网络安全周报第44期：漏洞攻击与工业系统入侵

正面消息 | 国防承包商前总经理承认出售美国网络机密

美国国防承包商L3Harris Trenchant的前总经理彼得·威廉姆斯在美国联邦法院承认两项罪名，指控其窃取并出售分类网络安全工具和商业机密给俄罗斯漏洞经纪人。

在2022年至2025年期间，威廉姆斯窃取了至少八个为美国政府及特定盟国合作伙伴开发的受限网络漏洞组件。司法部表示，这些价值3500万美元的工具是Trenchant敏感研究的一部分，从未打算对外出售。威廉姆斯以至少130万美元的加密货币出售了这些工具，并与俄罗斯中间人签署了正式合同，承诺提供后续技术支持。根据法庭文件，威廉姆斯使用非法所得购买了奢侈品。

Trenchant是L3Harris Technologies的网络能力部门，为五眼情报联盟内的政府机构开发先进的进攻和防御工具。据司法部称，威廉姆斯滥用其在Trenchant系统的特权访问权限窃取数据，使该经纪人的各种客户（包括俄罗斯政府和其他外国网络威胁行为者）在针对美国公民、企业和关键基础设施时获得优势。

虽然法庭报告未提及经纪人名称，但先前的报道表明可能是Operation Zero——一个以购买和转售零日漏洞而闻名的俄罗斯平台，通常以大量加密货币奖励开发者。

来源：X via CyberScoop

威廉姆斯现在面临最高10年监禁和25万美元或利润两倍的罚款。随着国际网络经纪人在国际军火商角色中的扩张，执法官员重申他们对滥用信任职位的恶意内部人员采取强硬立场。

负面消息 | 新"Brash"漏洞通过定时攻击导致Chromium浏览器崩溃

安全研究员何塞·皮诺披露了Chromium的Blink渲染引擎中的一个严重漏洞，攻击者可在几秒钟内使基于Chromium的浏览器崩溃。皮诺将该漏洞命名为"Brash"，并将其归因于架构疏忽，未能对document.title API的更新进行速率限制。没有速率限制，攻击者可以通过重复更改页面标题，每秒生成数百万次文档对象模型（DOM）变更，使浏览器不堪重负，消耗CPU资源，直到UI线程无响应。

来源：GitHub

Brash漏洞利用分三个阶段进行。首先，攻击者通过将100个唯一的512字符十六进制字符串加载到内存中来准备哈希种子，以变化标题更新并最大化攻击影响。然后，攻击者启动突发注入，连续执行三次document.title更新，在默认测试设置中使用8000的突发大小和1毫秒间隔，每秒注入约2400万次更新。最后，持续的更新流使浏览器主线程饱和，迫使标签页和浏览器挂起或崩溃，需要强制终止。

Brash可以安排在精确时刻运行，实现逻辑炸弹式攻击，在定时触发器激活前保持休眠状态。这增加了危险性，因为攻击者可以控制大规模中断何时发生。假设点击特制URL，攻击可以在毫秒级精度下引爆，且几乎没有初始迹象。

该漏洞影响Google Chrome及所有基于Chromium的浏览器，包括Microsoft Edge、Brave、Opera、Vivaldi、Arc、Dia、OpenAI ChatGPT Atlas和Perplexity Comet。基于WebKit的浏览器如Mozilla Firefox和Apple Safari不受Brash影响，任何iOS第三方浏览器也不受影响。

恶劣消息 | 黑客活动分子操纵加拿大工业系统，引发安全风险

加拿大网络安全中心已发出警告，黑客活动分子已入侵加拿大多个关键基础设施系统，以可能造成危险条件的方式更改工业控制。该警报强调针对互联网暴露的工业控制系统（ICS）的恶意活动日益增多，并敦促公司加强安全措施以防止此类攻击。

该公告引用了最近的三起事件。第一起事件中，一个水处理设施的水压控制遭到篡改，降低了当地社区的服务质量。随后，一家加拿大石油和天然气公司的自动储罐测量仪（ATG）被操纵，触发误报警。在第三起入侵事件中，一个农场的谷物干燥筒仓的温度和湿度设置被更改，如果未被发现，可能造成不安全条件。

当局认为这些攻击是机会主义的，而非技术复杂，旨在吸引媒体关注，破坏公众信任，损害加拿大当局的声誉。已知黑客活动分子与高级持续性威胁（APT）组织合作，扩大破坏行为的范围并引起公众不安。

尽管目标设施均未受损，但这些事件凸显了保护不善的ICS中的固有风险，包括可编程逻辑控制器（PLC）、监控与数据采集（SCADA）系统、人机界面（HMI）和工业物联网设备。

网络中心建议组织清点并保护可互联网访问的ICS设备，尽可能移除直接互联网暴露，实施带多因素认证（MFA）的VPN，保持定期固件更新，并进行定期渗透测试。像网络安全就绪目标（CRGs）这样的资源可以为关键基础设施公司和官员提供指导，并提醒组织通过"我的网络门户"或向当地当局报告可疑活动，以减少未来被入侵的风险。

来源：加拿大网络安全中心