安全事件周报(11.16-11.22)

阅读量    118223 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x01 事件导览

本周收录安全事件 38 项,话题集中在 网络攻击 、 勒索软件 方面,涉及的组织有:Capcom 、 Manchester United 、 Americold 、 Mitsubishi 等。漏洞扫描肆掠,快速实施补丁升级是重中之重。对此,360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测,使用 360城市级网络安全监测服务QUAKE 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
Capcom游戏玩家信息数据泄露 ★★★★
成人网站用户被ZLoader恶意软件通过假Java更新进行攻击 ★★★★
Chaes恶意软件攻击拉丁美洲最大电子商务平台的客户 ★★★★
WFH导致针对制药公司的移动网络钓鱼和恶意软件攻击激增 ★★★★
REvil勒索软件攻击Managed.com主机提供商,五十万赎金 ★★★★
研究人员发现新的Grelos skimmer变种 ★★★★
韩国的供应链遭到Lazarus攻击 ★★★
COVID-19抗原公司受到恶意软件攻击 ★★★
Egregor勒索软件攻击受害者的打印机 ★★★
Qbot Banking特洛伊木马程序现在正在部署Egregor勒索软件 ★★★
TrickBot turns 100:最新发布的具有新功能的恶意软件 ★★★
数据安全
暴露的数据库显示有超过10万个Facebook账户被泄露 ★★★★
Liquid货币交易所称黑客进入内部网络,窃取用户数据 ★★★★
新南威尔士州预计网络攻击将使其损失700万澳元的法律和调查费用 ★★★
网络攻击
三菱电机公司受到新的网络攻击 ★★★★★
针对Intel SGXSecurity事务的基于硬件的故障注入攻击 ★★★★
装有Epsilon框架主题的WordPress网站成为大规模攻击的目标 ★★★★
office365钓鱼活动使用重定向url和检测沙箱来逃避检测 ★★★★
乔·拜登的“Vote Joe”网站被土耳其黑客攻击 ★★★★
曼联遭遇网络攻击 ★★★★
网络攻击使圣约翰市的IT基础设施瘫痪 ★★★★
新的skimer攻击使用WebSockets来逃避检测 ★★★
冷库巨头Americold服务受到网络攻击的影响 ★★★
黑客组织利用ZeroLogon在汽车行业发动攻击 ★★★
黑客攻击49000多个存在漏洞的Fortinet VPN ★★★
其它事件
警告:GO SMS Pro应用程序中未修补的漏洞会暴露数百万条媒体消息 ★★★★★
Ticketmaster因数据安全故障被罚款170万美元 ★★★★
超过245000个Windows系统仍然容易受到BlueKeep RDP漏洞的攻击 ★★★★
多家工业控制系统供应商警告存在严重漏洞 ★★★★
Facebook Messenger 漏洞可以让黑客在你接电话之前监听你 ★★★★
AWS 漏洞允许攻击者查找用户的Access Codes ★★★★
交友网站Bumble为1亿用户提供了不安全的刷卡服务 ★★★
澳大利亚BitConnect发起人因涉嫌密码诈骗被起诉 ★★★
macOS Big Sur上的某些Apps绕过了内容过滤器和VPN ★★★
Cisco在PoC攻击代码发布后修补了严重漏洞 ★★★
Cisco Webex漏洞允许攻击者作为虚假用户加入会议 ★★★
防范DNS欺骗:发现缓存投毒漏洞 ★★★
VMware修复了天府杯白帽黑客大赛上发现的hypervisor漏洞 ★★★

 

0x02 恶意程序

Capcom游戏玩家信息数据泄露

日期: 2020年11月16日
等级: 高
作者: Lawrence Abrams
标签: Capcom, Game Giant, Japanese, Ragnar Locker, Ransomware, Data Breach

日本游戏巨头Capcom在确认攻击者在最近的一次勒索软件攻击中窃取了用户和员工的敏感信息后,宣布发生数据泄露事件。

如果你是玩街机游戏或电子游戏长大的,那么Capcom就是知名游戏的开发商,包括《街头霸王》、《生化危机》、《幽灵与妖精》、《鬼泣》和《洛克人》。

在2020年11月2日,Capcom受到了网络攻击,导致他们关闭了部分网络以阻止病毒的传播。一名安全研究人员发现了用于攻击的恶意软件样本后,很快就得知RagnarLocker勒索软件行动导致了Capcom的网络攻击。

详情

Capcom confirms data breach after gamers’ info stolen in cyberattack

成人网站用户被ZLoader恶意软件通过假Java更新进行攻击

日期: 2020年11月17日
等级: 高
作者: Ionut Ilascu
标签: ZLoader, Malsmoke, Malware, Fake Java update

自2020年年初以来一直在进行的恶意软件运动最近改变了策略,从漏洞利用工具包转变为社会工程学,以成人内容消费者为目标。

运营商使用一种古老的技巧来分发ZLoader恶意软件的变种,这是一种银行木马,在缺席了将近两年之后于2020年早些时候卷土重来,现在用作信息窃取。

该活动被安全研究人员命名为Malsmoke,主要针对人流量高的成人网站,例如xHamster,吸引了数亿每月的访问者。另一个网站是BravoPornTube,每月有超过800万的访问者。

详情

Adult site users targeted with ZLoader malware via fake Java update

Chaes恶意软件攻击拉丁美洲最大电子商务平台的客户

日期: 2020年11月18日
等级: 高
作者: Charlie Osborne
标签: Chaes, MercadoLivre, Latin America, Malware

在针对拉丁美洲电子商务客户的广泛攻击中,发现了此前未知的恶意软件。

该恶意软件被Cyber​​easonNocturnus研究人员称为Chaes,目前正由攻击者在整个LATAM地区部署,以窃取财务信息。

网络安全团队在2020年11月18日的博客文章中说,该地区最大的电子商务公司MercadoLivre的巴西客户是信息窃取恶意软件的重点。

详情

Chaes malware strikes customers of Latin America’s largest e-commerce platform

WFH导致针对制药公司的移动网络钓鱼和恶意软件攻击激增

日期: 2020年11月18日
等级: 高
作者: Danny Palmer
标签: Pharmaceuticals, COVID-19, Phishing, Malware

网络攻击者越来越多地追击制药行业,他们针对员工开展网络钓鱼和恶意软件活动,专门利用智能手机和平板电脑的潜在安全漏洞。

目前,制药是一个极为引人注目的目标,因为制药公司试图开发一种针对COVID-19的疫苗,而且已经有记录表明,有国家支持的黑客活动试图窃取医学研究机构的知识产权。

移动网络安全公司Lookout的研究人员说,2020年以来,针对制药员工的移动网络钓鱼攻击激增,因为网络犯罪分子试图获取敏感数据。

详情

WFH leads to surge in mobile phishing and malware attacks targeting pharmaceuticals companies

REvil勒索软件攻击Managed.com主机提供商,五十万赎金

日期: 2020年11月18日
等级: 高
作者: Lawrence Abrams
标签: Managed.com, REvil, Hosting Provider, Ransom, Ransomware

Web托管提供商Managed.com已使其服务器和Web托管系统脱机,因为他们难以从2020年11月16日的REvil勒索软件攻击中恢复过来。

正如ZDNet最初报道的那样,Managed.com在2020年11月17日披露他们受到勒索软件攻击,并且为了保护客户数据的完整性,他们决定关闭整个系统,包括客户的网站。

详情

REvil ransomware hits Managed.com hosting provider, 500K ransom

研究人员发现新的Grelos skimmer变种

日期: 2020年11月19日
等级: 高
作者: Pierluigi Paganini
标签: Grelos skimmer, Magecart, Malware

RiskIQ的安全专家发现了Grelosskimmer的新变种,该变种与Magecart集团的业务重叠。

在Magecart的保护伞下,黑客组织继续以电子商店为目标,利用软件窃取银行卡数据。至少自2010年以来,安全公司已经监控了十几个组织的活动。

这些团体的受害者名单很长,包括几个主要平台,例如英国航空,Newegg,Ticketmaster,MyPillow和Amerisleep,以及Feedify。

详情

New Grelos skimmer variant reveals murkiness in tracking Magecart operations

韩国的供应链遭到Lazarus攻击

日期: 2020年11月16日
等级: 中
作者: AntonCherepanov
标签: Lazarus, South Korea, Attack, Malware, ESET

ESET遥测数据最近的研究人员发现,有人试图在韩国通过供应链攻击部署Lazarus恶意软件。为了发布恶意软件,攻击者使用了一种不同寻常的供应链机制,滥用从两家不同公司窃取的合法韩国安全软件和数字证书。

Lazarus小组于2016年2月首次出现在诺维塔(Novetta)的报告中,US-CERT和FBI将该组称为“HIDDENCOBRA”。

详情

Lazarus supply‑chain attack in South Korea

COVID-19抗原公司受到恶意软件攻击

日期: 2020年11月17日
等级: 中
作者: Becky Bracken
标签: Miltenyi, COVID-19, Antigen Firm, Malware

全球生物技术公司米尔特尼(Miltenyi)最近向客户披露,该公司在过去两周,一直在与针对其IT基础设施的恶意软件攻击作斗争。

该公司说,Miltenyi一直在研究COVID-19的治疗方法,攻击事件发生后,该公司仍在努力进行电话和电子邮件通信。

公司声明称,请放心,目前已采取一切必要措施控制问题,恢复所有受影响的系统。根据该公司目前的情况来看,没有迹象表明恶意软件被分发给客户或合作伙伴。

详情

COVID-19 Antigen Firm Hit by Malware Attack

Egregor勒索软件攻击受害者的打印机

日期: 2020年11月18日
等级: 中
作者: Lawrence Abrams
标签: Egregor, Ransomware, Printers, Ransom Notes

Egregor勒索软件使用了一种新颖的方法来吸引受害者的注意力,从所有可用的打印机中打印出勒索的纸条。

勒索软件团伙知道,许多企业宁愿将勒索软件攻击隐藏起来,也不愿公开,包括对员工,因为担心消息会影响股价和他们的声誉。

为了提高公众对这次袭击的认识,并迫使受害者付钱,Egregor在攻击公司后,会在所有可用的网络和本地打印机上反复打印赎金。

详情

Egregor ransomware bombards victims’ printers with ransom notes

Qbot Banking特洛伊木马程序现在正在部署Egregor勒索软件

日期: 2020年11月20日
等级: 中
作者: Lawrence Abrams
标签: Qbot, ProLock, Egregor, Ransomware

Qbot银行木马已经放弃了ProLock勒索软件,取而代之的是Egregor勒索软件,后者在9月份突然活跃起来。

Qbot,也被称为QakBot或QuakBot,是一种Windows恶意软件,它窃取银行证书、Windows域证书,并为安装勒索软件的攻击者提供远程访问。

类似于Ryuk与TrickBot和DoppelPayme一起使用以访问网络的方式类似,ProLock勒索软件在历史上一直与Qbot一起获得对受感染网络的访问。

详情

QBot partners with Egregor ransomware in bot-fueled attacks

TrickBot turns 100:最新发布的具有新功能的恶意软件

日期: 2020年11月20日
等级: 中
作者: Lawrence Abrams
标签: TrickBot

网络犯罪团伙发布了第一百个版本的 TrickBot 恶意软件,并附加了一些功能来逃避检测。TrickBot是一种恶意软件感染,通常通过恶意钓鱼电子邮件或其他恶意软件安装。安装后,TrickBot将安静地运行在受害者的计算机上,同时下载其他模块来执行不同的任务。这些模块执行广泛的恶意活动,包括窃取域的ActiveDirectory服务数据库、在网络上横向传播、屏幕锁定、窃取Cookie和浏览器密码以及窃取OpenSSH密钥。

详情

TrickBot turns 100: Latest malware released with new features

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 各主机安装EDR产品,及时检测威胁

3. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

4. 网段之间进行隔离,避免造成大规模感染

5. 及时对系统及各个服务组件进行版本升级和补丁更新

6. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 注重内部员工安全培训

 

0x03 数据安全

暴露的数据库显示有超过10万个Facebook账户被泄露

日期: 2020年11月16日
等级: 高
作者: Lindsey O'Donnell
标签: Facebook, Database, Accounts, Cybercriminals

研究人员发现,欺诈者使用一个不安全的数据库存储至少10万名受害者的用户名和密码,这之后,他们发现了一个针对Facebook用户的大范围全球骗局。

研究人员说,该骗局背后的网络犯罪分子通过使用一种假装透露谁在访问他们的个人资料的工具,诱使Facebook受害者提供其帐户登录凭据。

vpnMentor的研究人员2020年11月13日表示,诈骗者利用盗取的登录凭证,通过受害者的账户在Facebook帖子上分享垃圾评论,引导人们进入他们的诈骗网站网络。

详情

Exposed Database Reveals 100K+ Compromised Facebook Accounts

Liquid货币交易所称黑客进入内部网络,窃取用户数据

日期: 2020年11月18日
等级: 高
作者: Catalin Cimpanu
标签: Liquid, Cryptocurrency, Database

Liquid是当今20大加密货币交易门户之一,2020年11月18日披露了一个安全漏洞。该公司在其网站上的一篇博客文章中说,11月13日,一名黑客成功地侵入了员工的电子邮件账户,并转向其内部网络。

该公司表示,在黑客窃取任何资金之前就已检测到入侵,但随后的调查显示,攻击者能够从Liquid的数据库中收集存储用户详细信息的个人信息。

详情

Liquid crypto-exchange says hacker accessed internal network, stole user data

新南威尔士州预计网络攻击将使其损失700万澳元的法律和调查费用

日期: 2020年11月17日
等级: 中
作者: Asha Barbaschow
标签: Service NSW, Cyberattack, MyService, Email Accounts

新南威尔士州服务中心是新南威尔士州政府提供一站式服务的机构,它在2020年4月遭遇了一次网络攻击,导致18.6万名客户的信息被盗。

在从4月开始的为期四个月的调查之后,新南威尔士州服务局(ServiceNSW)表示,它从47个员工电子邮件帐户中盗窃了738GB的数据,其中包括380万份文档。

新南威尔士州服务局保证,没有证据表明MyService的个人帐户数据或服务新南威尔士州数据库在攻击期间受到损害。

详情

Service NSW expecting cyber attack to set it back AU$7m in legal and investigation costs

相关安全建议

1. 及时备份数据并确保数据安全

2. 及时检查并删除外泄敏感数据

3. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

4. 合理设置服务器端各种文件的访问权限

5. 统一web页面报错信息,避免暴露敏感信息

 

0x04 网络攻击

三菱电机公司受到新的网络攻击

日期: 2020年11月20日
等级: 高
作者: Pierluigi Paganini
标签: Mitsubishi Electric Corp., Cyberattack, Vulnerability, Zero Day

三菱电机(MitsubishiElectricCorp.)再次受到大规模网络攻击,可能导致其业务合作伙伴的相关信息泄露。

公司管理人员11月20日表示,他们正在检查与之有业务往来的8653个账户,以确定是否有与其他方银行账户相关的信息以及其他信息泄露。

入侵发生在2019年6月28日,该公司于2019年9月展开了调查。在两家当地报纸《朝日新闻》(AsahiShimbun)和《日本经济新闻》(Nikkei)报道了安全漏洞之后,三菱电机才披露了这一安全事件。属

于国防部门、铁路和电力供应组织的高度机密信息显然被盗。

详情

Mitsubishi Electric Corp. was hit by a new cyberattack

针对Intel SGXSecurity事务的基于硬件的故障注入攻击

日期: 2020年11月17日
等级: 高
作者: Pierluigi Paganini
标签: VoltPillager, Intel, SGXSecurity, CPU, Fault injection

伯明翰大学的六位研究人员组成的小组设计了一种名为 VoltPillager 的新攻击技术,该技术可以通过控制CPU内核电压来破坏 IntelSoftwareGuardExtensions(SGX) 专用区的机密性和完整性。 该攻击利用了一种低成本工具,该工具用于在CPU和主板上的电压调节器之间的串行电压识别总线上注入串行电压识别(SVID)数据包。 注入的数据包允许研究人员完全控制CPU核心电压和执行故障注入攻击。

详情

Hardware-based fault injection attacks against Intel SGXSecurity Affairs

装有Epsilon框架主题的WordPress网站成为大规模攻击的目标

日期: 2020年11月18日
等级: 高
作者: Pierluigi Paganini
标签: WordPress, Epsilon Framework, Function Injection

Wordfence威胁情报小组的专家发现,攻击者正在扫描互联网,寻找安装了Epsilon框架主题的WordPress网站,以利用函数注入攻击。

据专家称,有超过15万个网站安装了这些易受攻击的主题。

到目前为止,Wordfence已经针对来自这些漏洞的超过150万个站点发起了超过750万次攻击,这些站点来自18,000多个IP地址。

详情

Large-scale campaign targets vulnerable Epsilon Framework WordPress themes

office365钓鱼活动使用重定向url和检测沙箱来逃避检测

日期: 2020年11月18日
等级: 高
作者: Pierluigi Paganini
标签: Microsoft, Office 365, Redirector URL, Sandbox, Phishing

Microsoft正在跟踪针对企业的Office365网络钓鱼活动,这些攻击能够检测沙盒解决方案并逃避检测。

该活动使用与远程工作相关的诱饵,如密码更新、会议信息、帮助台票等。

活动背后的攻击者利用重定向URL来检测来自沙箱环境的传入连接。

在检测到沙箱的连接后,重定向器会将它们重定向到合法站点以逃避检测,而来自真正的潜在受害者的连接会被重定向到钓鱼页面。

详情

Office 365 phishing campaign uses redirector URLs and detects sandboxes to evade detection

乔·拜登的“Vote Joe”网站被土耳其黑客攻击

日期: 2020年11月20日
等级: 高
作者: Ax Sharma
标签: Turkish, Vote Joe, Joe Biden, RootAyyıldız, Defaced

2020年11月20日,由拜登·哈里斯(Biden-Harris)总统竞选活动建立的 VoteJoe 网站遭到了土耳其黑客 RootAyyıldız 的入侵和诽谤。 根据证据和该站点的存档快照,本次入侵和破坏似乎已经持续了超过24小时。 据互联网档案馆的 WaybackMachine 称,直到11月9日左右,即2020年美国总统大选之后的几天, vote.joebiden.com 网站将重定向到iwillvote.com 。

详情

Joe Biden’s ‘Vote Joe’ website defaced by Turkish Hackers

曼联遭遇网络攻击

日期: 2020年11月21日
等级: 高
作者: Pierluigi Paganini
标签: Manchester United, Cyberattack, IT

曼联足球俱乐部的系统遭到了网络攻击,目前还不知道其球迷的个人数据是否被泄露。目前,曼联俱乐部已经迅速采取行动遏制袭击,并正与专家顾问合作,调查这起事件,尽量减少持续的IT干扰。曼联俱乐部已通知英国当局,包括新闻专员办公室,联合对事件展开调查

详情

Manchester United hit by ‘sophisticated’ cyber attack

网络攻击使圣约翰市的IT基础设施瘫痪

日期: 2020年11月22日
等级: 高
作者: Pierluigi Paganini
标签: Saint John, Cyberattack, IT Infrastructure

加拿大圣约翰市遭到大规模网络攻击,整个IT市政基础设施瘫痪。网络攻击导致整个市政网络关闭,包括城市网站、在线支付系统、电子邮件和客户服务应用程序。圣约翰市正与联邦和省政府合作,以求从网络攻击中恢复过来。据估计,该市可能需要几周时间才能从这次攻击中完全恢复。

详情

A cyberattack crippled the IT infrastructure of the City of Saint John

新的skimer攻击使用WebSockets来逃避检测

日期: 2020年11月16日
等级: 中
作者: Pierluigi Paganini
标签: Akamai, Skimmer, WebSockets, Payment Cards

来自Akamai的研究人员发现了一种新的skimmer攻击,该攻击针对多个电子商店,采用了一种过滤数据的新技术。

攻击者使用伪造的信用卡论坛和WebSockets窃取用户的财务和个人信息。

在线商店越来越多地将其付款流程外包给第三方供应商,这意味着他们不处理商店内部的信用卡数据。为了解决这个问题,攻击者创建了一张虚假的信用卡表格,并将其注入应用程序的结帐页面。

详情

New skimmer attack uses WebSockets to evade detection

冷库巨头Americold服务受到网络攻击的影响

日期: 2020年11月16日
等级: 中
作者: Lawrence Abrams
标签: Americold, Cold Storage, Cyberattack

冷库巨头Americold目前正在应对影响其运营的网络攻击,包括电话系统,电子邮件,库存管理和订单履行。

Americold是领先的温度控制仓库运营商,为零售商,食品服务提供商和生产商提供供应链服务和库存管理。

Americold在全球管理183个仓库,拥有大约13,000名员工。

2020年11月16日,Americold遭受了一次网络攻击,导致他们关闭了自己的计算机系统以防止攻击的扩散。

详情

Cold storage giant Americold services impacted by cyberattack

黑客组织利用ZeroLogon在汽车行业发动攻击

日期: 2020年11月18日
等级: 中
作者: Charlie Osborne
标签: Cicada, APT10, Stone Panda, Cloud Hopper, ZeroLogon

研究人员发现了一个全球范围内的活动,目标是使用最近披露的ZeroLogon漏洞的企业。

这次主动的网络攻击被认为是Cicada的杰作,被追踪的还有APT10、StonePanda和CloudHopper。

赛门铁克研究人员记录了17个地区的公司及其子公司,涉及汽车、制药、工程和管理服务提供商(MSP)行业,它们最近成为Cicada的目标。

详情

Hacking group exploits ZeroLogon in automotive, industrial attack wave

黑客攻击49000多个存在漏洞的Fortinet VPN

日期: 2020年11月22日
等级: 中
作者: Ax Sharma
标签: VPN, Fortinet VPN, CVE-2018-13379

一名黑客发布了一份攻击列表,信息为从近5万台FortineVPN设备中窃取的VPN凭据。在易受攻击的目标名单上,有着世界各地商业银行和政府组织。黑客使用的漏洞为 CVE-2018-13379,这是一个路径遍历漏洞,影响大量未修补的FortiNetFortiOSSSLVPN设备。通过利用此漏洞,未经验证的远程攻击者可以通过巧尽心思构建的HTTP请求访问系统文件。

目前 Fortinet VPN 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE

详情

Hacker posts exploits for over 49,000 vulnerable Fortinet VPNs

相关安全建议

1. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

2. 积极开展外网渗透测试工作,提前发现系统问题

3. 减少外网资源和不相关的业务,降低被攻击的风险

4. 若系统设有初始口令,建议使用强口令,并且在登陆后要求修改。

5. 如果允许,暂时关闭攻击影响的相关业务,积极对相关系统进行安全维护和更新,将损失降到最小

 

0x05 其它事件

警告:GO SMS Pro应用程序中未修补的漏洞会暴露数百万条媒体消息

日期: 2020年11月19日
等级: 高
作者: The Hacker News
标签: GO SMS Pro, Android, Vulnerability, Google Play

Android上安装了超过1亿的流行短信应用程序GOSMSPro被发现存在一个未修补的安全漏洞,该漏洞会暴露用户之间的媒体传输,包括私人语音信息、照片和视频。

Trustwave高级安全顾问RichardTan在与TheHackerNews分享的一份报告中说:“这意味着该Messenger应用程序的用户之间共享的任何敏感媒体都有被未经身份验证的攻击者或好奇的用户破坏的危险。”

根据TrustwaveSpiderLabs的说法,该漏洞存在于该应用程序的7.91版本中,该版本于2020年2月18日在GooglePlay商店中发布。

详情

WARNING: Unpatched Bug in GO SMS Pro App Exposes Millions of Media Messages

Ticketmaster因数据安全故障被罚款170万美元

日期: 2020年11月16日
等级: 高
作者: Mathew J. Schwartz
标签: Ticketmaster, UK, Britain, EU, Fined

在收到潜在欺诈的警报后,Ticketmaster花了9周时间才发现这一重大漏洞。

TicketmasterUK已被英国隐私监管机构罚款125万英镑(约合170万美元),原因是该公司严重违反遵守欧盟的《一般数据保护条例》。

监管机构表示,该公司未能正确保护它选择在支付页面上运行的聊天机器人软件,攻击者对其进行了破坏,从而使他们能够窃取支付卡信息。

据称,即使在首次警惕其网站上存在可疑的信用卡欺诈事件后,TicketmasterUK仍未能在九个星期内缓解该问题。

详情

Ticketmaster Fined $1.7 Million for Data Security Failures

超过245000个Windows系统仍然容易受到BlueKeep RDP漏洞的攻击

日期: 2020年11月17日
等级: 高
作者: Catalin Cimpanu
标签: BlueKeep, RDP, Windows, SMBGhost

在微软披露BlueKeep漏洞影响windowsrdp服务一年半后,仍有超过245000个Windows系统未修补,易受攻击。

在2019年5月的第一次扫描中,这个数字代表了最初发现易受BlueKeep攻击的950000个系统中的25%。类似地,超过103000个Windows系统也仍然容易受到SMBGhost的攻击,SMBGhost是服务器消息块v3(SMB)协议中的一个漏洞,该协议与Windows的最新版本一起发布,于2020年3月披露。这两个漏洞都允许攻击者远程接管Windows系统,并被认为是过去几年Windows中披露的一些最严重的漏洞。

详情

More than 245,000 Windows systems still remain vulnerable to BlueKeep RDP bug

多家工业控制系统供应商警告存在严重漏洞

日期: 2020年11月17日
等级: 高
作者: Tom Spring
标签: Real Time Automation, Paradox, Vulnerability

工业控制系统公司RealTimeAutomation和Paradox2020年11月17日警告称,系统存在严重漏洞,可能遭到恶意攻击者的远程攻击。

根据行业标准的常见漏洞评分系统(CommonVulnerabilityScoringSystem),漏洞的严重程度为9.8分(满分10分)。该漏洞可以追溯到Claroty生产的一个部件。

在RTA的499ESENIP堆栈中发现了一个堆栈溢出漏洞,所有版本都在2.28之前,这是最广泛使用的OT协议之一,Claroty在2020年11月17日公开披露了这个漏洞。

详情

Multiple Industrial Control System Vendors Warn of Critical Bugs

Facebook Messenger 漏洞可以让黑客在你接电话之前监听你

日期: 2020年11月20日
等级: 高
作者: The Hacker News
标签: Facebook Messenger, Android, Google, Vulnerability

Facebook在其广泛安装的AndroidMessenger应用程序中修复了一个漏洞,该漏洞可能使远程攻击者可以呼叫毫无防备的目标,并在他们收到音频呼叫之前监听他们。

该漏洞是GoogleZero项目漏洞调查团队的NatalieSilvanovich于10月6日发现并报告给Facebook的,影响到了AndroidMessenger的284.0.0.16.11919版本(以及更早版本)。

详情

Facebook Messenger Bug Lets Hackers Listen to You Before You Pick Up the Call

AWS 漏洞允许攻击者查找用户的Access Codes

日期: 2020年11月20日
等级: 高
作者: Chinmay Rautmare
标签: Amazon Web Services, Vulnerability, KMS, SQS, Access Codes

PaloAltoNetworks的Unit42的研究人员称,研究人员发现了16种AmazonWebServices产品中22个应用程序编程接口中的漏洞,该漏洞可被利用来破坏用户的基本信息并获得各种云帐户的详细信息。

这些漏洞在AWS的三个区域都被发现了,包括政府服务和中国,亚马逊的简单存储服务(S3),亚马逊的密钥管理服务(KMS)和亚马逊的简单队列服务(SQS)都很容易被滥用。

详情

AWS Flaw Allows Attackers to Find Users’ Access Codes

交友网站Bumble为1亿用户提供了不安全的刷卡服务

日期: 2020年11月16日
等级: 中
作者: Becky Bracken
标签: Bumble, API, Vulnerability, HackerOne

在仔细查看了流行的约会网站和应用程序Bumble(通常由女性发起对话)的代码后,独立安全评估人员研究员SanjanaSarda发现了有关API漏洞的信息。这些不仅使她能够绕过BumbleBoost高级服务的付款,而且还能够访问该平台近1亿整个用户群的个人信息。Sarda表示,这些问题很容易发现,公司对她的报告的回应表明,Bumble需要更认真地对待测试和漏洞披露。

Sarda花了大约两天的时间找到最初的漏洞,又花了大约两天的时间提出了一个基于同样漏洞的进一步攻击的验证概念,Sarda在电子邮件中告诉Threatpost平台。尽管API问题不像SQL注入那样出名,但这些问题会造成严重的损害。

详情

Dating Site Bumble Leaves Swipes Unsecured for 100M Users

澳大利亚BitConnect发起人因涉嫌密码诈骗被起诉

日期: 2020年11月17日
等级: 中
作者: Asha Barbaschow
标签: Australian, BitConnect, ASIC

澳大利亚证券投资委员会(ASIC)宣布, BitConnect 的前澳大利亚发起人因参与被指控欺诈数百万投资者的折叠加密货币项目而被起诉。 ASIC表示,约翰·路易斯·安东尼·比加顿(JohnLouisAnthonyBigatton)在2018年初崩溃之前就推广了这种加密货币平台,声称从2017年8月14日至2018年1月18日,该男子是 Bitconnect 的澳大利亚国民发起人。

详情

Aussie BitConnect promoter charged over his involvement with alleged crypto scam

macOS Big Sur上的某些Apps绕过了内容过滤器和VPN

日期: 2020年11月17日
等级: 中
作者: Elizabeth Montalbano
标签: Apple, Big Sur, Bypass, Content Filters, VPN

安全研究人员对苹果公司的macOS最新BigSur版本中的一项功能进行了抨击,该功能允许某些Apple应用程序绕过内容过滤器和VPN。他们说这是一种威胁,攻击者可以利用它来绕过防火墙,使他们能够访问人们的系统并暴露其敏感数据。

一个名叫Maxwell(@mxswd)的用户在10月份的Twitter上第一个指出了这个问题。尽管安全专家存在担忧和疑问,苹果还是在11月12日向公众发布了BigSur。

详情

Some Apple Apps on macOS Big Sur Bypass Content Filters, VPNs

Cisco在PoC攻击代码发布后修补了严重漏洞

日期: 2020年11月17日
等级: 中
作者: Lindsey O'Donnell
标签: Cisco Security Manager, Patch, Vulnerability

在思科安全管理器(CiscoSecurityManager)中一个严重漏洞的概念验证(PoC)攻击代码发布一天后,Cisco便发布了一个补丁。

思科安全管理器是一个面向企业管理员的端到端安全管理应用程序,它使管理员能够执行各种安全策略、解决安全事件和管理各种设备。应用程序有一个漏洞,允许远程的、未经身份验证的攻击者访问受影响系统上的敏感数据。该漏洞(CVE-2020-27130)的CVSS评分为9.1分(满分10分),非常严重。

详情

Cisco Patches Critical Flaw After PoC Exploit Code Release

Cisco Webex漏洞允许攻击者作为虚假用户加入会议

日期: 2020年11月18日
等级: 中
作者: Catalin Cimpanu
标签: Cisco, Webex, Vulnerability, COVID-19

Cisco计划修复Webex视频会议应用程序中的三个漏洞,这些漏洞可使攻击者以虚假用户的身份潜入并参加Webex会议,而其他参与者看不到。

2020年早些时候,IBM的安全研究人员发现了这些漏洞。他们对科技软件巨头IBM在冠状病毒大流行期间内部使用的远程工作工具进行了评估。

研究人员说,当这三个漏洞结合在一起时,攻击者就可以进行攻击。

目前 Cisco Webex 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE

详情

Cisco Webex bugs allow attackers to join meetings as ghost users

防范DNS欺骗:发现缓存投毒漏洞

日期: 2020年11月18日
等级: 中
作者: Mathew J. Schwartz
标签: IP, DNS, Cache Poisoning, Vulnerability

互联网依靠域名系统将人类可读的域名转换为计算机可读的IP地址。不幸的是,许多现代DNS服务容易受到欺骗性攻击,这种欺骗性攻击使攻击者可以将任何流量(最初发往特定域)重定向到他自己的服务器,然后成为中间人攻击者,从而可以进行窃听和篡改数据。来自加州大学河滨分校和北京清华大学的一组研究人员已经确定了一种新型的DNS缓存投毒攻击,称为“SADDNS”,即“Side-channelAttackeDDNS”。该漏洞是由于Internet控制消息协议中的速率限制控件而引起的,该协议是一种错误报告协议,网络设备(包括路由器)使用该协议将错误消息发送到已引入可利用副信道的源IP地址。

详情

Brace for DNS Spoofing: Cache Poisoning Flaws Discovered

VMware修复了天府杯白帽黑客大赛上发现的hypervisor漏洞

日期: 2020年11月20日
等级: 中
作者: Simon Sharwood
标签: VMware, Hypervisor, Tianfu Cup, CVE-2020-4004, VMX

VMware披露并修复了在中国天府杯白帽黑客大赛上发现的hypervisor漏洞。 CVE-2020-4004 因其在 CVSS 级别上的9.3而被评为 严重 ,被描述为 XHCIUSB控制器漏洞 。 它允许在虚拟机上具有本地管理特权的恶意行为者在主机上运行虚拟机的VMX进程时执行代码。VMX进程在VMkernel中运行,并负责处理设备的 I/O ,因此存在数据泄漏的可能性。

详情

VMware reveals critical hypervisor bugs found at Chinese white hat hacking comp. One lets guests run code on hosts

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x06 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07 时间线

2020-11-23 360CERT发布安全事件周报

 

0x08 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (11.16-11.22)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多