TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售

admin 2022年12月16日23:58:22评论31 views字数 5630阅读18分46秒阅读模式
TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售


      TOP5     



今日全球网安资讯摘要

头条新闻

  • FBI审查信息共享网络“InfraGard”遭到黑客攻击,超8万成员信息待售;

安全资讯

NSA分享缓解5G网络切片威胁的技巧;

  • 英国将NIS法规扩展到IT托管服务提供商;

  • 亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像;

  • 国际乓联泄露数百名运动员护照和疫苗接种证书;

头条新闻


FBI审查信息共享网络“InfraGard”遭到黑客攻击,超8万成员信息待售;

TOP5 | 头条:FBI审查信息共享网络“InfraGard”遭到黑客攻击,超8万成员信息待售

标签:FBI,InfraGard

12月10日,一个包含87,000多名美国联邦调查局(FBI)审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。与此同时,幕后肇事的黑客正在通过InfraGard在线门户直接与成员交流——使用一个新账户,假冒金融行业CEO的身份,该身份是经过FBI审查的。相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法,其中包含InfraGard成员的各种个人信息,包括:全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。

“USDoD”告诉KrebsOnSecurity,他们的虚假申请是在11月以首席执行官的名义提交的,该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。

“当你注册时,他们说要获得批准至少需要三个月,”美“USDoD”说。“我没想到会被批准[d]。”

但“USDoD”表示,在12月初,他们以CEO名义的电子邮件地址收到了一封回复,称申请已获批准(见右侧的编辑截图)。虽然FBI的InfraGard系统默认需要多重身份验证,但用户可以选择通过短信或电子邮件接收一次性代码。

“如果只是手机问题,我的处境就会很糟糕,”“USDoD”说。“因为我使用了我正在冒充的人的电话。”

“USDoD”表示,InfraGard用户数据可通过应用程序编程接口(API)轻松获取,该接口内置于网站的几个关键组件中,可帮助InfraGard 成员相互连接和通信。

“USDoD”表示,在他们的InfraGard会员资格获得批准后,他们要求一位朋友用Python编写脚本来查询该API并检索所有可用的 InfraGard用户数据。

“InfraGard是面向知名人士的社交媒体情报中心,”“USDoD”表示。“他们甚至有论坛来讨论事情。”

KrebsOnSecurity与FBI分享了一些可能有助于隔离冒名顶替者InfraGard帐户的屏幕截图和其他数据,但该机构拒绝就此事发表评论。

为了证明截至周二(当地时间12月13日)晚上发布时间他们仍然可以访问InfraGard,“USDoD”通过InfraGard的消息系统向一名 InfraGard成员发送了一条直接说明,该成员的个人详细信息最初作为预告片发布在数据库销售项目上。

这位InfraGard成员是美国一家大型科技公司的安全负责人,他确认收到了“USDoD”的消息,但要求对此事保持匿名。

“USDoD”承认,他们对InfraGard数据库的50,000美元要价可能有点高,因为这是一个相当基本的名单,这些人已经非常注重安全。此外,只有大约一半的用户帐户包含电子邮件地址,而大多数其他数据库字段(如社会安全号码和出生日期)完全是空的。

“我不认为有人会支付那个价格,但我必须[定价]高一点才能[协商]我想要的价格,”他们解释道。

尽管InfraGard渗透所暴露的数据可能很少,但用户数据可能并不是入侵者真正的最终目标。

“USDoD”在他们的销售线索中表示,交易的担保人将是网络犯罪论坛Breached的管理员Pompompurin。通过论坛管理员的托管服务购买数据库,潜在买家理论上可以避免上当受骗,并确保在资金交换之前交易双方都满意地完成。

多年来,Pompompurin一直是FBI的眼中钉。他们的Breached论坛被广泛认为是RaidForums的第二个化身,RaidForums是一个非常相似的英语网络犯罪论坛,于4月被美国司法部关闭。在被FBI渗透之前,RaidForums出售了超过100亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。

2021年11月,KrebsOnSecurity详细介绍了Pompompurin如何滥用FBI在线门户中的一个漏洞,该门户旨在与州和地方执法机构共享信息,以及该访问权限如何被用来爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从FBI电子邮件和互联网地址。


信源:

1、https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked/?v=1

2、https://www.hackread.com/fbi-infragard-hacked-data-sold/

3、https://en.wikipedia.org/wiki/InfraGard

4、https://www.infragard.org/Application/Account/Login

5、网空闲话





安全资讯


NSA分享缓解5G网络切片威胁的技巧;

TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售

标签:NSA,CISA,ODNI,5G网络切片威胁

美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)以及国家情报总监办公室(ODNI)发布了一份联合报告,强调了5G网络切片实施中最可能存在的风险和潜在威胁。该报告还提供了缓解建议和框架,用于制定由5G网络运营商、集成商和提供商实施的防御和预防战略。

5G 网络切片报告以5G基础设施的潜在威胁向量为基础,持久安全框架(ESF)跨部门工作组去年发表了一篇论文,重点是解决美国国家安全系统安全和稳定面临的风险和威胁。5G网络切片是一种配置架构,允许在通用物理基础设施之上创建多个虚拟化和独立的网络。每个网络切片都是一个隔离的端到端网络,专用于满足每个应用程序的特定要求。网络切片的潜在应用包括自动驾驶、虚拟和增强现实解决方案、工业自动化系统等。与5G网络切片最相关的三个威胁向量是对集中控制元件的拒绝服务(DoS)攻击、利用配置错误的系统控制的攻击以及对未加密网络通道的中间人(MitM)攻击。在DoS攻击的情况下,威胁行为者会破坏服务,从而使网络切片对合法用户不可用。MitM攻击不仅会威胁泄露机密信息和暴露用户数据,而且还可能允许中间人修改传输的消息,从而导致错误信息。

利用错误配置的攻击可能会产生广泛的影响,因为对手可以利用它们来停用系统监视器和安全功能。链接多种攻击类型也是可能的,提供可能扩展到单个网络切片之外的潜在破坏性攻击。CISA建议运营商在四个逻辑层应用网络管理和监控,以尽快识别和解决任何潜在的恶意中断。


信源: https://www.bleepingcomputer.com/news/security/nsa-shares-tips-on-mitigating-5g-network-slicing-threats/





英国将NIS法规扩展到IT托管服务提供商;

TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售

标签:英国,NIS法规,IT托管服务

英国数字、文化、媒体和体育部(DCMS)于2022年11月30日宣布,英国政府将把网络和信息系统(NIS)法规扩展到所有数字托管服务提供商(MSP)。

该决定来自今年早些时候的公众咨询。该更新旨在更好地保护基本的日常服务,包括医疗保健、水、能源、运输和计算,免受现在和未来日益复杂和频繁的网络攻击。NIS源自欧盟指令,于2018年在英国生效,旨在改善提供关键服务的公司的网络安全。未能实施充分网络安全措施的组织可能因违规而被处以高达1700万英镑(2000万美元)的罚款。虽然第二版欧盟指令(NIS2) 目前正在制定中并将于2023年在欧盟成员国生效,但大多数数字MSP,例如安全监控服务、托管网络服务和外包业务流程,还没有目前在该立法的范围内。这些服务“可以对客户的IT网络进行特权访问,这使它们成为网络犯罪分子的有吸引力的目标,他们可以利用MSP软件漏洞来危害广泛的客户,”DCMS指出。该部门注意到,在目前的形式下,NIS无法有效防止“针对MSP并同时危害数千个组织的Operation CloudHopper等引人注目的攻击”。英国媒体、数据和数字基础设施大臣朱莉娅·洛佩兹 (Julia Lopez) 表示,拟议的变更“将更好地保护我们的基本服务和数字服务,以及让这些服务保持运行的外包IT提供商。”英国国家网络安全中心(NCSC)的国家弹性和战略主管保罗·麦丁森 (Paul Maddinson) 对“加强NIS法规的机会及其对提升英国整体网络安全的影响”表示欢迎。


源:https://www.infosecurity-magazine.com/news/uk-extends-nis-regulations-to-it/





亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像;

TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售

标签:亚马逊云,超级漏洞

近日,Lightspin安全分析师在Amazon ECR(弹性容器注册表)公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。

Amazon ECR Public Gallery是容器镜像的公共存储库,用于共享即用型应用程序和流行的Linux发行版,例如Nginx、EKS Distro、Amazon Linux、CloudWatch代理和Datadog代理。

研究者透露,利用该漏洞,攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。

研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞,亚马逊在24小时内推出了修复程序。

虽然没有迹象表明这个漏洞在野外被滥用,但威胁行为者本可以将其用于针对许多用户的大规模供应链攻击。

ECR Public Gallery中下载量最高的前六个容器映像的下载量超过130亿次,因此其中的任何恶意注入都可能导致“失控式”感染。

研究者的分析显示,26%的Kubernetes集群至少有一个pod可以从ECR公共库中提取镜像,因此潜在影响面极大。

利用未记录的API操作

研究人员发现,ECR Public Gallery公共库有几个内部API操作,用于支持特定的命令和用户操作,但不会公开。

下面列出的其中四个API操作没有任何触发器,但它们在平台上仍然处于活动状态,因此可以调用。

  • DeleteImageForConvergentReplicationInternal

  • DeleteTagForConvergentReplicationInternal

  • PutImageForConvergentReplicationInternal

  • PutLayerForConvergentReplicationInternal

分析师成功找到了让恶意API请求获得通过的方法:用Amazon Cognito的临时凭证对ECR内部API进行身份验证。

当然,要使上述方法可行,请求应具有有效的JSON结构,并且由于没有这些API调用的文档,因此推断它需要进行一些实验。

在Lightspin报告提供的概念验证示例中,该请求使用“DeleteImage”API调用以及公开可用的存储库和镜像ID来擦除研究人员上传的公开镜像。

亚马逊的完整声明如下:

2022年11月14日,一位安全研究人员报告了Amazon Elastic容器注册表(ECR)公共库中的问题,这是一个用于查找和共享公共容器镜像的公共网站。研究人员确定了一个ECR API操作,如果调用该操作,则可以修改或删除ECR公共库上可用的镜像。

截至2022年11月15日,亚马逊已修复该问题。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的,与这个问题相关的唯一活动是研究人员拥有的账户,没有其他客户的帐户受到影响,也不需要客户执行任何操作。我们要感谢Lightspin报告此问题。


源:GoUpSec





国际乓联泄露数百名运动员护照和疫苗接种证书;

TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售

标签:国际乓联,数据泄露

据荷兰媒体RTL Nieuws 当地时间12月12日报道,由于国际乒乓球联合会(ITTF)的服务器出现安全问题,数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露,其中包括中国运动员马龙和樊振东的信息。

报道称,运动员护照和疫苗接种证书被在线储存,由云托管服务配置不当,数据暴露了三年多。任何人都可以查看并下载这些信息。疫苗接种证书包含医疗数据,很容易受到欺诈;护照复印件可能被滥用于身份欺诈。

泄露原因可能是国际乓联的云储存是开放状态,每个人都可以搜索文件夹文档/medical_information。目前,国际乓联泄露了世界排名前10的运动员的护照或疫苗接种证书。

该媒体在发布新闻之前,告知了国际乒联此安全问题,暴露的文件将不再能公开访问。

对此,国际乒联发言人回应称,“一位独立的技术专家提请我们注意服务器上的一个安全问题。国际乒联在得知后立即获得了访问权限。文件只在此处存储了很短一段时间,我们没有证据表明在相关报道之前有人访问过个人信息。”目前正在进行彻底的安全审查和调查。


源:https://cybernews.com/news/table-tennis-athletes-passport-vaccination-details-leaked/





声 明

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表聚锋实验室立场
转载目的在于传递更多信息

如有侵权,请公众号后台联系 



TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售


原文始发于微信公众号(聚锋实验室):TOP5 | 头条:FBI审查信息共享网络“InfraGard”遭到黑客攻击,超8万成员信息待售

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月16日23:58:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   TOP5 | 头条:FBI审查信息共享网络InfraGard遭到黑客攻击,超8万成员信息待售https://cn-sec.com/archives/1467989.html

发表评论

匿名网友 填写信息