分类: 今日推送

SAP 发布安全漏洞报告:修复影响 5000 亿次安装的 SAP POS 漏洞

全球知名企业资源管理公司 SAP 于 7 月 11 日发布 “ SAP Security Notes ” 安全漏洞报告,包含 23 款安全补丁程序,其中最为严重的 SAP POS 漏洞,或将影响约 5000 亿次用户安装。 安全公司 ERPScan 专家在 SAP POS Suite 服务器终端发现多处缺失授权检查漏洞,允许未经身份验证的攻击者远程访问目标系统,读取/删除/输入敏感信息、关闭易受攻击的应用程序与监控 POS 收据窗口内容。此外,ERPScan 专家团队针对 SAP 漏洞发布一份详细说明: ○ SAP PoS 中存在多处缺失授权检查漏洞(CVSS 基准分:8.1):攻击者无需任何授权即可利用漏洞访问服务系统,从而窃取信息、升级特权或开展其他攻击活动。 ○ SAP Host Agent 中存在缺失授权检查漏洞(CVSS 基准分:7.5):攻击者无需任何授权即可利用漏洞访问目标服务系统。 ○ SAP CRM 互联网出售管理控制平台存在多处跨站点脚本与跨站伪造请求漏洞(CVSS 基准分:6.1):攻击者可以利用跨站脚本漏洞将恶意脚本注入页面,访问 Cookie、会话令牌与其他关键信息,以及存储与 Web 应用程序的交互。此外,未经授权的攻击者不仅可以利用 XSS 漏洞修改显示内容,还可利用用户会话通过跨站点伪造请求漏洞提出包含特定 URL 与特定参数的请求,以便执行权限功能。 ○ SAP Governance 中存在风险与合规访问控制(GRC)代码注入漏洞(CVSS 基准分:6.5)。 ○ SAP BI Promotion Management 应用程序具有 XML 外部实体漏洞(CVSS 基准分: 6.1)。 ○ SAP Business Objects Titan 具有 XML 外部实体漏洞(CVSS 基准分: 5.4)。 目前,ERPScan 并未公布任何技术细节,以避免网络犯罪分子利用漏洞展开攻击活动。安全专家强烈建议 SAP 客户尽快安装修补程序。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软修复 Windows NTLM 安全协议两处零日漏洞

HackerNews.cc 12 日消息,安全公司 Preempt 专家发现 Windows NTLM 安全协议存在两处关键漏洞,允许攻击者创建新域名管理员帐户、接管目标域名。微软已于本周二补丁日( 7 月 11 日)发布安全补丁应对漏洞威胁。 NT LAN Manager(NTLM)是 Windows NT 早期版本的标准安全协议。尽管它在 Windows 2000 中已被 Kerberos 取代,但 NTLM 仍受 Microsoft 支持并被多数组织使用。 调查显示,第一处关键漏洞涉及 NTLM 中继器内未受保护的 Lightweight Directory Access Protocol(LDAP)协议,允许攻击者利用系统权限连接 NT LAN 管理器会话、执行 LDAP 操作,包括以管理员身份更新域名对象。即使 LDAP 签名可以保护凭证转发至服务器,但该协议也无法完全防止 NTLM 免遭中继攻击。 第二处 NTLM 漏洞影响 RDP Restricted-Admin 模式,允许攻击者在不提供密码的情况下远程访问目标计算机系统。RDP Restricted-Admin 允许身份验证系统降级至 NTLM,这意味着攻击者可对 RDP Restricted-Admin 执行 NTLM 中继攻击并破解目标系统登录凭证。研究人员称,当管理员连接 RDP Restricted-Admin 时,攻击者可根据该漏洞创建虚假域管理员帐户并控制整个目标域名。 目前,微软并未承认存在 RDP 漏洞,因为他们将其列为可通过网络正确配置解决的“已知问题”。Microsoft 除建议运行 NT LAN Manager 服务器的公司尽快修补漏洞外,还提醒各企业系统管理员关闭 NT LAN Manager 、监测流量异常迹象。此外,专家还要求系统管理员在连接 LDAP 与 SMB 数据包时需要通过数字签名进行检测,以防设备凭证遭受中继攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

逾 1400 万美国 Verizon 用户数据暴露于未受保护的亚马逊服务器上

据外媒 7 月 12 日报道,安全公司 UpGuard 网络风险研究人员 Chris Vickery 发现超过 1400 万的美国电信提供商 Verizon 客户信息在线泄露,其原因是由于第三方供应商 NICE Systems 将用户敏感数据暴露在未受保护的亚马逊 S3 服务器上。 NICE Systems 是一家以色列科技公司,为情报机构提供多种解决方案,包括电话录音、数据安全与监控系统。 调查显示,此次事件导致数百万用户的姓名、电话号码、地址与 PIN 账户(个人识别号码)公开泄露,这意味着任何用户都能通过 S3 服务器的 URL 访问甚至下载用户数据。研究人员表示,海量的数据与过去 6 个月里 Verizon 客户服务的通话记录有关。如果诈骗者拥有这些 PIN 码就极有可能冒充用户与客户服务中心取得联系,以致成功访问并修改 Verizon 账户信息。 目前,研究人员尚不清楚 Verizon 为什么允许 NICE 收集通话详情,他们猜测第三方供应商的任务极有可能是监控 Verizon 呼叫中心运营商的效率。此外,安全专家建议 Verizon 客户立即更新个人 PIN 码,以防账号遭不法分子窃取。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

日本首次公审 Mt. Gox 比特币被盗案

日本比特币交易所 Mt. Gox 于 2014 年在发生巨额比特币丢失事件后倒闭。7 月 11 日,东京地方法院对被控业务侵占等罪名的交易所运营公司高层进行首次公审。 2014 年 2 月,MTGOX 发觉客户的 75 万比特币和自身保有的 10 万比特币丢失。同时该公司保管客户存款的账户余额也缺少了 28 亿日元。由于比特币和存款的丢失,MTGOX 的负债激增,导致其陷入经营破产。MTGOX 的社长称 “是遭到黑客入侵盗窃”,否认自身参与该事件。 2015 年 8 月,东京警视厅以涉嫌违规篡改账户数据为由将其逮捕。检方的起诉书显示,MTGOX 的社长从管理客户资金的公司名下账户将合计约 3.21 亿日元资金汇至外部账户,存在侵占等行为。目前,通过审判能否弄清事件的真相正受到关注。 稿源:solidot奇客,封面源自网络

黑客再次入侵川普酒店:信用卡支付数据泄露

据外媒报道,美国川普国际酒店管理公司(Trump International Hotels Management)于本周二( 7 月 11 日)晚间证实,由于一家服务提供商的系统遭到黑客入侵,旗下 14 处酒店客户信用卡支付细节遭到外泄。 川普酒店网站上的一份通知显示,黑客攻击了川普酒店服务提供商——Sabre 的中央预订系统处理,从而造成部分川普连锁酒店的客户预订信息泄露,这些被泄露的信息包括支付卡号以及卡安全密码。此次攻击,是今年 5 月份所披露 Sabre 预订系统遭到网络攻击的一部分。全球范围内,Sabre 公司的预订系统被近 3.2 万家酒店所使用。 川普酒店网站通知称,Saber 公司在 6 月 5 日告知川普酒店,包括拉斯维加斯、芝加哥在内的多家等城市的川普连锁酒店的客户信息遭到外泄。通知还称,泄密仅仅发生在川普酒店所使用的预订服务系统 Sabre Hospitality Solutions,但川普酒店的电脑系统本身并未受到影响。 去年,川普酒店曾出现 7 万多张信用卡号码和 300 多个社安号外泄事件,因未立即通知客人,被纽约州罚款 5 万美元。作为达成和解协议的一部分,当时川普酒店表示同意支付罚金,也同意更新安全技术。Sabre 调查发现,未经授权黑客在 2016 年 8 月 10 日首次访问了该公司的预订信息系统,而最后一次未经授权访问是在今年的 3 月 9 日。目前,川普酒店拒绝对此置评。 稿源:cnBeta、凤凰网科技,封面源自网络

广东破获色情 App 网络诈骗犯罪链条,涉案额 5100 余万

今年 4 月,某互联网公司向广东警方举报,一款名为 “ 某涩影音 ” 的手机 App 在网上蔓延,该软件以播放色情视频为诱饵,引诱用户下载安装,之后通过充值升级会员等级的手法实施诈骗。  App 会先播 20 秒左右的小视频,20 秒后会让你充值,因为第一次充值 30 多块钱,很多人都会接受这个价格 ,犯罪分子正是抓住了用户的这种心理,当用户充值完以后,犯罪分子会提供另一段 20 到 30 秒左右的影像,紧接着会再要求用户充值,如此循环。 仅短短 1 个月的时间内,该犯罪团伙控制的公司账单流水高达 1.2 亿元,每天有上万人被骗。经侦查, 5 月上旬,公安机关进行收网,将第四方支付平台 “ 某发啦 ” 的老板潘某强及涉案公司股东、法人代表、主要财务和技术人员全部抓获归案。随后,专案组乘胜追击,对全国各地的代理商和渠道商发起总攻,在福建等 11 个省份抓获嫌疑人 50 余人。截至目前,已抓获犯罪嫌疑人 100 余人,冻结银行资金约 5100 多万,止付银行账号约 190 余个。 经过警方侦查发现,该 App 从 2016 年 10 月份上线以来,为了更快推广,犯罪分子通过与各个“广告联盟”合作,将 App 挂在其广告联盟平台上。用户点击广告,就会弹出下载 App 窗口,公司以点击、展示、跳转量来结算,每天给广告联盟几百至五千元不等。同时,该犯罪团伙还发展了大量代理商、渠道商群体,代理与渠道商主要负责推广 App,一个渠道商拿到多个渠道后,就升级为代理商。 稿源:新浪科技、央视新闻,封面源自网络

新加坡拟定新网络安全法规,采取积极措施维护国家关键基础设施

据外媒 7 月 10 日报道,新加坡于近期公布了一份新网络安全法规草案,旨在保障国家网络安全、维护关键基础设施(CII)并授权当局履行必要职责,以促进各关键部门共享信息。 目前,新加坡政府已列出 11 个被认为拥有 CII 的部门,包括水资源、医疗、海运、媒体、信息、能源与航空等,这些公共部门本身就是 CII 的一部分。知情人士指出,由于新加坡是全球遭受网络攻击最为严重的数字连接国家之一,因此其 CII 将受到巨大影响。 该国政府于 2015 年 4 月成立网络安全局(CSA)的同时,公布了新加坡网络安全战略,以维护国家安全姿态。近期,WananCrya 与 Petya 恶意软件攻击事件也在提醒新加坡警惕网络安全隐患。调查显示,全球范围内的攻击活动主要针对公共事业工厂、运输网络、医疗机构与其他基本服务,从而警示新加坡需要加强管理 CII 网络安全制度。 CSA 行政长官 David Koh 指出,新加坡目前的网络安全立法主要侧重于计算机网络犯罪行为。为监督国家持续发展网络安全景观,新加坡需制定一个更全面的法案法规进行约束。而此次拟定的法案关键组成部分则是针对 CII 所有者进行监管,规定了 CII 提供商在履行必要职责的情况下定期评估 CII 风险,遵守业务守则。 法案还规定,CII 所有者将被要求执行必要机制与流程,以检测关键信息的网络安全威胁。如果违反立法规定的任何授权,他们极有可能被处于高达十万新元的罚款或两年以下监禁。据悉,该法案还将为 CSA 官员赋予特权,以便更快处理网络安全威胁。另外,法案还将为选定的网络安全服务提供商与个人(包括提供渗透测试以及安全管理运营中心)服务人员提供一种许可模式,即任何人不得在未经授权的情况下调查网络安全服务。目前,关于该法案的公众意见将于 2017 年 8 月 3 日前提交至 CSA。 原作者: Eileen Yu, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

前英国情报机构 GCHQ 总参谋长声称:俄罗斯破坏全球网络空间安全

前英国情报机构 GCHQ 总参谋长罗伯特 · 汉尼根(Robert Hannigan)本周一(7 月 10 日)发表声明,指出俄罗斯造成全球网络空间混乱、影响西方民主进程,呼吁各国共同抵制俄罗斯网络攻击活动。 罗伯特 · 汉尼根表示,法国总统 Emmanuel Macron 与德国总理 Angela Merkel 曾公开质疑俄罗斯活动与近期袭击民主机构的黑客组织有关。今年 5 月,Macron 与俄罗斯总统普京第一次会面时,就抨击俄罗斯政府资助新闻媒体宣传法国虚假政治信息,试图扭转舆论导向、干预选举活动。德国情报机构 BfV 负责人上周发表声明推测,俄罗斯企图攻击德国即将来临的大选活动( 9 月 24 日)。 Hannigan 向英国知名媒体 BBC 透露:“ 现今,我们开始谈论俄罗斯破坏网络安全事件并非坏事,因为它将敦促我们改善防御措施,但最终各国不得不采取某种方式阻止俄罗斯活动。我们并非通过网络报复,但在未来的某个时候,这可能成为必要措施或制裁手段。” 原作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞

HackerNews.cc  11 日消息,开源虚拟平台 Cloud Foundry 研究人员发现一处漏洞( CVE-2017-8032 ),可影响用户帐户与身份验证服务器交互,允许黑客通过多个域管理员身份利用外部提供商映射升级权限。 Cloud Foundry ID 管理服务均使用了 OAuth2 认证协议。调查显示,这一漏洞主要影响 v264 之前的以下版本的 UAA 与 cf-release。 UAA: ○ UAA v2.xx 的所有版本 ○ v3.6.13 之前的 3.6.x 版本 ○ v3.9.15 之前的 3.9.x 版本 ○ v3.20.0 之前的 3.20.x 版本 ○ v4.4.0 之前的其他版本 UAA bosh 发行版(uaa-release): ○ v13.17 之前的 13.x 版本 ○ v24.12 之前的 24.x 版本 ○ 30.5 之前的 30.x 版本 ○ v41 之前的其他版本 Cloud Foundry 发布安全公告强调,只有满足以下所有条件时,设备基础系统才会受到影响: (1)用户正在 UAA 中使用多个区域 (2)用户给与管理员外部提供商(LDAP / SAML / OIDC)与相应组映射的管理权限 (3)用户启用 LDAP / SAML / OIDC 提供商与外部组映射 目前,虽然 Cloud Foundry 已修复漏洞,但安全专家还是建议用户将系统升级至 v264 或更高版本以及安装 3.xx 系列的独立 UAA 用户链接,避免黑客操控系统管理权限。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

贵州与苹果签署战略合作协议,iCloud 落户贵州

7 月 12 日,贵州省政府与苹果公司共同签订《 贵州省人民政府苹果公司 iCloud 战略合作框架协议 》,标志云上贵州大数据产业发展有限公司(简称“云上贵州公司”)成为苹果公司在中国大陆运营 iCloud 服务的唯一伙伴,双方将共同为中国广大用户提供更畅快、更可靠的 iCloud 体验。 贵州省政府副秘书长、省大数据局局长马宁宇介绍,双方的合作模式为:苹果公司授权云上贵州公司作为苹果公司在中国大陆运营 iCloud 服务的唯一合作伙伴;云上贵州公司作为运营主体,在中国大陆境内运营 iCloud 服务;iCloud 服务在中国境内使用 iCloud 和云上贵州公司双品牌向用户提供体验。 马宁宇说,云上贵州公司将运营支撑 iCloud 服务的全国数据中心,主数据中心将在贵安新区建设,投资将达到 10 亿美元。苹果公司将在贵安新区注册实体公司,与云上贵州分公司合作建设 iCloud 贵安新区主数据中心,由云上贵州公司运营,苹果公司提供技术支持。 该项目的合作实现了中国、贵州省和苹果公司的 “ 三赢 ”。对于中国来说,项目实施后,中国用户数据将逐步存储在中国大陆的数据中心,这是鉴于中国网络安全法,与国际科技巨头合作的一个案例。项目设计采用清洁可再生能源供电,是中国南方绿色数据中心示范基地的又一个重要典范。 贵州省委常委、常务副省长秦如培介绍,对于贵州来说,苹果公司 iCloud 项目,是贵州省实施大数据战略以来投资规模最大、用户服务范围最广的项目,将会对该省云计算产业发展产生巨大的引领作用。 “贵州取得了令人瞩目的增长,成为中国云计算和大数据领域最具发展潜力的地方之一。”苹果公司环境、政策和社会事务副总裁丽萨·杰克逊表示,很荣幸能够与云上贵州进行合作。 丽萨·杰克逊说,中国的用户喜欢和使用 iCloud 存储照片、视频、文档和应用程序,并在所有设备上保持同步更新,相信新的合作关系,将通过减少延迟和提高可靠性改善中国 iCloud 用户的体验。 稿源:中国日报,封面源自网络