分类: 安全快讯

Zyxel 超级管理员帐号曝光 超 10 万台设备受影响

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。 据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:“Advanced Threat Protection (ATP) 系列:主要用于防火墙 Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关 USG FLEX 系列:主要用于混合防火墙或者 VPN 网关 VPN 系列:主要用于 VPN 网关 NXC 系列:主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询,NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后,Eye Control 表示可以删除后门帐号–用户名为“zyfwp”,密码为“PrOw!aN_fXp”。 研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           (消息及封面来源:cnBeta)  

新型 Golang 蠕虫传播恶意软件

自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台),一个基于Golang的二进制蠕虫,以及部署的XMRig矿工,以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币(门罗币)。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署加载器脚本(Linux的ld.sh和Windows的ld.ps1),该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。       (消息来源:cnBeta;封面来自网络)  

NSO 被指仍无视用户隐私

据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,即这是真实数据。因此,数据集很可能不是‘虚拟的’也不是计算机生成的数据,而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据)。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现,同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示,人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图,郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据,他指出这“看起来跟真实的手机数据一致”。此外,Miller还表示,即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息,如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用,这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据,它看起来很像这个。”Scott-Railton还表示,使用模拟数据进行接触追踪系统将会“适得其反”,因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明,一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查,必须质疑这些结论是如何得出的。尽管如此,我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据,”一位不愿透露姓名的发言人回应称,“正如我们上一份声明所述,演示所用的资料并不包括任何可辨识个人身分的资料。而且,如前所述,这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据,也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题,包括数据从何而来以及如何获得。该公司在其网站上称,Fleming已经在世界各国运营,但当被问及其政府客户时,该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式,眼下,该公司正在美国打一场官司,而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉,NSO卷入了一场跟Facebook旗下WhatsApp的诉讼,后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus,其中包括记者和人权捍卫者。NSO表示,它应获得法律豁免权,因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持,另外它们还呼吁法庭驳回NSO的豁免权要求。           (消息及封面来源:cnBeta)

美国财政部警告 COVID-19 疫苗研究组织遭攻击

美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

SolarWinds 黑客旨在窃取用户的云数据

微软表示,日前SolarWinds黑客正部署Solorigate后门,以破坏相关用户的云基础架构。 Microsoft 365 安全团队透露,SolarWinds供应链攻击幕后黑客旨在利用Sunburst / Solorigate后门感染受害者网络,进而破坏用户的云基础架构。 微软表示:“黑客可以随意挑选目标受众群体。根据调查,此网络攻击的下一阶段涉及本地活动,其目标是非本地访问云资源。” 一旦部署后门,黑客就可以窃取凭据、提升特权并在目标网络内获得创建有效SAML的权限,进而来访问云资源并窃取电子邮件及相关敏感数据。   专家表示:“这种网络攻击是具有极强的的隐身能力,因此我们很难发现相关活动。”  基于此,CISA和网络安全公司Crowdstrike都发布了用于审核Azure和MS 365安全环境的免费工具。           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日,网络安全和基础设施安全局(CISA)的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明:“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具,供相关事件响应者使用,且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面,以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块,在MSAzure / M365中审核日志中是否存在某些IoC,列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况,CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日本川崎重工披露安全漏洞

近日,日本川崎重工披露了一项安全漏洞,该公司发现多个海外办事处未授权访问日本公司服务器,该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司,主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶,也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明:“截止2020年6月11日,安全人员发现从泰国站点未经授权访问日本服务器的情况,随后又发现了从其他海外站点(印度尼西亚、菲律宾和美国)未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作,还限制了从国外对日本服务器的访问。 11月30日,公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示:“经过调查,海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来,川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前,还未发现泄露信息的证据。 除此之外,国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Google Docs 存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着,每当包含Google文档窗口的屏幕被截图时,图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈域,最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞,使黑客可以将框架修改为任意外部网站,进而窃取Google Docs屏幕截图。 值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意,因为它会公开将数据发送到任意网站。 Mozilla文档警示:“恶意站点可以在用户不知情的情况下更改窗口位置,进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。”               消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Nefilim 勒索软件幕后黑客泄漏了从 Whirlpool 窃取的数据

近日,美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击,黑客要求公司支付赎金,否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后,黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌,技术研究制造中心遍及全球,拥有77,000多名员工,其2019年的盈利为200亿美元。 周末,Nefilim勒索软件的幕后黑客发布了第一批数据,包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示:“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金,并且其网络安全防护非常脆弱,这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示,此次网络攻击活动发生在12月初。十月份,Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛,还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

物理安全密钥保障了美国大选电子邮件的安全

今年美国总统大选已经尘埃落定,并没有重蹈 2016 年那样严重的网络攻击。尤其是本次选举期间并没有出现电子邮件泄漏事件,而这可能归功于小小的 USB 安全密钥。而本次选举也极大地推动了安全市场的发展,例如 CrowdStrike 和 Zscaler 的股票今年升值了 200% 以上。 在过去四年里,有一件小事或者说一个习惯正逐渐养成。那就是政治家、竞选工作者、以及他们的家人和好友都开始使用 USB 硬件密钥来登录电子邮件账户和其他在线服务。而且谷歌为销售这些硬件提供了非常便捷的平台,可供用户挑选的产品也非常丰富,包括来自 GoTrust, TrustKey 和 Yubico 厂商的产品。 在 12 月 9 日发布的博文中,谷歌表示正和非营利机构 Defending Digital Campaigns 合作,发放了超过 10500 个包含 USB 物理安全密钥的工具包。联邦选举委员会授权该非营利组织以免费或优惠价格向竞选活动发放网络安全产品,这意味着竞选活动如果想提高安全性,就不用担心资金问题。微软也与该非营利组织合作。 一位知情人士告诉 CNBC,乔·拜登在竞选活动中要求团队成员部署安全密钥,不过目前并未得到回应。 曾在美国国家标准与技术研究所从事网络安全工作,现在是 Venable 律师事务所的董事总经理杰里米·格兰特(Jeremy Grant)表示:“由于这些小东西起效了,因此没有再发生类似于 Podesta 这样的事件。并不是说没有人试图对这些账户进行钓鱼,但他们知道这一切都会发生,而且有工具可以阻止它们。” 2016年,一个被认为与俄罗斯有关的黑客组织攻击了希拉里·克林顿(Hillary Clinton)总统竞选活动主席约翰·波德斯塔(John Podesta )的个人谷歌 Gmail 账户,邮件信息在维基解密上被翻出来。民主党全国委员会也遭到了攻击。       (消息及封面来源:cnBeta)