M帅帅

ヾ(・ε・`*) I AM SHUAISHUAI ! !!

ESET 杀毒软件 Mac 版急需更新,高危漏洞可致执行任意代码

谷歌安全研究员发现,Mac 版本 ESET 杀毒软件存在高危漏洞  CVE-2016-9892 。攻击者可利用拦截 ESET 杀毒软件数据包,并以 XML 解释器漏洞发动中间人攻击,在 Mac 上获取 root 权限远程执行任意代码。目前,ESET 已有补丁更新。 这一漏洞与名为 esets_daemon 的服务有关,该服务能够以 root 用户身份运行,并且和一个老旧版本的 POCO XML 解析器以静态方式对接。旧版本解析器 POCO 1.4.6p1 于 2013 年 3 月发布并存在已被公开的漏洞( CVE-2016-0718 ),可允许攻击者通过恶意 XML 内容执行任意代码。 当杀毒软件 ESET Endpoint Antivirus 运行时, esets_daemon 服务将向 https://edf.eset.com/edf 发送请求,攻击者可以发动中间人攻击使用自签名 HTTPS 证书拦截请求,并通过伪造证书控制连接,从而利用漏洞以 Root 权限执行恶意 XML 代码。 谷歌研究员于 2016 年 11 月 3 日提交了漏洞,ESET 在 2 月 21 日修复了漏洞并发布升级更新 6.4.168.0 版本。因此安装了 ESET Endpoint Antivirus 6 的 Mac 用户应尽快升级至最新版本,避免被攻击者利用。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

流行 WordPress 插件再现严重 SQL 注入漏洞

一个安装量超过 100 万的流行 WordPress 插件被发现存在严重 SQL 注入漏洞,允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该插件叫 NextGEN Gallery,开发者已经修复了该漏洞,释出了 v2.1.79 版,安装该插件的网站应该尽可能快的更新。网站如果允许用户递交帖子,并且激活了 NextGEN Basic TagCloud Gallery 选项,允许访问者通过标签导航图库,攻击者可以修改 URL 参数,插入 SQL 查询指令,加载恶意链接时插件将会执行指令。该漏洞是因为对 URL 参数不正确的输入处理导致的,这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。 稿源:solidot,有删改,封面来源于网络

旧版 vBulletin 漏洞被利用:黑客泄露 126 家论坛 82 万账号信息

由于旧版 vBulletin 存在的一个严重漏洞,这款被互联网论坛广泛使用的软件已被黑客利用、并泄露了来自 126 家论坛的 82 万账号。@ CrimeAgency 在 Twitter 上声称,黑客窃取了来自论坛管理员和注册用户的个人信息,并将之流到了某个地下黑客论坛上。公告平台 Hacked-DB 在扫描数据后证实了此事,而 Hack Read 的报道称,这轮攻击发生在 2017 年 1 -2 月间。 黑客成功窃取到了 81 万 9977 个用户账号,其中包含了电子邮件地址、哈希后的密码、以及 1681 个独立 IP 地址等私密信息。多数账号与 Gmail 有关联(超过 21.9 万个),其次是 Hotmail(12.1 万)和雅虎邮箱(10.8 万)。有报道称:在攻击 vBulletin 平台前不久不久前,黑客还曾利用过多个安全漏洞。虽然该问题已在最新版本的软件中得到了修复,但那些未及时升级的论坛仍然会躺在这一攻击之下。 想要检查那些网站使用了 vBulletin 是非常简单的,比如运行 Google Dorks,别有用心的攻击者可以轻松看到网络所使用的软件版本。完整影响列表请移步至 Pastebin 查看. 稿源:cnbeta,有删改,封面来源于网络

3.6 万名波音公司员工个人信息因雇员操作不当泄露

据调查,去年年底一位波音公司员工向其配偶发送了一份公司电子表格,无意中泄露了 36000 名员工的个人信息。信息包括姓名、出生地点、BEMSID 或员工 ID 号码以及会计部门代码,在表格的隐藏的列中还包括社会保险号和出生日期。 事件发生在 2016 年 11 月 21 日,波音员工遇到格式化问题后,将公司的电子表格电子邮件发送给给他的配偶。今年 1 月 9 日波音公司发现了这起数据泄露,但直到 2 月 8 日才公布。经员工和他的配偶的确认以及计算机法医调查,敏感文件并没有扩散泄露。数据泄露的影响都在控制范围内,公司还未受影响员工提供两年免费的身份窃取保护服务。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Necurs 僵尸网络不断发展,新增 DDoS 攻击模块

近日,BitSight 的 Anubis 实验室发现,Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一,主要用于发送垃圾邮件活动,而 Necurs 则是一种恶意软件,用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前,Pereira 和他的团队发现,除了通常用于通信的 80 端口之外,恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析,研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信,其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型,按头部中 msgtype 字节来区分: ○ 启动 Proxybackconnect( msgtype 1); ○ 睡眠( msgtype 2); ○ 启动 DDOS( msgtype 5),包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前,研究人员还未发现 Necurs 被用于 DDOS 攻击,只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过,基于 Necurs 僵尸网络现有的规模,产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

智能泰迪熊玩具泄露 200 多万条亲子聊天记录

互联网填充智能玩具 CloudPets (泰迪熊)暴露了 200 多万条儿童与父母的录音、以及超过 80 万个帐户的电子邮件地址和密码。 安全研究员 Troy Hunt 发现,这些用户数据存储在一个公开的 CloudPets 数据库中,没有被密码或者防火墙保护,攻击者无需身份验证即可访问。此外,有证据表明已经有攻击者访问了数据库,还删除了数据并索要赎金。Hunt 称至少联系了 CloudPets 泰迪熊智能玩具的制造商 Spiral Toys 四次告知数据库漏洞,但没有收到回复。 这已经不是第一次提到智能玩具泄露用户的隐私数据。此前,德国政府监管机构联邦网络局就发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。起因就是因 My Friend Cayla 严重缺乏安全功能可被黑客控制,并泄露儿童隐私信息。 家长因谨慎使用智能玩具保护孩子的隐私。此外,玩具厂商因提高网络安全意识并加强安全保护措施切实维护好消费者的“利益”。监管机构也应制定相应的规范制度并督促改进。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯网络专家被指控叛国罪,七年前曾向美国共享数据

俄罗斯当局逮捕了两名 FSB 高级网络安全官员以及一名卡巴斯基实验室的员工。他们都由于一份七年前的指控被捕:做出有利于美国的叛国行为。据消息人士透露,嫌疑人可能将秘密信息传递给美国公司 Verisign 以及其他身份不明的美国公司,而这些公司与美国情报机构共享了这些机密信息。 当局还没有公开解释逮捕的原因,但有消息告诉路透社调查机构称,这次逮捕与 2010 年 Pavel Vrublevsky 发起的指控有关,Vrublevsky 是一个俄罗斯商人也是在线支付公司 ChronoPay 的创始人。 美国公司 Verisign 否认从俄罗斯网络安全专家那里接收到了秘密情报:“一方面,我们公司是通过非保密的渠道获得了信息。另一方面,公司不认为提供给政府机构和顾客的信息包含国家机密” 目前俄罗斯当局和俄罗斯联邦安全局拒绝就此案置评。有分析人士指出,此次逮捕行动是克里姆林宫对任何俄罗斯专家与美国政府进行合作的一种警告响应。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

夏威夷旅游公司 Roberts Hawaii 数据泄露,客户信用卡遭盗刷

你去年去过夏威夷吗?夏威夷旅游公司 Roberts Hawaii 正警告并通知客户——其公司发生了数据泄露 事件,从 2015 年 7 月至 2016 年 12 月购买旅行团服务的顾客都受到影响,泄露的数据包括姓名、地址、电子邮件地址、电话号码、支付卡号、到期日期和安全码。 Roberts Hawaii 公司在收到客户信用卡欺诈费用报告后才意识到问题。这些欺诈费用都发生在客户在 Roberts Hawaii 网站消费后。Roberts Hawaii 发现网络犯罪分子在公司的网络服务器上植入了恶意代码,该代码可在客户结帐过程中复制客户数据。 目前,公司采用了更安全的第三方在线预订软件,并采取措施加强网站的安全性,以防止发生类似事件。公司建立了专门的呼叫中心 (877) 235-0796 和在线客户来为受影响客户解决问题。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国石油和天然气行业缺乏准备应对 OT 环境中的网络安全风险

由西门子公司委托进行的一项新研究显示,美国的石油和天然气行业在很大程度上没有做好降低运营技术(OT)环境中的网络安全风险的准备。 该调查由 Ponemon 协会进行,涉及 377 人,这些受访者的工作都是负责处理运营技术中存在的网络风险。其中 68% 的受访者承认在过去一年中至少遭受过一次网络事件,造成 OT 中断或机密信息丢失;只有 41% 的受访者承认做到了持续监控所有的工业基础设施,注重网络安全、降低威胁风险。更令人担忧的是,在 OT 环境中约 46% 的网络攻击未被发现,这意味着企业应及时采用先进的威胁检测系统来监控网络、提高系统安全水平。 72% 的受访者表示探索性信息最易受到网络攻击,其次是生产信息。67% 的人认为工业控制系统(ICS)存在的风险是最大的网络威胁。 69% 参与调查的人关注供应链中与第三方相关的风险问题。 内部人员的疏忽和恶意行为被认为是美国石油和天然气行业的主要威胁。65% 的受访者表示,严重的网络安全威胁是由于内部人员的疏忽或粗心大意造成的,而 15% 的受访者表示,最严重的网络安全威胁是内部人员恶意或犯罪行为导致的。 此外,约 60% 的受访者指出过时和老化的控制系统或在生产环境中使用的不安全的 IT 产品也是网络安全威胁之一。 报告详情请阅读【 PDF 】。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ASERT 小组分析恶意软件 Shamoon 2 阐明 C&C 与感染过程

ASERT( Arbor 安全工程响应小组 )研究员对恶意软件 Shamoon 2 进行了分析发现 C&C 基础设施以及感染过程的更多细节。 2012 年,Shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(Saudi Aramco)。在针对阿美石油公司的攻击中,Shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录( Master Boot Record,MBR ) Shamoon 2 则在 2016 年 11 月被首次发现,今年 1 月安全公司 Palo Alto Networks 发现它的新变种可针对虚拟化产品展开攻击。 研究员对 X-Force 的恶意软件样本进行分析发现,攻击者使用恶意宏文件传播恶意软件,并通过 PowerShell 命令连接 C&C 服务器。研究员在 IP 上执行了被动 DNS 查找发现,get.adobe.go-microstf[.]com 托管在 04.218.120[.]128 上,这个通信活动发生在 2016 年 11 月。go-microstf[.]com 托管在 45.63.10[.]99 上,该域名最初设置为伪装成 Google Analytics 登录页面。 研究员还发现 X-Force 的恶意软件样本创建了一个新文件“ sloo.exe ”,该文件存储在 C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe 中。该样本还与 104.238.184[.]252 连接并执行 PowerShell 命令。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。