The Good, the Bad and the Ugly in Cybersecurity – Week 20

The Good

在 2020 的第 20 周呢，CISA（The Cybersecurity and Infrastructure Security Agency）發布了Alert AA20-133A。 而這個 Alert 比較像是一個 Summary 涵蓋了前年以及 2016 年至 2019 年常被利用漏洞的一個趨勢。而且這都是有根據的，駭客並不傾向於使用新的 zero-days 或花枝招展的技術。  在大多數情況下，他們使用可靠的工具。 也很不幸的是，目標們通常是可靠的，因為這些目標們通常都不更新也不修補安全漏洞。

2016 年至 2019 年常被利用的十大漏洞為：​

• CVE-2017-11882 – Microsoft Office
• CVE-2017-0199 – Microsoft Office
• CVE-2017-5638 – Apache Struts
• CVE-2012-0158 – Microsoft Office
• CVE-2019-0604 – Microsoft SharePoint
• CVE-2017-0143 – Microsoft Windows
• CVE-2018-4878 – Adobe Flash Player
• CVE-2017-8759 – Microsoft .NET Framework
• CVE-2015-1641 – Microsoft Office
• CVE-2018-7600 – Drupal

在 2020 年，well, 到目前為止，經常被攻擊的主要漏洞為：

• CVE-2019-19781 – Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP
• CVE-2019-11510 – Pulse Connect Secure, Pulse Policy Secure

由於 2020 的 COVID-19 傳染疾病 ，導致大規模的遠端上班。 MS Office 365，Team，Zoom 和其他各種漏洞開始被注意到，造成了使用者成為鎖定目標。
​
那麼，為什麼這是個好消息呢？ 正所謂知彼知己，百戰百勝。準確了解攻擊趨勢始終是一件好事。若是無法優先考慮資產以及風險管理和緩解方法的環境，可以很快的使用這樣的數據來了解自身環境中的弱點並採取適當的措施。 CISA 警報還連接到每個 CVE（漏洞）的各種緩解選項，允許在需要時採取快速措施。

The Bad

據報導，本週以色列安全內閣舉行會議，討論了對國內自來水基礎設施的網路攻擊。 很多媒體也指出，這次襲擊是伊朗所為。 儘管目前的情報表示，這次攻擊沒有造成損害或負面結果，但我們可以肯定的是伊朗與以色列之間的緊張局勢又再次升級。

攻擊最初是在 2020 年 4 月底向 INCD（Israeli National Cyber Directorate）告知的。當時，多家民用水廠的運營商報告說 “設備運行異常” 和 “過程行為異常”。 而這次的攻擊專門針對有裝置 exposed （internet-connected ）PLC（programmable logic controllers）的多項設施中。

幸運的是，這次攻擊沒有造成任何損害（不像是……Stuxnet）。 但是，一開始進入的 vector 肯定會引發一些警報。 暴露的PLC 不需要身份驗證。 僅需對特定控制器管理接口和連接所需端口的了解。 簡單來說，這些知識都是可以快速的在 Google搜尋到。 還有，目標中的 PLC 跨越了很多個供應商。 攻擊者需要花時間並在攻擊之前通過徹底的偵查來收集基本資訊。 攻擊者還能夠修改目標控制器的過程邏輯，但如上述，運營商僅以“異常行為”來表示這次的攻擊。

基礎設施攻擊是一種不好的組合。 我們最關鍵的設備通常是最容易暴露且最容易受到攻擊的設備。 資安人員應該要有這樣的心態並致力保護這些系統。 遵循 CISA 和 DOE（ Department of Energy ）的指導方針是避免此類攻擊的關鍵。 正確使用VPN，MFA，用戶管理/控制以及真正的網路 segmentation 將對防止更多災難大有幫助。 CISA 還提供了許多工具，可以幫助評估和增強資安狀況。

The Ugly

目前全世界，不僅是在生活上，或工作上都還在以不同的方式面對 COVID-19 。 這包括使用 Zoom 之類的線上會議工具來協助我們持續發展的業務和溝通需求。 到現在為止，我們都已經熟悉 “ Zoom Bombing” 即類似的攻擊。 本週發生了另一起受矚目的 Zoom Bombing 攻擊事件，涉及 Dallas ISD（Independent School District）。 在一個有家長，老師和學生參加的關於畢業的會議上，視訊會議被攻擊。 沒被邀請的駭客向參與者發布了色情圖片。 事件發生後不久學校發表了以下聲明：

“We apologize for the graphic images some of our students and families may have seen during a parent-senior Zoom meeting, which was hacked by an unknown source yesterday. It’s unfortunate the digital platform that many of us rely on to connect students with teachers each day, has been compromised through various “Zoom-bombings”. Though we are disappointed the incident occurred, campus administrators successfully restarted the meeting without further incident and are working with Dallas ISD Police to investigate. A formal complaint was reported to Zoom, as we hope this incident prompts a stronger review of their security measures.”

“我們為在 Zoom 會議上看到的不雅照片表示歉意，昨天的會議遭到了不知名人士的攻擊。 也很不幸的，我們目前還是仰賴於數位平台來將學生與老師聯繫起來，但由於各種 “ Zoom-bombings” 而受到損害。 我們對事件發生感到失望，但校園管理員成功地重新開始了會議，也沒有進一步的攻擊事件發生，並且正在與 Dallas ISD 警察一起進行調查。 我們已向 Zoom 提出投訴，我們希望此事件能促使他們對其安全措施進行更嚴格的審查。”

請切記，公司企業永遠不能對自己的資安感到滿意及沾沾自喜。 儘管 Zoom 和其他供應商已經開始補救各種缺陷和疑慮，但被攻擊的可能性總是會在那兒等著你。 我們鼓勵大家閱讀有關 Zoom 和 Slack 之類應用程序的安全性準則。

原文