内容转载

= ̄ω ̄= 内容转载

White Source 研究报告:开源漏洞在 2019 年增长近 50%

开源组件已成为当今许多软件应用程序的基础组成部分,这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告,可知 2019 年公开的开源软件漏洞数增加到了 6000 多个,增速接近 50% 。庆幸的是,有超过 85% 的开源漏洞已被披露,且提供了相应的修复程序。 遗憾的是,开源软件的漏洞信息并没有集中在一处发布,而是分散在数百种资源中。有时索引的编制并不正确,导致搜索特定数据成为了一项艰巨的挑战。 根据 WhiteSource 的数据库,在国家漏洞数据库(NVD)之外报告的所有开源漏洞中,只有 29% 最终被登记在册。 此外研究人员比较了 2019 年漏洞排名前七的编程语言,然后将之与过去十年的数量进行了比较,结果发现历史基础最好的 C 语言占有最高的漏洞百分比。 PHP 的相对漏洞数量也大幅增加,但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升,但其漏洞百分比仍相对较低。 报告还考虑了通用漏洞评分系统(CVSS)的数据,是否是衡量补漏优先级的最佳标准。 过去几年中,CVSS 已进行了多次更新,以期达成为可对所有组织和行业提供支持的客观可衡量标准。 然而在此过程中,CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞,在 CVSS v3.0 标准下可能被评为 9.8 。 对于各个开源软件的开发团队来说,这意味着他们面临着更多的高严重性漏洞问题,导致现有超有 55% 的用户被高严重性或严重性问题所困扰。 报道作者总结道:列表中提及的开源项目漏洞,并不意味着其本质上是不安全的。作为用户,也应了解相关安全风险,并确保将开源依赖保持在最新状态。   (稿源:cnBeta,封面源自网络。)

微软发布紧急安全更新:修复 SMBv3 协议漏洞

在本月的补丁星期二活动日上,微软对所有受支持的Windows 10系统发布了累积更新,并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间,网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞,为此今天微软发布了紧急更新对其进行了修复。 该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。 面向Windows 10 Version 1903和Version 1909,微软今天紧急发布了累积更新KB4551762,修复了这个严重的SMBv3漏洞,并替代此前发布的KB4540673通过Windows Update部署。 微软推荐用户尽快安装该更新,以避免受到该漏洞的影响。用户可以通过在“更新和安全性”>“ Windows Update”中检查更新来下载并安装重要的安全更新。与预览更新不同,这是一个强制性修补程序,如果您今天不手动安装,它将在某些时候自动在后台安装。   (稿源:cnBeta,封面源自网络。)

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

微软已经确认,在 Windows 10 操作系统的最新版本中,存在着一个 SMBv3 网络文件共享协议漏洞。该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。 需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。有鉴于此,该公司建议 IT 管理人员禁用 SMBv3 压缩功能,以防止攻击者借此发起攻击。 至于更多替代方法,亦可查阅微软门户网站(ADV200005)提供的详细信息。如果一切顺利,其有望在下月的“补丁星期二”那天得到正式修复。 如有需要,还可订阅微软的安全通知服务,以及时知晓后续进展。   (稿源:cnBeta,封面源自网络。)

研究发现数以千计的指纹文件暴露在不安全的数据库中

研究人员周三说,数千份指纹记录被暴露在一个不安全的数据库中。研究人员周三说,一个包含约76000个独特指纹记录的网络服务器被暴露在互联网上。这些不安全的指纹数据,以及员工的电子邮件地址和电话号码,都是由巴西公司Antheus Tecnologia收集。 该数据库包含近230万个数据点,其中大部分是服务器访问日志,据反病毒研究人员表示,现在这个数据库已经得到了保护。指纹数据以二进制数据流的形式存储,二进制数据流由1和0组成。森说,获得数据的黑客可能会把这些数据转换回指纹的生物特征图像。 研究人员认为,即使黑客目前无法找到一种方法将这些数据用于不良目的,但随着技术的进步,这种情况也会改变。也许将来他们会找到利用这些指纹数据的方法。   (稿源:cnBeta,封面源自网络。)

调查发现医院很多设备采用过时操作系统 易受黑客攻击

根据网络安全公司Palo Alto Networks周二发布的一项研究显示,医院中连接互联网的成像设备有很大一部分运行过时的操作系统。该公司发现,83%的这些设备运行在过时的软件上,即使这些软件包含黑客可以利用的已知漏洞,也无法更新。 与2018年相比,该数字显着增加,这与微软今年早些时候终止对Windows 7的支持相吻合。相当多的电脑都运行甚至更老的操作系统,包括Windows XP,微软于2014年停止了对Windows XP的支持。成像设备包括进行X射线,MRI,乳房X线照片和CAT扫描,它们都需要电脑提供支持和控制。 安全专家表示,保持操作系统更新是使黑客远离设备的最重要步骤之一。但是,更新停止发布时,黑客却不会停止寻找可利用的漏洞。当最终黑客找到了可以破坏过时操作系统的漏洞时,制造商有时仍会提供更新,但不能保证一定会提供更新。 黑客可能有多种动机将医院中的设备作为目标。其中,成像和其他医疗设备(例如输液泵和患者监控系统)都可能容易受到勒索软件攻击,并指出医院已经遭受了勒索软件攻击,他们锁定了系统并要求付费才能重新拿回控制权。他们还可以利用医院电脑的计算能力来挖掘加密货币,这种攻击称为“加密劫持”。这可能会导致设备过热或故障。 这项研究调查了医院和其他企业中总共有120万个互联网连接设备。商业分析公司Gartner表示,这是48亿个互联网连接设备中的一小部分。该研究没有提及成像设备的特定品牌。研究人员表示,医院可能难以更新其成像设备,因它们无法直接从像微软这样的软件制造商那里购买。相反,他们必须依靠向第三方出售设备的供应商来提供补丁,这是一个需要改进的过程。   (稿源:cnBeta,封面源自网络。)

研究发现重新打包的恶意软件被用来攻击其他黑客

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现,通过重新打包被感染的恶意软件,黑客本身也成为了其他黑客的攻击目标。此前多年,黑客普遍在利用现有的工具来实施网络犯罪行动,比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身,也成为了某些别有用心者的目标。通过注入木马,制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示,攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客,甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击(包括从事安全研究工作的白帽),那重新打包攻击工具的那个人,也能够访问到受害者的敏感数据。 据悉,这些迄今未知的攻击者,正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具,攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年,当时它经常被用于对付中东地区的目标,多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近,黑客已将恶意软件注入到休眠或不安全的网站中,以逃避检测。以最近的攻击为例,可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出,攻击者破坏了不知谁拥有的几个网站,以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是,这种将 njRat 木马注入黑客工具的过程几乎每天都在发生,意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因,目前暂不得而知。   (稿源:cnBeta,封面源自网络。)

17 年历史的 RCE 漏洞已影响数个 Linux 系统

一个影响点对点协议守护程序(Point-to-Point Protocol daemon,pppd)软件,并具有 17 年历史的远程代码执行(remote code execution,RCE)漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中,而且还为流行的网络设备的固件提供 power。 该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现,其严重之处在于,由守护程序软件的可扩展身份验证协议(EAP)数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。 根据 US-CERT 发布的咨询报告表示,该漏洞已被标记为 CVE-2020-8597。在严重程度方面,CVSS 则将其评为 9.8 分。 将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后,黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码,从而接管系统的全部控制权。 而加重该漏洞严重程度的是,点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器,就可以获得 root-level 的访问特权。 据 Sprundel 透露,该漏洞在 2.4.2 到 2.4.8 的 pppd 版本或过去 17 年中发布的所有版本中都一直存在。他已经确认以下 Linux 发行版已受到 pppd 漏洞的影响: Ubuntu Debian Fedora SUSE Linux Red Hat Enterprise Linux NetBSD 此外,还有以下设备也附带了受影响的 pppd 版本,并且容易受到攻击: TP-LINK products Synology products Cisco CallManager OpenWRT Embedded OS 建议用户们在补丁发布后尽快更新其系统,以规避潜在的攻击。   (稿源:开源中国,封面源自网络。)

知名分析平台 Sensor Tower 被爆秘密收集数百万用户数据

援引Buzzfeed News报道,知名APP分析平台Sensor Tower利用VPN应用和去广告应用程序,来收集Android和iOS平台数百万用户用户的数据。这些应用程序的全球下载量已超过3500万次,但是在应用描述中并没有透露和Sensor Tower有联系,或者会收集用户数据给该公司。 外媒发现自2015年以来,Sensor Tower推出了至少20款Android和iOS应用程序。目前在Google Play商城上架的 有四款,分别为Free and Unlimited VPN, Luna VPN, Mobile Data和Adblock Focus。在App Store商城上架的有Adblock Focus和Luna VPN两款。 在Buzzfeed News联系了谷歌和苹果之后,谷歌下架了Mobile Data应用,苹果移除了Adblock Focus。两家公司均表示将会继续开展调查。 Sensor Tower的应用程序会提示用户安装根证书,发行商可以通过这个小文件来访问所有通过电话传递的流量和数据。该公司告诉BuzzFeed News,它仅收集匿名使用和分析数据,这些数据已集成到其产品中。 Malwarebytes的Android分析员Armando Orozco表示,为应用程序授予root特权会使用户面临巨大风险。他说:“您的典型用户会仔细考虑一下,哦,我正在屏蔽广告,但并没有真正意识到这可能具有多大的侵入性。” Sensor Tower移动洞察负责人Randy Nelson表示,出于竞争原因,该公司未透露这些应用的所有权。他说:“当考虑到这些类型的应用程序与一家分析公司之间的关系时,这很有道理-特别是考虑到我们作为一家初创公司的历史,”他补充说,该公司最初的目标是构建广告拦截器。 Nelson表示该公司的应用程序不会收集敏感数据或个人身份信息,并且“列出的这些应用程序中的绝大多数现已停用(处于非活动状态),有一些正在淘汰中”。   (稿源:cnBeta,封面源自网络。)

Android 安全警告:10 亿台设备不再获得更新

据消费者监管机构透露,如果你仍在运行 Android 6.0 或更早版本,则会容易受到恶意软件的攻击。目前来看,全球有超过十亿的 Android 设备不再受到安全更新的支持,它们都是十分容易受到攻击的对象。 据统计,40% 的 Android 设备不再从 Google 接收到重要的安全更新,这使它们面临更大的恶意软件或其他安全漏洞风险。Android 10 是目前最新的版本,虽然它和其前身 Android 9 (Pie) 及 8 (Oreo) 仍在接收安全更新,但使用低于 Android 8 的任何设备都会带来安全风险。 根据 Google 去年公布的数据,全球约 40% 的 Android 活跃用户使用的是 6.0 或更早版本:Marshmallow (2015), Lollipop (2014), KitKat (2013), Jellybean (2012), Ice Cream Sandwich (2011) 以及 Gingerbread (2010)。而根据《 Android 安全公告》中的政策,2019年未发布针对 7.0 以下版本(Nougat)的 Android 系统的安全补丁。 这就意味着,全球有超过 10 亿部手机和平板电脑处于活跃状态,但不会再收到安全更新。有人购买了许多已使用三年的 Android 设备进行了验证,其中大多数只能运行 Android 7.0。结果显示,消费者团体聘请的安全专家能够用恶意软件感染所有设备,其中一些设备还会被多次感染。 测试中的所有手机均被 Joker(也称为 Bread)恶意软件成功感染,此外,被测试的每台设备也都被 Bluefrag 感染了,这是一个严重的安全漏洞,主要针对 Android 蓝牙组件。 事实上,对于应该为智能设备提供多长时间的更新,以便消费者可以做出明智的购买决定,并且一旦不再提供安全更新,客户如何获得有关其选择的更好信息等此类问题,应该具有更大的透明度。 谷歌表示,他们一直在致力于提升 Android 设备的安全性。他们每月都会提供安全更新、错误修复和其他保护措施,并持续与硬件和运营商合作伙伴保持合作,以确保 Android 用户能获得快速、安全的使用体验。 不过交付操作系统安全更新的时间取决于设备、制造商和移动运营商。由于智能手机制造商会对 Android 操作系统的某些部分进行定制,因此他们部署补丁和更新的速度通常比谷歌在自己设备上部署的速度更慢,或者根本没有部署。   (稿源:开源中国,封面源自网络。)

首款破解 2FA 的 Android 恶意程序曝光:可窃取银行帐号

上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。 研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。 ThreatFabric的报告指出,远程访问特洛伊木马(Cerberus)是在6月底首次发现的,它取代了Anubis木马,并逐渐成为一种主要的恶意软件即服务产品。 报告指出,Cerberus在2020年1月中旬进行了更新,新版本引入了从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。 即使用户账户受到2FA(Google Authenticator生成)保护,恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后,黑客将打开Authenticator应用程序,生成一次性密码,截取这些代码的屏幕截图,然后访问该用户的帐户。 安全团队表示:“启用窃取设备的屏幕锁定凭据(PIN和锁定模式)的功能由一个简单的覆盖层提供支持,该覆盖层将要求受害者解锁设备。从RAT的实现中,我们可以得出结论,建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备,以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。” 在本周发表的研究中,来自Nightwatch Cybersecurity的研究人员深入研究了导致这种攻击的根本原因,即Authenticator应用程序首先允许对其内容进行屏幕截图。 Android操作系统允许应用程序阻止其他应用程序截屏其内容,从而保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中,尽管该应用通常处理一些非常敏感的内容。 Nightwatch研究人员表示,谷歌早在2014年的10月就收到了相关的问题报告,当时有用户在GitHub上注意到这个错误配置。2017年,Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题,此外还发现微软的Authenticator同样存在能够截图问题。   (稿源:cnBeta,封面源自网络。)