日前，网络安全公司Zscaler的 ThreatLabz研究团队编写发布了《2023年加密攻击态势调查报告》，报告数据显示，目前85.9%的网络威胁是通过加密通道发起的，包括恶意软件、数据窃取和网络钓鱼攻击。更重要的是，许多加密攻击使用了合法的、受信任的加密隧道服务来托管恶意负载，这使得对这些攻击的检测和防范变得更具挑战性。

利用加密隧道攻击的10种类型

现代企业面临了诸多挑战，使他们无法大规模扫描所有的SSL/TLS流量，从而导致许多攻击可以在不被发现的情况下通过。为了加强加密隧道中的数字安全防御能力，企业应该首先了解攻击者会如何利用加密隧道发起攻击，以下总结了攻击者恶意利用加密隧道的常见类型。

1 中间人攻击（MitM）

在MitM攻击中，攻击者会拦截并可能更改流经隧道的数据。2014年发生了一起引人注目的事件，当时某大型计算机设备制造商在所有生产的电脑上安装了Superfish视觉搜索广告软件。这使得攻击者可以在加密的网页上创建和部署广告，并通过修改SSL证书来添加自己的广告。为了缓解这种威胁，需要实施强大的身份验证机制和定期更新加密协议。

2 端点漏洞利用

加密隧道的安全性很大程度上取决于它所连接的端点设备。如果连接到隧道的端点设备被破坏，就可以作为恶意活动的入口点。一个典型的例子是2017年发生的Equifax数据泄露事件，该公司网络中的端点设备受到攻击，导致敏感的消费者数据暴露。该事件强调了定期安全审计、补丁管理和端点保护措施的重要性。

3 弱加密算法破解

加密算法的强度会直接影响加密隧道抵御攻击的能力。过时或弱的加密算法很容易受到暴力破解攻击。2015年的“Logjam”漏洞九凸显了弱加密算法的风险，导致了包括政府门户网站在内的数百个网站沦为被攻击者秘密窃听的对象。为了应对此类威胁，企业组织应该跟上行业发展趋势，采用更强大的加密方法。

4 内部威胁

具有恶意企图的内部攻击者同样会对加密隧道使用构成重大风险。有权访问加密隧道的雇员或承包商可能会滥用他们的特权。2018年，由于缺乏可靠的访问管理机制，思科公司的云基础设施就陷入被非法访问的危机。一名恶意的前雇员利用这些弱点访问了基础设施并部署了恶意代码。企业组织要想缓解内部威胁，就需要实现严格的访问控制、进行定期审计和培养具有安全意识的文化。

5 拒绝服务（DoS）攻击

虽然加密隧道侧重于数据机密性，但可用性同样至关重要。DoS攻击是指向系统发送大量流量，使其资源不堪重负，从而破坏加密隧道的功能。2012年，针对美国六大银行机构的DDoS攻击严重破坏了其在线服务，这一事件凸显了数字漏洞和网络攻击的潜在影响。为了增强加密隧道抵御DoS攻击的弹性，组织可以采用流量过滤、负载平衡和冗余基础设施。

6 IPsec隧道利用

IPsec作为安全VPN的基石，也很可能成为网络入侵者的诱人目标。在入侵过程中，攻击者可以利用IPsec隧道两侧的专有硬件设备，这也再次强调了加强VPN端点安全的重要性。因此很明显，组织需要增强安全协议并严格监控IPsec隧道，实现入侵检测系统（IDS）和定期更新安全配置都是非常有效的措施。

7 VPN隧道隐秘侦察

对很多大型组织来说，其所使用的Site-to-Site VPN隧道可能会为攻击者进行网络侦察提供隐蔽的路线。2019年，攻击者就成功通过Site-to-Site VPN对一家跨国公司进行了隐秘的网络侦察，这凸显了企业组织对VPN隧道中的侦察活动缺乏定期检查的现实。为了防止网络间谍活动的隐蔽路线，组织应该实施强大的流量监控和记录系统。定期分析日志和采用入侵防御系统（IPS）可以帮助识别和阻止潜在的威胁。

8 SSH隧道隐形攻击

SSH隧道是为安全数据传输而设计的，但其创建安全隧道的作用同样吸引了攻击者的关注。被破坏的SSH隧道可能成为攻击者开展非法行动的途径。组织应该实现强大的身份验证机制，定期更新SSH配置，并对SSH流量进行实时监控。持续检查SSH隧道（包括跟踪用户活动和审计访问日志）对于检测和缓解潜在的安全漏洞至关重要。

9 TLS/SSL隧道身份操纵

通常用于保护web交易的TLS/SSL隧道可能成为身份操纵的“帮凶”。攻击者可能会采用中间人之类的策略，利用虚假身份，这也强调了持续对访问者身份进行审查的必要性。此外，实现强大的证书管理实践、定期更新SSL/TLS协议和使用web应用程序防火墙（WAF）也都是必不可少的步骤。

10 加密网络钓鱼

网络钓鱼者会利用TLS/SSL隧道使用被盗证书来创建欺骗性网站。当攻击者操纵SSL/TLS隧道时，HTTPS会话中的信任会变得脆弱，需要采取主动措施和定期验证。近年来，利用加密隧道的网络钓鱼攻击不断发展。在2021年的“DarkTequila”活动中，网络犯罪分子巧妙地利用TLS加密连接来掩盖其恶意活动。通过部署带有被盗SSL证书的欺骗性网站，攻击者成功地锁定了用户的敏感信息。这个例子强调了实施主动措施以防止加密网络钓鱼攻击的紧迫性。

加密隧道攻击防护建议

如上所见，攻击者会在攻击链的多个阶段利用加密隧道：从通过VPN等工具获得初始入口，到通过网络钓鱼攻击建立立脚点，再到通过域控制器横向移动并泄露数据。因此，企业组织应该详细规划阻止加密威胁的机制，并在攻击链的每个阶段采取合适的控制措施。以下是Zscaler安全研究人员给出的加密隧道攻击防护建议：

01 使用零信任架构检查所有的加密流量

阻止加密攻击的关键在于能够大规模扫描所有的加密流量和内容，同时又不影响网络的运行性能。基于最小特权原则，零信任架构会根据身份、上下文和业务策略直接代理用户和应用程序之间的连接——而不是底层网络。因此，无论用户消耗多少带宽，所有加密的流量和内容都可以通过统一的架构，对来自每个用户的每个数据包进行无限规模的SSL/TLS检查。除此之外，用户和应用程序的直接连接，使得将应用程序流量分割到高度精细的用户集变得更加容易，从而消除了传统扁平网络中通常存在的横向移动风险。

02 最小化企业网络攻击面

所有IP地址或面向互联网的资产（包括企业应用程序和工具，如VPN和防火墙）都是可发现的，容易受到威胁行为者的攻击。破坏这些资产是网络犯罪分子获取立足点的第一步，随后他们会从传统网络横向移动到关键的应用程序。

因此，企业需要做好攻击面管理工作，尽可能地在互联网上隐藏各种应用程序，或将它们置于云安全代理之后，这样只有经过身份验证的用户才能访问它们。通过清除大量的外部攻击面，企业可以防止应用系统被威胁行为者发现，并从一开始就阻止许多加密攻击的发生。

03 利用体系化的威胁防护技术

企业可以使用许多工具来阻止加密威胁，其中分层防御是最好的防护理念。关键的是，这些防御措施应该是相互关联的，以便安全工具在加密流量实际交付之前检测到恶意有效负载。

有许多核心技术可以构成最佳实践防御。其中包括具有ML功能的内联沙箱，它允许组织立即、实时地隔离、阻止和引爆可疑文件和零日威胁，而不会影响业务。此外，云IPS、URL过滤、DNS过滤和浏览器隔离等技术结合起来也能够为企业提供针对加密威胁的有效防护。

04 采取多层策略保护数据安全

企业在阻止加密攻击时，还必须有效保护其网络数据的流通和使用，以防止网络犯罪分子窃取数据。如上所述，威胁行为者经常使用“受信任的”加密隧道来托管恶意的有效载荷和泄露的数据。如果不扫描出站SSL/TLS流量和内联内容，企业将很难知道这种情况正在发生。与其他类型的威胁预防措施一样，企业也应该采取多层方法来保护其数据。作为最佳实践，企业应该寻找像内联DLP这样的功能，它可以检查所有数据通道中的SSL/TLS内容，如SaaS应用程序、端点、电子邮件、私有应用程序，甚至云上的安全态势。

原文链接：

https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/

Demystifying Threats in Encrypted Tunnels: What You Need to Know

https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

01 漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。libvpx是开源的视频编解码器库，可以同时支持VP8和VP9视频编码。

漏洞描述

近日，奇安信CERT监测到Google 发布公告Google Chrome V8越界访问漏洞(CVE-2024-0519)存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而获取敏感信息或应用程序崩溃。

目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

Google Chrome(Windows) < 120.0.6099.224/225

Google Chrome(Mac) < 120.0.6099.234

Google Chrome(Linux) < 120.0.6099.224

其他受影响组件

无

03 处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

04 参考资料

[1]https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

安全内参1月8日消息，Kyber密钥封装机制（KEM）的多款实现工具都存在KyberSlash缺陷。如遭到利用，将可被用来恢复密钥。

CRYSTALS-Kyber是量子安全算法Kyber密钥封装机制的官方实现工具，是 CRYSTALS（代数格密码套件）算法套件的一部分。它专为通用加密而设计，是美国国家标准与技术研究院（NIST）选出的旨在抵御量子计算机发动攻击的推荐算法。

一些热门应用使用了Kyber实现工具，比如Mullvad VPN、Signal Messenger。后者去年宣布采用CRYSTALS-Kyber KEM作为额外层。攻击者必须突破该层才能计算保护用户通信的密钥。

KyberSlash攻击是什么？

KyberSlash缺陷攻击是基于时间的攻击。攻击者利用Kyber在解封装过程中某些除法操作的执行方式，从而分析执行时间并推导可能损害加密的密钥。

如果一个实施 Kyber 的服务允许多个操作请求同一密钥对，攻击者可以测量时间差并逐渐推算出密钥。

Cryspen的研究人员Goutam Tamvada、Karthikeyan Bhargavan和Franziskus Kiefer，发现了造成KyberSlash漏洞（KyberSplash1和KyberSplash2）的问题代码片段。Cryspen是一家专门提供验证工具和经数学证明的软件供应商。

研究人员在在树莓派系统上演示KyberSlash1。他们尝试了三次，有两次根据解密时间恢复了Kyber的密钥。

修复工作正在进行

Cryspen分析人员于2023年11月底发现了KyberSlash1漏洞，并向Kyber的开发人员报告了这一问题。后者于12月1日推出了KyberSlash1的补丁。

然而，这项修复并未被标记为安全问题。直到12月15日，Cryspen才采取更加公开的方式，开始逐个通知受影响的项目升级Kyber实现工具。

12月30日，Prasanna Ravi和Matthias Kannwischer发现KyberSlash2漏洞，并负责任地进行了报告。随后，该漏洞得到修复。

截至2024年1月2日，确定受影响的项目及修复状态如下：

pq-crystals/kyber/ref – 已全面修复

symbolicsoft/kyber-k2so – 已全面修复

aws/aws-lc/crypto/kyber主分支– 已全面修复

zig/lib/std/crypto/kyber_d00.zig – 已全面修复

liboqs/src/kem/kyber – 仅修复KyberSlash1漏洞

aws/aws-lc/crypto/kyber, fips-2022-11-02 branch – 仅修复KyberSlash1漏洞

randombit/botan – 仅修复KyberSlash1漏洞

mupq/pqm4/crypto_kem/kyber – 仅修复KyberSlash1漏洞

antontutoveanu/crystals-kyber-javascript – 未修复

Argyle-Software/kyber – 未修复

debian/src/liboqs/unstable/src/kem/kyber – 未修复

kudelskisecurity/crystals-go – 未修复

PQClean/PQClean/crypto_kem/kyber/aarch64 – 未修复

PQClean/PQClean/crypto_kem/kyber/clean – 未修复

rustpq/pqcrypto/pqcrypto-kyber（Signal 使用）– 未修复

另外，以下库不含需要输入密钥的除法操作，因此被标记为未受影响：

boringssl/crypto/kyber

filippo.io/mlkem768

formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/avx2

formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/ref

pq-crystals/kyber/avx2

pqclean/crypto_kem/kyber/avx2

最坏的情况是密钥发生泄露，但这并不意味着所有使用Kyber的项目都容易泄露密钥。

KyberSlash漏洞的后果取决于具体的Kyber实现工具，可能因实际用例和额外安全措施而有所不同。

例如，Mullvad表示KyberSlash不会影响其VPN产品，因为他们为每个新隧道连接使用唯一密钥对。这样，攻击者无法对同一对密钥发动一系列时间攻击。

外媒BleepingComputer已联系Signal，希望了解KyberSlash漏洞对其加密和用户通信的实际影响以及该项目的纠正计划，但目前尚未获得评论。

参考资料：https://www.bleepingcomputer.com/news/security/kyberslash-attacks-put-quantum-encryption-projects-at-risk/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

一、漏洞介绍

Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ存在代码问题漏洞，该漏洞允许经过身份验证的攻击者通过/api/jolokia/接口来操作MBean接口，实现任意代码执行，并最终控制目标服务器。

二、危害影响

成功利用漏洞的攻击者，可在目标服务器上执行任意代码，获取服务器的控制权限。Apache ActiveMQ 5.16.6之前版本，5.17.4之前版本至5.17.0之后版本均受此漏洞影响。

三、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接：

https://activemq.apache.org/

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、北京奇虎科技有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、新华三技术有限公司、上海斗象信息科技有限公司、北京山石网科信息技术有限公司、网宿科技股份有限公司、山东泽鹿安全技术有限公司、博智安全科技股份有限公司、内蒙古旌云科技有限公司、深圳昂楷科技有限公司、西安交大捷普网络科技有限公司、湖北肆安科技有限公司、北京中睿天下信息技术有限公司、任子行网络技术股份有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

01漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。

漏洞描述

近日，奇安信CERT监测到Google Chrome 信息泄露漏洞(CVE-2023-4357)，该漏洞的存在是由于 Google Chrome 中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页，诱骗受害者访问该网页并获取用户系统上的敏感信息。

鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02影响范围

影响版本

Google Chrome < 116.0.5845.96

不受影响版本

Google Chrome >= 116.0.5845.96

其他受影响组件

依赖Chromium内核的组件，如vscode、微信等。

03复现情况

目前，奇安信CERT已成功复现Google Chrome 信息泄露漏洞(CVE-2023-4357)，截图如下：

04处置建议

安全更新

目前官方已发布安全更新，受影响用户可以更新到最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

05参考资料

[1]https://crbug.com/1458911

[2]https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

根据英国金融的数据，授权推送支付 （APP） 欺诈仍然是英国银行业及其客户的主要头痛问题，在 2023 年上半年造成近五亿英镑的损失。

该银行机构的《2023 年半年度欺诈更新》指出，尽管欺诈损失的总体数字同比下降了 2%，但令人担忧的事件量正在绕过银行的欺诈过滤器。

授权推送支付 （APP） 欺诈是一个典型的例子：它是指诈骗者冒充受信任实体诱骗受害者将资金转移到他们控制的银行账户的任何事件。

它占 2023 年上半年欺诈损失总额的近一半（2.39 亿英镑），比 2020 年同期增长 27%。案件量同比增长22%。

授权推送支付 （APP） 欺诈的主要驱动因素是购买诈骗，人们为从未实现的商品付款。案件同比飙升43%，而损失同比增长31%至4100万英镑。它们现在占所有授权推送支付 （APP） 欺诈案件的66%，但由于它们往往是相对低价值的骗局，因此仅占损失的17%。

另一方面是高价值投资欺诈，目前占所有授权推送支付 （APP） 欺诈损失的近四分之一（5700万英镑）。

“所有这些骗局背后的一个共同因素是犯罪分子使用在线平台，手机网络和社交媒体来瞄准受害者并诱使他们付款。这包括搜索引擎上的欺诈性广告、虚假网站和社交媒体上的帖子，“报告指出。

“英国金融已经开始收集和整理有关 授权推送支付 （APP） 欺诈起源的数据，数据显示，2023 年所有授权推送支付 （APP） 欺诈中有 77% 起源于某种描述的在线平台。这表明在银行控制之外发起的欺诈行为的规模。

但是，银行可以采取一些措施来帮助降低授权推送支付 （APP） 欺诈风险，例如收款人确认（CoP）检查，如果收款人银行详细信息和姓名不匹配或未记录，则会提醒客户设置新付款。

非营利行业机构贷款标准委员会首席执行官艾玛·洛弗尔（Emma Lovell）认为，包括技术和社交媒体提供商在内的所有部门都应该在打击欺诈方面发挥作用。

“应急报销模式代码（CRM代码）的存在是为了确保签署公司通过检测，预防和响应APP诈骗的程序来保护其客户。在打击授权推送支付 （APP） 欺诈的斗争中，优先考虑预防和检测从未像现在这样紧迫，“她补充说。

“该行业应该团结起来，支持保留CRM准则提供的保障措施，而不仅仅是报销。遵守行业守则将确保公司始终如一地实施防止欺诈活动的措施。

声明：内容来源infosecurity-magazine，版权归作者所有，转载目的在于传递更多资讯。如有侵权，请联系本站处理。

10月初，Resecurity的HUNTER（HUMINT）部门确定了数亿条属于印度居民的个人身份信息（PII）记录，包括Aadhaar卡，在暗网上出售。根据UIDAI网站的说法，Aadhaar是一个独特的12位个人识别号码，“由印度唯一识别机构代表印度政府颁发”。

根据智库布鲁金斯学会发布的一份报告，自2009年推出这项ID服务以来，UIDAI发布了大约14亿个Aadhaars，该系统代表了地球上最大的生物识别ID计划之一。Resecurity的发现是在信用评级机构穆迪上个月发布一份报告之后发布的，该报告质疑Aadhaar系统生物识别身份验证控制的可靠性。穆迪的报告还警告说，Aadhaar的集中式系统存在安全和隐私漏洞。

9月25日，印度政府新闻信息局发表声明，驳斥穆迪的报告。PIB的反驳称，穆迪未能“引用主要或次要数据或研究来支持其中提出的观点”。PIB还表示，迄今为止，“Aadhaar数据库没有报告任何违规行为”。HUNTER部门的暗网侦查得出了相反的发现，尽管本报告中讨论的泄漏的最终来源尚不清楚。

Aadhaars 由 10 个指纹和两个虹膜扫描的核心生物识别标记提供支持，可用作数字 ID。Aadhaars促进电子支付，在线了解您的客户（e-KYC）验证以及与各种印度金融平台的兼容性。印度选举委员会也已采取行动，将其选民登记数据库与Aadhaar系统连接起来。据当地媒体报道，截至 2023 年 2 月，印度 60% 的合格选民（即 9.45 亿人）已将他们的 Aadhaar 卡与选民身份证相关联。

Resecurity的HUNTER调查人员发现了两名威胁行为者，他们正在领先的网络犯罪中心Breach Forums上代理访问印度PII和Aadhaar记录。10 月，Resecurity 标记了一个威胁行为者使用在线句柄“pwn0001”发布的帖子，声称他们拥有一个包含 8.15 亿印度公民 Aadhaar 和护照记录的数据库。同时，该演员共享了包含四个大型泄漏样本的电子表格，其中包含Aadhaar数据的碎片作为证据；其中一个泄露的样本包含100,000条与印度居民有关的PII记录。

8 月，另一位别名为“Lucius”的威胁行为者在违规论坛上发布了一个帖子，宣传 1.8 TB 的数据泄漏影响了一个未命名的“印度内部执法机构”。该数据集包含比 pwn0001 更广泛的 PII 数据数组。

根据Resecurity的说法，这些数据的主要来源之一 – 被网络犯罪分子攻击以窃取PII的破坏3d方。通常，此类数据由金融机构、贷款公司和移动运营商收集，这使它们成为网络攻击的目标。

根据最近的一项供应商调查，Resecurity的发现恰逢全球威胁形势，印度已成为网络攻击的前五名。这项调查发现，2023 年上半年，印度在网上银行恶意软件检测方面排名全球第四，在所有恶意软件检测中排名全球前五。

在暗网上泄露包含印度公民的Aadhaar（和其他详细信息）的PII数据会造成数字身份盗用的重大风险。威胁行为者利用被盗的身份信息进行网上银行盗窃、退税欺诈和其他网络金融犯罪。Resecurity观察到涉及Aadhaar ID的事件激增，以及威胁行为者在地下网络犯罪论坛上的泄漏，这些威胁行为者希望伤害印度国民和居民。为了降低这种风险，Resecurity 在暗网上获取了已发布的数据集，并通知受害者身份泄露。

声明：内容来源securityaffairs，版权归作者所有，转载目的在于传递更多资讯。如有侵权，请联系本站处理。

Balada注入器是一个恶意软件家族，自2017年以来一直活跃。该恶意软件支持多种攻击媒介和持久性机制。恶意代码于 2022 年 12 月由 AV 公司 Doctor Web 首次发现。

“Doctor Web发现了一个恶意Linux程序，该程序基于WordPress CMS入侵网站。它利用了该平台的许多插件和主题中的30个漏洞。如果网站使用此类附加组件的过时版本，缺乏关键修复，则目标网页会注入恶意JavaScript。“因此，当用户点击受攻击页面的任何区域时，他们会被重定向到其他网站。

Sucuri 指出，在最近的攻击中，威胁行为者针对的是易受攻击的 tagDiv 的高级主题。专家们利用报纸主题漏洞中的漏洞发现了9000多个感染了Balada注入器的网站。

“我们观察到对他们注入的脚本进行修改以及新技术和方法的快速循环。我们看到了随机注入和混淆类型，同时使用多个域和子域，滥用CloudFlare以及多种攻击受感染WordPress站点管理员的方法。“对于 tagDiv 报纸主题的数千名用户来说，九月也是一个非常具有挑战性的月份。Balada Injector恶意软件活动针对tagDiv Composer插件中的漏洞和已受感染站点的博客管理员执行了一系列攻击。

在最近的活动中，威胁参与者利用了 tagDiv Composer 中的跨站点脚本 （XSS） 漏洞，该漏洞被跟踪为 CVE-2023-3169。“混淆注入本身可以在WordPress数据库wp_options表的”td_live_css_local_storage“选项中找到。

研究人员观察到了几波攻击波，其中一些攻击，恶意脚本是通过stay.decentralappps.com注入。这种注入的第一个变异在4000多个站点上检测到，而第二个变异在另外1000 多个个站点上检测到。

在另一波浪潮中，观察到威胁行为者使用恶意脚本创建流氓WordPress管理员帐户。在第一次攻击中，威胁行为者使用用户名“greeceman”，但后来开始使用基于站点主机名自动生成的用户名。

在其他攻击中，威胁行为者在报纸主题的 404.php 文件中植入了后门。然后攻击者切换到wp-zexit插件安装，并在网站的Ajax界面中隐藏了后门。2023 年 9 月 21 日，Balada 注入器运营者在 7 秒内注册了三个新域名。

在其他攻击中，专家观察到tdw-css占位符中的随机注入，最近的感染解码脚本试图从三个新Balada域的多个不同子域上的不同URL加载下一阶段的恶意软件。

研究人员建议管理员将tagDiv Composer插件升级到版本4.2或更高版本，以解决上述漏洞。

其他建议包括保持WordPress组件（主题和插件）更新，删除休眠用户帐户以及扫描文件以查找隐藏的后门。

声明：内容来源securityaffairs，沃通翻译转载，版权归作者所有，转载目的在于传递更多资讯。如有侵权，请联系本站处理。

该公司现在透露，勒索软件攻击已造成超过1.1亿美元成本损失。该公司向第三方专家支付了1000万美元来清理其系统。几天后，BlackCat / ALPHV勒索软件组织Scattered Spider的分支机构声称对这次攻击负责。

“公司认为，9月份受影响物业的运营中断将对其2023年第三季度业绩产生负面影响，主要是在拉斯维加斯的业务中，第四季度的影响很小。公司预计不会对其本年度的财务状况和经营业绩产生重大影响。具体而言，公司估计9月份网络安全问题对拉斯维加斯大道度假村和区域运营的调整后物业EBITDAR的负面影响约为1亿美元，“向SEC提交的8-K报告写道。 ”公司在第三季度与网络安全问题相关的一次性费用接近1000万美元，其中包括技术咨询服务、法律费用和其他第三方顾问的开支。

该公司表示，其网络安全保险将涵盖财务损失和未来费用，但是，成本和相关影响的全部范围尚未确定。根据正在进行的调查，威胁行为者可以访问在 2019 年 3 月之前与公司进行交易的一些公司客户的数据。公开的个人信息包括姓名、联系信息（如电话号码、电子邮件地址和邮政地址）、性别、出生日期和驾驶执照号码）。对于有限数量的客户，社会安全号码和护照号码被曝光。受影响的信息类型因人而异。

这次攻击导致该公司的一些财产中断。但是，该事件没有暴露任何客户银行帐号或支付卡详细信息。

声明：内容来源securityaffairs，版权归作者所有，转载目的在于传递更多资讯。如有侵权，请联系本站处理。

在最近的一项分析中，来自网络风险障碍者Bitsight的研究人员通过清点使用前10种最流行和广泛使用的ICS协议（包括Modbus，KNX，BACnet，Niagara Fox等）的可访问设备，达到了100,000个数字。

他们确定，暴露的ICS足迹代表了网络攻击者的成熟目标，因此对至少96个国家的人身安全构成全球风险。风险不是理论上的，因为恶意软件旨在破坏电网和像殖民地管道黑客事件这样的事件。

“这些ICS设备用于控制我们社会中的大部分物理基础设施，从交通信号灯到疫苗生产，”该公司最近的一份报告称。“这些系统的中断可能导致严重的业务中断、对人类安全的威胁、数据和知识产权 （IP） 泄露、国家安全威胁等。

Bitsight的首席安全研究员Pedro Umbelino指出，这种类型的设备可以通过互联网直接访问的原因很少，因此风险水平似乎是一个可解决的问题。

“我们确定为面向互联网的系统可能是由于配置错误或忽视最佳实践，”他解释道。“通常，攻击者会扫描面向互联网的系统，然后收集信息以确定该系统是否存在漏洞。因此，如果系统位于防火墙后面或不面向互联网，那么大部分利用风险就会得到缓解。

无标准协议：ICS 通信指南风险评估

了解 ICS 环境中的风险不仅仅是确定可从 Internet 访问的设备数量。具体来说，使用不同的协议可能是确定网络攻击者可能在哪里探测弱点的重要线索。

“我们探索的一些协议缺乏安全措施，比如基本身份验证，使设备几乎对任何人开放，”他说。

他补充说，其他协议具有可以帮助攻击者执行目标侦察的属性。“其他协议非常冗长，清楚地表明了设备的品牌、型号和版本，极大地简化了攻击者搜索现成漏洞的任务，”Umbelino 解释说。“采用不同的协议表明，组织暴露的表面存在不同的设备。这意味着不同的供应商，不同的供应链，[和]不同的软件运行。

组织还应该意识到，按协议定制攻击也有助于地理定位。Bitsight指出，使用CODESYS，KNX，Moxa Nport和S7的暴露工业控制系统主要集中在欧盟（EU）。同时，使用ATG和BACnet的暴露系统主要位于美国。另一方面，Modbus和Niagara Fox在全球范围内开展业务。

Umbelino说，结论是拥有ICS的组织可以盘点其协议使用情况，并将其用作识别风险并告知其OT / ICS安全策略的变量。例如，重新配置整个关键基础设施环境以消除面向互联网的点可能并不总是可行的，因此知道首先关注哪里可能是非常宝贵的。

虽然Bitsight的顶线调查结果应该为各地的关键基础设施利益相关者敲响警钟，但值得注意的是，ICS暴露水平实际上随着时间的推移而下降，即使在转向“智能”OT环境和更多数字化的情况下也是如此。2019年，研究参数范围内的暴露ICS设备数量接近140,000。

“像CISA的’保护工业控制系统：统一倡议’这样的举措，以及安全界围绕ICS安全主题进行的一般性讨论，可能有助于降低风险，”Umbelino假设,工业4.0带来了新技术，但也带来了与它们交互的其他方式（例如，考虑云环境，专用网络和其他难以访问的环境）和更成熟的安全程序。

如何提高ICS的安全性

从实际的角度来看，ICS环境的所有者可以通过采取一些常识性步骤来支持他们的安全性：

识别组织和/或第三方业务合作伙伴部署的任何ICS，并及时评估这些系统的安全性;

从公共互联网中删除任何 ICS;

采用防火墙等保护措施来防止未经授权的访问;

并承认适用于OT的独特控制需求，包括ICS，而不仅仅是将传统的IT风险模型应用于基础架构（即需要停机才能进行修补）。

“简而言之，根据经验：减少暴露，”Umbelino说。工业控制系统不属于公共互联网。使用防火墙、配置访问控制，利用虚拟专用网络或任何其他的机制阻止设备被广泛访问。