首頁 > 安全研究 > 安全通報 > 安全簡訊

美國水務公司遭網絡攻擊,部分系統關閉并啟動調查

發布時間 2024-10-08

1. 美國水務公司遭網絡攻擊,部分系統關閉并啟動調查


10月7日,美國水務公司,作為該國最大的上市水務和污水處理公用事業公司,近期遭受了網絡攻擊,導致部分系統被迫關閉。公司已聘請第三方網絡安全專家介入,并向執法部門報告此事件,協調聯合調查。為應對攻擊,公司采取了斷開或停用某些系統的措施,并關閉了在線客戶門戶服務MyWater,暫停了計費服務。公司發言人表示,期間不會向客戶收取滯納金,并強調供水或廢水設施及運營未受此次事件影響。美國水務公司擁有6,500多名員工,為14個州和18個軍事基地的超過1,400萬人提供服務。此前,類似事件也曾發生,如堪薩斯州阿肯色城的水處理廠在周末遭受網絡攻擊后轉為手動操作。此外,水信息共享與分析中心曾發布警告稱俄羅斯針對水務部門發起網絡攻擊。美國環境保護署也發布了指導意見,幫助評估網絡安全實踐并確定減少攻擊風險的措施。


https://www.bleepingcomputer.com/news/security/american-water-shuts-down-online-services-after-cyberattack/


2. Cloudflare阻止了史上最大流量DDoS攻擊,峰值達到3.8Tbps


10月3日,金融服務、互聯網和電信行業遭受了一場前所未有的分布式拒絕服務(DDoS)攻擊,峰值流量高達每秒3.8金融服務、互聯網和電信行業遭受了一場前所未有的分布式拒絕服務(DDoS)攻擊,峰值流量高達每秒3.8Tbps,創下了公開記錄的最大值。這場攻擊持續了一個月,包含了超過100次的超大流量DDoS攻擊,通過垃圾數據淹沒網絡基礎設施。在容量密集型DDoS攻擊中,大量數據導致帶寬消耗殆盡,應用程序和設備資源枯竭,合法用戶無法訪問。受感染的設備包括Asus路由器、MikroTik設備、DVR和網絡服務器,且遍布全球,俄羅斯、越南、美國、巴西和西班牙尤為集中。Cloudflare成功緩解了所有攻擊,并指出峰值攻擊持續了65秒。惡意設備主要使用UDP協議,該協議數據傳輸速度快,但無需建立正式連接。此前,微軟曾保持防御最大DDoS攻擊的記錄,流量為3.47Tbps。


https://www.bleepingcomputer.com/news/security/cloudflare-blocks-largest-recorded-ddos-attack-peaking-at-38tbps/


3. CosmicSting攻擊威脅Adobe Commerce和Magento商店安全


10月3日,Adobe Commerce和Magento在線商店正面臨名為“CosmicSting”的嚴重攻擊,該攻擊已入侵約5%的商店。CosmicSting漏洞(CVE-2024-34102)是一個高嚴重性的信息泄露漏洞,當與glibc的iconv函數中的另一安全問題(CVE-2024-2961)結合時,攻擊者可在目標服務器上實現遠程代碼執行。受影響的產品包括Adobe Commerce的多個版本、Magento開源的多個版本以及Adobe Commerce Webhooks插件的某些版本。自2024年6月以來,網站安全公司Sansec已追蹤到4,275家商店在CosmicSting攻擊中遭到入侵,知名受害者包括惠而浦、雷朋、國家地理、賽格威和思科等。Sansec警告稱,由于修補速度與情況嚴重性不匹配,目前多個威脅行為者正在利用CosmicSting漏洞入侵未打補丁的網站。這些威脅組織名為“Bobry”、“Polyovki”等,他們出于經濟動機,入侵網站以竊取信用卡和客戶信息。惡意腳本會從偽裝成知名JavaScript庫或分析包的域名注入受感染的網站。因此,強烈建議網站管理員盡快升級到安全的軟件版本。


https://www.bleepingcomputer.com/news/security/over-4-000-adobe-commerce-magento-shops-hacked-in-cosmicsting-attacks/


4. Zimbra郵件服務器嚴重漏洞CVE-2024-45519引發安全警報


10月4日,美國網絡安全和基礎設施安全局(CISA)已將Zimbra電子郵件服務器中的嚴重遠程代碼執行漏洞CVE-2024-45519添加到其已知利用漏洞目錄中,該漏洞針對Zimbra的postjournal服務,允許攻擊者通過發送特制電子郵件利用系統,執行任意命令。此漏洞已引起政府和關鍵基礎設施部門的警惕,因為攻擊者正在積極利用它,可能導致數據泄露、系統入侵或未經授權的訪問等嚴重后果。Zimbra已發布補丁修復此漏洞,建議系統管理員立即應用。此外,ProjectDiscovery的研究人員提出了兩種緩解措施:如果Postjournal服務不重要,請禁用它;并確?!癿ynetworks”設置正確配置以阻止未經授權的訪問。鑒于Zimbra在全球的廣泛使用,忽視這些防御措施可能會使系統暴露于主動攻擊的風險中。CISA已發出強烈警告,并設定了聯邦緩解措施的最后期限為2024年10月24日,為聯邦機構和關鍵基礎設施組織提供了緊迫的時間來應用補丁或停止使用Zimbra的日志服務。


https://securityonline.info/zimbra-email-servers-under-attack-cisa-flags-cve-2024-45519-as-actively-exploited/


5. perfctl惡意軟件:針對Linux服務器的隱蔽持久攻擊與資源劫持


10月4日,Aqua Nautilus 的研究人員發現了一種名為 perfctl 的 Linux 惡意軟件,它已針對配置錯誤的 Linux 服務器進行了長達 3-4 年的攻擊。該惡意軟件使用 rootkit 隱藏其存在,通過 TOR 進行通信,并在服務器空閑時執行加密貨幣礦工和代理劫持軟件。攻擊者利用漏洞或錯誤配置,從控制的 HTTP 服務器下載多層結構的有效載荷,通過重命名和刪除原始二進制文件來掩蓋蹤跡。它還會投放一個 rootkit 和經過修改的 Linux 實用程序,使用高級逃避技術如檢測新用戶時停止活動,并終止競爭惡意軟件。為了保持持久性,惡意軟件會修改用戶登錄腳本,在用戶登錄時執行,并在后臺運行以確保其持續運行。該惡意軟件的主要影響是資源劫持,通過執行門羅幣挖礦程序來耗盡服務器 CPU 資源。要檢測 perfctl 惡意軟件,需要查看 CPU 使用率是否出現異常峰值或系統是否變慢。


https://securityaffairs.com/169351/malware/perfctl-malware-targets-misconfigured-linux-servers.html


6. UMC Health System遭勒索軟件攻擊,患者轉移與服務受阻


10月1日,德克薩斯州醫療保健提供商UMC Health System近期遭遇了勒索軟件攻擊,導致其IT系統出現異?;顒?。為遏制事件,UMC立即斷開系統并展開調查,確認此次異?;顒优c勒索軟件事件有關。盡管尚未有大型勒索軟件組織對攻擊負責,但攻擊已迫使UMC將部分患者轉移到其他地點,并導致一些科室關閉或只能提供延遲服務,其中放射科受影響尤為嚴重。此外,由于IT系統故障,UMC診所無法提供醫療處方清單,建議患者隨身攜帶,醫療記錄雖可在患者門戶網站上找到,但無法打印。目前,通過電話或在線門戶建立溝通也無法保證,建議需要立即幫助的人前往診所。此次攻擊可能涉及數據盜竊,數十萬人的敏感醫療信息可能受到影響,UMC正在對此進行調查,并表示將在有更多信息時提供更新。


https://www.bleepingcomputer.com/news/security/ransomware-attack-forces-umc-health-system-to-divert-some-patients/

上一篇 下一篇