青莲晚报（第一百零六期）| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

研究人员发现了针对家庭办公室路由器的 ZuoRAT 恶意软件

Black Lotus Labs 发现了一种名为 ZuoRAT 的新远程访问木马 (RAT)，该木马通过他们的小型办公室/家庭办公室 (SOHO) 设备（包括华硕、思科、DrayTek 和 NETGEAR 的型号）针对远程工作人员。

ZuoRAT 是近两年未被发现的复杂活动的一部分。分析师观察到的战术、技术和程序 (TTP) 带有可能是民族国家威胁行为者的标记。

该活动包括 ZuoRAT——一种利用已知漏洞为 SOHO 路由器开发的多阶段 RAT——它允许攻击者枚举相邻的家庭网络，收集传输中的数据，并劫持家庭用户的 DNS/HTTP 互联网流量。通过生活在很少被监控的设备上以及劫持 DNS 和 HTTP 流量，攻击者能够保持未被发现。

劫持功能允许威胁参与者从路由器转移到网络中的工作站，他们可能在其中部署了两个额外的定制 RAT——其中一个允许跨平台功能（即 Windows、Linux 和 MacO）。这些额外的 RAT 允许参与者上传/下载文件、运行命令并保留在工作站上。

Black Lotus Labs 还确定了两组不同的命令和控制 (C2) 基础设施。第一个是为定制工作站 RAT 开发的，依赖于中国公司的第三方服务。第二组 C2 是为路由器开发的。

研究人员使用专有遥测技术发现，一旦被感染，路由器就会与其他受感染的路由器进行通信，以进一步混淆恶意活动。

详文阅读：

https://www.helpnetsecurity.com/2022/06/28/zuorat-malware-routers/

破坏性固件攻击对企业构成重大威胁

根据 HP Wolf Security 的说法，随着业务人员变得越来越分散，IT 领导者表示，防御固件攻击比以往任何时候都更加困难。

向混合工作模式的转变改变了组织管理端点安全的方式，同时也凸显了 IT 团队在保护设备固件方面面临的新挑战。HP Wolf Security 对 1,100 名 IT 领导者的全球调查显示：

由于混合工作人员越来越频繁地从家庭网络连接，固件攻击的威胁越来越受到 IT 领导的关注：随着混合工作或远程工作现在成为许多员工的常态，在潜在不安全的家庭网络上工作的风险更大，这意味着固件攻击造成的威胁级别已经上升。超过十分之八 (83%) 的 IT 领导者表示，针对笔记本电脑和 PC 的固件攻击现在构成了重大威胁，而 76% 的 ITDM 表示，针对打印机的固件攻击构成了重大威胁。

在混合工作时代，管理固件安全变得越来越困难，花费的时间越来越长，使组织暴露在风险之中：超过三分之二 (67%) 的 IT 领导者表示，防御、检测和从固件攻击中恢复变得更加困难和时间——由于在家工作的增加，64% 的人表示对分析固件配置的安全性持相同看法。因此，80% 的 IT 领导者担心他们应对端点固件攻击的能力。

“与典型的恶意软件相比，固件攻击非常具有破坏性，并且更难检测或修复——通常需要专家甚至手动干预才能修复。这大大增加了修复的成本和复杂性，尤其是在设备不在现场供 IT 团队访问的混合环境中。拥有更多的端点位于企业网络的保护之外也会降低可见性并增加通过不安全网络进入的攻击的风险，”惠普个人系统安全全球负责人Ian Pratt 博士说。

详文阅读：

https://www.helpnetsecurity.com/2022/06/29/destructive-firmware-attacks-threat-to-businesses/

注意！这 56 个漏洞已影响数千台关键基础设施环境中的工业设备

近日，一份关于一组56个漏洞的安全报告已发布，这些漏洞统称为 Icefall，会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。

据悉，Icefall是由Forescout的Vedere实验室的安全研究人员发现，它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。

在过去的几年里，受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标，这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。

潜 在 后 果Icefall 影响了众多工业部门使用的各种设备，使其极具吸引力，尤其是对国家支持的对手而言。Forescout 表示，一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。

为了证明他们的发现和潜在风险，研究人员使用了风力发电和天然气运输系统，显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。

详文阅读：

https://hackernews.cc/archives/39525

使用西门子工控系统的注意了，已经暴露了 15 个安全漏洞

网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。

工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。”

值得庆幸的是，2021年10月12日，西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞（从 CVE-2021-33722 到 CVE-2021-33736）。西门子在一份报告中写到，最严重的漏洞可能允许经过身份验证的远程攻击者，在某些条件下以系统特权在系统上执行任意代码。

威胁最大的漏洞编号是CVE-2021-33723（CVSS 评分：8.8），它允许攻击者将权限升级至管理员账号，病号可以与路径遍历漏洞 CVE-2021-33722（CVSS 评分：7.2）想结合，最终实现远程任意代码执行。

此外，还有一个需要注意的是 SQL 注入漏洞，漏洞编号（CVE-2021-33729，CVSS 分数：8.8），通过该漏洞，经过身份验证的攻击者可以在本地数据库中执行任意命令。

Claroty 的 Noam Moshe认为，SINEC在网络拓扑中处于至关重要的中心位置，因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限，以便管理网络中的设备。

从攻击者的角度来看，这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制，而SINEC将攻击者置于以下主要位置：侦察、横向移动和特权升级。

详文阅读：

https://hackernews.cc/archives/39503

Hertzbleed 可利用 Intel/AMD 处理器提频漏洞来窃取加密密钥

在 2017 年被影响现代 Intel、AMD 和 ARM 处理器的“幽灵”（Spectre）和“熔毁”（Meltdown）侧信道攻击漏洞给震惊之后，现又有安全研究人员曝光了利用 CPU 提频（Boost Frequencies）来窃取加密密钥的更高级漏洞 —— 它就是 Hertzbleed 。

该攻击通过监视任何加密工作负载的功率签名（power signature）侧信道漏洞而实现，与 CPU 中的其它因素一样，处理器功率会因工作负载的变化而有所调整。

但在观察到此功率信息之后，Hertzbleed 攻击者可将之转换为计时数据（timing data），进而窃取用户进程的加密密钥。

目前 Intel 和AMD 均已公布易受 Heartzbleed 漏洞攻击影响的系统，可知其影响 Intel 全系和 AMD Zen 2 / Zen 3 处理器。

前者被分配了 Intel-SA-00698 和 CVE-2022-24436 这两个漏洞 ID，后者则是 CVE-2022-23823 。

更糟糕的是，攻击者无需物理访问设备、即可远程利用 Hertzbleed 漏洞。

之后两家芯片公司将提供基于微码的修补缓解措施，以防止此类漏洞被攻击者继续利用。

略为庆幸的是，英特尔声称此类攻击在实验室研究之外并不那么实用，因为据说窃取加密密钥需耗费数小时到数天。

至于漏洞补丁可能造成的 CPU 性能损失，还是取决于具体的应用场景。

详文阅读：

https://hackernews.cc/archives/39447

关于青莲云

北京方研矩行科技有限公司（简称：青莲云）是一家专业的物联网安全解决方案供应商。公司依托多年来在物联网安全领域的攻防实战经验以及完整的智能终端研发经验，将“安全”与“业务”无缝结合，为企业客户提供覆盖物联网云平台安全、终端安全、通信安全、可信安全、安全测试、威胁情报、态势感知等端到端的物联网安全整体解决方案。

公司获得国内顶级投资机构千万级投资，并拥有国家高新技术企业、中关村高新技术企业、ISO9001、ISO27001、ISO27017、ISO27018等多项企业资质，先后入选IDC年度行业报告《IDC创新者：中国物联网安全，2017》、Gartner年度行业研究报告《2019数字创新业务Cool Vendor》以及Gartner China Cybersecurity推荐厂商。通过扎实的安全研究功底、良好的产品体验、优秀的服务质量赢得了众多行业客户的信赖与支持，产品及服务先后落地智慧城市、国家电网、商业地产、新能源充电、工业制造、智慧金融等众多领域。

目前，青莲云已同国家电网、中国电信、深信服、微软中国、中软集团、公安部三所等知名企事业单位达成合作，助力企业实现安全稳定的数字化、智能化转型。