国外网络安全一周小回顾0925

1、Malwarebytes 从 Vector Capital 筹集了 1 亿美元

网络安全解决方案提供商 Malwarebytes 周三宣布，它已从 Vector Capital 获得 1 亿美元的少数股权投资，这使该公司筹集的资金总额达到 1.8 亿美元。

这家总部位于加利福尼亚州圣克拉拉的公司成立于 2008 年，为企业和消费者提供利用深度威胁情报、人工智能和机器学习的实时威胁检测和预防解决方案。

Malwarebytes 表示，它将利用新资金扩大产品组合，加速与渠道合作伙伴的合作，并发展其托管服务提供商 (MSP) 业务。

该公司还计划通过新功能来增强其保护和隐私解决方案，以帮助组织减少攻击面。

“Malwarebytes 是全球市场领导者，拥有网络补救和保护领域最广为人知的品牌之一。它已成为一项重要业务，每天为全球数百万人和组织提供更安全的互联网，”Vector Capital 董事总经理桑迪吉尔说。

Malwarebytes 的一次意外事故导致该公司的反恶意软件解决方案将 Google 和 Youtube 域标记为恶意域名，此次融资公告发布。

该问题是由产品的网络过滤保护配置错误引起的，该公司周三迅速承认并解决了这个问题。

2、澳大利亚电信公司 Optus 的数据泄露可能影响多达 1000 万客户

澳大利亚电信公司 Optus 披露了一起影响前客户和当前客户个人信息的数据泄露事件。

Optus 成立于 1981 年，归新加坡电信所有，是澳大利亚第二大无线服务提供商。它拥有近 1000 万订户，他们都可能受到违规行为的影响。

周四，这家无线运营商宣布，未知的攻击者能够破坏其系统，获取姓名、出生日期、电子邮件地址、电话号码、地址和身份证件号码等信息。

Optus 首席执行官 Kelly Bayer Rosmarin 本周早些时候表示，虽然该公司的所有客户都被告知了数据泄露事件，但目前尚不清楚其中有多少人实际上受到了事件的影响。

Optus 声称在攻击中未访问客户支付详细信息和帐户密码，并且其服务均未在事件中受到影响。

然而，该公司没有详细说明攻击者获得其网络访问权限的方式。它的首席执行官确实表示没有提出赎金要求，但指出现在排除任何可能性还为时过早。 

周四，澳大利亚竞争与消费者委员会 (ACCC) 通过其 Scamwatch 网站向 Optus 客户发出网络攻击后的潜在欺诈企图警告，该网站提供有关如何避免诈骗的信息。

“Scamwatch 警告 Optus 客户注意诈骗，并在网络攻击后采取措施保护他们的个人信息。[...] Optus 客户应立即采取措施保护他们的所有账户，特别是他们的银行和金融账户，”ACCC 说。

---

3、由于与密码重置相关的安全问题，Twitter 注销了一些用户

该问题与密码重置有关——当用户重置密码时，他们在 Android 和 iOS 设备上的活动会话并未关闭。已直接通知受影响的用户。

“我们了解到一个错误，该错误允许某些 Twitter 帐户在自愿重置密码后在多个移动设备上保持登录状态。这意味着，如果您在一台设备上主动更改了密码，但在另一台设备上仍有一个打开的会话，则该会话可能尚未关闭，” Twitter 解释道。

该公司表示，用户不必采取任何行动——除非在他们退出后重新登录他们的账户——并指出网络会话没有受到影响。它解释说，由于密码重置系统发生变化，该错误是去年引入的。

8 月，这家社交媒体巨头承认，其软件中的一个漏洞暴露了匿名帐户所有者的身份——一些用户，例如人权活动家，出于安全原因可能不想透露他们的身份。

确认是在有 540 万用户数据被出售的报告之后发布的。Twitter当时表示，该漏洞已于今年早些时候修复，但很可能在修复之前就被利用了。

在其前安全负责人 Peiter Zatko 揭露一些重大问题后，Twitter 受到了抨击。他说这家社交媒体巨头忽视了重要的用户数据保护问题，指责高管们将利润置于安全之上。

该公司最近还因未能保护用户数据隐私而被要求支付 1.5 亿美元的罚款。

4、NSA、CISA 解释威胁行为者如何计划和执行对ICS/OT 的攻击

工业控制系统 (ICS) 和其他运营技术 (OT) 系统可能成为国家支持的威胁参与者、利润驱动的网络犯罪分子和黑客活动分子的诱人目标。这些设备通常不受保护，入侵它们可能会造成严重后果，包括物理损坏和生命损失。

NSA 和 DHS 的网络安全和基础设施安全局 (CISA) 一直在发布资源，以帮助潜在的目标组织解决使他们暴露于此类攻击的漏洞，这两个机构现在发布了另一项咨询，其中一个关注威胁参与者如何计划和对关键基础设施控制系统执行攻击。

联合公告描述了计划和执行此类攻击所涉及的五个典型步骤。这些机构认为，了解威胁参与者的策略、技术和程序 (TTP) 有助于实施保护措施和对抗对手。

在第一阶段，威胁行为者确定预期效果并选择目标。例如，网络犯罪分子可以瞄准 ICS/OT 以获取经济利益，而国家支持的行为者则为了政治和/或军事目标而这样做。目标可以包括造成损害或破坏。

“例如，在战略位置禁用电网可能会破坏经济格局或支持更广泛的军事行动。破坏水处理设施或威胁要摧毁大坝可能会对人口产生心理或社会影响，”这些机构警告说。

在第二阶段，攻击者收集目标系统的情报。这可以通过开源研究、内部威胁或在破坏 IT 网络并使用该访问来获取 ICS 相关信息之后来完成。

然后，攻击者使用收集到的信息来开发有助于他们实现目标的技术和工具。

在最后两个阶段，攻击者获得对目标系统的初始访问权限，并使用上述工具和技术来达到预期效果。

“他们可以打开或关闭断路器、节流阀、溢罐、使涡轮机超速，或将工厂置于不安全的运行条件下。此外，网络攻击者可以通过锁定界面和设置监视器以显示正常情况来操纵控制环境，掩盖操作员的意识并阻碍恢复。参与者甚至可以暂停警报功能，允许系统在不安全的条件下运行，而不会提醒操作员。即使物理安全系统应该防止灾难性的物理后果，更有限的影响也是可能的，并且足以满足参与者的意图。但是，在某些情况下，如果参与者同时操纵系统的多个部分，则物理安全系统可能还不够。对系统的影响可能是暂时的或永久性的，

该公告还包括一些建议，包括限制对攻击者有用的信息的暴露、识别和保护远程访问点、限制对网络和控制系统工具和脚本的访问、进行定期安全审计以及实施动态网络环境。

这份名为《控制系统防御：了解对手》的咨询可在 CISA 的网站上以PDF 格式获得。

5、影响数百万设备的新固件漏洞允许持久访问

该公司的研究人员在 Insyde Software 提供的 InsydeH2O UEFI 固件中发现了七个新的安全漏洞。受影响的代码被其他数十家公司使用，包括惠普、戴尔、英特尔、微软、富士通、Framework 和 Siemens 等主要供应商。

利用新漏洞需要本地特权操作系统访问，但其中许多仍被赋予“高严重性”等级。这些缺陷与系统管理模式 (SMM) 有关，它们可能导致信息泄露或任意代码执行。

Binarly 首席执行官 Alex Matrosov 告诉SecurityWeek：“这些漏洞可以用作漏洞利用链中的第二或第三阶段，以提供市场上大多数可用安全解决方案不可见的长期持久性。”

“固件植入是攻击者保持持久性的最终目标。攻击者可以将恶意植入物安装在固件的不同级别，作为修改后的合法模块或独立驱动程序。这种恶意代码可以通过设计绕过安全启动并影响进一步的启动阶段，”他补充道。

Binarly 已针对每个漏洞发布了带有技术细节的公开个人建议。

供应商已针对新发现的漏洞发布补丁和公告。CVE 标识符已分配给七个错误中的每一个。

虽然 Insyde 已经开发了补丁，但 Matrosov 指出，修复程序需要很长时间才能到达设备。

“就供应链影响而言，根据我们的数据，设备制造商至少在所有企业设备上修补漏洞需要 6-9 个月，”他说。

这不是 Binarly 第一次在 InsydeH2O 固件中发现严重漏洞。今年早些时候，它披露了近两打问题，影响了使用受影响代码的数百万企业设备。

最新披露是在 Binarly 报告发现十几个影响英特尔和惠普设备的类似漏洞之后几周发布的。

6、新的“Wolfi”Linux 发行版专注于软件供应链安全

GitHub 上提供的社区 Linux 发行版是专门为与容器和云原生应用程序一起使用而创建的，并支持 Chainguard 映像，这是该公司精选的无发行映像的集合。

Wolfi（以吸星侏儒章鱼命名，已知最小的章鱼）依赖于环境的内核（而不是拥有自己的内核）具有广泛的适应性，并带来了对 glibc 和 musl 的支持。

根据软件供应链安全公司的说法，Wolfi 为所有软件包提供构建时软件物料清单 (SBOM)，具有声明性和可重现的构建系统，并使用 apk 包格式。使用 Wolfi，包是细化和独立的，提供对最小图像的支持。

Chainguard 说，Wolfi 旨在帮助开发人员从不受任何已知漏洞影响的默认安全基础开始提高生产力，同时还使组织能够控制大多数现代供应链威胁。

“Wolfi 直接从源代码构建所有包，使我们能够修复漏洞或应用定制，从而改善从编译器到语言包管理器的所有内容的供应链安全状况，”Chainguard 解释说。

新的 Linux 发行版现在支持所有 Chainguard 映像，这是一组签名的、最小的依赖项，旨在显着减少攻击面，同时简化审计和更新。这些映像每天都会重建，以确保它们拥有所有最新的补丁。

7、微软针对允许横向移动、勒索软件攻击的漏洞发布带外补丁

微软本周为其 Endpoint Configuration Manager 解决方案发布了一个带外安全更新，以修补一个漏洞，该漏洞可能对恶意行为者在目标组织的网络中移动有用。

该漏洞被跟踪为CVE-2022-37972，微软将其描述为中等严重性的欺骗问题。这家科技巨头称赞Trimarc Security 的Brandon Colley报告了该漏洞。

微软在其公告中表示，没有证据表明该漏洞被利用，但该漏洞已被公开披露。

Prajwal Desai 发表了一篇描述补丁的简短博客文章，但 Colley 告诉 SecurityWeek，他尚未公开任何信息，并指出他一直在与微软合作进行协调披露。研究人员认为，微软的公告称该问题已被公开披露，因为这家科技巨头知道他将在本周末的 BSidesKC 会议上讨论这个问题。

研究人员预计，详细介绍 CVE-2022-37972 的博客文章仅在 11 月发布。但是，他指出，这与7 月博客文章中描述的一个问题有关，该文章重点关注 Microsoft System Center Configuration Manager (SCCM) 客户端推送帐户的攻击面。

SCCM 是 Microsoft Endpoint Configuration Manager (MECM) 的前身，它是一种适用于台式机、服务器和笔记本电脑的本地管理解决方案，允许用户部署更新、应用程序和操作系统。将所需客户端应用程序部署到端点的一种方法是客户端推送安装，它使管理员能够轻松自动地将客户端推送到新设备。

在 7 月的博客文章中，Colley 展示了在一个端点上拥有管理员权限的攻击者如何滥用客户端推送安装设计缺陷来获取所有已配置推送帐户的散列凭据。

他警告说，由于其中一些帐户可能在企业中的多台机器上拥有域管理员或提升的权限，因此威胁参与者可以利用它们进行横向移动，甚至作为破坏性勒索软件攻击的一部分。

攻击是可能的，部分原因是允许连接回退到安全性较低的 NTLM 身份验证协议的设置。

微软本周通过带外更新修补的 MECM 漏洞与 NTLM 身份验证的使用有关。研究人员解释说，在微软修复漏洞之前，可以对客户端推送帐户强制进行 NTLM 身份验证。

Colley 说：“在此补丁之前，攻击者有可能绕过 NTLM 连接回退设置，该设置以前被认为可以阻止我 7 月博客中的攻击类型，”

美国网络安全和基础设施安全局 (CISA) 已敦促管理员查看 Microsoft 的建议并应用必要的更新。

原文始发于微信公众号（祺印说信安）：国外网络安全一周小回顾0925