安全快讯Top News

美国 Netgear 路由器 R7000 和 R6400 曝任意命令注入漏洞

据外媒报道,安全专家在两个美国 Netgear 路由器 R7000 和 R6400 发现严重的安全问题,允许远程攻击者利用漏洞获得 root 权限运行恶意代码。 美国计算机紧急事件响应小组协调中心( CERT/CC )建议用户停止使用这两款路由器、等待安全补丁,以避免被黑客攻击。 受影响版本 Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本) Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本) 漏洞利用 这个安全漏洞的利用很简单,攻击者只需要受害者访问一个网站。 http:///cgi-bin/;COMMAND 其中包含特制的恶意代码来触发漏洞。远程攻击者可在目标路由器上以 root 权限执行任意命令, 基于局域网内的攻击者可以通过发送直接请求实现攻击。 该漏洞利用过程已公开发布。 稿源:本站翻译整理,封面来源:百度搜索

苹果为 iCloud 日历“垃圾邀请”推出举报功能

过去几周,苹果 iCloud 用户一直受到日历垃圾活动邀请的骚扰。苹果称已经意识到这个问题并着手解决。近日,苹果升级了其网页版 iCloud 服务,增加了一个“报告垃圾活动邀请”的功能。这个功能可以让用户删除垃圾邀请并将发送者信息向苹果报告以开展进一步调查。目前该功能只在 iCloud.com 网页版日历应用上可用,不过相信不久苹果就会在 iOS 版和 Mac 版的系统更新中加入此项功能。 收到此类垃圾邀请信息的骚扰,可以通过登录 iCloud.com 网页,通过该功能删除垃圾邀请,然后系统会自动同步到你所有使用该 iCloud 账号的 Mac 电脑和 iOS 设备上。 操作方法如下: (1)登录 iCloud.com,进入日历 Calendar 界面 (2)点开一个垃圾邀请,弹出窗口中点击 “Report Junk” 链接 (3)该垃圾信息将会从你所有同步的日历中删除,并将发送者信息发送给苹果。 稿源:cnbeta.com,有删改,封面:百度搜索

微软 Edge 浏览器恶意网站警告页面可被伪造用于诈骗

据外媒报道,技术型诈骗分子可以利用微软 Edge 浏览器 ms-appx 协议漏洞,伪造恶意网站警告页面进行欺诈活动。 ms-appx 和 ms-appx-web 方案可以引用来自应用包的应用文件。这些文件通常为静态图像、数据、代码和布局文件。 当 Edge 浏览器检测到打开可疑的恶意网站时会出一个红色的警告页面“SmartScreen”。 ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm 研究员 Manuel Caballero 称,诈骗分子可以利用漏洞创建一个伪造的警告页面,通过改变 URL 字符并附加哈希值内容伪装成合法的站点,显示文字警告并替换联系电话为诈骗电话。 window.open(“ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?”+ “BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW\:”+ “800-111-2222#http://www.facebook.com”); 受害者只需点击电话号码链接即可非常方便的联系诈骗分子。这种诈骗方式没有出现任何“可疑操作”,这让受害者更加信服警告的真实性。 稿源:本站翻译整理,封面来源:百度搜索

俄罗斯间谍组织加大对德国“网络信息化战争”力度

据外媒报道,近日,德国情报机构联邦宪法保卫局(BfV)称俄罗斯间谍组织“APT 28”加大了对德国的“信息化战争”,使用社交媒体造谣并传谣、针对德国政党和议会团体发动鱼叉式网络钓鱼攻击。 12 月 8 号,德国顶尖情报机构联邦宪法保卫局(BfV)负责人 HansGeorg Maassen 对外发布警告称,情报机构已经发现网络间谍活动的猛增,它可能危及德国政府官员、国会议员和各民主党派人士。间谍组织使用“心理战”在社交网络上发布虚假言论、传播谣言,并针对德国政党和议会团体进行鱼叉式网络钓鱼攻击。据德国情报证实,黑客使用的恶意软件与入侵美国民主党全国委员会系统的恶意软件相同。该间谍组织很可能就是“ APT 28”也称为“花式熊”。 德国对外情报局(BND)和联邦宪法保卫局(BfV)都已通知该国各部门小心防范俄罗斯黑客入侵。 此前,11月初德国总理 安格拉•默克尔(Angela Merkel)就称俄罗斯可能会通过网络攻击或虚假情报活动影响德国明年的大选。 随着德国大选的临近,针对德国的一系列网络攻击事件不断发生。11月底,德国电信遭遇网络攻击,超 90 万路由器无法联网,专家猜测断网事件可能也是俄罗斯所为。 稿源:本站翻译整理,封面来源:百度搜索

CIA 报告称俄罗斯积极试图帮助特朗普赢得大选

《华盛顿邮报》周五援引匿名消息来源透露,美国中央情报局(CIA)在一份秘密评估中确定,俄罗斯干扰美国总统大选的行为将唐纳德·特朗普“送进”白宫。此前美国情报部门一直指责俄罗斯干涉美国大选,但一直缺乏足够的证据。CIA 表示,外国政府试图在美国总统大选期间通过间谍行为来影响最终结果,这是前所未有的。 报道称,美国政府辖下 16 个情报机构组成的美国情报体系已经得出结论, 俄罗斯政府是民主党全国委员会( DNC )网络攻击及克林顿的竞选团队主席 John Podesta 邮箱被黑事件背后的黑手。根据维基解密在今年夏天公布的第一批民主党高层邮件显示,DNC 早已暗中支持希拉里争夺党内提名,同时排挤希拉里在党内的最大竞争对手伯尼·桑德斯。维基解密在 11 月 8 日选举日当天再次公布了 DNC 邮件的全部内容。 在今年10月的一份报告中,美国情报部门曾指控俄罗斯通过黑客行动干预大选。 《华盛顿邮报》称,CIA 在这份秘密评估中指出, 俄罗斯旨在加大特朗普成功的几率。一位匿名高级官员表示:“情报部门体系在评估中得出结论,俄罗斯的目标是为为其中一名候选人创造有利条件,以帮助特朗普当选。” CIA没有立即回应记者的置评请求。 稿源:cnbeta.com,封面:百度搜索  

京东澄清数据外泄传闻:源自 2013 年 Struts 2 安全漏洞问题

12 月 10 日有媒体散布“京东 12G 数据泄露,涉及千万账户”消息,宣称被泄露的数据包含用户名、密码、QQ号、邮箱、电话、身份证诸多个人信息。京东官方 10 日晚间发布公告表示,初步判断被泄露数据源自 2013 年 Struts 2 的漏洞问题。 京东官方称内部初步调查显示,2013 年 Struts 2 漏洞爆发时安全部门就已迅速完成了系统修复,同时针对可能存在风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。” Struts 为 Apache 基金会赞助的一个开源项目,Struts 框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。2013 年 7 月 17 日,Apache Struts2 发布漏洞公告,称其 Struts2 Web 应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,包括电商、银行、政府等诸多网站均受影响。 商场如战场,双 12 前夕“正巧”爆出数据泄露事件实在是耐人寻味。 稿源:据 cnbeta 整理,有改动; 封面:百度搜索

普华永道 ACE 自动评估软件存漏洞,可泄露客户敏感财务数据

德国安全公司 ESNC 发现普华永道会计事务所使用的 ACE 自动评估软件存在安全漏洞,黑客可利用漏洞获得事务所和客户的财务数据。 普华永道国际会计事务所(PricewaterhouseCoopers)成立于英国伦敦,全球顶级会计公司,位居四大会计师事务所之首。 普华永道 ACE 软件基于 SAP 系统运行,具有远程代码执行漏洞,允许攻击者远程注入恶意 ABAP 代码绕过变化管理控制和隔离约束限制,获取客户主要财务数据和人力资源工资信息。 德国安全公司 ESNC 将漏洞详细情况发布到网上。 该漏洞影响 ACE-ABAP 8.10.304 及之前版本。 稿源:本站翻译整理,封面来源:百度搜索

转账交易新骗局:收到 4 万转账 手上 7 万却被骗光

近日,广州市民张颖(化名)通过二手物品交易软件“闲鱼”,以 5000 元的价格挂售自己的一张健身卡。11 月 13 日上午,一“网友”通过平台向张颖购买健身卡,且请求她把售价改为 19600 元,原因是“需要较高的金额向公司报销”。 该“网友”解释,他会先通过支付宝向张颖转账 19600 元,扣除 20 元手续费,张颖再将 14580 元差价补给他即可。张颖接受了请求。 十分钟后,她收到了一封发件人为“支付宝”的邮件,邮件显示“支付宝提示买家已确认收货,因您未开通大额支付,您有笔交易 19600 元将在 2016 年 11 月 13 日晚上 20 点到账您的支付宝。” 信以为真的张颖在对方的催促下于十几分钟后将差额打到了对方提供的银行卡账户中。随后该网友多次以“开通大额支付需一定数额转账凭证”为由让张颖转账。为了获取张颖信任,该网友先后向张颖转账 46459 元。最终,张颖共向对方转账 10 次,扣除对方转入的 4 万余元,她共转出 74451 元。 支付宝:涉事邮箱系假冒 12 月 5 日下午支付宝客服对此作出解释,给张颖发邮件的“支付宝邮箱” 为 zhifubaoxianyuee@yeah.net,并不是支付宝的官方邮箱账号。支付宝官方一般不会给买卖双方发送邮件,买卖信息一般是通过短信通知。在网购中,若是收到以官方名义发来的短信、邮件、电话等,要通过域名等细节信息核实其真实性,并向官方求证。 稿源:cnbeta.com 有删改,封面:百度搜索  

奥巴马下令调查美国总统大选期间的黑客活动

据外媒报道,美国国家安全及反恐顾问 Lisa Monaco 在当地时间周五表示,美国总统奥巴马已下令全面调查针对 2016 年美国总统大选发起的黑客活动。美国情报机构在今年早些时候曾表示,俄罗斯政府曾授权黑客入侵美国政治组织的网络系统,试图对总统大选进行干扰。 另外,白宫发言人 Eric Schultz 也表示:“在本周早些时候,总统已指示情报部门对总统竞选周期的恶意网络活动进行全面评估。 这份报告将进一步挖掘试图影响我们选举的恶意网络活动类型、评估我们的防御能力,并吸取经验教训。 ” 美国国土安全部今年 10 月 11 日曾在一份报告中指出:“到今天为止,已有 33 州、11 县及地方选举机构与国土安全部探讨我们的网络安全服务。现在距离 11 月 8 日选举日还有 29 天时间,我们鼓励其他的选举机构完成同样的事情。” Schultz 还表示,此次调查将涵盖自 2008 年起与美国大选有关的一切恶意网络攻击。 稿源:cnBeta.com,封面:百度搜索

土耳其黑客筹备 DDoS 攻击竞赛针对政党网站,参与者可获黑客工具

安全公司 Forcepoint 发现土耳其黑客“ Mehmet ”在网上发起了一项“ DDoS 攻击竞赛”活动,邀请参与者对 24 个政党网站发动 DDoS 攻击,之后根据攻击成果发放黑客工具奖励。 每个参赛者将获得一个叫“ Balyoz ”的黑客工具,参赛者利用该工具可使用自己的设备对目标发动 DDoS 攻击。 攻击目标包括德国基督教民主党、土耳其民主党、Armenian Genocide Archive、库尔德工人党等 24 个网站。攻击者获得的奖励与积分挂钩,每攻击站点十分钟就可以获得一个积分,积分可兑换 “点击欺诈机器人”、恶意软件、DDoS 工具升级包等。黑客甚至创建了一个记分牌,实时统计显示积分。 当然,这一切都免不了一个黑吃黑的结局。在土耳其黑客提供的 DDoS 工具含有一个很小的后门,可以下载、执行.NET 程序集并可在被删除后重新下载,土耳其黑客试图接管参赛者计算机将其纳入僵尸网络。 安全公司 Forcepoint 正密切监视黑客的活动,目前还不清楚有多少人参加了此项活动,也不清楚是否有网站遭到攻击。 稿源:本站翻译整理,封面来源:百度搜索