内容转载

= ̄ω ̄= 内容转载

2020 年被勒索软件攻击的组织至少支付了 3.5 亿美元赎金

根据区块链分析公司 Chainalysis 上周发布的统计报告,被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一,但该公司表示实际金额会超过这个预估值。 在报告中指出,2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示,与 2019 年相比,这一数字增长了 311%,并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金,以及一些已经存在的勒索软件提高了赎金金额。   在勒索黑客组织中,报告指出有Ryuk、Maze(现已解散)、Doppelpaymer、Netwalker(被当局破坏)、Conti 和 REvil(又名Sodinokibi) 等集团。尽管如此,诸如 Snatch、Defray777(RansomExx)和 Dharma,去年也获得了价值数百万美元的赎金。 Chainalysis 表示,它还追踪了犯罪分子如何通过区块链转移赎金。他们的发现与往年没有太大区别,他们指出,犯罪分子通常通过比特币混合服务进行洗钱,然后将资金送到合法和高风险的加密货币交易门户,将资金兑换成现实世界的货币。 但 Chainalysis 团队也证实了Advance Intelligence 上个月发布的一份报告,该报告发现,勒索软件团伙经常使用这些资金来支付其他网络犯罪服务。 Chainalysis表示,它也看到了向防弹托管提供商、漏洞销售商和渗透测试服务(也称为初始访问经纪人)支付的款项,因为勒索软件行动与他们的 “供应商 “打交道。           (消息及封面来源:cnBeta)

报告称勒索软件赎金在减少

据外媒报道,虽然勒索软件仍是一个祸害,但现在也有一些好消息:受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢?–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示,自2018年Q3以来,勒索软件的平均支付额持续上升,但在去年Q4下降34%,降至15.4108万美元。 与此同时,支付勒索软件费用的中位数也下降了55%,降至49,450美元。 一般来说,任何遭到勒索软件攻击的人都不被建议交出任何密码,因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称,如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道,这类攻击占Q4所有勒索软件攻击的70%,高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露,所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中,只有60%的公司同意在Q4支付,低于第三季度的75%。 报告写道:“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外,我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体,电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击,其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行,因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%,仅次于医疗保健–占比17.9%。长期以来,医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延,这些组织已经濒临崩溃的边缘,勒索软件的攻击则可能会造成生命的损失。             (消息及封面来源:cnBeta)

针对 NoxPlayer 用户的供应链攻击

研究人员发现了一种软件供应链攻击,它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户,NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示,该软件在150个国家拥有1.5亿用户。 安全公司Eset周一表示,BigNox软件分发系统遭到黑客攻击,并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的:主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。 Eset恶意软件研究员Ignacio Sanmillan表示:”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件,同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵,在某些情况下,BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明,BigNox API回复中提供的URL字段被攻击者篡改了。” 简而言之,攻击是这样的:在启动时,Nox.exe会向一个编程接口发送请求,查询更新信息。BigNox API服务器会响应更新信息,其中包括合法更新的URL。Eset推测,合法的更新可能已经被恶意软件取代,或者,引入了新的文件名或URL。 然后,恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵,只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。 BigNox API服务器向特定目标响应更新信息,这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到,这些恶意更新只在2020年9月进行。Sanmillan表示,在安装了NoxPlayer的10万多名Eset用户中,只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。         (消息及封面来源:cnBeta)

Perl.com 官网被劫持用以分发恶意软件

虽然近年来受欢迎程度逐渐下滑,但不少系统依然依赖 Perl 编程语言。上周末 Perl 基础架构博客 Perl NOC 报道称,Perl.com 官网被劫持,不再指向它原本应该指向的地方。它不再指向 Perl 相关的新闻网站,而被指向了一个停车网站。更严重的是,它被用于分发恶意软件。 需要说明的是,Perl编程语言的官方网站perl.org仍然安全完整。不幸的是,Perl.com 也被用作通过 CPAN 分发模块的镜像或备份。换句话说,劫持者有可能利用这种联系来危害使用 Perl 和 CPAN 的系统。目前官方已经在进行收回域名的工作,不过目前还没有估计何时能恢复正常。同时,我们强烈建议不要访问perl.com,并从CPAN设置中删除它。       (消息及封面来源:cnBeta)

腾讯安全捕获新威胁:利用 Hadoop Yarn REST API 未授权漏洞攻击云主机,安装多种木马通过 SSH 爆破扩散

一、概述 腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机,攻击成功后执行恶意命令,向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马,入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后,会清理系统进程和文件,以清除其他资源占用较高的进程(可能是可疑挖矿木马,也可能是正常服务),以便最大化利用系统资源。入侵者同时会配置免密登录后门,以方便进行远程控制,入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。 通过对木马家族进行关联分析,发现本次攻击活动与永恒之蓝下载器木马关联度极高,攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致,但尚不能肯定攻击活动由这两个团伙发起。 因本次攻击具有蠕虫式的扩散传播能力,可下载安装后门、执行任意命令,发起DDoS攻击,对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞,避免采用弱口令,采用腾讯安全的技术方案检测系统,清除威胁。 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。 YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下,REST API将会开放在公网,从而导致未授权访问的风险,黑客可利用该风险进行远程命令执行,实现对目标主机的完全控制。 自查处置建议 腾讯安全专家建议受影响的用户检查以下项目,清除木马,加固系统。 目录: /tmp/.W10-unix/.rsync/ 计划任务项: 11*/2** /a/upd>/dev/null 2>&1 58**0 /b/sync>/dev/null 2>&1 @reboot /b/sync>/dev/null 2>&1 00*/3** /c/aptitude>/dev/null 2>&1 加固: 1.如果Hadoop环境仅对内网提供服务,请不要将其服务开放到外网可访问。 2.如果必须开启公网访问,Hadoop在2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。 腾讯安全响应清单 腾讯安全全系列产品,可以在该团伙攻击的各个环节实施检测、防御。 腾讯安全产品应对本次威胁的详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)该Miner挖矿团伙相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Miner相关联的IOCs已支持识别检测; 2)Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测,阻断; 3)支持检测SSH爆破攻击活动。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)已支持Miner关联模块的检测告警、查杀清理; 2)支持检测SSH爆破攻击活动。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Miner相关联的IOCs已支持识别检测; 2)Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测; 3)支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html 二、详细分析 攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本,解码后可知,其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包,将其解压后执行目录内的initall文件和golan文件。 /tmp/.W10-unix/.rsync/initall /tmp/.W10-unix/.rsync/c/golan initall执行后则进一步对系统进程,文件进行清理,最终调用执行init2。 Intit2执行后则执行解压包内的多个文件,分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序;b目录多层调用后传播IRC BotNet后门木马,同时修改系统免密登录配置留下后门;c目录文件主要运行masscan做端口扫描,运行stsm(sshprank)进行暴力破解。 同时将3个目录下的主调度文件写入crontab启动项。 /.rsync/a/init0 主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理,最终调用脚本执行wanwakuang的矿机文件。 /.rsync/a/a x86_64架构下执行挖矿wanwakuang,i686架构下执行anacron,但anacron模块并不存在,推测当前其挖矿平台覆盖度并不完善。 wanwakuang则为xmr矿机程序,进行门罗币挖矿。 /.rsync/b/a 进一步执行/.rsync/b/run程序。 /.rsync/b/run 该脚本主要包含两部分BASE64编码过的恶意命令,第一部分解码后为使用Perl编写的IRC BotNet木马,第二部分解码后主要为结束其它资源占用进程的shell命令,该文件同时会篡改authorized_keys文件进行免密登录后门配置。 解码后Perl编写的IRC BotNet 木马,该木马会对C2地址:api.netcatkit.com:443建立IRC连接,本地NICK,USER随机生成,管理员NICK为polly,molly。IRC连接成功后默认加入#007频道,木马具备基本的远程shell命令执行,文件下载,ddos网络攻击等功能。 指定目标进行Shell命令执行。 指定目标端口扫描,指定下载。 指定目标进行TCP,UDP,IGMP,ICMP类型流量攻击。 /.rsync/c/golan 调用masscan端口扫描工具和stsm暴力破解工具,对局域网内的开放的SSH服务进行暴破攻击,扫描时会首先获取本地SSH历史登录配置信息,通过直接攻击本地登录过的机器以提高其爆破成功率。 分析可知,该挖矿攻击代码结构,调度流程与Outlaw僵尸网络高度一致,下左图为本次捕获到的挖矿套件,右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名,子模块名,脚本调度流程。不同之处为两者挖矿模块名字不同,挖矿模块存储方式分别为本地包内存储化和动态C2下载形式,同时两者使用到的扫描器有些许差异。 从其攻击方式和基础设施来看,更像是永恒之蓝家族投递,样本payload都使用netcatkit.com,sqlnetcat.com下的子域名进行托管,同时最终的包名,挖矿模块名有一致性。 下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵,其payload托管地址为t.netcatkit.com/ln.core。 永恒之蓝payload其内当前注释掉的代码部分,下载链接包解压后执行initall:down.sqlnetcat.com/dota3.tar.gz(当前下载链接失效),dota3.tar.gz同样解压出名为的.rsync攻击套件。         IOCs MD5: 6eb76f7d81e899b29c03b8ee62d9acb3 be85068596881f3ebd6c0c76288c9415 10ea65f54f719bffcc0ae2cde450cb7a 4adb78770e06f8b257f77f555bf28065 eefc0ce93d254982fbbcd26460f3d10d be5771254df14479ad822ac0a150807a e46e8c74e2ae7d9bc2f286793fe2b6e2 c2531e3ee3b3ca43262ab638f9daa101 f093aae452fb4d8b72fe9db5f3ad559a c97485d5ba33291ed09b63286a7d124c 3570a54d6dace426e9e8520f302fe551 Domain: sshapi.sqlnetcat.com sshapi.netcatkit.com sshapi.ouler.cc api.netcatkit.com www.minpop.com t.netcatkit.com down.sqlnetcat.com URL: hxxp://www.minpop.com/sk12pack/names.php hxxp://www.minpop.com/sk12pack/idents.php  

美国土安全局称俄黑客针对美财政部的攻击范围远超 SolarWinds

调查疑似俄罗斯黑客入侵美国财政部的当局报告称,该行动远远超出了SolarWinds的范围。据报道,2020年底,国家电信和信息管理局(NTIA)的黑客行为涉及利用许多系统的漏洞。并不像之前怀疑的那样,仅限于SolarWinds网络软件。 据《华尔街日报》报道,在所有黑客攻击的受害者中,有近三分之一的人并没有使用SolarWinds,也与该产品没有任何关系。国土安全部网络安全和基础设施安全局代理局长布兰登·威尔士表示,黑客使用的途径远比最初认为的要多。 “[攻击者]通过各种方式获得了对目标的访问权限,”威尔士在接受采访时告诉《华尔街日报》。”这个对手很有创意,需要弄清楚的是,这场运动不应该被认为是SolarWinds运动。” SolarWinds在全球拥有超过30万客户,其网络软件被美国财富500强客户中的412家使用。据报道,黑客利用SolarWinds技术管理软件规避了微软Office 365的安全认证。 “这肯定是我们追踪到的最复杂的黑客行为者之一,就他们的方法、纪律和他们所拥有的技术范围而言,”微软威胁情报中心经理John Lambert表示。 网络安全和基础设施安全局没有点名涉及的其他系统。但调查人员表示,此次事件表明复杂的黑客行为可以利用认证漏洞在不同的云账户之间移动。据报道,SolarWinds本身的调查人员正在研究微软云是否是攻击的最初起点。 “我们将继续与联邦执法部门和情报机构密切合作,调查这次前所未有的攻击的全部范围。”SolarWinds发言人说。           (消息及封面来源:cnBeta)

美国保加利亚联合查封网络勒索软件犯罪组织 NetWalker

据外媒报道,美国和保加利亚当局本周查封了网络勒索软件犯罪组织NetWalker用来发布从受害者那里窃取的数据的暗网网站。而跟此次查封有关的是一名来自加拿大的公民,其被指涉嫌通过传播NetWalker勒索2700多万美元,目前在佛罗里达州法院受到指控。 etWalker是一个以勒索软件为服务的犯罪软件产品,其附属机构租用不断更新的恶意软件代码以换取从受害者那里勒索的资金的一部分。NetWalker背后的犯罪分子利用现已被占领的网站公布从他们的猎物那里窃取的个人和私有数据,然后以此作为公众压力运动的一部分说服受害者付钱。 NetWalker是最贪婪的勒索软件之一,根据追踪虚拟货币支付的Chainalysis公司的获取数据,它攻击了来自27个国家的至少305名受害者,其中大多数在美国。 这家公司在一篇博文介绍称,自NetWalker勒索软件于2018年8月首次出现以来他们追踪到4600多万美元的赎金,并且到2020年年中,赎金激增–平均赎金从2019年的1.88万美元增加到了去年的6.5万美元。 美司法部在一份声明中表示,NetWalker勒索软件已经影响了众多受害者,包括公司、市政当局、医院、执法部门、紧急服务部门、学区、学院和大学。像加州大学旧金山分校去年夏天就支付了114万美元以换取一把能够解锁被勒索软件加密的文件的数字密匙。司法部称:“在COVID-19大流行期间,攻击专门针对医疗保健部门以利用这场全球危机来敲诈受害者。” 美国检察官指出,NetWalker的主要成员之一是加拿大渥太华加蒂诺的Sebastien Vachon-Desjardins。从佛罗里达州公布的一份起诉书了解到,Vachon-Desjardins从中获取了至少2760万美元的金钱。 虽然美司法部媒体顾问没有提及被告的年龄,但2015年加蒂诺当地新闻网站ledroit.com的一份报告表明,这可能不是他第一次犯罪。据报道,Vachon-Desjardins在27岁的时候曾因贩毒被判过三年多的监禁:据报道,他被发现持有5万多片的冰毒药片。 据了解,NetWalker勒索软件联盟项目于2020年3月启动,当时犯罪软件项目的管理员开始在暗网上招募人员。像许多其他勒索软件程序一样,NetWalker不允许分支机构感染位于俄罗斯或任何其他独联体(包括大多数前苏联国家)成员国的系统。这一禁令则是由俄罗斯和/或其他CIS国家协调的网络犯罪行动制定的。         (消息及封面来源:cnBeta)

僵尸网络 Emotet 基础设施被取缔

全球最危险的恶意软件僵尸网络在全球执法部门共同合作,历经两年的不懈打击下终于被取缔。在欧洲刑警组织、美国联邦调查局、英国国家犯罪局和其他机构的联合行动中,终于控制和取缔了 Emotet 僵尸网络的基础设施。 Emotet 在 2014 年首次以银行木马的形式出现,但随后演变成为网络犯罪分子最强大的恶意软件之一。Emotet 通过自动钓鱼邮件建立一个后门进入 Windows 电脑系统,分发被恶意软件入侵的 Word 文档。Emotet 活动中的电子邮件和文件的主题会被定期更改,以提供最好的机会引诱受害者打开电子邮件并安装恶意软件–常规主题包括发票、发货通知和有关 COVID-19 的信息。 然后,操纵 Emotet 背面的人将这些受感染的设备出租给其他网络犯罪分子,作为额外恶意软件攻击的通道,包括远程访问工具(RAT)和勒索软件。这导致 Emotet 成为欧洲刑警组织所描述的 “世界上最危险的恶意软件 “和 “过去十年中最重要的僵尸网络之一”,像 Ryuk 勒索软件和 TrickBot 银行木马这样的行动雇用访问被 Emotet 入侵的机器,以便安装自己的恶意软件。 因此对 Emotet 的取缔是近年来对恶意软件和网络犯罪分子重要的一次打击活动。欧洲刑警组织欧洲网络犯罪中心(EC3)行动负责人费尔南多·鲁伊斯(Fernando Ruiz)表示:“这可能是我们最近影响最大的行动之一,我们预计它将产生重要的影响。我们对行动结果非常满意”。 世界各地的执法机构经过一周的行动,获得了 Emotet 在全球数百台服务器的基础设施的控制权,并从内部破坏了它。被Emotet感染的机器现在被引导到执法机构控制的基础设施上,这意味着网络犯罪分子无法再利用被入侵的机器,恶意软件也无法再传播到新的目标,这将对网络犯罪行动造成极大的干扰。 Ruiz 表示:“Emotet在很长一段时间内都是我们的头号威胁,拿下它将产生重要影响。Emotet参与了30%的恶意软件攻击;成功拿下将对犯罪环境产生重要影响。我们预计它会产生影响,因为我们正在移除市场上的主要投放者之一–肯定会有一个缺口,其他犯罪分子会试图填补,但在一段时间内,这将对网络安全产生积极影响”。 对Emotet的调查还发现了一个被盗电子邮件地址、用户名和密码的数据库。人们可以通过访问荷兰国家警察网站来检查他们的电子邮件地址是否被Emotet泄露。欧洲刑警组织还与世界各地的计算机应急小组(CERT)合作,帮助那些已知感染Emotet的人。         (消息来源:cnBeta;封面源自网络)

ADT 前员工承认曾入侵客户摄像头

据外媒报道,日前,一名家庭安全技术人员承认,他曾多次闯入他安装的摄像头观看客户做爱及其他亲密行为。据悉,35岁的Telesforo Aviles曾在家庭和小型办公安全公司ADT工作。他表示,在5年的工作时间里,他在9600多次场合下侵入了约200个客户账号的摄像头–所有这些都是没有得到客户的允许或不知情的情况下进行。 Aviles表示,自己会留意那些他觉得有吸引力的女性的家庭,然后观看她们的摄像头以获得性满足。他称,自己看过女性裸体和情侣之间的做爱。 Aviles于当地时间周四在北德克萨斯地区的美国地方法院承认了一项计算机欺诈和一项侵入性视觉记录罪名。他将因此而面临长达5年的监禁。 Aviles告诉检察官,他经常会在用户授权的列表中添加上自己的邮件地址以此来访问客户的ADT Pulse账号,该账号允许用户远程连接到ADT家庭安全系统进行观看。而在某些情况下,他则会告诉客户,他必须暂时将自己的账号添加其中以便测试系统。其他时候,他会在客户不知情的情况下加上自己的邮箱地址。 针对此事,ADT的一位发言人表示,公司在去年4月得知Aviles在未经授权的情况下进入了达拉斯地区220名客户的账号之后将这一非法行为告知检察官。随后,该公司联系了每一位客户来帮助改正这个错误。。 而在发现这一违规行为之后,ADT至少受到了两起拟议的集体诉讼,其中一起代表ADT客户,一起代表未成年人和其他住在使用ADT设备的房子里的人。其中一起诉讼的原告据称在违约发生时还是一名青少年。据诉状显示,ADT告知这位青少年的家人,Aviles曾近对其家庭进行了100次的监视。 诉讼还称,ADT将其摄像系统推销为父母使用智能手机查看孩子和宠物的一种方式。然而ADT没有实施保护措施,这些措施本可以提醒客户入侵。 电子偷窥者的曝光很好地提醒了人们,在家里或其他对隐私有合理期望的地方安装联网摄像头伴随带来的风险。选择接受这些风险的人应该花时间自学如何使用、配置和维护设备。       (消息及封面来源:cnBeta)

Sudo 被爆高危漏洞:可提权至 Root 众多 Linux 发行版受影响

安全研究人员近日披露了存在于 Sudo 中的漏洞细节。该漏洞可能会被攻击者利用,从而在众多基于 Linux 的发行版本中获得最高的 root 权限。根据 Qualys 分享的细节,这个安全漏洞被描述为“可能是有史以来最重要的 Sudo 漏洞”。更令人担忧的是,这个堆的缓冲区溢出漏洞已经存在将近 10 年时间了。 这个漏洞称之为 Baron Samedit,追踪编号为 CVE-2021-3156,几乎所有版本的 Sudo 都存在影响。据悉,受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本,以及从 1.9.0 到 1.9.5p1 所有稳定版本。Qualys在写到其发现时说,该漏洞“可被任何本地用户利用”,不需要认证的情况下获得最高权限。 该公司还表示:“我们基于这个漏洞延伸出了三个漏洞,并在 Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和 Fedora 33(Sudo 1.9.2)上获得了完全的 root 权限。其他操作系统和发行版可能也是可以利用的。” Baron Samedit尚未在国家漏洞数据库中获得严重性评级,但考虑到Sudo的普遍性以及该漏洞容易被利用,一旦分析完成,它很可能是一个高危评级。各个Linux发行版的补丁已经开始出现,如果你使用的是Ubuntu,可以在这里获得更新,而红帽的更新可以在这里找到。         (消息及封面来源:cnBeta)