谷歌安全研究员发现 Libarchive 漏洞 影响Linux、FreeBSD和BSD

Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD 使用的压缩库有一个漏洞,该漏洞可能使黑客能够在用户计算机上执行代码。 macOS和Windows操作系统不受该漏洞影响。 CVE-2019-18408 该漏洞影响了Libarchive(一个用于读取和创建压缩文件的库)。它是一个功能强大的多合一工具包,用于处理存档文件,该工具包还捆绑了其他Linux / BSD实用程序(例如tar,cpio和cat),使其成为各种操作的理想选择,也是其在操作中被广泛采用的原因系统。 上周,Linux和FreeBSD在发布更新(其中包含Libarchive补丁)之后公开了该漏洞的具体信息。 该漏洞的代号为CVE-2019-18408,攻击者可以通过文件在用户系统上执行代码。谷歌安全研究人员使用两个名为ClusterFuzz和OSS-Fuzz的自动代码测试工具识别了该漏洞,并且漏洞在Libarchive 3.4.0版本中得到了修复。   可能会更糟 使用Libarchive的操作系统和程序非常之多,这也给黑客提供了很多机会。 受影响的包括台式机和服务器操作系统,程序包管理器,安全实用程序,文件浏览器和多媒体处理工具。比如 pkgutils,Pacman,CMake,Nautilus,KDE的方舟和Samba。 尽管受影响的操作系统已推出更新,但其他应用程序中Libarchive的补丁程序状态目前未知。 值得庆幸的是,Windows和macOS这两种当今最受欢迎的操作系统均未受到影响。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

窃取 Capital One 约1亿数据的黑客暂被释放

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录,此前曾在8月份要求释放联邦拘留所,但最初由于当时法官认为她有飞行危险而被拒绝。 但是,在本周一,主审法官援引汤普森的观点,认为Thompson没有对社区或她本人构成足够的威胁,所以她不应该在等待审判期间受到监禁。Thompson希望获得释放,因为她认为作为一个被关押在男子监狱的变性人,她可能会患上抑郁症或伤害自己。 作为释放条件的一部分,美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里,Thompson 将一直受到GPS监控,将被禁止访问互联网或使用计算机,手机或任何其他电子设备,除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据,与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号,14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说:“服务器是在Thompson的卧室中查获的,其中不仅包括从首都一号偷走的数据,还包括从其他30多家公司,教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕,目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意软件将路由器捆绑至僵尸网络 黑客可以借此发动DDoS攻击

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击,恶意软件将设备捆绑到僵尸网络中,使其具有分布式拒绝服务(DDoS)攻击功能,并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt(也称为Bashlite)进行了更新,华为HG532和Realtek RTL81XX一直是Gafgyt的目标,现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下,恶意软件都通过扫描程序来查找公网节点,然后利用漏洞实现入侵。专家称,为了在攻击时获得充分资源,新版本的Gafgyt会杀死JenX之类的其他恶意软件,从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争,后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击,还主要将其用于攻击游戏服务器,尤其是那些使用Valve Source Engine的游戏,包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的,而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出,僵尸网络租用服务在Instagram上使用伪造的个人资料做广告,租用费用仅为8美元。 专家介绍说:“显然,他们可以通过该平台接触到大量年轻人,所有人都可以使用这些服务,而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网,如果设备没有保持最新状态,将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器,其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号,并应定期应用软件更新以确保设备受到保护,尽可能地抵抗攻击。 Davila说道:“总的来说,用户可以养成习惯,例如更新路由器,安装最新补丁程序,并设置复杂的密码,从而抵御僵尸网络的攻击。”   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客就数据泄露表示认罪 曾威胁 Uber 和 Lynda 支付巨额赎金

Brandon Charles Glover 和 Vasile Mereacre 是两名黑客,他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月,Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据,但公司在过去的一年里没有公开此事。 根据彭博社的报告,黑客通过 Uber 开发团队的 GitHub 获得了访问权限,并且要求Uber支付10万美元,否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金,派  Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月,Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台,其于2015 年被 LinkedIn 收购。2016 年,该公司提醒其 950 万客户声称公司遭到了黑客攻击,尽管只有 55,000 个帐户受到影响。与 Uber 不同,LinkedIn 拒绝向黑客付款,并试图找出他们。 本周,Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据,并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新的 PHP 漏洞可能使黑客入侵在 Nginx 服务器上运行的网站

如果您正在 NGINX 服务器上运行任何基于 PHP 的网站,并且启用了 PHP-FPM 功能,请当心最近新公开的一个漏洞,黑客有可能利用这个漏洞远程入侵您的网站服务器。 PHP-FPM 是一个PHPFastCGI管理器,可为用 PHP 编程语言编写的脚本提供高级且高效的处理。 主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题,攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。 尽管公开发布的PoC漏洞专门针对运行PHP 7+版本的易受攻击的服务器,但PHP-FPM下溢错误也影响到了早期的PHP版本,并且可以采用其他方式进行武器化。 简而言之,如果存在以下情况,则网站容易受到攻击: NGINX经过配置,会将PHP页面请求转发到PHP-FPM处理器, fastcgi_split_path_info指令存在于配置中,并且是以’^’符号开头和以’$’符号结尾的正则表达式, PATH_INFO变量是使用fastcgi_param指令定义的, 没有诸如try_files $ uri = 404或if(-f $ uri)之类的检查来确定文件是否存在。 受影响的提供商之一就是Nextcloud,该公司昨天发布通知,警告其用户“Nextcloud NGINX的默认配置也会受到此漏洞影响”,并建议管理员立即采取行动。 在专家们向PHP开发人员小组报告该漏洞近一个月后,该漏洞补丁已于10月25号发布。 即使当前的配置不会受到攻击,用户也最好将PHP更新到最新的PHP 7.3.11和PHP 7.2.24。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

750 万 Adobe Creative Cloud 用户记录遭到泄露

由于配置错误,Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息,涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品,还有帐户创建日期、最后登录日期,用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日,Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队,后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重,因为它不包含密码,付款数据,甚至没有用户的真实姓名。 但是,尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件,并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应,并表示此次事故是因为配置错误,使得服务器被暴露在互联网上。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国国土安全部门及 FBI 发布警告 提醒企业防范恶意脚本注入

E-skimming 是指黑客将恶意代码植入电子商务网站,并窃取信用卡数据或个人身份信息的行为。联邦调查局(FBI)近期对企业发布警告,提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中,黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种,例如利用电子商务平台 Magento,OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件,或者将信用卡读取脚本注入某个公司的网站,或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来,安全公司至少盗取了十几个团体的活动 ,其中就包括  英国航空,  Newegg,  Ticketmaster,  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击,FBI 提供了如下建议: 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版,并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育,不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统,防止黑客连续攻击。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客盗取 BriansClub 超过 2600 万张信用卡信息

BriansClub 通过贩卖信用卡中的个人信息而盈利,是世界最大的黑市网站之一,却与于不久前遭到了黑客的攻击。最先报告数据泄露事件的 Brian Krebs 表示,黑客窃取了超过2600万张信用卡的信息。 专家估计,从 BriansClub 泄漏的被盗卡总数约占黑市上可用卡的30%。 BriansClub 的管理员确认,网站的数据中心已于今年早些时候被黑客入侵,并且声称被盗数据已经删除,但有多个消息确认这些数据仍在BriansClub上销售。 Krebs 还是俄罗斯黑客论坛 Verified 的管理员。据他所说,BriansClub 的攻击者的昵称为 “ MrGreen” ,并且他还经营着一家与自己同名的信用卡店。 目前这名 “ MrGreen” 已经被 Verified 拉黑。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客伪造 WordPress 插件并植入后门

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接