打开微信扫一扫
一、 近期网络与信息安全风险提示
(一)警惕利用组件未授权问题进行的渗透攻击。云南互联网应急中心接报大量涉及 Swagger 及 Spring Boot 两类框架的未授权问题,由于其应用广泛,涉及信息系统数量较多,涉及单位行业类型较广,多数报送事件不存在进一步利用的空间,直接影响较小,涉事单位往往会忽视此类问题不及时进行处置,但在部分特定攻击场景下,攻击者可能通过未授权页面窃取信息或发动进一步攻击,获取服务器控制权限。如攻击者可以通过 Swagger 未授权页面访问对应 API 文档,在相关接口未作访问限制的情况下,执行遍历查询操作及下载任意文件,窃取个人信息或业务数据;在特定 Spring Boot 应用场景下,可能存在泄露数据库配置信息,存在反序列化漏洞等问题,攻击者可利用上述漏洞突破边界防护和执行内网横向渗透,造成严重影响。
(二)注意防范 Spring Blade 相关漏洞利用攻击。近期,省内有个别单位遭到 Spring Blade 漏洞利用攻击,经初步分析研判,攻击者使用的漏洞疑似为 Spring Blade 安全模式绕过漏洞( CNVD-2023-59172 ),攻击者可利用公开签名密钥伪造 JWT (令牌)调用口令重置的接口修改口令,进而直接登录管理后台,获取控制权限。该漏洞还可能与 Spring Blade 前期曝出的 SQL 注入漏洞进行组合攻击,窃取信息或上传恶意文件,
建议各单位做好自查工作,参照官方指导升级至安全版本,避免遭到探测攻击。
二、近期国内外网络安全事件
(一)法国太空和国防供应商 Exail 遭黑客攻击,泄露大量敏感信息。近日,法国高科技工业集团 Exail 泄露了一个可公开访问的环境( .env )文件,其中包含数据库凭据,攻击者可能因此访问了它的数据库。但该问题现已得到修复。 Exail Technologies 是一家高科技制造商,成立于 2022 年,由 ECA 集团和 iXblue 公司合并而成,专门从事机器人、海事、导航、航空航天和光子技术领域的业务,其客户包括美国海岸警卫队等,因此成为攻击者的重点目标。据该小组称, Exail 暴露的 .env 文件包含数据库凭据。如果数据库向公众开放,任何人都可随意访问,那么攻击者就可以利用这些凭据访问公司的数据,环境文件是计算机程序的指令集。因此,将该文件开放给任何人都可能暴露关键数据,并为威胁行为者提供一系列攻击选择。研究人员解释说:一旦进入数据库,攻击者就可以查看、修改或删除敏感数据,并执行未经授权的操作。据该小组称, Exail 的网络服务器版本和操作系统( OS )也受到了威胁,操作系统版本是指具有特定功能、配置、软件包和其他规格的独特系统版本。这类数据暴露会带来诸多安全隐患,不同的操作系统有特定的漏洞集,如未修补的安全漏洞、默认配置和已知弱点。如果恶意行为者知晓网络服务器上运行的操作系统类型和版本,他们就可以瞄准与操作系统相关的特定漏洞进行攻击。此外,带有已知操作系统的暴露网络服务器可能成为自动扫描工具、恶意软件和僵尸网络的攻击目标。一旦攻击者了解操作系统的流程,他们就可以集中精力寻找和利用与该操作系统相关的漏洞来访问服务器或破坏其安全性。攻击者还可以利用操作系统的特定弱点,对暴露的网络服务器发起 DDoS 攻击,进而中断服务器的正常运行。
(二) 890 所学校受影响!美国学生信息交换中心发生数据泄露。近日,美国非营利性教育机构全国学生信息交换中心( National Student Clearinghouse )近期披露一起数据泄露事件,全美 890 所使用其服务的学校受到影响。 Clearinghouse 为大约 22000 所高中和大约 3600 所高校提供教育报告、数据交换、验证和研究服务。数据泄露事件可以追踪到 2023 年 5 月 31 日, Clearinghouse 第三方软件供应商 Progress Software 向其通报,该供应商的 MOVEit 传输解决方案存在网络安全问题。得知这一问题后, Clearinghouse 立刻组织顶尖网络安全专家,迅速展开调查分析并与执法部门进行协调。最终发现被盗文件中包含的个人身份信息( PII )主要包括姓名、出生日期、联系信息、社会保险号、学生证号和一些与学校相关的记录(如注册记录、学位记录和课程数据)。 Clearinghouse 在提交给加州总检察长办公室的一份数据泄露通知函中表示网络攻击者于 5 月 30 日访问了其 MOVEit 托管文件传输( MFT )服务器,并窃取包含大量数据信息的文件。此外,从 Clearinghouse 发布的数据泄露通知函可以得知,受影响的学校在攻击中暴露的数据各不相同。
(三)美国政府发出 Snatch 勒索软件警告。近日,美国当局发布了一份新的网络安全公告,介绍了 Snatch 勒索软件即服务( RaaS )组织使用的最新战术、技术和程序( TTPs )。网络安全和基础设施安全局( CISA )和联邦调查局解释说,虽然 Snatch 于 2018 年首次出现,但自 2021 年以来一直在学习借鉴其他勒索软件的技术,现已发展“壮大”。该勒索软件采用了经典的双重勒索“玩法”,如果受害者不付钱,就会将其详细信息发布到泄密网站上。据观察, Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据,试图进一步利用受害者支付赎金,以避免他们的数据被发布在 Snatch 的勒索博客上。该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问,俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接,从而获得持久性。此外,公告中还提到,附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现,有时会在受害者网络内花费长达三个月的时间。他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。该报告解释说, Snatch 攻击者使用一种定制的勒索软件变体,可以将设备重新启动到安全模式,使勒索软件能够绕过反病毒或端点保护的检测,然后在很少有服务运行时对文件进行加密。受害组织来自多个关键基础设施领域,包括国防工业基地( DIB )、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示,在过去的 12 至 18 个月时间里, Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责,其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。