【转】当安全保护软件出现安全问题就是大问题
hot_powerz (2023-07-08 20:18:18) 评论 (0)Web Content Extractor
加拿大网络安全中心与FBI和其他美国机构联合发布了一份关于“Truebot”恶意软件攻击不断增加的联合警报。
根据7月6日的警报,黑客利用安全软件的漏洞,入侵加拿大和美国的组织的计算机网络,以获取敏感数据以谋取经济利益。受影响软件的公司表示,超过7,000个组织依赖所谓的Netwrix Auditor,其中包括来自保险、金融、医疗和法律领域的客户。
渥太华卡尔顿大学计算机科学副教授Anil Somayaji在周四通过电话告诉CTVNews.ca:“为了使安全程序正常运行,需要较高级别的访问权限,因此如果它被入侵...攻击者就获胜了。这是一种最糟糕的漏洞,出现在非常敏感的软件中,而这些软件恰恰部署在那些对安全性非常关注的地方。”
总部位于德克萨斯州的Netwrix敦促客户升级软件,并确保运行该软件的系统与互联网断开连接。
Netwrix首席安全官Gerrit Lansing在向CTVNews.ca发表的声明中表示:“与部署最佳实践相反,这个漏洞可能允许攻击者在暴露于互联网的Netwrix Auditor系统上执行任意代码。反过来,攻击者将能够在渗透的网络中运行枚举攻击并进行权限提升尝试。枚举和权限提升这两种活动是任何网络攻击的核心。”
Netwrix Auditor被宣传为组织可以使用的数字工具,用于“检测安全威胁、证明合规性并提高IT团队的效率”。
Netwrix Auditor网站宣传称:“减少IT风险,主动发现威胁。通过确定您的关键数据和基础设施安全漏洞以及揭示宽松的权限,降低对关键资产的风险。”
Somayaji表示,正是由于软件和被称为远程代码执行的攻击的本质,黑客才能访问整个计算机系统和Netwrix Auditor设计用于保护的敏感数据。
“一旦被感染,他们基本上就控制了这些系统,然后他们可以...加密您的所有数据,这样现在只有攻击者才能解密它,”Somayaji说道。Somayaji的研究兴趣包括计算机安全和入侵检测。“这就是勒索软件的想法:我加密了你的数据,如果你想要恢复,你必须为密钥付费,否则你将永远无法恢复它。”
加拿大网络安全中心是加拿大的网络安全和数字情报机构,隶属于通信安全局(CSE)。该机构与美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及美国多州信息共享与分析中心(MS-ISAC)一起发布了有关这种新网络威胁的联合警报。
Somayaji说:“每当你看到这些事情出现,就好像冰山的一角。加拿大网络安全中心、CISA和FBI发表这样的新闻稿,这让我认为一些重要的参与者正在使用这些东西。”
私人安全研究人员称,Truebot恶意软件最早于2017年被发现,据说它可以追溯到号称使用俄语的Silence Group的黑客,该组织据称针对前苏联国家和其他全球金融机构进行攻击。CSE的一位发言人表示,他们“无法验证这些发现”。
CSE的发言人解释说:“Truebot恶意软件的早期版本依赖于恶意钓鱼邮件,通过诱使收件人点击超链接来执行恶意软件,从而渗透系统。最近,网络威胁行动者添加了一种新策略,利用Netwrix Auditor软件中的一个远程代码执行漏洞(称为CVE-2022-31199)来启动恶意软件,基本上消除了钓鱼攻击所需的人为错误。”
加拿大网络安全中心敦促受影响的IT运营商阅读其技术警报和网络安全咨询,以获取更多信息和解决方案。
Somayaji表示,Netwrix并非第一家面临此类入侵的安全软件公司。
Somayaji说:“如果你回顾过去,许多安全产品都被发现存在严重漏洞。这其中有些可能只是为了赚钱,有些可能是情报机构,还有些可能只是一些对某事有怨言的个人。”
hot_powerz