如产业园区、写字楼、商场、医院、机场、工厂。 

Ansible 新的自动化运维工具

ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。

ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。主要包括:

(1)、连接插件connection plugins:负责和被监控端实现通信;

(2)、host inventory:指定操作的主机,是一个配置文件里面定义监控的主机;

(3)、各种模块核心模块、command模块、自定义模块;

(4)、借助于插件完成记录日志邮件等功能;

(5)、playbook:剧本执行多个任务时,非必需可以让节点一次性运行多个任务。