网络黑客瞄准波兰铁路网络,造成运营中断
2023-8-30 17:24:19 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

第520期 

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

波兰通讯社(PAP)周六表示,黑客在夜间侵入了铁路频率,扰乱了该国西北部地区的交通。

根据指控,信号中混有俄罗斯国歌和总统弗拉基米尔·普京的讲话录音。大约20列火车陷入瘫痪,但几小时内就恢复了服务。

此外,特别服务副协调员斯坦尼斯瓦夫·扎林 (Stanisław Zaryn)告诉路透社,波兰内部安全局 (ABW) 和警方正在调查未经授权使用铁路交通管理系统的情况。

扎林表示,鉴于俄罗斯最近试图破坏波兰的稳定,任何此类干涉都会受到严肃对待。他补充说:“俄罗斯联邦正在与白俄罗斯合作进行此类尝试,因此我们不会低估ABW发出的任何信号。”

另外,国家铁路运营商正在调查周四两列火车脱轨和另外两列火车相撞的事件。这些事件中没有人受伤。

铁路网络安全公司Cylus告诉 Industrial Cyber,强调波兰国家铁路 (PKP) 通过其运营基础设施遭受的攻击表明,威胁行为者越来越有动机瞄准铁路基础设施并对其施加破坏。此外,本案中的威胁行为者欺骗了无线电指令,于 8 月 25日星期五晚上在 PKP 网络中紧急停止 20 列货运和客运列车,并在随后的一列列车上紧急停止。天。

这家总部位于以色列特拉维夫的公司表示,这次攻击的根源似乎是通过设计有“紧急停止功能”的传统无线电系统进行的。“当收到特定序列的无线电音调时,就会激活该停止功能,导致使用特定无线电频率的所有列车紧急停止。”

Cylus 首席网络安全架构师 Yaniv Mallet 表示:“许多传统铁路系统都是为了安全而设计的,具有故障安全机制。” “火车停运并不被视为一个问题。但大规模的故意铁路停运并不是计划中的,这就是我们在这里看到的情况。事实上,PKP 使用的无线电系统的详细技术规范(包括紧急停止功能)已在网上公开发布,以实现互操作性。”

马利特补充说,这次攻击的复杂性并不高,但确实需要一些计划。“这次攻击所需的甚高频传输设备相对简单,但设备需要距离接收列车系统相对较近。这次攻击确实表明,威胁行为者是有动机的,他们的目标是破坏铁路运营系统。”

电子战与军事领域的网络战相结合,在铁路领域,射频干扰和黑客攻击实际上是铁路 CISO 需要考虑和管理的风险。在这种情况下,实时安全监控可以帮助快速识别攻击的根本原因,并规划必要的缓解措施和未来的保护。”

Cylus 营销副总裁罗克·波洛克 (Roark Pollock) 表示:“这一事件凸显了全球铁路网络安全保护的迫切需要。” “令人担忧的是,这些类型的恶意攻击很少是一次性的。通常,最初的攻击只是威胁行为者的‘测试’。”

由于网络对抗性攻击的日益普遍、数字化转型浪潮的加速以及保护对运营环境构成脆弱性的遗留网络系统的迫切需要,维护轨道交通领域的网络安全变得至关重要。在很大程度上,正是这些因素的综合作用迫使铁路运营商更加重视网络安全,从而需要采取强有力的措施来应对威胁。

2、云托管 Leaseweb 遭受黑客攻击

云提供商 Leaseweb 最近 报告 称其系统遭到黑客攻击。8 月 22 日,攻击者未经授权访问了该门户。内部基础设施受到影响,因此该公司不得不无限期暂停服务。
客户端门户已经有一段时间不可用。Leaseweb 在发现黑客攻击后,通过电子邮件向用户通报了这一事件,并开始恢复系统。
一家专门从事数字取证的第三方公司被聘请调查该事件。到目前为止,还没有关于谁是这次攻击的幕后黑手以及攻击者的目标是什么的信息。
管理层没有报告任何有关其系统上有进一步恶意活动的迹象。也没有关于泄密或勒索赎金的报告。
专家保证门户已完全恢复,所有系统均正常运行。Leaseweb于1997年在荷兰成立。该公司在欧洲、亚洲、北美洲和大洋洲拥有由 26 个数据中心组成的广泛网络。
专家建议云服务用户保持警惕并注意保护自己的数据,包括使用多因素身份验证。
3、VMware Aria高危漏洞警报

VMware 发布了软件更新,以纠正 Aria Operations for Networks 中的两个安全漏洞,这些漏洞可能被用来绕过身份验证并获得远程代码执行。

最严重的缺陷是 CVE-2023-34039(CVSS 评分:9.8),它涉及由于缺乏唯一加密密钥生成而导致的身份验证绕过情况。

该公司在一份公告中表示:“具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。”

ProjectDiscovery 的研究人员 Harsh Jaiswal 和 Rahul Maini 被认为发现并报告了该问题。

第二个漏洞 CVE-2023-20890(CVSS 评分:7.2)是影响 Aria Operations for Networks 的任意文件写入漏洞,具有管理访问权限的对手可能会滥用该漏洞将文件写入任意位置并实现远程代码执行。

Summoning Team 的 Sina Kheirkhah 被认为是报告该漏洞的人,她此前曾在同一产品中发现了多个缺陷,其中包括CVE-2023-20887,该缺陷于 2023 年 6 月在野外被积极利用。

这些影响 VMware Aria Operations Networks 版本 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10 的漏洞已在 VMware 为每个版本发布的一系列补丁中得到解决

该虚拟化服务提供商表示,6.11.0 版本修复了这两个缺陷。

随着 VMware 中的安全问题过去成为威胁行为者有利可图的目标,用户必须迅速更新到最新版本以防范潜在威胁。

4、Citrix NetScaler 警报:勒索软件黑客利用关键漏洞

暴露在互联网上的未打补丁的 Citrix NetScaler 系统正成为未知威胁参与者的目标,疑似勒索软件攻击。

网络安全公司 Sophos 正在追踪名为STAC4663的活动集群。

攻击链涉及CVE-2023-3519的利用,这是一个影响 NetScaler ADC 和网关服务器的关键代码注入漏洞,可能有助于未经身份验证的远程代码执行。

在 2023 年 8 月中旬检测到的一次入侵中,据说该安全漏洞被用来进行全域攻击,包括将有效负载注入到合法的可执行文件中,例如 Windows 更新代理 (wuauclt.exe) 和 Windows Management Instrumentation Provider服务(wmiprvse.exe)。有效载荷的分析正在进行中。

其他值得注意的方面包括混淆的 PowerShell 脚本、PHP Web shell 的分发,以及使用名为 BlueVPS 的爱沙尼亚服务进行恶意软件暂存。

Sophos 表示,该作案手法与 NCC Group Fox-IT本月早些时候披露的攻击活动“密切”一致,此次攻击导致近 2,000 个 Citrix NetScaler 系统遭到破坏。

据称,这些攻击还与之前的一起事件有关,该事件使用了相同的技术,但不包括 Citrix 漏洞。可以在此处访问与该活动相关的妥协指标 (IoC) 。

该公司在 X 上的一系列帖子中表示:“所有这些都让我们认为,这很可能是一个专门从事勒索软件攻击的已知威胁参与者的活动。”

强烈建议 Citrix NetScaler ADC 和 Gateway 设备的用户应用补丁以减轻潜在威胁。

这一发展正值勒索软件有望在 2023 年达到新高之际,因为威胁行为者正在通过利用广泛使用的软件中的安全缺陷来破坏目标环境,从而迅速升级其攻击。

随之而来的是网络犯罪团体的激增,产生了个性化勒索软件(例如DoDo、ProtonTrash Panda),并且一旦获得初始访问权限,就会更快地对公司进行攻击,这表明攻击者的攻击能力越来越强。磨练他们窃取和加密数据的过程。

虽然大多数勒索软件团伙继续追求双重或三重勒索方案,但我们观察到一些组织从加密转向更简单的盗窃和勒索策略,这被称为无加密勒索攻击。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649785376&idx=3&sn=013026061ac03a99aeda9b84f9aa4b82&chksm=8893b44fbfe43d594930ff9455c8a6c990ccc4db0159a5e0c85353cbb49d1b0af231aaf3c7bd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh