5月速遞

本月監(jiān)測(cè)到勒索事件20起、數(shù)據(jù)泄露事件30起、網(wǎng)絡(luò)攻擊55起，釣魚(yú)攻擊2起、DDOS攻擊2起。其中典型的事件有Ransomhub組織對(duì)塞爾維亞天然氣公司工控系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊。

Ransomhub對(duì)塞爾維亞天然氣公司工控系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊

5月28日，RansomHub 組織聲稱對(duì)塞爾維亞天然氣存儲(chǔ)服務(wù)提供商 PSG BANATSKI DVOR DOO 發(fā)起了網(wǎng)絡(luò)攻擊。Ransomhub聲稱竊取了總計(jì)80 GB的大量數(shù)據(jù)。被盜信息包括 IT、會(huì)計(jì)、財(cái)務(wù)、項(xiàng)目、客戶數(shù)據(jù)庫(kù)(SQL 格式)、預(yù)算、稅收、物流和供應(yīng)鏈管理、生產(chǎn)數(shù)據(jù)、人力資源、法律數(shù)據(jù)、KPI 和研發(fā)文檔等關(guān)鍵文件，并對(duì)SCADA系統(tǒng)進(jìn)行破壞。

資料來(lái)源：https://thecyberexpress.com/ransomhub-group-strikes-ics/

印度警方和軍方500GB生物特征數(shù)據(jù)遭泄露

5月26日，據(jù)媒體報(bào)道，網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)并報(bào)告了一個(gè)未加密碼保護(hù)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含超過(guò)160萬(wàn)份文檔(總計(jì)約496.4GB)，包括面部掃描圖像、指紋、簽名以及警察、軍事人員、教師和鐵路工人的身份標(biāo)記。這起數(shù)據(jù)泄露事件涉及2021年至2024年的記錄，包含警察和執(zhí)法人員的體能測(cè)試(PET)數(shù)據(jù)、簽名圖像、PDF文檔、移動(dòng)應(yīng)用程序安裝數(shù)據(jù)等。

資料來(lái)源：http://kri4a.dwa5.sbs/vW9DIjf

日產(chǎn)汽車確認(rèn)遭到勒索致53000名員工信息泄露

5月15日，日產(chǎn)透露攻擊者在2023年11月對(duì)其進(jìn)行了攻擊導(dǎo)致大規(guī)模數(shù)據(jù)泄露，影響了53,000名現(xiàn)任和前任員工的社會(huì)保障號(hào)碼，攻擊者要求支付贖金，日產(chǎn)已通知執(zhí)法部門，聘請(qǐng)網(wǎng)絡(luò)安全專家進(jìn)行調(diào)查和緩解威脅，并提供了為期兩年的免費(fèi)身份盜竊保護(hù)服務(wù)。公司還實(shí)施了額外的安全措施，并進(jìn)行了徹底的網(wǎng)絡(luò)安全審查。

資料來(lái)源：https://thecyberexpress.com/nissan-data-breach-update/

美國(guó)無(wú)線電中繼聯(lián)盟(ARRL)遭受重大網(wǎng)絡(luò)攻擊

5月22日，據(jù)媒體報(bào)道，美國(guó)無(wú)線電中繼聯(lián)盟(ARRL)，已確認(rèn)遭受嚴(yán)重網(wǎng)絡(luò)攻擊，影響了包括“世界日志”(LoTW)互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)在內(nèi)的多個(gè)關(guān)鍵在線服務(wù)。ARRL尚未明確網(wǎng)絡(luò)事件的性質(zhì)，正與外部網(wǎng)絡(luò)安全專家合作，以減輕影響并恢復(fù)服務(wù)。

資料來(lái)源：https://thecyberexpress.com/cyberattack-on-arrl/

美國(guó)電信設(shè)備供應(yīng)商Allied Telesis疑遭LockBit勒索軟件攻擊

5月28日，據(jù)媒體報(bào)道，LockBit 勒索軟件集團(tuán)聲稱對(duì)美國(guó)電信設(shè)備供應(yīng)商 Allied Telesis, Inc. 發(fā)動(dòng)網(wǎng)絡(luò)攻擊，聲稱泄露了大量敏感數(shù)據(jù)。此次事件發(fā)生于2024年5月27日，據(jù)稱泄露的信息包括自2005年以來(lái)的機(jī)密項(xiàng)目細(xì)節(jié)、護(hù)照信息和產(chǎn)品規(guī)格。威脅者設(shè)定了2024年6月3日的最后期限，威脅將全面發(fā)布被盜數(shù)據(jù)。然而，Allied Telesis 尚未確認(rèn)或否認(rèn)這些指控，情況仍不明確。

資料來(lái)源：https://thecyberexpress.com/lockbit-alleges-allied-telesis-data-breach/

戴爾公司發(fā)生數(shù)據(jù)泄露

5月9日，據(jù)媒體報(bào)道，戴爾科技集團(tuán)已向數(shù)百萬(wàn)客戶發(fā)出通知，警告包括全名和物理地址在內(nèi)的數(shù)據(jù)在安全事件中被盜。被黑客入侵的數(shù)據(jù)庫(kù)包含與從戴爾購(gòu)買產(chǎn)品相關(guān)的非常基本的客戶數(shù)據(jù)。戴爾表示，調(diào)查已證實(shí)訪問(wèn)的數(shù)據(jù)包括客戶姓名、實(shí)際郵寄地址以及戴爾硬件信息和訂單信息。

資料來(lái)源：http://bju1a.dwa2.sbs/Zb0d59S

本月監(jiān)測(cè)到OT漏洞98個(gè)?？缃鐑?nèi)存讀15個(gè)，跨界內(nèi)存寫10個(gè)，棧緩沖區(qū)溢出6個(gè)，使用硬編碼的密碼5個(gè)，SQL注入5個(gè)，路徑遍歷4個(gè)，訪問(wèn)控制不當(dāng)3個(gè)，外部控制文件名或路徑3個(gè)，使用不兼容類型訪問(wèn)資源3個(gè)，剩余調(diào)試代碼2個(gè)，未充分驗(yàn)證數(shù)據(jù)可靠性2個(gè)，輸入驗(yàn)證不當(dāng)2個(gè)，內(nèi)存緩沖區(qū)邊界內(nèi)操作的限制不恰當(dāng)2個(gè)，堆緩沖區(qū)溢出2個(gè)，使用硬編碼的密碼學(xué)密鑰2個(gè)，關(guān)鍵資源的權(quán)限分配不正確2個(gè)，不充分的憑證保護(hù)機(jī)制2個(gè)，使用硬編碼的憑證2個(gè)，對(duì)非受控部件的依賴2個(gè)，操作系統(tǒng)命令注入1個(gè)，參數(shù)注入1個(gè)，弱密碼1個(gè)，長(zhǎng)度值不正確的緩沖區(qū)訪問(wèn)1個(gè)，傳統(tǒng)緩沖區(qū)溢出1個(gè)，授權(quán)缺失1個(gè)，關(guān)鍵功能的認(rèn)證機(jī)制缺失1個(gè)，信息泄露1個(gè)，下載沒(méi)有完整性檢查的代碼1個(gè)，敏感數(shù)據(jù)的明文傳輸1個(gè)，不加限制或調(diào)節(jié)的資源分配1個(gè)，不受控制的資源消耗1個(gè)，隱藏功能1個(gè)，缺少硬件中的不可變信任根1個(gè)，字符串沒(méi)有結(jié)束符1個(gè)，命令注入1個(gè)，敏感數(shù)據(jù)的明文存儲(chǔ)1個(gè)，空指針解引用1個(gè)，非受控搜索路徑或元素1個(gè)，使用默認(rèn)憑證1個(gè)，跨站腳本1個(gè)，路徑遍歷1個(gè)，以可恢復(fù)格式存儲(chǔ)口令1個(gè)，授權(quán)機(jī)制不恰當(dāng)1個(gè)。

思科FIREPOWER管理中心高危漏洞CVE-2024-20360

5月27日，思科Firepower管理中心(FMC)軟件的Web管理界面中存在一個(gè)漏洞，可能導(dǎo)致經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者對(duì)受影響的系統(tǒng)進(jìn)行SQL注入攻擊。存在此漏洞的原因是 Web 管理界面沒(méi)有充分驗(yàn)證用戶輸入。攻擊者可以通過(guò)對(duì)應(yīng)用程序進(jìn)行身份驗(yàn)證并向受影響的系統(tǒng)發(fā)送精心設(shè)計(jì)的SQL查詢來(lái)利用此漏洞。成功利用此漏洞可能允許攻擊者從數(shù)據(jù)庫(kù)獲取任何數(shù)據(jù)，在底層操作系統(tǒng)上執(zhí)行任意命令，并將權(quán)限提升到 root。

資料來(lái)源：http://emwyc.dwa5.sbs/FPoj9Hr

西門子S7產(chǎn)品線存在遠(yuǎn)程調(diào)試風(fēng)險(xiǎn)

5月21日，據(jù)媒體報(bào)道，以色列理工學(xué)院Eyal Semel等研究人員發(fā)現(xiàn)可利用固件修改攻擊實(shí)施對(duì)西門子S7 PLCs的遠(yuǎn)程調(diào)試，該攻擊在西門子所有Simatic S7產(chǎn)品線中都有效，且存在問(wèn)題的PLC無(wú)法進(jìn)行漏洞修復(fù)。

資料來(lái)源：https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw

Telit Cinterion蜂窩調(diào)制解調(diào)器存在多個(gè)嚴(yán)重漏洞

5月10日，據(jù)媒體報(bào)道，卡巴斯基ICS CERT發(fā)現(xiàn)Telit Cinterion蜂窩調(diào)制解調(diào)器中的危險(xiǎn)漏洞允許未經(jīng)授權(quán)的攻擊者通過(guò)SMS消息遠(yuǎn)程執(zhí)行任意代碼。已發(fā)現(xiàn)八個(gè)不同的漏洞，其中7個(gè)收到了從CVE-2023-47610到CVE-2023-47616的CVE標(biāo)識(shí)符，第八個(gè)尚未注冊(cè)?？ò退够鵌CS CERT指出，由于設(shè)備的廣泛使用，可能會(huì)造成嚴(yán)重的全球后果。

資料來(lái)源：https://www.securitylab.ru/news/548123.php

CISA就羅克韋爾自動(dòng)化、alpitrononic、臺(tái)達(dá)電子的硬件漏洞發(fā)布ICS建議

5月9日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了ICS(工業(yè)控制系統(tǒng))建議，解決部署在關(guān)鍵基礎(chǔ)設(shè)施部門的設(shè)備中存在的硬件漏洞。該機(jī)構(gòu)警告說(shuō)，羅克韋爾自動(dòng)化公司、alpitronic公司和臺(tái)達(dá)電子公司存在安全漏洞。此外，CISA還發(fā)布了羅克韋爾自動(dòng)化ControlLogix和GuardLogix的更新。

資料來(lái)源：http://en5pa.dwa2.sbs/LMs8VOu

物聯(lián)網(wǎng)攝像頭因可鏈接漏洞而暴露或致數(shù)百萬(wàn)人受到影響

5月16日，據(jù)媒體報(bào)道，Bitdefender的研究人員在ThroughTek的Kalay Platform中發(fā)現(xiàn)了4個(gè)安全漏洞(CVE-2023-6321-CVE-2023-6324)，該平臺(tái)廣泛用于物聯(lián)網(wǎng)(IoT)監(jiān)控設(shè)備，全球超過(guò)1億臺(tái)設(shè)備可能受到影響。這些漏洞包括允許以root用戶身份運(yùn)行系統(tǒng)命令、獲取根訪問(wèn)權(quán)限、泄露AuthKey密鑰以及推斷DTLS會(huì)話的預(yù)共享密鑰，從而允許攻擊者在本地網(wǎng)絡(luò)內(nèi)進(jìn)行未經(jīng)授權(quán)的root訪問(wèn)，甚至遠(yuǎn)程執(zhí)行代碼。

資料來(lái)源：https://www.hackread.com/iot-cameras-exposed-by-chainable-exploits/

Tinyproxy嚴(yán)重漏洞導(dǎo)致超過(guò)50,000臺(tái)主機(jī)可以遠(yuǎn)程執(zhí)行代碼

5月6日，據(jù)媒體報(bào)道，90,310臺(tái)主機(jī)中超過(guò)50%被發(fā)現(xiàn)在互聯(lián)網(wǎng)上暴露了Tinyproxy服務(wù)，該服務(wù)容易受到HTTP/HTTPS代理工具中未修補(bǔ)的嚴(yán)重安全漏洞的影響。根據(jù)Cisco Talos，該問(wèn)題的編號(hào)為CVE-2023-49606，CVSS評(píng)分為 9.8分，該問(wèn)題將其描述為影響版本1.10.0和1.11.1的釋放后使用錯(cuò)誤。

資料來(lái)源：https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html