5月速遞

本月監(jiān)測到勒索事件20起、數(shù)據(jù)泄露事件30起、網(wǎng)絡攻擊55起，釣魚攻擊2起、DDOS攻擊2起。其中典型的事件有Ransomhub組織對塞爾維亞天然氣公司工控系統(tǒng)發(fā)起網(wǎng)絡攻擊。

Ransomhub對塞爾維亞天然氣公司工控系統(tǒng)發(fā)起網(wǎng)絡攻擊

5月28日，RansomHub 組織聲稱對塞爾維亞天然氣存儲服務提供商 PSG BANATSKI DVOR DOO 發(fā)起了網(wǎng)絡攻擊。Ransomhub聲稱竊取了總計80 GB的大量數(shù)據(jù)。被盜信息包括 IT、會計、財務、項目、客戶數(shù)據(jù)庫(SQL 格式)、預算、稅收、物流和供應鏈管理、生產(chǎn)數(shù)據(jù)、人力資源、法律數(shù)據(jù)、KPI 和研發(fā)文檔等關鍵文件，并對SCADA系統(tǒng)進行破壞。

資料來源：https://thecyberexpress.com/ransomhub-group-strikes-ics/

印度警方和軍方500GB生物特征數(shù)據(jù)遭泄露

5月26日，據(jù)媒體報道，網(wǎng)絡安全研究員Jeremiah Fowler發(fā)現(xiàn)并報告了一個未加密碼保護的數(shù)據(jù)庫，該數(shù)據(jù)庫包含超過160萬份文檔(總計約496.4GB)，包括面部掃描圖像、指紋、簽名以及警察、軍事人員、教師和鐵路工人的身份標記。這起數(shù)據(jù)泄露事件涉及2021年至2024年的記錄，包含警察和執(zhí)法人員的體能測試(PET)數(shù)據(jù)、簽名圖像、PDF文檔、移動應用程序安裝數(shù)據(jù)等。

資料來源：http://kri4a.dwa5.sbs/vW9DIjf

日產(chǎn)汽車確認遭到勒索致53000名員工信息泄露

5月15日，日產(chǎn)透露攻擊者在2023年11月對其進行了攻擊導致大規(guī)模數(shù)據(jù)泄露，影響了53,000名現(xiàn)任和前任員工的社會保障號碼，攻擊者要求支付贖金，日產(chǎn)已通知執(zhí)法部門，聘請網(wǎng)絡安全專家進行調(diào)查和緩解威脅，并提供了為期兩年的免費身份盜竊保護服務。公司還實施了額外的安全措施，并進行了徹底的網(wǎng)絡安全審查。

資料來源：https://thecyberexpress.com/nissan-data-breach-update/

美國無線電中繼聯(lián)盟(ARRL)遭受重大網(wǎng)絡攻擊

5月22日，據(jù)媒體報道，美國無線電中繼聯(lián)盟(ARRL)，已確認遭受嚴重網(wǎng)絡攻擊，影響了包括“世界日志”(LoTW)互聯(lián)網(wǎng)數(shù)據(jù)庫在內(nèi)的多個關鍵在線服務。ARRL尚未明確網(wǎng)絡事件的性質(zhì)，正與外部網(wǎng)絡安全專家合作，以減輕影響并恢復服務。

資料來源：https://thecyberexpress.com/cyberattack-on-arrl/

美國電信設備供應商Allied Telesis疑遭LockBit勒索軟件攻擊

5月28日，據(jù)媒體報道，LockBit 勒索軟件集團聲稱對美國電信設備供應商 Allied Telesis, Inc. 發(fā)動網(wǎng)絡攻擊，聲稱泄露了大量敏感數(shù)據(jù)。此次事件發(fā)生于2024年5月27日，據(jù)稱泄露的信息包括自2005年以來的機密項目細節(jié)、護照信息和產(chǎn)品規(guī)格。威脅者設定了2024年6月3日的最后期限，威脅將全面發(fā)布被盜數(shù)據(jù)。然而，Allied Telesis 尚未確認或否認這些指控，情況仍不明確。

資料來源：https://thecyberexpress.com/lockbit-alleges-allied-telesis-data-breach/

戴爾公司發(fā)生數(shù)據(jù)泄露

5月9日，據(jù)媒體報道，戴爾科技集團已向數(shù)百萬客戶發(fā)出通知，警告包括全名和物理地址在內(nèi)的數(shù)據(jù)在安全事件中被盜。被黑客入侵的數(shù)據(jù)庫包含與從戴爾購買產(chǎn)品相關的非常基本的客戶數(shù)據(jù)。戴爾表示，調(diào)查已證實訪問的數(shù)據(jù)包括客戶姓名、實際郵寄地址以及戴爾硬件信息和訂單信息。

資料來源：http://bju1a.dwa2.sbs/Zb0d59S

本月監(jiān)測到OT漏洞98個?？缃鐑?nèi)存讀15個，跨界內(nèi)存寫10個，棧緩沖區(qū)溢出6個，使用硬編碼的密碼5個，SQL注入5個，路徑遍歷4個，訪問控制不當3個，外部控制文件名或路徑3個，使用不兼容類型訪問資源3個，剩余調(diào)試代碼2個，未充分驗證數(shù)據(jù)可靠性2個，輸入驗證不當2個，內(nèi)存緩沖區(qū)邊界內(nèi)操作的限制不恰當2個，堆緩沖區(qū)溢出2個，使用硬編碼的密碼學密鑰2個，關鍵資源的權(quán)限分配不正確2個，不充分的憑證保護機制2個，使用硬編碼的憑證2個，對非受控部件的依賴2個，操作系統(tǒng)命令注入1個，參數(shù)注入1個，弱密碼1個，長度值不正確的緩沖區(qū)訪問1個，傳統(tǒng)緩沖區(qū)溢出1個，授權(quán)缺失1個，關鍵功能的認證機制缺失1個，信息泄露1個，下載沒有完整性檢查的代碼1個，敏感數(shù)據(jù)的明文傳輸1個，不加限制或調(diào)節(jié)的資源分配1個，不受控制的資源消耗1個，隱藏功能1個，缺少硬件中的不可變信任根1個，字符串沒有結(jié)束符1個，命令注入1個，敏感數(shù)據(jù)的明文存儲1個，空指針解引用1個，非受控搜索路徑或元素1個，使用默認憑證1個，跨站腳本1個，路徑遍歷1個，以可恢復格式存儲口令1個，授權(quán)機制不恰當1個。

思科FIREPOWER管理中心高危漏洞CVE-2024-20360

5月27日，思科Firepower管理中心(FMC)軟件的Web管理界面中存在一個漏洞，可能導致經(jīng)過身份驗證的遠程攻擊者對受影響的系統(tǒng)進行SQL注入攻擊。存在此漏洞的原因是 Web 管理界面沒有充分驗證用戶輸入。攻擊者可以通過對應用程序進行身份驗證并向受影響的系統(tǒng)發(fā)送精心設計的SQL查詢來利用此漏洞。成功利用此漏洞可能允許攻擊者從數(shù)據(jù)庫獲取任何數(shù)據(jù)，在底層操作系統(tǒng)上執(zhí)行任意命令，并將權(quán)限提升到 root。

資料來源：http://emwyc.dwa5.sbs/FPoj9Hr

西門子S7產(chǎn)品線存在遠程調(diào)試風險

5月21日，據(jù)媒體報道，以色列理工學院Eyal Semel等研究人員發(fā)現(xiàn)可利用固件修改攻擊實施對西門子S7 PLCs的遠程調(diào)試，該攻擊在西門子所有Simatic S7產(chǎn)品線中都有效，且存在問題的PLC無法進行漏洞修復。

資料來源：https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw

Telit Cinterion蜂窩調(diào)制解調(diào)器存在多個嚴重漏洞

5月10日，據(jù)媒體報道，卡巴斯基ICS CERT發(fā)現(xiàn)Telit Cinterion蜂窩調(diào)制解調(diào)器中的危險漏洞允許未經(jīng)授權(quán)的攻擊者通過SMS消息遠程執(zhí)行任意代碼。已發(fā)現(xiàn)八個不同的漏洞，其中7個收到了從CVE-2023-47610到CVE-2023-47616的CVE標識符，第八個尚未注冊?？ò退够鵌CS CERT指出，由于設備的廣泛使用，可能會造成嚴重的全球后果。

資料來源：https://www.securitylab.ru/news/548123.php

CISA就羅克韋爾自動化、alpitrononic、臺達電子的硬件漏洞發(fā)布ICS建議

5月9日，美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了ICS(工業(yè)控制系統(tǒng))建議，解決部署在關鍵基礎設施部門的設備中存在的硬件漏洞。該機構(gòu)警告說，羅克韋爾自動化公司、alpitronic公司和臺達電子公司存在安全漏洞。此外，CISA還發(fā)布了羅克韋爾自動化ControlLogix和GuardLogix的更新。

資料來源：http://en5pa.dwa2.sbs/LMs8VOu

物聯(lián)網(wǎng)攝像頭因可鏈接漏洞而暴露或致數(shù)百萬人受到影響

5月16日，據(jù)媒體報道，Bitdefender的研究人員在ThroughTek的Kalay Platform中發(fā)現(xiàn)了4個安全漏洞(CVE-2023-6321-CVE-2023-6324)，該平臺廣泛用于物聯(lián)網(wǎng)(IoT)監(jiān)控設備，全球超過1億臺設備可能受到影響。這些漏洞包括允許以root用戶身份運行系統(tǒng)命令、獲取根訪問權(quán)限、泄露AuthKey密鑰以及推斷DTLS會話的預共享密鑰，從而允許攻擊者在本地網(wǎng)絡內(nèi)進行未經(jīng)授權(quán)的root訪問，甚至遠程執(zhí)行代碼。

資料來源：https://www.hackread.com/iot-cameras-exposed-by-chainable-exploits/

Tinyproxy嚴重漏洞導致超過50,000臺主機可以遠程執(zhí)行代碼

5月6日，據(jù)媒體報道，90,310臺主機中超過50%被發(fā)現(xiàn)在互聯(lián)網(wǎng)上暴露了Tinyproxy服務，該服務容易受到HTTP/HTTPS代理工具中未修補的嚴重安全漏洞的影響。根據(jù)Cisco Talos，該問題的編號為CVE-2023-49606，CVSS評分為 9.8分，該問題將其描述為影響版本1.10.0和1.11.1的釋放后使用錯誤。

資料來源：https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html