Drupal开发团队发布新版本,解决多个漏洞

Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本,这些版本解决了多个漏洞,其中包括一个严重的文件处理问题。 Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x,8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。 Drupal针对漏洞SA-CORE-2019-012发布安全公告称:“ Drupal项目使用第三方库Archive_Tar,该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理,则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9,以降低文件处理漏洞严重性。” 专家指出某些配置容易受到攻击,允许上传TAR,TAR.GZ,BZ2或TLZ文件的网站有一定安全风险。 开发团队发布了1.4.9版本以解决此问题。 Drupal开发人员解决的其他漏洞是: Drupal core –中等严重–绕过权限– SA-CORE-2019-011 –该漏洞与Media Library有关,在某些情况下无法控制媒体应用使用权限; Drupal core –中等严重–多个漏洞– SA-CORE-2019-010; Drupal core –中等严重–拒绝服务– SA-CORE-2019-009 –DoS漏洞。 等级为“严重”的问题影响版本8.7.x和8.8.x。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Ryuk 勒索软件涉嫌参与新奥尔良网络攻击

一周前,新奥尔良市官员在新闻发布会上确认该市受到勒索软件攻击,攻击事件发生于2019年12月13日上午。 IT人员立即通知所有了员工,并要求他们关闭计算机,以防威胁扩散。 政府部门的设备没有连接城网,当时还没查出是那种勒索软件感染了系统。 现在,媒体提供了有关这次攻击的更多消息。根据提交给VirusTotal的文件,新奥尔良市涉及的勒索软件可能是Ryuk Ransomware。 在勒索软件攻击新奥尔良市的第二天,2019年12月14日,可疑的内存转储 可执行文件 已从美国的IP地址上传到VirusTotal。 “Red Flare Security的Colin Cowie 发现其中一个内存转储多次提及了New Orleans 和 Ryuk” BleepingComputer报道。 Cowie发现的转储与名为yoletby.exe,其中包含对新奥尔良市的引用,包括域名,域控制器,内部IP地址,用户名,文件共享。同一转储包含对Ryuk勒索软件的引用,这种情况表明黑客在此次袭击中使用了该恶意软件。   专家还发现了证明此次攻击使用了Ryuk的证据。   “ v2.exe内存转储中有一个字符串很有意思,它指向的值是新奥尔良市政厅。” “经过进一步挖掘, BleepingComputer 找到了 v2.exe可执行文件,并在执行后确认它是Ryuk勒索软件。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

施耐德修复了 Modicon 和 EcoStruxure 产品中的 DoS 漏洞

施耐德电气公司近期解决了Modicon M580,M340,Quantum和Premium控制器中的DoS漏洞,并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是: 第一个是CVE-2019-6857,CVSS v3.0 的基本评分为 7.5,具有高危险性。使用Modbus TCP读取特定的存储器块时,该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856,CVSS v3.0 评分同样为 7.5,具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794,CVSS v3.0 评分为 5.9,为中度危险。当使用Modbus TCP读取的数据的索引无效时,该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo(CVE-2019-6857),Chansim Deng(CVE-2019-6856)和Younes Dragoni(CVE-2018-7794)已报告了漏洞。 施耐德还告知其用户,EcoStruxure下有三个产品( Power SCADA Operation 的电源监控软件等)出现了多个漏洞。 根据Applied Risk的报告,漏洞源于一个严重堆栈溢出漏洞,黑客可以利用该漏洞触发DoS。 报告还指出:“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞(该软件为Modicon可编程自动化控制器提供服务),该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 修复了 Android 中的 DoS 漏洞(CVE-2019-2232)

Android系统发布了2019年12月的安全更新,此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞(CVE-2019-2232)。 12月1日的补丁解决了Framework中的六个漏洞,两个媒体框架漏洞,系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件,以及Android版本8.0、8.1、9和10。 Google发布安全公告称:“黑客可能利用漏洞伪造特殊消息,进而导致永久拒绝服务。”。 Google还解决了Framework中的5个漏洞,三个特权提升漏洞(CVE-2019-9464,CVE-2019-2217,CVE-2019-2218),一个高风险信息泄露(CVE-2019-2220 ),以及一个中等级别的特权提升错误 (CVE-2019-2221)。 系统中修补的漏洞严重性较高,例如远程执行代码,特权提升和五个信息泄露漏洞。 12月5日的补丁各自解决了Framework和System中的一个高危信息泄露漏洞。它还修复了内核中的三个高风险特权提升漏洞以及高通组件中的十二个高危漏洞。 除此之外,Google还解决了Pixel设备上的一系列安全漏洞。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

TrueDialog 的数据库泄露数千万条 SMS 短信

TrueDialog是一家为企业和高等教育机构提供业务的SMS提供商,其数据库被曝出泄露了数百万条SMS消息。 数据库中包含的大多数SMS信息是由企业发送给潜在客户的。 TrueDialog 专注于提供几种不同的SMS程序,包括群发短信, 营销短信,紧急警报,教育方案等。 该公司目前与990多家手机运营商合作,拥有超过50亿用户。 vpnMentor表示:“除了私人短信,我们的团队还发现了数以百万计的帐户的用户名、密码、个人验证信息以及客户数据。” “由于没有保护好数据库,TrueDialog损害了美国数百万人的安全和隐私。” 该公司的数据库不受保护,数据以纯文本格式存储,由Microsoft Azure托管,并在Oracle Marketing Cloud上运行。 研究人员称此数据库包含10亿个条目,来自1亿多美国公民,并且根据他们此前的分析,这些数据将近有604 GB。 vpnMentor试图向TrueDialog 报告他们的发现,但他们从未收到回复。该数据库于11月19日被发现,专家于11月28日向TrueDialog提交了报告,并于随后对数据库展开维护。 “此次数据泄露事件将会影响到亿万用户。这些信息可能会被出售给营销商和垃圾邮件推送。” vpnMentor 称,“TrueDialod 竞争对手可以看到其后端工作原理,并且使得他们复制TrueDialog成功的业务模型或由此改进自己的业务模式。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲刑警组织逮捕 IM-RAT 背后 13 名黑客

欧洲刑警组织于上周宣布,他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具,被卖给了14,500多名买家,受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站,这使得新老买家都无法使用该木马。 该黑客工具一开始被作为一种合法的远程管理框架而推广,随后被广泛用于访问用户的计算机,使得黑客得以窃取用户的在线银行和其他金融帐户的登录信息。 欧洲刑警组织还于今年6月对澳大利亚和比利时的IM-RAT开发商和雇员签发了搜查令,此次行动很有可能是为了确认该工具的转售者和用户。刑警组织还在澳大利亚,哥伦比亚,捷克,荷兰,波兰,西班牙,瑞典和英国逮捕了IM-RAT的13个重要客户。 执法人员还从客户手中缉获了430多种设备,并对大量计算机和IT设备进行了分析。 IM-RAT可以使攻击者完全控制受害者的计算机,从而使他们可以在受害者不知情的情况下执行以下所列的各种恶意行为: 1.记录击键, 2.从浏览器中窃取数据和密码, 3.通过网络摄像头监视受害者, 4.下载/执行文件, 5.禁用防病毒和防恶意软件, 6.终止正在运行的进程, 7.执行许多其他操作。 由于IM-RAT的功能,易用性以及终身访问权限,其成本仅为25美元,因此被评定为危险级别。 欧洲刑警组织欧洲网络犯罪中心(EC3)负责人史蒂文·威尔逊说道:“地球另一端的黑客现在只用花25美元就可以通过点击鼠标,访问我们的个人详细信息和亲人的照片,甚至监视我们。” 执法人员认为,IM-RAT受害者的数量下降了数万人,“调查人员已经取得了黑客窃取个人详细信息,密码,私人照片,录像带和数据的犯罪证据”。 在其他类似的国际联合行动中,名为Luminosity Link的远程访问木马的犯罪网络也于两年前被关停。 在Luminosity Link案中,一名21岁开发人员因非法使用计算机,洗钱和非法转移财产而被捕,并被判处 30个月监禁。 为避免成为此类威胁的受害者,我们建议个人用户和组织使您的所有软件升级至最新版本,正确配置防火墙,避免打开可疑的电子邮件附件或URL,并在不同网站上使用不同的密码。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2100 万 Mixcloud 用户数据在暗网出售

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击,用户数据在暗网上出售。 近期,一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件,并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初,超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名,电子邮件地址,SHA-2哈希密码,帐户注册日期和国家/地区,最近一次登录日期,IP地址以及个人资料照片的链接。 Techcrunch发布的文章称:“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录,但暗网上存在2100万条。但根据我们采样的数据,记录可能多达2200万条。” 黑客以0.27比特币(约合2,000美元)的价格出售这些数据。 图片来源:ZDNet   上周六,Mixcloud发布安全公告披露了该事件,该公司同时强调,系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告,证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址,IP地址和少数用户的密码(安全加密状态)。大多数Mixcloud用户使用Facebook账号进行了注册,我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件,并且建议用户将密码重置。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Magento Marketplace 数据遭到泄露,用户信息被出售

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序,插件或电子商务网站主题,那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件,Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称,黑客利用了其网站上一个未公开的漏洞,并用未经授权的第三方身份访问数据库并获取了注册用户的信息,包括客户(买方)和开发人员(卖方)。 数据库中的信息包括受影响的用户的姓名,电子邮件地址,MageID,账单和送货地址信息以及一些商业信息。 尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击,但该公司已经确认其安全团队于11月21日发现了这一漏洞。 除此之外,Adobe还保证,黑客无法破坏Magento的核心产品和服务,也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码,用户可以安全下载。 “ 11月21日,我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ,Adobe商务产品和平台副总裁Jason Woosley 发表声明说。 Adobe没有透露受影响的用户和开发人员的数量,但它已经开始通过电子邮件通知受影响的客户。 尽管Adobe并未明确提及帐户密码也已泄露,但他们仍然建议用户更改该密码,如果用户在其他网站使用了相同的密码,最好也对这些密码进行更改。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意 SDK 收集 Facebook 和 Twitter 用户个人数据

据Facebook和Twitter透露,一些第三方应用未经用户同意便获取了用户的个人信息。 这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告,不过专家们注意到,一旦使用这些应用程序将社交网络的用户登录到任一服务中,SDK就会静默访问其个人资料并收集信息,包括用户名,电子邮件地址和推文。 这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。 “我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致,而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定,可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息(电子邮件,用户名,最新一条推文)。 ” 即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户,他们仍然没有排除黑客可能使用SDK进行攻击的可能性。 Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据,但iOS设备还没有出现过类似的事件。 Twitter向Google和Apple以及其他同行报告了此事件,并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。 Facebook发现了两个具有类似目的SDK,它们分别是One Audience和Mobiburn。 据称,恶意SDK收集了个人资料信息,包括姓名,性别和电子邮件地址。 Facebook发言人告诉 The Register: “安全研究人员最近向我们通报了One Audience和Mobiburn,他们收买开发人员,以在应用中使用恶意SDK。” “经过调查后,我们根据违反平台政策的原因将其应用程序从平台上删除,并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露,我们将提示他们保护好自己的姓名,邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。” oneAudience没有对此事件发表评论,但与此同时MobiBurn发表声明,否认其正在收集Facebook数据,并宣布对使用其SDK的第三方应用程序展开调查。 “MobiBurn没有收集,共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介,例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据,也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动,直到我们结束对第三方的调查。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apache Solr RCE 漏洞的 PoC 利用代码在线曝光

Apache Solr 这次遇到的漏洞比想象的要危险得多。 Apache Solr 是一个用Java编写的高度可靠,可扩展且容错的开源搜索引擎,可提供分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中式配置等。 安全公告称,此问题最初被命名为“solr.in.sh 含有未注释行”,并告诉用户检查其  solr.in.sh 文件。后来由于远程执行代码的风险,他们升级了此漏洞并取得了CVE编号。 该漏洞影响 Apache Solr 在 Linux 系统上的8.1.1和8.2.0版本(不影响Windows),这些版本的 sol.in.sh 文件中的 ENABLE_REMOTE_JMX_OPTS 配置不安全。 发现该漏洞时,由于专家认为攻击者只能利用该漏洞访问Solr监视数据,所以 Apache Solr 团队没有意识到它的严重性。 10月30日,用户“ s00py ” 在GitHub上发布了漏洞利用代码,使得黑客可以远程执行代码。为了使用Apache Velocity 模板,漏洞利用代码使用了暴露的 8983 端口 ,并利用该模板来上传和运行恶意代码。 两天后,用户“ jas502n ”发布了第二个PoC代码  ,凭借此代码,黑客可以轻松利用该漏洞。 这两个PoC迫使Solr团队于11月15日更新安全公告,漏洞CVE为 CVE-2019-12409。   专家们目前还没有探测到在野利用攻击,不过他们认为这只是时间问题。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接