5th域安全微讯早报【20241214】300期

2024-12-14 星期六 Vol-2024-300

今日热点导读

1. 俄罗斯封锁Viber应用以加强通讯审查

2. 美国更新与中国科技协议以应对日益加剧的竞争和安全威胁

3. TsEKI成俄罗斯所有IT政府订单的单一窗口

4. 超30万台Prometheus服务器遭遇DoS攻击，安全风险凸显

5. 日本角川公司疑向俄罗斯黑客支付近300万美元赎金

6. 三名科索沃国民因运营 Rydox 网络犯罪市场被捕并面临引渡

7. 乌克兰揭露俄罗斯情报部门招募青少年间谍网络

8. Citrix NetScaler设备遭受零日漏洞利用的暴力攻击

9. 戴尔产品曝严重安全漏洞，需紧急修复

10. CISA警告水务设施加强HMI系统安全防护

备注: 更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. 俄罗斯封锁Viber应用以加强通讯审查

【BleepingComputer网站12月13日报道】俄罗斯电信监管机构Roskomnadzor封锁了全球数亿人使用的Viber加密消息应用，理由是该应用违反了俄罗斯的立法。俄罗斯互联网监管机构在一份声明中表示，由于Viber未能遵守俄罗斯对信息传播组织者的要求，因此限制了对其服务的访问，以防止该消息应用被用于恐怖主义和极端主义目的。此前，莫斯科一家法院已下令Viber支付100万卢布的罚款，因其未能删除俄罗斯视为非法的内容，包括有关乌克兰战争的信息。2023年3月，俄罗斯禁止政府和国家机构使用包括Discord、Microsoft Team、Telegram、Threema、Viber、WhatsApp和WeChat在内的多个外国私人消息应用。同年8月，Roskomnadzor还限制了Signal加密消息服务的访问，理由是违反了俄罗斯的反恐和反极端主义立法。此外，俄罗斯还曾在2020年1月、2021年6月和2021年12月分三批禁止了多个虚拟私人网络（VPN）应用。2024年8月，苹果公司应Roskomnadzor的要求，从俄罗斯App Store中移除了25个VPN应用，因为它们被用来访问“非法内容”。

2. 美国更新与中国科技协议以应对日益加剧的竞争和安全威胁

【SecurityWeek网站12月13日报道】美国更新了与中国签署的科技协议，以应对两国在技术领域日益激烈的竞争及相关的安全威胁。此次更新的协议主要对基础研究进行合作，明确排除关键技术领域如人工智能和量子计算等高风险技术的合作。新协议通过加强透明度和数据互惠条款，进一步保护美国的利益，并增加了国家安全保障措施，以降低合作可能带来的风险。协议将有效期延长五年，并在内容上进行了收缩，以应对中国在技术领域崛起后的新形势。自1979年两国建立外交关系以来，这一协议已经经历了多次修订，尤其是近年来中美科技战的升级。美国已对中国的先进技术和芯片出口实施了限制，并采取了遏制中国间谍活动的措施，影响了科技领域的合作。专家表示，尽管协议的范围较窄，但加强的保障措施将使合作在当前紧张的国际关系中得以继续。

3. TsEKI成俄罗斯所有IT政府订单的单一窗口

【SecurityLab网站12月13日报道】俄罗斯政府正在通过一项新法令，将“信息化专业与协调中心”（TsEKI）作为所有国家机关IT支出的协调单一平台。该法令由俄罗斯数字发展部提出，并在12月9日公布。TsEKI成立于1971年，原为苏联下属的计算机科学研究所，长期以来负责检查信息系统是否符合国家标准。随着数字化转型的加速，TsEKI将在政府机构信息化的过程中扮演更加核心的角色，协调1,600个政府信息系统（GIS）相关的IT项目。该法令的主要目的是通过集中管理IT支出，提升预算资金的使用效率。各政府机构需向数字发展部提供资金申请理由，并由财政部评估其可行性和资金来源。最终决策将由“重点项目小组委员会”做出，确保IT项目符合优先级标准，减少资金分配和项目执行中的风险。此举与俄罗斯政府推动的Gostekh平台建设和加强流程控制的战略一致，旨在提高政府信息系统的整合度，避免重复和低效的IT资源浪费。尽管此举提高了对IT支出的控制，但专家指出，项目审查过程可能因审查时间延长而带来决策的延误风险。根据俄罗斯数字经济国家项目，到2030年，将投入4750亿卢布用于公共管理的数字化。

安全事件

4. 超30万台Prometheus服务器遭遇DoS攻击，安全风险凸显

【CybersecurityNews网站12月13日报道】超过336,000台Prometheus服务器和导出器遭受DoS攻击，攻击者可能获取敏感信息。Prometheus作为开源监控工具，其服务器和导出器存在信息泄露、DoS和远程代码执行等风险。Aqua安全研究人员指出，pprof调试端点暴露引发的DoS攻击风险巨大，可能导致服务器崩溃。约40,000台服务器和296,000个导出器面临风险，攻击者可通过未认证访问获取API密钥、凭据等敏感数据。此外，暴露的/debug/pprof端点存在安全风险，可能被用于执行DoS攻击。研究人员还发现，一些Prometheus导出器容易受到GitHub RepoJacking攻击。为减轻风险，建议对Prometheus服务器和导出器实施身份验证保护，限制外部暴露，并监控安全调试端点。

5. 日本角川公司疑向俄罗斯黑客支付近300万美元赎金

【TheRecord网站12月14日报道】日本大型媒体公司角川在遭受数据泄露事件后，疑似向与俄罗斯有关的黑客组织BlackSuit支付了近300万美元的赎金。共同社通过两项证据支持这一说法：一是BlackSuit向角川多名高管发送的电子邮件，确认已收到加密货币赎金；二是安全公司Unknown Technologies发现的6月份价值298万美元的加密货币交易记录。角川公司此前已证实部分数据泄露，包括合同、内部文件和员工个人信息，BlackSuit声称访问了1.5TB的数据。BlackSuit是Royal勒索软件集团的品牌重塑，与现已不存在的Conti网络犯罪团伙有关。受攻击影响，角川旗下的Niconico视频发布网站暂时关闭了部分服务。尽管支付了赎金，黑客仍发布了部分被盗信息。角川尚未对此次袭击或赎金支付发表评论，但宣布因网络攻击预计在本财年将记录23亿日元的非经常性损失。

6. 三名科索沃国民因运营 Rydox 网络犯罪市场被捕并面临引渡

【The Record网站12月14日报道】美国司法部宣布关闭Rydox网络犯罪市场，并要求引渡两名科索沃国民。26岁的阿尔迪特·库特莱什（Ardit Kutleshi）和28岁的杰特米尔·库特莱什（杰特米尔） Kutleshi）在科索沃被捕，面临包括身份盗窃、欺诈和洗钱指控的指控，若罪名成立最高可判37年监禁。另一名涉案嫌疑人29岁的申潘德·索科利（Shpend） Sokoli）在阿尔巴尼亚被捕，将在当地接受逮捕。Rydox自2016年运营以来，拥有约18,000名用户，平台主要用于出售被盗的个人信息、设备访问权及诈骗工具，并产生超过23万个美元收入。用户需存款后才能购买商品，商品包括“fullz”数据包，内容涵盖社会保险号、驾照号码等敏感信息。美国联邦调查局通过卧底购买了40个数据包以获取证据。司法部刑事司副助理律师长尼科尔·阿根蒂耶里（妮可Argentieri）表示，该平台致使数千名美国居民成为受害者。此外，Rydox网站域名已被查封，其托管服务器在马来西亚皇家警察援助下关闭。此次行动与国际执法机构合作打击网络犯罪的又一项重要成果。

7. 乌克兰揭露俄罗斯情报部门招募青少年间谍网络

【TheRecord网站12月14日报道】乌克兰安全局（SBU）揭露了俄罗斯情报部门涉嫌通过“任务游戏”形式招募乌克兰青少年参与间谍活动。在哈尔科夫市的行动中，执法人员逮捕了两组青少年，年龄分别为15岁和16岁，他们被指控为俄罗斯特工执行间谍活动、指挥导弹袭击和纵火。这些青少年在所谓的“任务游戏”中，根据俄罗斯联邦安全局（FSB）制定的规则，前往特定地点拍摄照片和视频，并通过匿名通讯应用程序向俄罗斯间谍提供信息。这些活动被掩盖成游戏任务，使得这些未成年人在不知情的情况下参与了间谍活动。在乌克兰，年满14岁的个人可能因恐怖主义或破坏活动而承担刑事责任，最高可判处10年监禁。乌克兰安全局近期拘捕了多名涉嫌为俄罗斯情报机构工作的人员，包括在关键基础设施附近安装监控摄像头的人员，以及应俄罗斯情报部门要求纵火焚烧乌克兰入伍军官汽车的团伙头目。为了打击俄罗斯招募青少年从事破坏和恐怖主义活动的企图，乌克兰安全局推出了一款名为“烧死俄罗斯联邦安全局特工”的官方Telegram聊天机器人。乌克兰人可以通过该机器人报告俄罗斯人要求他们实施的犯罪行为的细节，以及有关招募人员和其他相关细节的信息。

漏洞预警

8. Citrix NetScaler设备遭受零日漏洞利用的暴力攻击

【CybersecurityNews网站12月13日报道】针对Citrix NetScaler设备的暴力攻击活动急剧增加，这些攻击主要利用了配置错误和系统过时的问题，以及最近披露的严重漏洞CVE-2024-8534和CVE-2024-8535。CVE-2024-8534是一种可能导致内存损坏和拒绝服务的内存安全漏洞，而CVE-2024-8535由于竞争条件允许经过身份验证的用户访问非预期的用户功能。攻击者采用分布式暴力攻击策略，频繁更换IP地址和ASN，使得检测和缓解变得复杂。德国联邦信息安全局(BSI)也警告称，针对NetScaler设备的暴力攻击有所增加。为了减轻威胁，专家建议阻止高风险IP范围，修补并升级NetScaler设备到最新版本，验证配置，实施地理封锁，并监控异常活动。Citrix已发布安全更新修复部分版本中的漏洞，但版本12.1和13.0仍存在漏洞。美国网络安全和基础设施安全局（CISA）也发布了警告，强调威胁行为者可能会利用这些漏洞控制受影响的系统。

9. 戴尔产品曝严重安全漏洞，需紧急修复

【CybersecurityNews网站12月13日报道】戴尔披露了两个影响其多种产品的严重安全漏洞，CVE-2024-37143和CVE-2024-37144，这些漏洞可能使系统面临被攻击者入侵的风险。CVE-2024-37143是一个文件访问前链接解析不当漏洞，允许未经身份验证的攻击者远程执行任意代码，CVSS评分为10.0。CVE-2024-37144涉及敏感信息的不安全存储，可能导致信息泄露，CVSS评分为8.2。受影响的产品包括Dell PowerFlex设备、机架、自定义节点、InsightIQ和Data Lakehouse产品。戴尔已发布安全更新修复这些漏洞，并建议用户尽快更新系统至最新版本。对于无法立即更新的系统，戴尔提供了KB文章000231116以供参考缓解措施。这些漏洞的存在强调了及时采取行动的重要性，使用受影响戴尔产品的组织应优先应用补丁，以减轻潜在攻击风险。

风险预警

10. CISA警告水务设施加强HMI系统安全防护

【BleepingComputer网站12月13日报道】美国网络安全与基础设施安全局(CISA)和环保署(EPA)警告水务设施需保护在互联网上的人机界面(HMI)系统中，并网络攻击。HMI是一种用于监控和控制的工工业设备的用户界面，如果缺乏安全防护，攻击者可能通过其窃取信息、操作参数，甚至破坏水和中断处理流程。2024年，亲俄黑客曾通过操纵HMI系统引发水泵和鼓风机设备异常，并锁定运营商账号，造成严重破坏。针对阿肯色州水厂和美国水务公司等的攻击更导致其转为手动操作或部分关闭系统。联合咨询强调，水务设施应采取措施保护HMI系统的远程访问，以防止运营中断或更大程度的停运。此外，与俄罗斯、中国和伊朗相关黑客最近针对美国水务设施展开攻击，威胁手段包括利用在线暴露控制器漏洞并长期隐藏网络中的恶意活动。3月，美国环保署与苏格兰警告各州今年青少年风险相关，并于9月发布指导意见，协助水厂降低网络攻击的发生率。水信息与大麻共享分析中心(WaterISAC)也提醒关注当前威胁行为者的攻击升级。

往期推荐