监管机构指出,SK电讯的互联网系统与内部网络之间缺乏“最基本的访问控制”。
韩国隐私监管机构对SK电讯处以创纪录的1345亿韩元(约合人民币6.88亿元)罚款,原因是这家移动通信巨头因一系列疏漏,将其网络完全暴露在黑客面前。
案件源于今年4月披露的一起数据泄露事件,当时SK电讯承认黑客窃取了近2700万用户的通用用户身份模块(USIM)数据。要知道,韩国全国人口也仅刚刚超过5000万。
该运营商试图通过为受影响客户免费更换SIM卡来缓解后果,但监管机构察觉到了更严重的问题,随即对事件展开全面调查。
内部安全防护存在大量低级错误
韩国个人信息保护委员会(PIPC)表示,这家韩国最大的运营商在互联网系统与内部管理网络之间“甚至没有实施最基本的访问控制”。因此,攻击者轻松渗透了SK电讯的核心系统,获取认证数据并大规模窃取用户信息。
隐私监管机构估算,受影响用户约为2300万,略低于SK电讯最初的说法,但仍相当于全国人口的45%。
监管机构的报告指出,SK电讯几乎在每一道防线都存在失误。公司没有检查入侵检测系统的日志,因而在攻击者暗中勘探其基础设施时错过了异常信号。更严重的是,PIPC发现管理员竟在管理网络服务器上以明文形式存储了数千个服务器凭据。监管机构称,约4899个用户名和密码散布在2365台服务器上,甚至连归属用户服务器(HSS)数据库的访问都没有任何密码保护。
接下来的事情不难想象。凭借收集到的账户信息,入侵者进入管理服务器,安装恶意软件,并直接查询HSS数据库。由此,他们得以查看并提取用户信息,而SK电讯的监控团队对此竟毫无察觉。
监管机构还指出了加密方面的失误:在SK电讯的数据库中,超过2600万个USIM认证密钥(即用于验证用户和提供移动服务的“Ki”值)竟未加密存储。这一漏洞使攻击者能够复制SIM凭据,进而实施大规模身份欺诈或通过克隆设备冒用合法账号。
PIPC在决定中严厉指出:“互联网与内部网络之间的安全环境管理和运行状态极易遭受非法入侵。”
除创纪录的巨额罚款外,SK电讯还被要求采取一系列补救措施,包括完善加密机制、更严格的访问控制,以及对入侵检测系统的实时监控。PIPC表示,处罚金额体现了失误的严重性以及受威胁个人信息的庞大规模。
PIPC的裁决提醒人们,电信公司始终是间谍活动和网络犯罪的高价值目标,而当运营商在基础安全上偷工减料时,监管机构的耐心也在耗尽。这种情况在全球范围内屡见不鲜。不同的是,攻击SK电讯并不需要国家级的高级持续性威胁(APT)。韩国监管机构指出,仅凭其草率的安全措施,就足以让入侵者渗透并窃取用户数据。
参考资料:theregister.com
近2000个IP同步扫描微软RDP认证服务器 或与返校季相关
互联网情报公司GreyNoise报告称近日监测到扫描活动激增——有近1971个IP地址同步探测微软远程桌面Web访问(Microsoft Remote Desktop Web Access)及RDP Web客户端的认证入口,这一现象暗示可能存在协同的侦察攻击行动。
研究人员表示,这种活动规模已出现巨大变化,以往每天通常仅观测到3-5个IP地址进行此类扫描。
GreyNoise指出,这波扫描是在测试可用于验证用户名的时间上的漏洞,为后续基于凭据的攻击,如暴力破解或密码喷洒攻击做准备。
当系统或请求的响应时间无意中泄露敏感信息的情况时,就会出现时间上的漏洞。在此场景中,当RDP对使用有效用户名与无效用户名的登录尝试做出响应时,若存在细微的时间差异,攻击者就可能据此推断该用户名是否正确。
GreyNoise还提到,有1851个IP地址具有相同的客户端特征,其中约92%已被标记为恶意IP。这些IP地址主要源自巴西,且攻击目标为美国的IP地址,这表明可能是单个僵尸网络或同一工具集中实施扫描。
研究人员称,此次攻击的时间与美国返校季相重合,此时学校和高校可能正将其RDP系统重新接入网络。这个时间点或许并非偶然。
执行Microsoft RDP web客户端登录攻击的唯一IP地址
8月正值美国的返校期,高校及K-12学校会将由RDP支持的实验室和远程访问系统重新上线,并新增数千个账户。这些环境通常采用可预测的用户名格式(如学生证号、名姓),这使得用户名攻击的效果更佳。再加上预算限制以及入学期间对访问便利性的优先考量,安全暴露风险可能会急剧上升。
不过,此次扫描活动的激增也可能意味着新的漏洞已被发现,因为GreyNoise此前发现,恶意流量的激增往往发生在新漏洞披露之前。
负责管理RDP入口及暴露设备的Windows管理员应确保其账户通过多因素认证得到妥善保护,如有可能,应将这些设备置于VPN之后。
参考及来源:https://www.bleepingcomputer.com/news/security/surge-in-coordinated-scans-targets-microsoft-rdp-auth-servers/
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...