点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

• 丹麦CERT报告全面分析针对该国基础设施的最大规模网络攻击

• 漏洞曝光 2 月仍未修复，黑客工具 Flipper Zero 至今仍可制造蓝牙弹窗崩溃 iPhone / iPad

• Google Chrome信息泄露漏洞 (CVE-2023-4357) 安全通告

特别关注

丹麦CERT报告全面分析针对该国基础设施的最大规模网络攻击

标签：关基设施，CERT，网络攻击

丹麦非营利性网络安全组织SektorCERT近日发布题为《针对丹麦关键基础设施的攻击》的分析报告，全面分析和总结了2023年5月针对丹麦关键基础设施的广泛网络攻击，并指出具有俄罗斯官方背景的黑客组织“沙虫”可能参与了此次攻击。根据报告，此次大规模攻击涉及3波共22次成功攻击。其中：

第一波攻击发生在5月11日。攻击组织利用台湾合勤公司（Zyxel）防火墙的漏洞（CVE-2023-28771）对16个丹麦目标发起攻击，成功侵入11家能源公司并控制了目标公司所用防火墙，但在能够利用对关键基础设施的访问权限前被发现并被阻止。此波网络攻击是一次针对多个目标的协调性网络攻击，攻击者确切地知道所要攻击的目标。尽管此波攻击准备充分，但由于SektorCERT、SektorCERT成员公司以及供应商的协作而未能达成目标。

第二波攻击发生在5月22日至24日期间。攻击组织掌握了两个未公开Zyxel防火墙漏洞（CVE-2023-33009和CVE-2023-33010），运用新的、前所未见的网络武器，成功对丹麦目标公司发起8次网络攻击。在成功实施入侵后，攻击者将遭渗透设备纳入Mirai僵尸网络，进而将设备用于对美国、加拿大、香港等国家和地区目标开展的DDoS攻击。SektorCERT与遭攻击公司合作，采取切断互联网连接并进入“孤岛运营”模式的方式阻止了此波网络攻击。

第三波次攻击发生在5月24日至5月底。SektorCERT发现，俄罗斯APT组织“沙虫”（Sandworm）等攻击组织对丹麦目标发起3次网络攻击。攻击者在侵入目标后，先通过限制操作的方式保持隐蔽存在，后通过发送某1340字节的网络数据包导致三处设施断联。SektorCERT将情况上报丹麦国家网络犯罪中心（NC3）和网络安全中心，并与相关机构、成员公司等合作，通过现场手动操作、切断互联网连接、进入“孤岛运营”等方式消除了此波攻击的影响。此外，在相关漏洞被公开披露后，针对丹麦关键基础设施的攻击尝试呈爆炸式增长，尤其是来自波兰和乌克兰IP地址的攻击。

根据洛克希德·马丁公司的“网络杀伤链”分析：在侦察方面，无法确定攻击者如何获得针对目标的必要信息；在武器化方面，攻击者根据对漏洞的了解开发了可以在易受攻击的 Zyxel 设备上执行的所谓漏洞利用代码；在投送方面，攻击者将一种特殊格式的网络数据包在端口 500 上发送到防火墙的 VPN 服务；在利用方面，攻击者通过上述网络数据来联系攻击者服务器并执行附加代码的指令；在安装方面，攻击者将各种有效负载安装在已受损的防火墙上从而能够控制防火墙；在命令与控制方面，攻击者利用相关有效负载来确保通过所谓的命令与控制通道保持联系；在行动方面，攻击者通过保持防火墙的正常运行来防止被检测发现。

报告称，5月的网络攻击是迄今为止对丹麦关键基础设施最大规模的网络攻击，攻击者在数日内就获得了22家公司基础设施的访问权限；攻击者准备充分，事先就了解攻击目标性质，并且利用漏洞成功实施了攻击；此次针对丹麦关键基础设施的协调一致的成功攻击非同寻常，有迹象表明国家背景的黑客组织可能参与了一次或多次攻击；丹麦拥有高度分散的能源系统，拥有许多规模较小的运营商，众多公司存在的“系统性漏洞”被利用可能对社会造成严重影响；丹麦的关键基础设施不断受到外国行为者的网络攻击，关键基础设施运营者需提高警惕，并确保采取正确的措施来预防、检测和处理上述网络攻击；跨单部门和多部门的监控有助于检测和响应同时针对多个目标的攻击，公私合作有助于将针对关键基础设施的攻击所造成的影响降到最低。

奇安网情局编译有关情况，供读者参考。

由丹麦关键基础设施公司拥有和资助的非营利组织SektorCERT于11月12日发布题为《针对丹麦关键基础设施的攻击》的报告，概述了迄今为止已知的针对丹麦关键基础设施的最广泛的网络相关攻击。报告称，俄罗斯威胁行为者可能与所谓的“针对丹麦关键基础设施的最大网络攻击”有关，其中 22 家与该国能源部门运营相关的公司在2023年5月成为被攻击目标。

SektorCERT是丹麦关键部门的网络安全中心，是各部门防御网络威胁的重要组成部分。SektorCERT帮助检测和管理关键基础设施何时遭受网络攻击，并且构建和共享可以防止下一次攻击的关键知识。除此之外，SektorCERT还监控与该组织广泛的传感器网络相连的行业中的公司。通过传感器网络，SektorCERT监控互联网流量，以检测针对丹麦关键基础设施的网络攻击。SektorCERT与欧洲其他 CERT 合作，并且是许多网络安全组织的成员，对关键基础设施面临的威胁拥有广泛的了解。

SektorCERT运用传感器网络来创建丹麦关键基础设施所面临威胁的概况，并检测针对传感器网络中的公司的攻击。该传感器网络对于发现报告中描述攻击的模式并能够快速响应至关重要。在个别攻击可能被忽视的情况下，该传感器网络确保通过查看跨公司的数据，能够识别攻击者及其方法。

攻击情况概要。

2023年5月，丹麦的关键基础设施遭受了迄今为止丹麦经历过的最广泛的网络相关攻击。运营部分丹麦能源基础设施的22家公司在一次协同攻击中遭到渗透。结果是攻击者获得了一些公司的工业控制系统的访问权限，一些公司不得不进入“孤岛模式”运行。

• 最大规模的攻击。据SektorCERT所知，此前从未发生过针对丹麦关键基础设施的如此大规模的网络攻击。攻击者在几天内就获得了22家公司基础设施的访问权限。
• 准备充足的攻击者。攻击者事先就知道目标性质，并且每次都得逞。
• 针对丹麦关键基础设施的协调一致的成功攻击。丹麦不断受到攻击，但发现如此多针对关键基础设施的并发、成功的攻击是不寻常的。
• 国家行为体可能参与。有迹象表明，某个国家行为者可能参与了一次或多次袭击。
  声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。

信源：https://www.secrss.com/articles/60845

安全资讯

漏洞曝光 2 月仍未修复，黑客工具 Flipper Zero 至今仍可制造蓝牙弹窗崩溃 iPhone / iPad

标签：漏洞，黑客工具

IT之家 11 月 20 日消息，据外媒 9to5Mac 报道，一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现，可通过制造蓝牙弹出窗口，向 iPhone 和 iPad 重复告诉发送垃圾内容，直到相关设备最终崩溃，不过直至今日，包含 iOS 17.2 测试版在内，苹果公司依然未修复该 Bug。

外媒表示，Flipper Zero 现在可以轻松购买到，这款工具号称是“渗透测试员和业余爱好者的工具箱”，能够写入代码从而控制各种协议，黑客可以直接写入恶意代码，从而导致 iPhone / iPad 崩溃码。

安全研究员 Techryptic 博士发现了这一情况，当黑客将利用蓝牙低功耗（BLE）配对序列缺陷的特定代码加载到 Flipper Zero 上时，该设备可以执行 Dos 攻击，为就近的 iPhone / iPad 发送大量蓝牙弹窗信息，导致相关设备处于冻结状态数分钟。之后重新启动。

据悉，Flipper Zero 的蓝牙无线电范围约为 164 英尺（IT之家注：50 米），因此黑客通常是就近发起 DoS 攻击需要黑客靠近，从而在不被检测到的情况下对咖啡店和体育赛事造成严重破坏。

外媒同时提到，苹果至今仍未修复该 Bug，用户唯一能做的就是在设置中禁用蓝牙，而苹果也尚未承认正在被黑客利用的蓝牙低功耗（BLE）配对序列缺陷，外媒认为，“原因可能是技术性的”。

信源：https://www.ithome.com/0/733/641.htm

Google Chrome信息泄露漏洞 (CVE-2023-4357) 安全通告

标签：漏洞

01 漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。

漏洞描述

近日，奇安信CERT监测到Google Chrome 信息泄露漏洞(CVE-2023-4357)，该漏洞的存在是由于 Google Chrome 中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页，诱骗受害者访问该网页并获取用户系统上的敏感信息。

鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

Google Chrome < 116.0.5845.96

不受影响版本

Google Chrome >= 116.0.5845.96

其他受影响组件

依赖Chromium内核的组件，如vscode、微信等。

03 复现情况

目前，奇安信CERT已成功复现Google Chrome 信息泄露漏洞(CVE-2023-4357)，截图如下：

04 处置建议

安全更新

目前官方已发布安全更新，受影响用户可以更新到最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

信源：https://www.secrss.com/articles/60869

声 明

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系 

一键四连

原文始发于微信公众号（网络盾牌）：1120-丹麦CERT报告全面分析针对该国基础设施的最大规模网络攻击