普普每日安全資訊一周概覽(01.23—01.29)
?數字化轉型下的網(wǎng)絡(luò )安全與彈性在疫情肆虐的背景下�,網(wǎng)絡(luò )攻擊活動(dòng)日益猖獗�����。2020年底曝出的年度供應鏈APT攻擊事件中�����,美國眾多政府機構�、安全和IT公司淪陷�����。在日益復雜的網(wǎng)絡(luò )攻擊面前����,沒(méi)有任何機構可以幸免���。增強網(wǎng)絡(luò )彈性���,打造快速的恢復能力日益受到關(guān)注�。網(wǎng)絡(luò )安全策略的重點(diǎn)從攻擊預防轉變?yōu)樵鰪娋W(wǎng)絡(luò )彈性:既然入侵不能避免�,考慮維持業(yè)務(wù)正常運營(yíng)��,從攻擊中快速恢復過(guò)來(lái)才是更現實(shí)的選擇����。作為網(wǎng)絡(luò )安全行業(yè)的風(fēng)向標�,將于5月份舉辦的RSAC峰會(huì )宣布以“彈性(RESILIENCE)”作為今年大會(huì )的主題�。這表明網(wǎng)絡(luò )彈性已得到網(wǎng)絡(luò )安全產(chǎn)業(yè)界的共同關(guān)注����,將對網(wǎng)絡(luò )安全創(chuàng )新乃至信息化帶來(lái)越來(lái)越重要的影響��。由于網(wǎng)絡(luò )安全風(fēng)險的多樣性�����、復雜性和不可預見(jiàn)性����,保證網(wǎng)絡(luò )空間絕對的安全是不現實(shí)的�。因此���,網(wǎng)絡(luò )安全的工作重點(diǎn)逐漸從阻止網(wǎng)絡(luò )事故的發(fā)生轉向緩解事故帶來(lái)的危害���,網(wǎng)絡(luò )彈性的概念就出現了���。NIST SP 800-160(卷2)將網(wǎng)絡(luò )彈性定義為:預防����、抵御���、恢復和適應施加于含有網(wǎng)絡(luò )資源的系統的不利條件��、壓力����、攻擊或損害的能力�。網(wǎng)絡(luò )彈性的目的是使系統具有預防�、抵御網(wǎng)絡(luò )攻擊的能力����,以及在遭受網(wǎng)絡(luò )攻擊后能夠恢復和適應的能力�。實(shí)現網(wǎng)絡(luò )彈性的五個(gè)步驟:
1)了解資產(chǎn)����;2)了解供應鏈�;3)保持良好安全習慣���;4)制定恢復計劃��;5)開(kāi)展網(wǎng)絡(luò )攻擊演習���。
?2021年網(wǎng)絡(luò )安全預測:汽車(chē)黑客將成熱點(diǎn)網(wǎng)絡(luò )安全是難以預測的領(lǐng)域之一����,我們能做的是洞察攻擊方法的趨勢����、威脅態(tài)勢的變化����、了解新技術(shù)以及暗流涌動(dòng)的“網(wǎng)絡(luò )犯罪經(jīng)濟”���、提供關(guān)于未來(lái)的最佳“猜測”����。是的�����,雖然標題是預測�����,但以下更多只是猜測和“拋磚”���。我們整理了業(yè)界對2021年的幾個(gè)有代表性的預測:1���、勒索軟件“勇猛精進(jìn)”:根據預測��,到2021年��,企業(yè)將每11秒遭受一次勒索軟件攻擊���,每年所有加密貨幣交易中的70%以上將用于非法活動(dòng)�;持續攻擊醫療基礎設施可能會(huì )導致嚴重后果�����,2020年���,勒索軟件攻擊已經(jīng)制造了數個(gè)命案���,2021年�,更多人可能會(huì )因網(wǎng)絡(luò )攻擊死亡���。2��、零日攻擊與加密貨幣:針對流行操作系統和應用程序的零日攻擊仍會(huì )是一個(gè)大麻煩��。惡意行為者將故技重施��,出售漏洞利用程序的犯罪團伙將獲得高額回報��。加密貨幣仍然是一種“流通性”和隱蔽性很強的支付手段����。3�、汽車(chē)黑客“崛起”:以電動(dòng)汽車(chē)����、自動(dòng)駕駛和聯(lián)網(wǎng)汽車(chē)為代表的汽車(chē)數字化時(shí)代已經(jīng)到來(lái)���。2021新年��,特斯拉Model Y在中國市場(chǎng)10小時(shí)售出10萬(wàn)臺��。但很少有人注意到�,特斯拉也是安全漏洞賞金支出最高的汽車(chē)企業(yè)���。汽車(chē)產(chǎn)業(yè)數字化和智能化面臨的最大威脅是黑客攻擊����。與家用WiFi路由器和空調傳感器相比�����,汽車(chē)堪稱(chēng)高動(dòng)量的“大規模殺傷性武器”���,由數百萬(wàn)聯(lián)網(wǎng)冰箱和攝像頭組成的僵尸網(wǎng)絡(luò )���,可以癱瘓半個(gè)美國的互聯(lián)網(wǎng)����,但卻無(wú)法傷及一條人命�。但是大量聯(lián)網(wǎng)電動(dòng)汽車(chē)一旦成為網(wǎng)絡(luò )犯罪分子的獵物���,其后果不堪設想���。我們討論的將不再是物聯(lián)網(wǎng)安全或者消費者隱私問(wèn)題��,而是大規模的恐怖襲擊和創(chuàng )紀錄的勒索贖金�����。2021年�����,我們很可能看到針對自動(dòng)駕駛系統的多種形式的攻擊��。4����、內部威脅風(fēng)險加大:無(wú)論是“刪庫跑路”還是接受賄賂或泄露賬戶(hù)信息�����,內部威脅風(fēng)險將加大�����。這里所說(shuō)的內部����,還包括那些能夠訪(fǎng)問(wèn)內部系統的合作伙伴�。因為越來(lái)越多的攻擊者開(kāi)始選擇從供應鏈中的薄弱環(huán)節�����,例如規模較小安全能力不成熟的企業(yè)入手���,進(jìn)而攻擊上游或下游企業(yè)���。5����、5G打開(kāi)安全威脅的潘多拉盒子:5G網(wǎng)絡(luò )引入的新的網(wǎng)絡(luò )關(guān)鍵技術(shù)����,一定程度上帶來(lái)了新的安全威脅和風(fēng)險�。就汽車(chē)安全而言����,我們討論的將不再是物聯(lián)網(wǎng)安全或者消費者隱私問(wèn)題���,而是大規模的恐怖襲擊和創(chuàng )紀錄的勒索贖金���。
?QQ讀取瀏覽器歷史記錄 這個(gè)鍋就不要再甩了1月17日�����,某論壇流出消息:“QQ會(huì )讀取網(wǎng)頁(yè)瀏覽器的歷史記錄”�����。隨后�����,該內容被鏈接到知乎上提問(wèn)�����,引發(fā)廣泛關(guān)注�����。事情曝出后���,騰訊QQ在其知乎官方號上做出回應:近日���,我們收到外部反饋稱(chēng)PC QQ掃描讀取瀏覽器歷史記錄���。對此��,QQ安全團隊高度重視并展開(kāi)調查���,發(fā)現PC QQ存在讀取瀏覽器歷史用以判斷用戶(hù)登錄安全風(fēng)險的情況����,讀取的數據用于在PC QQ的本地客戶(hù)端中判斷是否惡意登錄��。所有相關(guān)數據不會(huì )上傳至云端���,不會(huì )儲存���,也不會(huì )用于任何其他用途�。同時(shí)騰訊做出道歉:對本次事件�����,我們深表歉意���,內部正梳理歷史問(wèn)題并強化用戶(hù)數據訪(fǎng)問(wèn)規范����。目前�,已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險問(wèn)題���,并發(fā)布全新的PC QQ版本���。事件爆出后����,陸續也有程序員進(jìn)行復現��,發(fā)現QQ讀取瀏覽器歷史的行為包括:讀取瀏覽器瀏覽歷史�,對讀取到的url進(jìn)行md5����,并在本地進(jìn)行比較���,在md5匹配的情況下��,上傳相應分組ID����。其實(shí)����,很多App都存在越權訪(fǎng)問(wèn)的問(wèn)題���,而大數據時(shí)代下的安全問(wèn)題也非一朝一夕可以攻克的���。不過(guò)��,我們還是希望企業(yè)可以重視隱私保護問(wèn)題���,為中國創(chuàng )造大數據時(shí)代下的一片凈土��。
?Windows 10又現詭異Bug:使用Chrome瀏覽器訪(fǎng)問(wèn)特定路徑立即藍屏這些年來(lái)Windows 10出現了很多的詭異Bug����。例如�,就在前幾天��,我們報道過(guò)一個(gè)可能會(huì )破壞硬盤(pán)驅動(dòng)器的錯誤����。現在�����,一個(gè)導致Windows崩潰的bug的細節已經(jīng)出現�,但微軟似乎并不急于修復它����。這個(gè)錯誤是由之前發(fā)現NTFS缺陷的同一位安全研究員Jonas Lykkegaard發(fā)現的����。他發(fā)現通過(guò)訪(fǎng)問(wèn)Chrome瀏覽器中的某個(gè)路徑��,Windows10會(huì )以BSoD(藍屏死機)的方式崩潰����。盡管Lykkegaard早在幾個(gè)月前就公開(kāi)了該漏洞的細節��,但微軟仍未拿出修復方案��。BSoD漏洞非常容易執行���,目前還不知道該漏洞的全部后果�。Lykkegaard發(fā)現�,使用Chrome訪(fǎng)問(wèn)路徑\.\globalroot\device\condrv\kernelconnect會(huì )導致Windows 10中的BSoD崩潰���。BleepingComputer進(jìn)行的測試顯示��,從Windows 10版本1709一直到20H2的每一個(gè)版本的Windows 10中都可以發(fā)現這個(gè)bug�,很大可能也影響舊版本���。雖然像這樣簡(jiǎn)單的崩潰可能看起來(lái)相當無(wú)害�,但它是一些可以被攻擊者利用以掩蓋其他活動(dòng)���,或阻止受害者使用他們的計算機����。這個(gè)錯誤甚至可以通過(guò)簡(jiǎn)單地給受害者發(fā)送一個(gè)指向問(wèn)題路徑的快捷方式文件來(lái)觸發(fā)����。在給BleepingComputer的一份聲明中�����,微軟表示��。'微軟有客戶(hù)承諾調查報告的安全問(wèn)題��,我們將盡快為受影響的設備提供更新'��。盡管有這樣的承諾��,但沒(méi)有跡象表明相當何時(shí)可能提供修復�。
生命中只有三件事無(wú)可避免:死亡����、稅收和云安全漏洞�����。如今整個(gè)世界都已經(jīng)開(kāi)始往云端遷移����,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固��。事實(shí)上����,云安全問(wèn)題之所以持續發(fā)作��,自有其難言之隱����。在高度動(dòng)態(tài)的云環(huán)境中管理風(fēng)險和漏洞并不容易���。而企業(yè)加速遷移(尤其是疫情期間)到公共云�,建立數字化競爭優(yōu)勢的迫切需求進(jìn)一步放大了這種風(fēng)險����。更加糟糕的是�����,很多安全團隊使用的實(shí)踐方法����、政策和工具���,尤其是漏洞管理�����,通常是本地計算占主導地位的時(shí)代的產(chǎn)物��,已經(jīng)無(wú)法適應“云優(yōu)先”和“云原生”環(huán)境����。最根本的問(wèn)題在于云環(huán)境中傳統漏洞管理方法的局限性是顯而易見(jiàn)的�����。云環(huán)境通常是高度動(dòng)態(tài)且短暫的��,容器的平均壽命僅為數小時(shí)�����。通過(guò)諸如漏洞掃描之類(lèi)的常規工具來(lái)保護容器是困難的�����,有時(shí)甚至是不可能的�����。由于存在周期太短�,掃描程序通常無(wú)法識別容器��。更復雜的是����,即便掃描工具能夠識別正在運行的容器����,通常也無(wú)法提供任何評估方法���。如果沒(méi)有IP地址或SSG登錄��,則無(wú)法運行憑據掃描��。如果我們想降低重大云安全事件的數量和損失���,就必須創(chuàng )建一個(gè)能夠真實(shí)反映組織所面臨的實(shí)際安全挑戰的漏洞管理流程����。選擇適當的工具只是實(shí)現這一目標的重要步驟之一��。
網(wǎng)絡(luò )安全專(zhuān)家稱(chēng)����,SolarWinds Orion網(wǎng)絡(luò )管理平臺遭受的攻擊是針對美國政府網(wǎng)絡(luò )和很多大型公司數據基礎架構的最嚴重黑客攻擊之一���。該攻擊于2020年12月發(fā)現�����,該供應鏈攻擊影響著(zhù)多個(gè)美國聯(lián)邦政府機構��,包括商務(wù)部����、能源部和國土安全部門(mén)�����。此次攻擊的消息迫使思科和微軟等大型上市公司加強網(wǎng)絡(luò )分析活動(dòng)��,以便及時(shí)識別和緩解異常情況���,避免中斷運營(yíng)��。在此次攻擊曝光后��,SolarWinds宣布對其Orion平臺進(jìn)行更新���,攻擊該平臺等惡意軟件名為Supernova����。根據SolarWinds的調查���,攻擊者通過(guò)利用Orion平臺中的漏洞來(lái)部署惡意軟件��,大約有18,000個(gè)客戶(hù)受此攻擊影響���。為了應對SolarWinds的黑客攻擊��,這些公司需要部署Orion更新�����,并仔細檢查其網(wǎng)絡(luò )的各個(gè)方面�����,以識別惡意軟件在何處啟動(dòng)��。調查人員在研究該惡意軟件攻擊時(shí)��,發(fā)現稱(chēng)為Sunburst的后門(mén)程序�,該后門(mén)程序使黑客能夠接收有關(guān)受感染計算機的報告�。然后��,黑客利用這些數據來(lái)確定要進(jìn)一步利用的系統��。企業(yè)必須采取措施�����,以確保網(wǎng)絡(luò )外圍安全���、信息系統和數據安全����,并且����,企業(yè)應將網(wǎng)絡(luò )保護和網(wǎng)絡(luò )安全視為關(guān)鍵任務(wù)����。
近日���,Qualys研究小組發(fā)現了sudo中一個(gè)隱藏了十年的堆溢出漏洞(CVE-2021-3156�����,命名:Baron Samedit)�,包括Linux在內的幾乎所有Unix主流操作系統都存在該漏洞�。通過(guò)利用此漏洞�,任何沒(méi)有特權的用戶(hù)都可以使用默認的sudo配置在易受攻擊的主機上獲得root特權(無(wú)需密碼)��。Sudo是一個(gè)功能強大的實(shí)用程序�����,大多數(如果不是全部)基于Unix和Linux的操作系統都包含Sudo�����。它允許用戶(hù)使用其他用戶(hù)的root權限運行程序�。Qualys發(fā)現的這個(gè)sudo提權漏洞已經(jīng)隱藏了將近十年����,它于2011年7月在一次提交中被引入(提交8255ed69)���,在默認配置下會(huì )影響從1.8.2到1.8.31p2的所有舊版本���,以及從1.9.0到1.9.5p1的所有穩定版本�����。通過(guò)利用該漏洞���,任何沒(méi)有特權的(本地)用戶(hù)都可以在易受攻擊的主機上獲得root特權�����。Qualys安全研究人員已經(jīng)能夠獨立驗證漏洞并開(kāi)發(fā)多種利用形式�����,并在Ubuntu 20.04(Sudo 1.8.31)�、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上獲得完整的root用戶(hù)特權�����。其他操作系統和發(fā)行版也可能會(huì )被利用�。該sudo漏洞于2011年的一次提交引入����,已達10年之久�����,考慮到sudo的普遍性以及該漏洞容易被利用�����,該漏洞應該屬于高危評級的�,建議用戶(hù)盡快加載補丁��。