一、近期网络与信息安全风险提示
(一)做好各类网站及业务平台全生命周期管理。
近期,监测发现省内某单位微信公众号业务链接跳转至色情网站,经排查取证,相关问题由于公众号主办单位在服务停止使用后未及时将公众号注销,使用的外链域名被黑产组织检索抢注用于非法内容宣传导致,与前期部分政府单位网站外链异常事件较为类似。建议相关单位做好网站、业务系统及新媒体平台的全生命周期管理,尽快下线关闭不再使用闲置网站及测试系统,做好域名ICP备案和平台业务自身的注销,定期对网站友情链接,平台业务链接等外部跳转目标进行检查,避免同类事情发生。
(二)Apache RocketMQ存在远程代码执行漏洞。
近期,Apache官方发布公告,修复了RocketMQ存在的一个远程命令执行漏洞(CVE-2023-33246),攻击者可以通过该漏洞利用更新配置功能远程执行代码,部分的技术细节已被公开,目前有多家技术支撑单位反馈复现情况。RocketMQ是一款在系统开发中使用广泛的分布式消息中间件,该漏洞的潜在影响范围较大,为避免漏洞后续进一步被开放利用,建议各级单位联系系统开发及运维单位,做好自查和防护工作。
(三)强化远程桌面协议安全使用要求。
一段时间以来,涉及远程桌面协议(RDP)爆破攻击的安全事件频发,利用僵尸网络资源进行RDP口令爆破是当前黑客较为常见的,与僵木蠕事件高度关联的攻击手法,一旦攻击者成功通过RDP入侵并具备内网渗透条件,极易发生勒索攻击事件或数据窃取事件。经统计分析,省内有大量RDP常用业务端口直接暴露在互联网侧(3389及X3389常见变形),部分目标可捕获到大量非正常高频次境外来源访问行为,资产疑似已失陷;少数目标前期未执行安全更新,未修复Bluekeep远程代码漏洞(CVE-2019-0708),存在漏洞利用风险。如有使用RDP开展远程运维及办公需求的单位,不建议直接将业务端口暴露在互联网侧,应设置前置防护,如通过VPN接入或其他方式先执行有效的访问控制和用户鉴权,再通过健壮口令登录使用。
(四)关注微软7月公告内容做好更新防护。
近日,微软官方发布了7月安全更新。此次更新涉及多个产品的大量关键性安全补丁,是近期发布数量较多的一个批次。公告中有5个漏洞目前已发现存在在野利用的情况,部分漏洞可充分结合钓鱼邮件,通过构造URL或恶意文件诱导用户点击访问,触发漏洞实现攻击,其中Microsoft Office and Windows HTML代码执行漏洞(CVE-2023-36884)漏洞官方尚未发布补丁,仅提供了临时处置工作建议。建议各级单位及时做好系统更新或参照官方指导内容,集合业务实际情况,采取临时性加固措施,并持续关注后续发布内容。
二、近期国内外网络安全事件
(一)美国HCA 医疗遭遇黑客攻击,泄露 1100 万患者敏感信息
近日,Security Affairs 网站披露,HCA 医疗公司近期披露了一起网络攻击事件,约 1100 万患者的个人信息遭到泄露。7月5日,HCA 医疗发现一个安全事件,当时某个威胁攻击者在一个地下论坛上嚣张地宣传其入侵了HCA 。为了证明"战绩"的真实性,该名威胁攻击者还发布了包括患者姓名、城市、州和邮政编码、电子邮件、电话号码、出生日期、性别以及服务日期、地点和下次预约日期等部分患者敏感个人信息。值得一提的是,网络威胁攻击者并未暴露患者治疗、诊断或病情、支付信息,信用卡或账户号码、密码、驾驶执照或社会安全号等患者敏感临床信息。据悉,泄露的患者信息是从一个外部存储位置流出,该存储位置专门用于自动格式化电子邮件信息。在意识到可能遭遇网络攻击后,HCA Healthcare 立即通知了执法部门,并在第三方取证和威胁情报顾问帮助下对安全漏洞展开了严格调查。截至发稿调查仍在进行中,HCA 尚未发现其网络或系统中存在与此次事件相关的恶意活动凭据。HCA Healthcare 公司表示内部不认为此次患者信息泄漏事件涉及到患者的临床信息(如治疗、诊断或病情)、支付信息(如信用卡或账户号码)或其他敏感信息(如密码、驾照或社会保险号)。关于事件详情的调查仍在进行中,暂时无法确认有多少患者受到影响。但 HCA Healthcare 指出泄露列表包含约 2700 万行数据,其中可能包括约 1100 万 HCA Healthcare 患者的个人信息。为应对此次患者数据泄露事件,HCA Healthcare 禁止用户访问存储位置,但是向患者和社区提供的护理和服务没有中断。
(二)孟加拉国政府网站泄露数百万公民个人数据
近日,研究人员Viktor Markopoulos发现孟加拉国政府的一个网站正在泄露数百万孟加拉国公民的个人信息。据TechCrunch报道,泄露的数据包括姓名、电话号码、电子邮件地址和身份证号码。Markopoulos在6月27日发现了这一泄漏事件,并将这一发现报告给孟加拉国政府计算机事件响应小组(CERT)。这位研究人员解释说,找到泄露的数据很容易,他告诉TechCrunch,这些数据出现在与SQL错误有关的谷歌查询结果中。TechCrunch通过使用部分查询受影响的政府网站公共搜索工具来验证泄露的数据是否是合法的。通过这样做,该网站返回了泄露的数据库中包含的其他数据,如申请注册的人的名字,以及他们的父母的名字等。随后他使用了10组不同的数据进行了尝试,都返回了正确的数据。TechCrunch试图联系孟加拉国的几个政府组织,但没有成功。目前,该政府网站的名称无法公开透露,因为它仍在泄露公民的数据。上述信息的泄露可能使受影响的公民面临网络钓鱼攻击的威胁。Markopoulos补充说,攻击者可以利用这类信息代表公民访问网络应用,并修改和删除应用以及查看生成的验证。
(三)日本最大港口遭勒索软件攻击,造成巨大经济影响
日本名古屋港位于伊势湾,是日本最大和最繁忙的贸易港口,占全国总贸易量的10%左右,这个港口还是日本最大的汽车出口国,丰田汽车公司的大部分汽车都在这里出口。近日,该港口遭遇了一次勒索软件攻击,影响了集装箱码头的运作。名古屋港口运输协会已经证实,此次网络攻击扰乱了集装箱进出港口的工作。据名古屋港口管理协会透露,7月4日上午6时30分左右,日本网站FNN报道称:该港口的集装箱码头发生了系统故障,除了在拖车上装卸集装箱外,装卸工作已经停止。目前,还没有任何勒索软件组织声称对这次攻击负责,究竟是谁导致该港口的系统故障目前仍然未知。BleepingComputer分享了名古屋港当局发布的一份最新通知,该通知称此次故障或与“名古屋港统一码头系统”(NUTS)的操作问题有关,该系统是控制基础设施中所有集装箱码头的中央系统。但在调查事故原因后,名古屋港当局与负责运营该系统的名古屋港口运营协会码头委员会以及爱知县警察总部举行了会议,发现问题是由勒索软件攻击导致的。这次安全事件将对港口造成巨大的经济影响,专家预估,此次攻击事件还可能影响全国各地的货物运输。
普洱学院信息中心
2023年7月19日