类别网络安全

与伊朗有关联的网络行为者的威胁

发布日期 作者:kylefuller

概览

美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和环境保护局 (EPA) 紧急警告美国各组织,在美国多个关键基础设施领域,与互联网连接的操作技术 (OT) 设备(包括罗克韦尔自动化/艾伦-布拉德利公司生产的可编程逻辑控制器 (PLC))正在受到网络攻击。

建议措施

EPA 建议供水和废水处理系统查看本建议中的战术、技术和程序 (TTP) 以及入侵指标 (IOC),以了解其网络上当前或历史活动的迹象,并立即采取建议的步骤来防止攻击:

  • 限制 PLC 在公共互联网上的曝光率
  • 确保 PLC 处于运行模式,防止远程修改
  • 将 PLC 和 OT 上的所有默认密码更换为强大、唯一的密码

我们鼓励供水系统审查并实施咨询意见中包含的其他后续步骤,以进一步加强其网络安全态势。

技术援助

如果您对本警报中的任何信息有疑问,包括有关缓解步骤的帮助,请向 EPA 的水务部门网络安全技术援助计划 提交申请 。

报告事件

鼓励各组织向联邦调查局互联网犯罪投诉中心(IC )(网址: IC.gov3 )或通过 CISA 的事件报告系统 向 CISA 报告 有关可疑或犯罪活动的信息。3

在此获取咨询

CISA 与合作伙伴发布思科 SD-WAN 系统全球持续开发指南 -2/25/26

发布日期 作者:kylefuller

CISA 及其合作伙伴观察到恶意网络行为者以思科 SD-WAN 系统为攻击目标,并在全球范围内对其进行破坏。据观察,这些行为者利用以前未披露的身份验证绕过漏洞 CVE-2026-20127 进行初始访问,然后利用 CVE-2022-20775 提升权限,并在思科 SD-WAN 系统中建立长期持久性。

单击此处访问 CISA 警报的链接。

亲俄黑客分子对美国和全球关键基础设施进行伺机攻击

发布日期 作者: matthewframe

据联邦调查局、CISA 和美国国家安全局评估,与高级持续威胁 (APT) 组织相比,亲俄黑客组织对关键基础设施实体发动的攻击并不复杂,影响也较小。这些攻击使用安全性极低、面向互联网的虚拟网络计算机(VNC)连接来渗透(或访问)关键基础设施系统内的 OT 控制设备。亲俄黑客组织--"俄罗斯重生网络军"(CARR)、Z-Pentest、NoName057(16)、Sector16 及附属组织--正在利用广泛普及的可访问 VNC 设备对关键基础设施实体实施攻击,造成不同程度的影响,包括物理破坏。目标部门包括水和废水系统、食品和农业以及能源。

有关此警报的更多信息,请点击此处。

BRICKSTORM 后门 CISA 警报

发布日期 作者: matthewframe

网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)和加拿大网络安全中心(Cyber Centre)评估认为,中华人民共和国(PRC)国家支持的网络行为者正在使用 BRICKSTORM 恶意软件在受害者系统上长期存在。CISA、美国国家安全局(NSA)和网络中心(Cyber Centre)发布本恶意软件分析报告,根据对八个 BRICKSTORM 样本的分析,分享入侵指标(IOC)和检测特征。CISA、美国国家安全局和网络中心敦促各组织使用 IOC 和检测签名来识别 BRICKSTORM 恶意软件样本。

有关该警报的更多信息,请访问 CISA 网站

微软共享点漏洞

发布日期 作者: matthewframe

美国环保局发布此警报是为了告知供水和废水系统所有者和运营商,需要提高对微软SharePoint使用情况的警惕。尽管范围和影响仍在评估中,但公开报道为 “ToolShell” 的该链条分别提供未经身份验证的系统访问权限和通过网络欺骗进行身份验证的访问,并使恶意行为者能够完全访问SharePoint内容,包括文件系统和内部配置,并通过网络执行代码。请参阅 CISA 网页 上有关此次发布的完整更新信息 。