每日安全简讯(20240522)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 勒索软件组织通过伪造PuTTy和WinSCP恶意广告针对Windows系统管理员发起攻击
一种勒索软件操作针对Windows系统管理员,通过投放Google广告来推广假的PuTTy和WinSCP下载网站。WinSCP和PuTTy是流行的Windows工具,WinSCP是一个SFTP客户端和FTP客户端,PuTTy是一个SSH客户端。系统管理员在Windows网络中通常拥有更高的权限,使他们成为威胁行为者的宝贵目标,这些行为者希望快速传播网络,窃取数据,并访问网络的域控制器以部署勒索软件。在搜索“download winscp”或“download putty”时,一个搜索引擎广告活动显示了假的PuTTy和WinSCP网站的广告。目前尚不清楚该活动是发生在Google还是Bing上。这些广告使用了拼写错误的域名,如puutty.org、puutty[.]org、wnscp[.]net和vvinscp[.]net。
https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/
2 CISA警告攻击者使用Chrome和EoL D-Link漏洞发起网络攻击
美国网络安全和基础设施安全局(CISA)已将三项安全漏洞添加到其“已知利用漏洞”目录中,其中一个影响谷歌Chrome浏览器,另外两个影响部分D-Link路由器。将这些问题添加到KEV目录中是对联邦机构和公司的一种警告,表明威胁行为者正在利用这些漏洞进行攻击,应该应用安全更新或缓解措施。美国联邦机构必须在6月6日之前更换受影响的设备或实施降低或消除攻击风险的防御措施。正在被积极利用的漏洞:谷歌Chrome中的漏洞编号为CVE-2024-4761,供应商于5月13日确认该漏洞被积极利用,但目前尚无技术细节公开。该漏洞被描述为Chrome V8 JavaScript引擎中的越界写入漏洞,该引擎在浏览器中执行JS代码,其严重性评级为高。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-chrome-eol-d-link-bugs/
3 电子处方提供商MediSecure遭遇大规模勒索软件导致数据泄露
澳大利亚的电子处方提供商MediSecure由于疑似来自第三方供应商的勒索软件攻击,已经关闭了其网站和电话线。该事件影响了个人和健康信息,但目前影响程度尚不清楚。MediSecure自2009年以来一直运营,为医疗专业人士提供管理和分发药物的数字工具。公司通过其私人和州支持的eRx系统发出了数百万份电子处方。直到2009年11月,它是澳大利亚仅有的两个无纸化处方网络之一。今天,该公司宣布其受到服务供应商之一的网络安全事件的间接影响,导致数据泄露。“MediSecure已确定一起网络安全事件,影响了个人和健康信息。我们已采取紧急措施以减轻对我们系统的任何潜在影响,”公告中写道。
https://www.medisecure.com.au/
4 大型保险公司WebTPA遭遇数据泄露影响240万保单持有人
美国卫生与公众服务部(HHS)指出,本月早些时候披露的WebTPA雇主服务(WebTPA)数据泄露事件影响了近250万人。部分受影响的人是大型保险公司(如The Hartford、Transamerica和Gerber Life Insurance)的客户。WebTPA是GuideWell Mutual Holding Corporation的子公司,是一家第三方管理公司(TPA),为健康计划和保险公司提供定制的管理服务。该公司雇佣了18000名员工,年收入达到1.03亿美元。这起数据泄露事件发生在去年,但直到去年12月公司才发现其网络上有可疑活动的证据。根据美国卫生与公众服务部数据泄露门户网站的最新更新,受影响的人数为2429175人。
https://www.bleepingcomputer.com/news/security/webtpa-data-breach-impacts-24-million-insurance-policyholders/
5 微软将于7月开始实施Azure多重身份验证
从七月开始,微软将逐步对所有登录Azure进行资源管理的用户强制实施多因素认证(MFA)。在首先完成对Azure门户的推广之后,MFA的强制实施将会在CLI、PowerShell和Terraform中进行类似的推广。客户还将通过电子邮件和官方通知收到有关MFA强制实施的更多信息。服务主体、托管身份、工作负载身份和用于自动化的类似基于令牌的账户不包括在内。微软仍在为某些场景(如紧急恢复账户和其他特殊恢复流程)收集客户意见。
https://www.bleepingcomputer.com/news/microsoft/microsoft-will-start-enforcing-azure-multi-factor-authentication-MFA-in-july-2024/
6 挪威国家网络安全中心建议企业用替代方案取代SSL VPN以防止遭遇入侵
挪威国家网络安全中心(NCSC)建议用替代方案取代SSLVPN/WebVPN解决方案,因为相关漏洞在边缘网络设备中被多次利用,导致企业网络遭到入侵。NCSC对使用安全套接字层虚拟专用网络(SSL VPN/WebVPN)产品的用户的官方建议是切换到使用互联网协议安全(IPsec)和互联网密钥交换(IKEv2)的方案。SSL VPN和WebVPN使用SSL/TLS协议通过互联网提供网络的安全远程访问,通过“加密隧道”保护用户设备与VPN服务器之间的连接。IPsec和IKEv2通过定期刷新的密钥集来加密和验证每个数据包,从而保护通信。尽管该网络安全机构承认IPsec和IKEv2并非没有缺陷,但它认为切换到这些方案将显著减少安全远程访问事件的攻击面,因为与SSLVPN相比,IPsec和IKEv2对配置错误的容忍度较低。
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/ncsc-anbefaler-a-erstatte-sslvpn-webvpn-med-sikrere-alternativer
页:
[1]