​关键信息基础设施安全动态周报【2020年第37期】

（一）CIRWA项目跟踪关键基础设施的勒索软件攻击

美国天普大学(Temple University)的研究小组提出了一个名为CIRWA(关键基础设施勒索软件攻击库)的项目，旨在跟踪全球关键基础设施上的勒索软件攻击。该项目收集了自2013年11月以来发生的687起勒索软件攻击记录，攻击还映射到MITRE ATT&CK框架。任何人都可以请求访问数据及提交与攻击相关的信息。

参考来源：SecurityAffairs

（二）飞利浦患者监护产品存在漏洞，可致患者数据泄露

CISA近日发布安全警报称，飞利浦患者监护解决方案中发现存在八个漏洞，可能为攻击者提供未经授权的患者数据访问权限，成功利用这些漏洞可能导致未经授权的访问、中断的监控和访问信息和/或患者数据的收集。尽管这些漏洞的等级为中危及低危，但即使是低技能的黑客也可利用它们。

参考来源：SecurityWeek

（三）美国退伍军人事务部遭受网络攻击泄露4.6万退伍军人信息

美国退伍军人事务部（The Department of Veterans Affairs）9月14日披露其网络系统遭受网络攻击，导致近4.6万名退伍军人个人信息泄露，支付给地区医疗机构的钱也被转移。

参考来源：iThome

（四）美国指控三名伊朗黑客窃取航空航天和卫星数据

美国司法部9月17日宣布对三名伊朗国民提出指控，指控他们窃取了与美国航空航天和卫星技术有关的信息。据司法部称，这些黑客一度拥有一份超过1800个目标在线账户的名单，这些账户与卫星和航空航天公司以及美国、澳大利亚、英国、以色列和新加坡的政府组织有关。

参考来源：SecurityWeek

（五）加拿大知名货运公司Manitoulin遭受勒索软件攻击

9月11日，加拿大大型货运公司Manitoulin Transport的数据被黑客泄露在网络上。7月31日，员工报告系统访问问题后，该公司意识到其遭受了勒索软件攻击。由于Manitoulin决定不向黑客付款，故其数据最终被泄漏在网络上。

参考来源：CDL LIFE

（六）微软修复有史以来最严重的漏洞Zerologon

近日荷兰安全公司Secura发布了关于CVE-2020-1472的详细技术报告。该漏洞名为Zerologon，是根据域控制器对用户进行身份验证协议Netlogon中的特权提升漏洞，可被滥用以轻松接管在企业网络中作为域控制器运行的Windows Server，CVSS评分为10分。上个月微软已修补了该漏洞，但此前并未公开漏洞细节。

参考来源：ZDNet

（七）蓝牙欺骗漏洞BLESA影响数十亿物联网设备

美国普度大学研究人员近日发表论文称，其发现了一个蓝牙低能量(BLE)漏洞，该漏洞允许欺骗攻击，可能会影响人类和机器执行任务的方式。BLE欺骗攻击(BLESA)漏洞源于设备重新连接过程中的身份验证问题，成功的BLESA攻击允许恶意攻击者绕过重新连接身份验证要求与设备连接，并向其发送欺骗数据。该漏洞可能会影响数十亿物联网(IoT)设备，并且在Android设备中仍未打补丁。

参考来源：threatpost

（八）美国众议院通过《物联网网络安全改进法案》

美国众议院9月15日通过了《物联网网络安全改进法案》，该法案旨在提高物联网设备的安全性。该法案于2017年首次提出，并于2019年重新提出，现在必须在参议院获得通过，然后才能由总统签署成为法律。支持该法案的主要网络安全及科技公司包括BSA、Mozilla、Rapid7、Cloudflare、CTIA和Tenable。

参考来源：SecurityWeek

（九）MITRE发布针对黑客组织FIN6仿真计划

近日MITRE Engenuity威胁信息防御中心与网络安全行业合作伙伴启动了一个名为对手仿真库（Adversary Emulation Library）的项目，该项目免费提供当今最大黑客组织的模拟计划，以使组织能够评估其针对现实世界威胁的防御能力，并帮助培训安全团队捍卫其网络。该项目托管在GitHub上，提供免费下载的仿真计划。该MITRE对手仿真库中的第一个内容是针对FIN6的仿真计划。

参考来源：ZDNet

（十）NSA发布关于UEFI安全启动自定义指南

美国国家安全局(NSA)9月15日发布了关于统一可扩展固件接口（UEFI）安全启动（Secure Boot）功能的指南，该功能可满足组织定制的需求。不兼容问题通常会导致安全启动功能被禁用，但是NSA建议不要禁用安全启动。NSA强烈鼓励组织自定义安全启动功能来满足组织的需求，安全启动功能提供了一种验证机制，来降低早期启动漏洞和固件利用的风险。

参考来源：SecurityWeek

（十一）英国NCSC发布漏洞披露指南

英国国家网络安全中心(NCSC)发布了漏洞披露指南，以帮助公司实施漏洞披露流程，或在已经建立漏洞披露流程的情况下对其进行改进。该指南并不是一本披露漏洞的规则手册，而是为更好的流程或实施提供了必要信息。该指南描述了如何将外部漏洞信息定向给合适的人，并且报告遵循关闭漏洞的框架标准。

参考来源：BleepingComputer

（十二）CISA分享伊朗黑客使用的Web Shell详细信息

美国网络安全与基础设施安全局（CISA）09月15日发布了一篇恶意软件分析报告，详细介绍了伊朗黑客使用的Web Shell。伊朗黑客攻击目标针对美国IT、政府、医疗、金融和保险组织，在攻击中使用ChunkyTuna，Tiny和China Chopper Web Shell。

参考来源：SecurityWeek

（十三）CISA成为监督ICS和医疗设备的CVE编号颁发机构

通用漏洞披露（CVE）9月15日宣布，网络安全和基础架构安全局（CISA）被任命为顶级根CVE编号颁发机构（CNA），将监督为工业控制系统（ICS）和医疗设备中的漏洞分配CVE标识符的CNA。CNA负责为自己或第三方产品中发现的漏洞发布CVE标识符。顶级根CNA不仅可以分配CVE，而且还负责管理特定域或社区中的CNA。

参考来源：CISA

（十四）MobileIron设备存在严重漏洞，可致服务器遭受远程攻击

安全咨询公司DEVCORE研究人员Orange Tsai 9月12日发布博客文章，披露了影响MobileIron的移动设备管理（MDM）解决方案的几个潜在的严重漏洞的详细信息，其中包括一个未经身份验证的攻击者可以利用该漏洞在受影响的服务器上远程执行代码的漏洞。

参考来源：SecurityWeek

（十五）近2000家Magento商店遭受大规模黑客攻击

网络安全公司Sansec研究人员9月14日表示，在周末有近2000家Magento商店遭受了黑客攻击，是有史以来规模最大的攻击活动。该攻击名为CardBleed，是一种典型的Magecart攻击，注入的恶意代码会拦截未受怀疑的商店客户的付款信息。

参考来源：SecurityAffairs

（十六）塞舌尔银行遭受勒索软件攻击

塞舌尔中央银行(CBS)通过新闻声明披露，塞舌尔开发银行(DBS)于9月9日遭受了勒索软件攻击，CBS和DBS立即对事件进行了调查，并正在评估攻击的程度。该银行未提供攻击的技术细节，例如感染其系统的勒索软件家族。目前还不清楚攻击者在加密银行系统之前是否还窃取了一些数据。

参考来源：SecurityAffairs

（十七）针对教育机构的DDoS攻击数量激增

Check Point研究人员发现，在过去3个月中，黑客对教育、研究和返校等领域的兴趣激增。新的学年已经开始，研究人员更深入地研究了这些攻击的特征。攻击者针对不同地区使用了不同的方法和攻击策略，美国的DDoS攻击数量增加，欧洲的信息泄露数量增加，亚洲漏洞利用次数增加。

参考来源：SecurityAffairs

注：如未标注，均为天地和兴工业网络安全研究院编译