安全快讯Top News

Cisco Webex 漏洞允许远程执行代码

上周三,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部网络安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响。 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。 尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。 此外,这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。 实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。 Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。 据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法,此漏洞在CVSS上被评分8.8分(满分10分)。   消息来源:threatpost, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美政府为低收入家庭提供手机被植入恶意程序 且无法清除

为美国低收入家庭提供的智能手机近日被发现存在恶意程序,更严重的是无法在不影响手机正常工作的情况下,清除该恶意程序。援引Malwarebytes Labs本周三公布的博文,详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头,并由Assurance Wireless提供的一款廉价Android手机。 博文中称,这款低端Android手机上存在两款恶意程序,而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除,但是需要繁琐的步骤并需要阻止未来的版本更新;而另一个恶意程序将其自身硬编码到设置应用中,意味着如果将其删除会导致手机无法使用。 Assurance Wireless的母公司Sprint在随后提交的声明中,表示这两款程序并不应该归类为恶意程序。公司在本周五提交的声明中写道:“我们已经发现了这个问题,并接触了设备厂商Unimax来了解根本原因。但是经过我们的初步测试,我们认为媒体描述的这两款应用程序是恶意程序。”   (稿源:cnBeta,封面源自网络。)  

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。 去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。 不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。” 公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。 这些患者数据记录非常详细,大多包括以下个人和医疗细节: 名字和姓氏; 出生日期; 审查日期; 调查范围; 成像程序的类型; 主治医师; 研究所 / 诊所; 生成的图像数量 攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。   (稿源:cnBeta,封面源自网络。)

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)

伊朗 19 岁黑客攻破美一退休牙医网站以示对美国的不满

据外媒报道,Phil Openshaw是美国加州一名退休的牙医,他已经好几个月没上过自己的网站了,所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反,该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片,并且上面还写着“打倒美国”的标语。 当他告知这一情况之后,Openshwa表示:“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生,并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道,如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   (稿源:cnBeta,封面源自网络。)

Firefox 曝严重零日漏洞 Mozilla 现已紧急修复

Mozilla今天发布了紧急版本更新,重点修复了可能已经被利用的零日漏洞,允许攻击者来控制用户的计算机。在今天发布的安全通告中,Mozilla将该漏洞评为“严重”,并表示有证据表明多名黑客利用该漏洞进行了定向攻击。 美国网络安全和基础设施安全局警告称,至少有1个以上的漏洞被黑客利用,并且警告称黑客可以利用该漏洞来控制受影响的系统。Mozilla的公告中表示该漏洞的发现,主要归功于国内安全团队奇虎360,是他们向Mozilla报告了这个漏洞。 媒arstechnica就此事向Mozilla和奇虎360发送了咨询邮件,目前均没有立即提供回复。据悉该漏洞编号为CVE-2019-17026,是一个类型混淆方面的严重漏洞,可以导致数据被写入或者读取的时候超出限定的内存位置。而越界阅读能够让攻击者绕过诸如地址空间布局随机化之类的保护,也能够导致计算机崩溃。 该漏洞在本周二发布的Firefox 72.0.1版本更新中进行了修复,该版本还修复了其他11个漏洞,其中6个被评为高(其中三个可以让攻击者在感染的设备上运行恶意程序)。因此推荐用户尽快升级至Firefox最新版本,避免受到该漏洞影响。   (稿源:cnBeta,封面源自网络。)

科威特国家新闻社 Twitter 账号遭黑客攻击 被用来传播有关美军从该国撤离的虚假消息

据外媒The Verge报道,科威特国家新闻社(KUNA)周三表示,其Twitter帐户遭到黑客攻击,并被用来散布有关美军撤出该国的虚假信息。据路透社报道,现已删除的报告指出,科威特国防部长已收到美国的一封信,信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说,其“绝对否认”在其社交媒体账户上发布的报道,科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后,有消息称美国发出了一封信,暗示该国将撤离伊拉克,但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。 目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。   (稿源:cnBeta,封面源自网络。)

报告显示 WannaCry 依然是最让人头疼的勒索软件

Precise Security公布的一份新报告显示,WannaCry在去年勒索软件感染排行榜当中位居第一。Precise Security称,超过23.5%的设备最终被勒索软件锁定,其中垃圾邮件和网络钓鱼邮件仍然是去年最常见的感染源。不少于67%的勒索软件感染是通过电子邮件传递的,缺乏网络安全培训和薄弱的密码和访问管理是导致电脑在攻击后被加密的主要原因。 这份报告显示,针对政府机构,医疗保健,能源部门和教育的勒索软件攻击数量继续增加。一些简单的勒索软件以难以逆转的方式锁定系统,但更高级的恶意软件利用了一种称为加密病毒勒索的技术进行攻击。 WannaCry勒索软件爆发发生在2017年5月,当时第一批Windows电脑通过一个名为EternalBlue的NSA漏洞被感染。微软很快发布了补丁来阻止这一漏洞,包括不受支持的Windows XP操作系统,但目前仍有许多用户在使用没有打过补丁的设备。 与其他勒索软件感染一样,WannaCry对存储在设备上的文件进行加密,并要求用户支付解密密钥的费用。WannaCry攻击者要求受害者以比特币支付,据统计,它在全球造成了约40亿美元的损失。 WannaCry制造了一系列引人注目的受害者,包括英国的NHS系统,其设备运行的是未修补的Windows,主要是Windows XP。修补设备并保持安全软件完全更新,是阻止WannaCry攻击的最简单方法,同时不要打开来自不受信任来源的消息和文件。   (稿源:cnBeta,封面源自网络。)

TikTok 旧版曝光多个安全漏洞 请尽快升级至最新版

目前TikTok全球注册用户数量突破15亿,月活跃用户数量超过7亿,如此庞大的用户群自然也成为了黑客攻击的目标。根据安全公司Check Point发布的最新警告,TikTok的某些版本非常容易受到各种方式的攻击,严重的可能会破坏和窃取存储在手机的个人信息。 Check Point表示,这款时下热门的短视频应用程序中存在多个漏洞,攻击者能够相对容易地控制你的账户,上传或者删除视频,甚至能够公开用户设置为隐藏的视频。这些漏洞于去年11月被发现,Android和iOS端的TikTok都受到影响,不过在最新版本中已经得到修复。 其中一个漏洞是TikTok允许用户通过SMS信息来接受下载链接,而这条信息可以通过官网发起请求。但是这种机制并不完美,因为研究人员找到了一种操纵文本并修改SMS信息中链接的方式,以将特殊命令发送到应用程序(如果已在手机上安装的话)。此外,他们可以使用此漏洞将消息发送到任何电话号码,而不仅仅是用于注册TikTok帐户的电话号码。 随后, 攻击者可以利用浏览器重定向设置中的BUG来控制你的账户,并获取你电子邮件等相关个人信息,甚至可以公开你的私人视频。通过一些更精细的JavaScript代码向导,攻击者甚至可以创建视频并将其发布到第三方帐户中。 Check Point表示,在去年11月反馈了TikTok安全问题之后,字节跳动迅速做出调整在去年12月份发布的新版本中已经修复了这些漏洞。   (稿源:cnBeta,封面源自网络。)