安全資訊報告

美國國家安全域性(NSA)為保護IT基礎設施提出最新建議

這份來自NSA網路安全域性的檔案鼓勵採用“零信任”網路。該報告涵蓋網路設計、裝置密碼和密碼管理、遠端日誌記錄和管理、安全更新、金鑰交換演算法以及網路時間協議、SSH、HTTP和簡單網路管理協議(SNMP)等重要協議。

美國國家安全域性表示它“完全支援零信任模型”，並提供了建立它的建議，從安裝路由器和使用多個供應商到建立防火牆以減少利用影響一個供應商產品的可能性。但是，該機構還指出，其指導重點是減輕現有網路上的常見漏洞和弱點。

NSA建議將網路中的類似系統組合在一起，以防止攻擊者在入侵後橫向移動。例如，攻擊者將瞄準更容易被利用的印表機等系統。

它還建議刪除網路中裝置之間的後門連線，使用嚴格的訪問控制列表，並實施對連線到網路的唯一裝置進行身份驗證的網路訪問控制(NAC)。關於VPN，它說“禁用所有不需要的功能並實施嚴格的流量過濾規則”。它還指定了應用於IPSecVPN配置中的金鑰交換的演算法。

NSA表示，本地管理員帳戶應使用唯一且複雜的密碼進行保護。它建議強制執行新的密碼策略，並警告“大多數裝置都具有向公眾公佈的預設管理憑據”。管理員應刪除所有預設配置，然後為每個管理員使用唯一的安全帳戶重新配置它們。

新聞來源：

https://www.zdnet.com/article/nsa-report-this-is-how-you-should-be-securing-your-network

勒索軟體團伙Conti已經從聊天洩露造成的損害中恢復過來

一個名為ContiLeaks的Twitter帳戶在2月下旬大張旗鼓地首次亮相，全球各地的人們都在觀看俄羅斯勒索軟體團伙Conti成員之間數萬條洩露的聊天記錄在網上釋出。

在洩密事件發生後的幾天裡，許多人認為會對Conti造成毀滅性打擊，但在洩漏開始十天後，Conti似乎正在蓬勃發展。專家表示，臭名昭著的勒索軟體團伙已經很容易轉移，替換了洩漏中暴露的大部分基礎設施，同時迅速採取行動打擊有贖金要求的新目標。

專家表示，該團伙的領導層在洩密事件發生後的早期做出了重大努力，將其在駭客攻擊中暴露的基礎設施遷移到新系統，這最初減緩了勒索軟體的活動。

研究人員說，在洩密開始後的幾天內，Conti的勒索網站上沒有任何內容——該團伙在那裡公開了不支付贖金的使用者資料。威脅分析社群一直在討論Conti不斷增加的網路活動。

在聊天洩露後的最初幾天，Conti的大部分基礎設施都處於停機狀態——至少有25臺不同的伺服器暴露在洩露中，而且這些伺服器仍然處於停機狀態。Conti的C2伺服器非常龐大，並非所有伺服器都已倒下。

許多專家表示，他們對Conti的持久力並不感到驚訝。據報導，Conti的比特幣錢包裡有大約20億美元，安全專家認為，勒索軟體“利潤豐厚，不會很快或輕易消失。”

新聞來源：

https://www.cyberscoop.com/ransomware-gang-conti-bounced-back/

智慧手機惡意軟體呈上升趨勢

Proofpoint的網路安全研究人員表示，他們檢測到在2022年的前幾個月，移動惡意軟體攻擊的企圖增加了500%，在2月初和月底達到顯著高峰。

很大一部分移動惡意軟體的主要目的是竊取電子郵件或銀行帳戶的使用者名稱和密碼，但許多形式的移動惡意軟體還配備了侵入式窺探功能，以記錄音訊和影片、跟蹤您的位置，甚至擦除您的內容和資料。隨著移動惡意軟體的發展，越來越多的攻擊正在使用這些高階功能。

Apple和Android智慧手機都是網路犯罪分子的目標，但研究人員指出，Android市場更開放的性質以及從第三方應用商店下載應用的能力使得使用Google作業系統的裝置更容易受到攻擊。

Apple和Android智慧手機的使用者也可能成為SMS網路釣魚(smishing)攻擊的受害者，該攻擊會看到傳送給使用者的簡訊，其中包含旨在誘騙他們將銀行詳細資訊或登入憑據輸入虛假網站的連結，以供網路犯罪分子利用。看和偷。常見的誘餌包括虛假的未送達通知和與COVID-19大流行相關的虛假警報。

雖然自上個月激增以來檢測到的移動攻擊數量有所下降，但移動惡意軟體仍然對使用者構成威脅——但研究人員警告說，許多人並未意識到針對智慧手機的網路釣魚或惡意軟體攻擊所帶來的潛在危險。

新聞來源：

https://www.zdnet.com/article/smartphone-malware-is-on-the-rise-heres-what-to-watch-out-for/

近30%的關鍵WordPress外掛錯誤沒有得到修復

WordPress安全和威脅情報領域的研究者Patchstack釋出了一份白皮書，介紹了2021年WordPress的安全狀況，該報告描繪了一幅可怕的畫面。與上一年相比，2021年報告的漏洞增加了150%，而WordPress外掛中29%的嚴重漏洞從未收到安全更新。

在2021年報告的所有缺陷中，只有0.58%存在於WordPress核心中，其餘的是來自不同來源和不同開發人員的平臺主題和外掛。值得注意的是，這些缺陷中有91.38%是在免費外掛中發現的，而付費/高階WordPress外掛僅佔總數的8.62%。

PatchStack報告稱，跨站點指令碼(XSS)在2021年報告的WordPress漏洞型別中位居榜首，其次是“混合”、跨站點請求偽造、SQL隱碼攻擊和任意檔案上傳。在報告的缺陷嚴重程度方面，3.41%為嚴重，17.94%為高度重要，76.76%為中等，主要是由於存在利用條件。

到2021年，大約42%的WordPress網站至少有一個易受攻擊的元件，平均安裝了18個。雖然這個數字低於2020年網站上安裝的23個外掛，但問題仍然存在，因為18個外掛中有6個已過時。

Patchstack的報告強調，WordPress網站管理員可以透過使用付費外掛而不是免費產品來管理大多數安全風險，將安裝的附加元件數量保持在最低限度，並儘快將它們升級到最新的可用版本。

新聞來源：

https://www.bleepingcomputer.com/news/security/nearly-30-percent-of-critical-wordpress-plugin-bugs-dont-get-a-patch/

英特爾、AMD和Arm警告：新的CPU預測執行BUG

安全研究人員發現了一種新方法，可以繞過現有的基於硬體的防禦措施，在英特爾、AMD和Arm的現代計算機處理器中進行推測執行。

今天，這三個CPU製造商釋出了公告，並附有緩解更新和安全建議，以解決最近發現的問題，這些問題允許洩露敏感資訊，儘管基於隔離的保護。

VUSec的研究人員今天在一份技術報告中詳細介紹了一種新方法，透過利用他們所謂的分支歷史注入(BHI)來繞過所有現有的緩解措施。該論文強調，雖然硬體緩解措施仍然可以防止非特權攻擊者為核心注入預測器條目，但依靠全域性歷史來選擇目標會建立一種以前未知的攻擊方法。

英特爾透過分配兩個中等嚴重性漏洞CVE-2022-0001和CVE-2022-0002來回應這一發現，並建議使用者在特權模式下禁用對託管執行時的訪問。

在與披露相吻合的平行訊息中，grsecurity釋出了詳細資訊和PoC，該PoC可以透過新的直線推測(SLS)攻擊方法從AMD處理器洩漏機密資料。

這種新的SLS變體影響了許多基於Zen1和Zen2微架構的AMD晶片，包括EPYC、Ryzen Threadripper和整合Radeon Graphics的Ryzen。

新聞來源：

https://www.bleepingcomputer.com/news/security/intel-amd-arm-warn-of-new-speculative-execution-cpu-bugs/

駭客濫用Mitel裝置將DDoS攻擊擴大40億倍

研究人員觀察到威脅行為者濫用高影響反射/放大方法來進行長達14小時的持續分散式拒絕服務(DDoS)攻擊，放大率達到4,294,967,296比1，創下歷史新高。

被稱為TP240PhoneHome(CVE-2022-26143)的攻擊向量已被武器化，以發動針對寬頻接入ISP、金融機構、物流公司、遊戲公司和其他組織的重大DDoS攻擊。

“大約2,600個Mitel MiCollab和MiVoice Business Express協作系統作為PBX到Internet閘道器被錯誤地部署在暴露於公共Internet的可濫用系統測試設施中。”Akamai研究員Chad Seaman在聯合諮詢中說，“攻擊者正在積極利用這些系統發起每秒超過5300萬個資料包(PPS)的反射/放大DDoS攻擊。”

DDoS反射攻擊通常涉及欺騙受害者的IP地址，以重定向來自目標（如DNS、NTP或CLDAP伺服器）的響應，使得傳送給欺騙傳送者的回覆遠大於請求，從而導致完全無法訪問的服務。

新聞來源：

https://thehackernews.com/2022/03/hackers-abuse-mitel-devices-to-amplify.html

谷歌以54億美元收購網路安全公司Mandiant

谷歌將以54億美元的價格收購網路安全公司Mandiant。此次全現金收購將使Mandiant加入Google Cloud並提供端到端的安全運營套件以及諮詢服務，以幫助客戶應對關鍵的安全挑戰並保持安全。該交易還將把Mandiant的威脅檢測和情報服務以及測試和驗證服務納入Google Cloud的保護傘下。 

此次收購須符合慣例成交條件，包括獲得Mandiant股東和監管部門的批准，預計將於今年晚些時候完成。收購完成後，Mandiant將加入Google Cloud。 

新聞來源：

https://www.zdnet.com/article/google-is-buying-cybersecurity-company-mandiant-for-5-4-billion/

安全漏洞威脅

在數百萬惠普裝置中發現16個新的UEFI韌體高危漏洞

網路安全研究人員週二披露了影響多個惠普企業裝置UEFI韌體的高危漏洞。受影響的裝置種類包括惠普的膝上型電腦、桌上型電腦、銷售點(PoS)系統和邊緣計算節點。

透過利用所披露的漏洞，攻擊者可以利用它們在韌體中執行特權程式碼執行，並可能提供持久的惡意程式碼，這些程式碼在作業系統重新安裝後仍然存在，並允許繞過端點安全解決方案(EDR/AV)，安全啟動和基於虛擬化的安全隔離。

最嚴重的缺陷涉及韌體的系統管理模式(SMM)中的一些記憶體損壞漏洞，從而能夠以最高許可權執行任意程式碼。

在與HP和CERT協調中心(CERT/CC)協調披露流程後，這些問題已作為2022年2月2日至28日釋出的一系列安全更新的一部分得到解決。

新聞來源：

https://thehackernews.com/2022/03/new-16-high-severity-uefi-firmware.html