安全热点周报:本周新增四个在野利用漏洞,企业安全面临新威胁
安全资讯导视
• 自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》
• 美国白宫发布《联邦风险和授权管理计划现代化》备忘录
• 史上最高!一财富50强企业向勒索软件支付了超5.4亿元赎金
PART 0****1
新增在野利用
**1.**VMware ESXi 身份认证绕过漏洞(CVE-2024-37085)
7月 30 日,微软警告称,勒索软件团伙正在积极利用 VMware ESXi 身份认证绕过漏洞进行攻击。该漏洞编号为CVE-2024-37085,属于中等严重程度的安全漏洞,由微软安全研究人员 Edan Zwick、Danielle Kuznets Nohi 和 Meitar Pinto 发现,并于 6 月 25 日发布 ESXi 8.0 U3 版本修复。
该漏洞使攻击者能够将新用户添加到他们创建的“ESX 管理员”组中,该用户将自动被分配 ESXi 管理程序的完全管理权限。
虽然攻击成功需要对目标设备和用户交互具有很高的权限,但微软表示,有几个勒索软件团伙利用这一点来升级到加入域的虚拟机管理程序的完全管理员权限。这使得他们能够窃取托管虚拟机上存储的敏感数据、通过受害者的网络横向移动并加密 ESXi 虚拟机管理程序的文件系统。
微软已经确定了至少三种可用于利用 CVE-2024-37085 漏洞的策略,包括:1.将“ESX Admins”组添加到域并添加用户;2.将域中的任何组重命名为“ESX 管理员”,并将用户添加到该组或使用现有组成员;3.ESXi 虚拟机管理程序权限刷新(分配其他组管理员权限不会将其从“ESX 管理员”组中删除)。
到目前为止,该漏洞已被 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 的勒索软件运营商在野利用,这些攻击导致了 Akira 和 Black Basta 勒索软件的部署。例如,Storm-0506 利用 CVE-2024-37085 漏洞提升权限后,在北美一家工程公司的 ESXi 虚拟机管理程序上部署了 Black Basta 勒索软件。
多年来,针对组织 ESXi 虚拟机管理程序的攻击趋势日益增长。由于 ESXi 虚拟机 (VM) 具有高效的资源处理能力,许多企业开始使用它们来托管关键应用程序和存储数据,因此勒索软件组织开始将目标锁定在它们身上。发生这种情况的原因是,关闭 ESXi VM 可能会导致严重中断并扰乱业务运营,同时加密存储在虚拟机管理程序上的文件和备份,严重限制受害者恢复数据的选项。
参考链接:
2.ServiceNow UI Jelly模板注入漏洞(CVE-2024-4879)
&ServiceNow Glide表达式注入漏洞(CVE-2024-5217)
7月 29 日,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加ServiceNow UI Jelly模板注入漏洞(CVE-2024-4879)、ServiceNow Glide表达式注入漏洞(CVE-2024-5217),ServiceNow的Jelly模板和Glide表达式由于输入验证不严格,存在注入漏洞。这些漏洞可以被未经身份验证的攻击者通过构造恶意请求利用,在ServiceNow中远程执行代码。
黑客利用公开的漏洞串联 ServiceNow 漏洞,对政府机构和私营公司实施数据窃取攻击。这一恶意活动由 Resecurity 报告,经过一周的监控,该公司发现了多个受害者,包括政府机构、数据中心、能源供应商和软件开发公司。尽管该供应商于 2024 年 7 月 10 日发布了针对这些漏洞的安全更新,但数以万计的系统仍然可能容易受到攻击。
ServiceNow 是一个基于云的平台,可帮助组织管理企业运营的数字工作流程。它被广泛应用于各个行业,包括公共部门组织、医疗保健、金融机构和大型企业。FOFA 互联网扫描返回了近300,000 个互联网暴露实例,反映了该产品的受欢迎程度。
2024 年 7 月 10 日,ServiceNow 发布了针对 CVE-2024-4879 的修补程序,这是一个严重的输入验证漏洞,允许未经身份验证的用户在 Now Platform 的多个版本上执行远程代码执行。第二天,即 7 月 11 日,发现该漏洞的 Assetnote 研究人员发表了有关 CVE-2024-4879 以及 ServiceNow 中的另外两个漏洞(CVE-2024-5178 和 CVE-2024-5217)的详细说明,这些漏洞可以串联起来以实现完整的数据库访问。
Resecurity 报告称,GitHub 上就充斥着基于 CVE-2024-4879 的写入和批量网络扫描程序的有效漏洞,黑客立即利用这些漏洞来查找漏洞实例。Resecurity 发现的正在进行的攻击利用有效载荷注入来检查服务器响应中的特定结果,然后使用第二阶段有效载荷来检查数据库内容。如果成功,攻击者将转储用户列表和帐户凭据。Resecurity 表示,在大多数情况下,这些都是散列的,但一些被攻破的实例暴露了明文凭据。
Resecurity 发现地下论坛上关于 ServiceNow 漏洞的讨论日益增多,尤其是那些寻求访问 IT 服务台和公司门户的用户,这表明网络犯罪社区对此有很高的兴趣。
建议用户尽快升级最新版本,并确保已在所有实例上应用补丁,如果尚未应用,请尽快执行。
参考链接:
**3.**Acronis Cyber Infrastructure 远程命令执行漏洞(CVE-2023-45249)
7 月 29 日,CISA 警告称,Acronis Cyber Infrastructure 远程命令执行漏洞(CVE-2023-45249)正在被攻击积极利用。
Acronis 警告客户修补一个严重的网络基础设施安全漏洞,Acronis Cyber Infrastructure (ACI) 允许未经身份验证的用户由于使用默认密码而远程执行命令。
Acronis Cyber Infrastructure (ACI) 是一个统一的多租户网络保护平台,结合了远程端点管理、备份和虚拟化功能。它还旨在运行灾难恢复工作负载并安全地存储企业备份数据。未经身份验证的攻击者可以利用此漏洞以低复杂度攻击的方式进行攻击,不需要用户交互即可在未修补的 ACI 服务器上执行远程代码。
本周早些时候,该公司在一份新的安全公告中证实该漏洞已被利用进行攻击,并警告管理员尽快升级至补丁版本。
Acronis表示:”此更新包含针对 1 个严重安全漏洞的修复,所有用户应立即安装。据了解,此漏洞已被广泛利用。”保持软件更新对于维护 Acronis 产品的安全性非常重要。有关支持和安全更新可用性的指南,请参阅Acronis 产品支持生命周期。
要检查您的服务器是否存在漏洞,您可以通过进入软件主窗口的帮助->关于对话框来找到 Acronis Cyber Infrastructure 的内部版本号。
参考链接:
PART 0****2
安全事件
1.美国重要血液中心遭勒索攻击,数百家医院启动“血液短缺”应急程序
7月31日The Record消息,因勒索软件攻击关闭部分系统,美国大型血液中心OneBlood的运营能力骤降。OneBlood发布声明称,“为了维持运转,我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间,还会影响库存可用性。为了进一步管理血液供应,我们已要求250多家接受我们服务的医院启动关键的血液短缺程序,并在一段时间内保持该状态。”OneBlood表示,目前正在与网络安全专家以及联邦和州官员合作解决这一危机。OneBlood向美国东南部多个州的数百家医院提供血液及其他医疗物资。
原文链接:
https://therecord.media/ransomware-attack-blood-center-shortage-protocols-hospitals
2.史上最高!一财富50强企业向勒索软件支付了超5.4亿元赎金
7月30日The Stack消息,美国安全厂商Zscaler发布报告称,2024年初发现一家财富50强企业向勒索软件团伙Dark Angels支付了7500万美元(约合人民币5.42亿元)。Zscaler未透露受害者的名字,加密货币情报公司Chainalysis在社交平台上证实了这一消息。成功索要赎金的黑暗天使一跃成为今年最值得关注的勒索软件团伙。这一金额是此前公开报道的勒索软件赎金最高记录的近两倍。2021年3月,美国保险巨头CNA Financial遭受勒索软件攻击后被迫支付4000万美元(约合人民币2.89亿元)。
原文链接:
https://www.thestack.technology/worlds-largest-ever-ransomware-payment-zscaler/
PART 0****3
政策法规
1.《标识密码认证系统密码及其相关安全技术要求》等2项国家标准公开征求意见
8月2日,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 标识密码认证系统密码及其相关安全技术要求》和《数据安全技术 数据接口安全风险监测方法》现已形成标准征求意见稿,现公开征求意见。其中,前者规定了标识密码认证系统的系统组成架构,及其密钥生成、管理以及公开参数查询等服务的技术要求,适用于标识密码认证系统的设计、开发、使用和检测。后者给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点,适用于指导各类组织开展的数据接口安全风险监测活动。
原文链接:
https://mp.weixin.qq.com/s/uSI6y61BTzVgruUkkKH9qA
2.欧盟《人工智能法案》正式生效
8月1日,欧盟《人工智能法案》于今日正式生效。该法案是全球首部全面监管人工智能的法规。欧盟介绍,制定《人工智能法案》的目的在于,在维护民主、人权和法治的同时,推动普及值得信赖的人工智能。根据使用方法而非技术本身造成的影响风险进行分类。风险分为四类,风险等级越高,管控越严格。其中,风险最高的情况包括:为唆使犯罪而利用人工智能技术操纵人的潜意识;使用高级监控摄像机等,将人脸识别等生物识别技术实时应用于犯罪搜查等。这些情况是被“禁止”的。第二高风险的情况包括:基于犯罪心理画像的犯罪预测、在入学考试和录用考试测评中应用人工智能。人类有义务保存和管理使用人工智能技术的历史记录。许多国家和地区正在制定人工智能管制规则,欧盟新规则可能为后来者提供重要借鉴。
原文链接:
https://www.secrss.com/articles/68782
3.两部门《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知》公开征求意见
8月1日,工业和信息化部装备工业一司联合市场监管总局质量发展局组织编制了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,现公开征求意见。该文件正文共4章10条,包括总体要求、加强组合驾驶辅助准入与召回管理、强化汽车软件在线升级协同管理、保障措施。该文件要求,企业要落实智能网联汽车产品质量和生产一致性、产品安全主体责任,持续确保汽车数据安全、网络安全、OTA升级、功能安全和预期功能安全等保障能力有效,严格履行OTA升级管理和备案承诺,以及事件事故报告要求。
原文链接:
4.自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》
7月26日,自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》。该文件共10条,包括依法开展智能网联汽车相关测绘活动,加强智能网联汽车涉测绘行为管理,严格涉密、敏感地理信息数据管理,从严审核把关导航电子地图,落实地理信息数据存储和出境要求,强化地理信息安全监管,鼓励地理信息安全应用探索,优化地理信息公共服务,营造安全发展的良好氛围,强化工作落实。
原文链接:
https://gi.mnr.gov.cn/202407/t20240729\_2853731.html
5.《中国人民银行关于进一步加强征信信息安全管理的通知》修订版公开征求意见
7月26日,中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》部分条款进行修改,起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告(征求意见稿)》,现公开征求意见。该文件要求加强征信信息查询管理,人工查询实现查审分离,自动查询要严格设置规则、专人管理,查得的数据要按照高敏感型数据进行全流程安全管理。该文件提出建立征信信息安全监管走访机制,根据监管走访情况由运行或接入机构调整其用户管理权限。
原文链接:
http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/5415235/2024072617193451112.pdf
6.美国白宫发布《联邦风险和授权管理计划现代化》备忘录
7月25日,美国白宫管理和预算办公室(OMB)发布《联邦风险和授权管理计划(FedRAMP)现代化》备忘录(M-24-15),以应对云市场变化和各机构对多样化任务交付的需求,推动联邦政府加速安全采用云服务。FedRAMP是美国联邦机构采用云服务必须遵守的安全合规项目。该备忘录从多个方面加强FedRAMP,从而改革云安全授权计划。包括规定FedRAMP需实现“严格审查”功能,并要求云服务提供商(CSPs)快速缓解任何安全架构中的弱点,以保护联邦机构免受最“突出的威胁”。应建立自动化流程,用于输入、使用并重用安全评估和审查,以减少参与者的负担,并加快云解决方案的实施进度等。
原文链接:
往期精彩推荐
安全热点周报:黑客利用 Twilio Authy 漏洞窃取数百万用户信息
安全热点周报:本周新增四个在野利用漏洞,Magento、SolarWinds等企业级应用受波及
CrowdStrike导致全球性IT基础设施中断事件分析报告
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
