安全焦点

被黑的 Pulse Secure 设备上发现隐蔽的恶意软件

     美国网络安全和基础设施安全局 (CISA) 今天发布了一项警报，称在被利用的 Pulse Secure 设备上发现了十多个恶意软件样本，这些样本在很大程度上未被防病毒产品检测到。至少自 2020 年 6 月以来，美国政府机构、关键基础设施实体和各种私营部门组织的Pulse Secure 设备一直是威胁行为者攻击的目标。

     攻击者利用多个漏洞（CVE-2019-11510、CVE-2020-8260、CVE-2020-8243、CVE-2021-2289）进行初始进入并放置了用于后门访问的webshell。

     CISA 在被黑的 Pulse Secure 设备上发现的大多数文件都未被防病毒解决方案检测到；其中只有一个出现在 VirusTotal 文件扫描平台上，该平台是在两个月前添加的，并被一个防病毒引擎检测 为 ATRIUM webshell 的变体。

      Pulse Secure是美国一家网络安全服务提供商，主要提供基于人员、物联网、设备、云服务等安全接入解决方案，帮助用户可以实时接入获取信息，使用范围非常广泛。

      安全防护建议维护最新的防病毒签名和引擎；保持操作系统补丁是最新的；禁用文件和打印机共享服务，如果需要这些服务，请使用强密码或 Active Directory 身份验证；限制用户安装和运行不需要的软件应用程序的能力（权限）；除非需要，否则不要将用户添加到本地管理员组；实施强密码策略并定期更改密码；扫描并删除可疑的电子邮件附件；谨慎使用移动存储。

安全风险

yapi 远程命令执行漏洞

      Yapi是高效、易用、功能强大的 api 管理平台，旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API，YApi 还为用户提供了优秀的交互体验，开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。

      2021年7月8日，有用户在 GitHub 上发布了遭受攻击的相关信息。攻击者通过注册用户，并使用 Mock 功能实现远程命令执行。命令执行的原理是 Node.js 通过require('vm')来构建沙箱环境，而攻击者可以通过原型链改变沙箱环境运行的上下文，从而达到沙箱逃逸的效果。

安全建议：

1、更新 Yapi 至官方发布的 1.9.3，新版本用了更为安全的 safeify 模块，可以有效地防止这个漏洞。

2、如果没有使用注册的需求，建议关闭 Yapi 的注册功能。通过修改 Yapi 项目目录下的 config.json 文件，将 closeRegister 字段修改为 true 并重启服务即可。

3、如果没有 Mock 功能的需求，建议关闭 Yapi 的 Mock 功能。

企业安全

国家互联网应急中心发布《勒索软件防范指南》

防范勒索软件要做到以下“九要”

1、要做好资产梳理与分级分类管理。清点和梳理组织内的信息系统和应用程序，建立完整的资产清单；梳理通信数据在不同信息系统或设备间的流动方向，摸清攻击者横向移动可能路径；识别内部系统与外部第三方系统间的连接关系，尤其是与合作伙伴共享控制的区域，降低勒索软件从第三方系统进入的风险；对信息系统、数据进行分级分类，识别关键业务和关键系统，识别关键业务和关键系统间的依赖关系，确定应急响应的优先级。

2、要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索软件横移对备份数据进行加密。

3、要设置复杂密码并保密。使用高强度且无规律的登录密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并经常更换密码；对于同一局域网内的设备杜绝使用同一密码，杜绝密码与设备信息（例如IP、设备名）具有强关联性。

4、要定期安全风险评估。定期开展风险评估与渗透测试，识别并记录资产脆弱性，确定信息系统攻击面，及时修复系统存在的安全漏洞。

5、要常杀毒、关端口。安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口，包括不必要的远程访问服务（3389端口、22端口），以及不必要的135、139、445等局域网共享端口等。

6、要做好身份验证和权限管理。加强访问凭证颁发、管理、验证、撤销和审计，防止勒索软件非法获取和使用访问凭证，建议使用双因子身份认证；细化权限管理，遵守最小特权原则和职责分离原则，合理配置访问权限和授权，尽量使用标准用户而非管理员权限用户。

7、要严格访问控制策略。加强网络隔离，使用网络分段、网络划分等技术实现不同信息设备间的网络隔离，禁止或限制网络内机器之间不必要的访问通道；严格远程访问管理，限制对重要数据或系统的访问，如无必要关闭所有远程管理端口，若必须开放远程管理端口，使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围，定期梳理访问控制策略。

8、要提高人员安全意识。为组织内人员和合作伙伴提供网络安全意识教育;教育开发人员开发和测试环境要与生产环境分开，防止勒索软件从开发和测试系统传播到生产系统。

9、要制定应急响应预案。针对重要信息系统，制定勒索软件应急响应预案，明确应急人员与职责，制定信息系统应急和恢复方案，并定期开展演练；制定事件响应流程，必要时请专业安全公司协助，分析清楚攻击入侵途径，并及时加固堵塞漏洞。

防范勒索软件要做到以下“四不要”

1、不要点击来源不明邮件。勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件，甚至还会利用攻陷的受害者单位组织或熟人邮箱发送钓鱼邮件，不要点击此类邮件正文中的链接或附件内容。如果收到了单位组织内或熟人的可疑邮件，可直接拨打电话向其核实。

2、不要打开来源不可靠网站。不浏览色情、赌博等不良信息网站，此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。

3、不要安装来源不明软件。不要从不明网站下载安装软件，不要安装陌生人发送的软件，警惕勒索软件伪装为正常软件的更新升级。

4、不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

   

 文/上海蓝盟  IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: 蓝盟参展“药物递送系统创新高峰论坛暨合理化用药管理论坛”提升创新药企数字化服务

• 分享到：