英国足协要求国际足联加强 2018 俄罗斯世界杯网络系统安全

据外媒 9 月 12 日报道,国际足球联合会( Fifa )于本周证实,英国足球协会( FA )已写信表达自身对黑客组织可能秘密监控足球协会网络系统、窃取球员机密信息的担忧,旨在要求他们在 2018 年俄罗斯世界杯期间加强网络系统安全。 随着俄罗斯黑客组织 “ 花式熊 ” 于去年入侵世界反兴奋剂机构 (WADA)网络系统并曝光大量服用违禁药物的金牌得主后,今年开始将注意力转向足球。8 月,该黑客组织从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。据悉,泄露名单包括在 2010 年南非世界杯期间,被相关机构允许使用违禁药物治疗的 25 名顶级球员信息。因此,英国足球协会极其担忧其球员信息已遭黑客窃取。 目前,安全专家仍在调查该起事件,以确定国际足联的基础设施是否受到损害。不过,专家警告称,酒店、咖啡馆与机场的 WiFi 连接都可能成为黑客攻击的目标地点。此外,他们推测 “ 花式熊 ” 在线泄漏各球员信息,旨在报复世界反兴奋剂机构于去年发表调查报告揭露俄罗斯运动员使用兴奋剂参赛一事。 原作者:Jason Murdock, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蓝牙协议被曝 8 处零日漏洞,逾 53 亿物联网设备易遭 BlueBorne 攻击

HackerNews.cc 9 月 12 日消息,网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux,甚至使用短距离无线通信技术的物联网设备。目前,这些漏洞影响逾 53 亿受害系统,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow ( 6.x )或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备,以及商业与面向消费者的 Linux 平台( Tizen OS )、BlueZ 与 3.3-rc1 系统。 据悉,安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) Ο Android 蓝牙网络封装协议(BNEP)服务中存在远程执行代码漏洞(CVE-2017-0781) Ο Android BNEP 个人区域网络(PAN)配置文件中存在远程执行代码漏洞(CVE-2017-0782) Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-0783) Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-8628) Ο Apple 低功耗音频协议存在远程执行代码漏洞(CVE Pending) 然而,安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”,允许攻击者完全接管支持蓝牙的设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害者进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围内。 另外,Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现,他的团队成功创建了一个僵尸网络,并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示,即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击,因为很难同时满足条件:所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前,Google 与 Microsoft 已经为其客户提供了安全补丁,而运行最新版本的移动操作系统(即 10.x)的 Apple iOS 设备也是安全的。不过,Android 用户还需等待其设备厂商发布修复补丁。在此期间,研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时将蓝牙关闭。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国 CIA 正开发多个人工智能项目收集社交媒体情报

据外媒 9 月 11 日报道,美国中央情报局( CIA )正通过开发人工智能程序访问、收集与检索社交媒体情报。 美国 CIA 技术开发副主任 Dawn Meyerriecks 在情报与国家安全峰会上发表声明,宣称该机构目前正开展逾 137 个不同人工智能项目作为未来发展计划的一部分,其中多数由硅谷科技公司与 CIA 开发人员共同创建。 由于数据分析的不断发展,人工智能开始走进社交媒体平台,旨在通过公共记录收集目标用户重要信息。虽然从社交媒体收集数据的行为绝非新鲜事件,但利用人工智能做到这一点却有所不同,因为就单单收集数据的数量与速度来说较其他技术有所提高。 目前,尚不清楚 CIA 监控目标是谁,也不了解他们想要什么,以及用户公共资料被审查程度。不过,根据美国国防部的一份报告显示,CIA 运行的 137 个项目中,AI 可以根据数据与相关事件预测未来事件并自动标记视频,以便分析人员日后查看。国家地理空间情报局局长 Robert Cardillo 表示:“ 人工智能似乎是一个自然而然的进展,如果我们手动操作,预计未来 20 年的卫星图像将需要八百万分析人员共同进行。另外,我们希望人工智能能够将分析人员 75% 的工作量进行自动化处理 ”。 原作者:Immanuel Jotham,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

友讯 D-Link 850L 无线路由器 10 处零日漏洞被露

HackerNews.cc  9 月 11 日消息,安全研究人员 Pierre Kim 近期发现台湾网络设备制造厂商生产的 D-Link 850L AC1200 双频 Gigabit 无线路由器(A、B 两个版本)存在十处零日漏洞,允许攻击者在拦截流量、上传恶意固件并获取 root 权限时远程劫持与控制受影响网络,致使所有连接设备遭受黑客攻击。目前 10 处漏洞均未被修复。 据悉,虽然 Pierre Kim 于去年发现并报告 D-Link-932B LTE 路由器存在多处高危漏洞,但并未引起公司重视。随后,类似事件于今年 2 月再次发生,研究人员发现 D-Link 产品存在 9 处安全漏洞。不过,公司仍未作出任何响应。因此,Pierre Kim 此次发现漏洞后选择公开具体细节并呼吁 D-Link 能够妥善解决此类问题。以下是 Pierre Kim 发现的 10 处零日漏洞列表,主要影响 D-Link 850L  Rev A 与 B 版本路由器: Ο 缺少适当固件保护:由于不存在固件镜像保护,因此攻击者可以向路由器上传新恶意固件。D-Link 850L Rev A 的固件完全没有保护,而 D-Link 850L RevB 的固件虽然受到保护,但使用硬编码密码。 Ο 跨站点脚本(XSS) 漏洞:D-Link 850L  A 路由器的 LAN 与 WAN 极易遭受 XSS 攻击,即允许攻击者使用经身份验证的用户账号窃取敏感数据。 Ο 检索管理员密码:D-Link 850L RevB 的 LAN 与 WAN 也很脆弱,允许攻击者检索管理员密码并使用 MyDLink 云协议将用户路由器系统添加至攻击者帐户,以便获取访问权限。 Ο 云协议薄弱:该漏洞将会影响 D-Link 850L RevA 与 RevB 版本路由器。MyDLink 协议利用未加密 TCP 通道,或将影响路由器与 MyDLink 帐户之间的通信协议。 Ο 后门访问:D-Link 850L RevB 路由器通过 Alphanetworks 进行后门访问,允许攻击者在路由器上获取 root shell。 Ο 在固件中使用硬编码专用密钥:D-Link 850L RevA 与 RevB 两者的固件中使用硬编码专用密钥,从而允许攻击者在获取后执行中间人(MitM)攻击。 Ο 未进行身份验证检查:允许攻击者通过非认证的 HTTP 请求更改 D-Link 850L RevA 路由器的 DNS 设置,将流量转发至服务器并控制路由器系统。 Ο 文件权限与凭证存储在明文中:D-Link 850L RevA 与 RevB 的本地文件权限与凭证允许攻击者公开访问。此外,路由器以明文形式存储用户凭据。 Ο 预认证 RCE 作为 root:在 D-Link 850L RevB 路由器上运行的内部 DHCP 客户端容易受到命令注入攻击,允许攻击者在受影响设备上获得 root 访问权限。 Ο 拒绝服务(DoS)漏洞:允许攻击者通过 LAN 远程操控 D-Link 850L RevA 与 RevB 后台程序。 对此,研究员 Kim 建议用户切断与受影响 D-Link 路由器的所有连接,以免发生上述攻击操作。此外,美国联邦贸易委员会(FTC)于今年早些时候就已起诉该公司,并指出 D-Link 产品存在安全问题,从而导致数千用户极易遭受黑客攻击。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客通过操控 Facebook CDN 服务器瞄准巴西传播恶意软件、规避安全检测

HackerNews.cc  9 月 10 日消息,网络安全团队 MalwareHunter 在过去两周内发现黑客组织正通过操控 Facebook CDN 服务器瞄准巴西等地区肆意传播银行木马 Banload 、规避安全检测。 调查显示,黑客通过伪造地方当局的官方通讯域名发送诱导性电子邮件,其内容主要包含一个指向 Facebook CDN 的链接,以便受害用户在不知情下点击感染恶意软件。以下是该黑客组织使用的一个 Facebook CDN 链接与相关垃圾邮件内容。 https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1 一旦受害者点击链接,系统将会自动下载包含恶意软件的 RAR 或 ZIP 文档。该操作能够调用多数 Windows PC 端上运行的合法程序(即 Command Prompt 或 PowerShell )来运行编码的 PowerShell 脚本。如果目标系统感染恶意软件,其 PC 端上的 PowerShell 脚本将会下载并运行另一脚本,依次循环,从而感染更多用户设备。此外,研究人员还观察到黑客组织 APT32 也正使用该操作瞄准越南地区展开网络攻击活动。 有趣的是,当受害者来自其他国家或地区时,该攻击链接将会在最后阶段下载一个空的 DLL 文件,从而中断攻击。此外,该款恶意软件结构极其复杂且资源丰富,因此研究人员提醒用户切勿轻易点击任何非可信来源的邮件链接,并始终保持系统杀毒软件更新至最新版本。 原作者:Pierluigi Paganini,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国信用巨头 Equifax 数据泄露后发布查询服务网站遭用户质疑

美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过,公司随后上线了一个服务网站,允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询,用户需要放弃自己起诉获得赔偿的合法权利。除此之外,Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示:“允许用户起诉公司并不是为大众利益或公益事业服务,企业在当前的法律下将面临严厉的民事责任条款 ”。 不过,研究人员对其网站进行验证时发现,当输入一些看似随机的姓氏与社保号码时,并不能确保返回信息是否准确。例如:任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时,系统验证输出该公民 “ 可能已受到影响 ”。另外,有趣的是,两名不同用户验证同一账号时,却得到两种不同结果。目前,Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ICS-CERT 发布安全警报:史密斯医疗设备 Medfusion 4000 无线注射泵存在八处安全漏洞

据外媒报道,美国工控系统网络应急响应团队 ICS-CERT 于 9 月 7 日发布安全警报,宣称史密斯医疗公司生产的 Medfusion 4000 无线注射泵存在八处安全漏洞,允许黑客在未经授权下远程访问系统、修改设备预期操作。其中,该设备最为严重的漏洞(CVE-2017-12725) CVSS 分值为 9.8,与使用硬编码的用户名与密码有关。因此,如果目标用户在该设备上默认配置,那么攻击者将会自动建立无线连接进行远程访问操作。 调查显示,受影响的注射仪器由全球卫生保健专业人员用于控制急性护理药物剂量。例如新生儿或儿科重症监护室以及手术室都将需要此注射仪器传输药物。据悉,研究人员经检测发现高危漏洞主要包括: 缓冲区溢出(CVE-2017-12718):允许黑客入侵目标系统,并在特定条件下远程执行恶意代码; 未经授权访问(CVE-2017-12720):如果该设备允许 FTP 连接,那么黑客可在未经授权下远程操控目标系统; 窃取硬编码凭证(CVE-2017-12724):允许黑客窃取目标系统 FTP 服务器的硬编码凭证; 缺乏主机证书验证(CVE-2017-12721):允许黑客瞄准目标设备开展中间人(MitM)攻击; 另外,其余漏洞均属于中等程度,即允许攻击者利用它们破坏目标设备的通信与操作模块,并使用硬编码凭证进行 telnet 认证后从配置文件中获取用户密码等敏感信息。 研究人员表示,上述八处漏洞仅影响 1.1、1.5 与 1.6 版本的固件设备。据称,史密斯正试图修复漏洞并计划于 2018 年 1 月发布最新版本 1.6.1 解决问题。与此同时,研究人员建议各医疗机构采取防御措施,包括设置静态 IP 地址、监控恶意服务器网络活动、定期创建备份等方案,直至补丁发布。 原作者:PSwati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 CodeFork 利用“无文件”恶意软件挖掘加密货币 Monero

据外媒 9 月 7 日报道,网络安全公司 Radware 研究人员近期发现黑客组织 CodeFork 利用新型“无文件”恶意软件“Gamarue”感染目标系统、规避杀毒工具检测,旨在挖掘加密货币 Monero(门罗币)增加自身收益。 黑客组织 CodeFork 自 2015 年以来一直处于活跃状态,其主要通过出售恶意服务(例如:分发电子垃圾邮件、蠕虫病毒或下载恶意程序)攻击目标设备。目前,受害目标已广泛分布于全球不同行业。 调查显示,黑客组织 CodeFork 所使用的恶意软件“Gamarue”具备无文件持久性技术,即允许攻击者绕过目标系统安全检测后通过 C&C 服务器下达指令,从而下载并执行改进版 xmrig.exe(门罗币矿工)挖掘货币。因此,一旦攻击者利用该恶意软件感染目标系统后,其磁盘驱动器上将不会留下任何可疑文件,从而能够使攻击者在受感染机器上停留更长时间传播恶意软件、挖掘加密货币 Monero。此外,在该攻击活动中,“Gamarue”并不会入侵目标设备硬盘驱动器,而是通过已安装应用程序感染内部存储器。 目前,研究人员尚不了解黑客组织 CodeFork 攻击范围,也不清楚当前已有多少目标系统遭受感染。不过,安全专家警示,该黑客组织一定会继续分发恶意软件变种,并寻找最新途径绕过当前保护措施。 原作者:Jason Murdock ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件 Babar 出现新变种,疑似由法国情报机构开发使用

HackerNews.cc 9 月 7 日消息,网络安全公司 Palo Alto Networks 研究人员近期发现黑客组织正利用一款恶意软件 Babar 新变种操控刚果民主共和国常设理事会(cpcc-rdc.org)官方网站,旨在破坏命令与控制(C&C)服务器、窃取国家重要信息。 Babar 是一款强大的间谍软件,不仅能够监控当前流行媒体平台(包括 Skype、MSN、Yahoo 等)的通讯记录,还可记录受害用户击键次数,窃取登录凭证等敏感信息。据斯诺登泄露的文件显示,Babar 此前曾被法国情报机构外部安全总指挥部(DGSE )用于监控伊朗核武器研究机构、欧洲知名企业的金融活动。 调查显示,法国黑客组织 Animal Farm 曾利用该恶意软件瞄准政府机构、军事承包商、媒体企业、私营公司展开攻击活动。然而 PaloAlto Networks 研究人员近期发表声明,宣称 Babar(也被称为 Snowball)最早可追溯至 2007 年。不过,卡巴斯基早于 2015 年就已得出该结论,但当初因缺乏证据并未分享任何相关细节。 研究人员在此次攻击活动中通过分析该恶意软件样本的加载程序发现其代码编译时间戳为 11/09/2007 11:37:36 PM。 研究人员注意到,该恶意软件新变种无法在默认的 Chrome 浏览器上收集信息。不过,Babar 变种新添另一功能,可以导致配置数据加密后以便攻击者以明文形式访问。研究人员通过分析其恶意软件代码与结构后认为,该变种可能由同一黑客组织开发。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

MoneyBack 数据泄漏:400GB 墨西哥游客个人资料暴露于不安全数据库中

据外媒 9 月 8 日报道,网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现国际知名退税公司 MoneyBack 运行了一台不安全数据库,导致逾 400GB 墨西哥游客敏感信息在线泄露,其中包括用户姓名、地址、电话号码、信用卡数据等。 MoneyBack 是一家向国际游客办理退税手续的公司,其全球各零售商店均与该公司合作,并鼓励游客通过境外购物以获得减税优惠。 Bob Diachenko 近期在一篇博客中表示: “ 我们于今年 8 月首次发现该数据库因无密码保护,允许任意黑客轻易访问并通过 MoneyBack.mx 告知用户虚假增值税率以骗取钱财。随后,我们于 9 月 4 日对其进行审查与分析,以便确定影响范围 ”。 研究人员通过扫描 455038 份文件发现,该数据库还包含来自美国、加拿大、阿根廷、哥伦比亚、意大利等多国公民护照信息。此外,他们检测到上传该数据库的第一份文件可追溯至 2015 年,而最近的上传日期为 2017 年 5 月。 据悉,MoneyBack 在该事件曝光后立即修改访问权限以确保用户数据安全。不过,研究人员尚不清楚数据信息是否已被黑客利用。目前,MoneyBack 并未作出任何置评。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。