安全快讯Top News

WordPress 与 WooCommerce 爆漏洞,大量网站受影响

RIPS Technologies 本周指出,WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞,将允许黑客扩展权限,控制整个 WordPress 站点并执行远程程序攻击。 WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress 是一个开源内容管理系统(CMS),在 CMS 市场中占有 60% 的市场份额。WooCommerce,它是一个免费的电子商务插件,全球有超过400万的安装,并有 30% 的在线商店使用该插件。 RIPS 安全研究员 Simon Scannell 指出,WooCommerce 包含一个文件删除漏洞,允许商店经理(Shop Manager)删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞,但如果碰上 WordPress 权限处理漏洞时,可以使黑客控制整个站点。 WooCommerce 提供三种角色权限,即客户,商店经理和管理员。 商店经理主要负责管理客户,产品和订单。 在 WooCommerce 设置商店经理的角色后,WordPress 为其提供了 edit_users 的功能,并且此角色存储在 WordPress 存储库中,但 edit_users 的默认值可以编辑所有用户数据,包括管理员。 为了防止商店经理更改管理员数据,每当调用 edit_users 时,WooCommerce 就会添加元数据以限制 edit_users 的能力。 它只允许修改客户或产品数据,而不得编辑管理员数据。 但是,黑客或拥有商店经理权限的人可以使用 WooCommerce 的文件删除漏洞直接删除 WooCommerce;当 WooCommerce 关闭时,WordPress 不会删除商店经理的许可,同时 WooCommerce 对该权限所设置的限制也会失效,这时商店经理可以修改管理员数据,获得系统的管理权限,直接接管整个网站,并执行任何程序。   稿源:开源中国,封面源自网络;

nginx 安全问题致使 1400 多万台服务器易遭受 DoS 攻击

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。 “在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。 此外,“如果在配置文件中使用”listen”指令的”http2″选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。” 为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。 所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。 第三个安全问题(CVE-2018-16845)会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。 最后一个安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。 总的来说,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。 为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。 目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。   稿源:开源中国,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;  

安全研究人员:英伟达 GPU 存在旁路攻击漏洞

加州大学河滨分校的研究人员,发现了三种可能被黑客利用 GPU、来攻破用户安全与隐私防线的方法。这些技术可用于监视浏览器活动、窃取密码、以及向基于云端的应用程序发起攻击。研究报道中描述的第一项,指出了 GPU 旁路攻击导致的渲染不安全:“计算机科学家们认为这是可行的,并且描述了他们如何通过对 Nvidia GPU 进行反向工程,将图形渲染和计算机堆栈都拉下水”。 英伟达发布的新卡皇(图自:Nvidia 官网) 论文原标题为《渲染也不安全:计算机旁路攻击是可行的》(Rendered Insecure: GPU Side Channel Attacks are Practical)。其声称,这是人们首次成功地对 GPU 发起旁路攻击。 当然,执行这类攻击,也有着几项前提。首先,受害设备上必须被安装了间谍软件程序,这种恶意代码可以嵌入一个无害的应用程序。 其次,攻击者必须拥有可以分析 GPU 内存分配机制的机器学习方法。然后,间谍软件和机器学习程序才可以利用现有的图形 API(如 OpenGL 或 WebGL)发起攻击。 换言之,一旦用户打开了恶意应用程序,它就会调用 API 来分析 GPU 正在呈现的内容(比如网页信息)。GPU 的存储器和性能计数器被其所监视,并馈送给机器学习算法,以解释数据和创建的指纹。 加州大学河滨分校指出,鉴于渲染对象数量和尺寸的不同,每个网站在 GPU 内存利用率方面都会留下独特的痕迹。在多次加载同一个网站时,这个信号的样式几乎时一致的,而且不受缓存的影响。 研究人员称,通过这种‘网站指纹识别方法’,他们已经能够实现很高的识别准确率。借助这项技术,黑客可监控受害者的所有网络活动。 研究配图:旁路攻击解析 更糟糕的是,这一漏洞还允许攻击者从 GPU 数据中提取密码。 当用户键入密码字符时,整个文本框会被发送到 GPU 进行渲染。每一次的击键,都会发生这样的数据传递。 如此一来,凭借完善的密码学习技术,只需监控 GPU 内存中持续的分配事件、并参考间隔时间,理论上攻击者就可以做到这点。 论文中描述的第三种技术(攻击基于云端的应用程序),则比上述两种方法要复杂一些。攻击者可以在 GPU 上启动恶意的计算型工作负载,与受害者的应用程序一起运行。 根据神经网络的参数、缓存、内存、以及功能单元上(随时间而不同的)争用强度和模式,可以产生可测量的信息泄露。 攻击者在性能计数器的追踪上使用了基于机器学习的分类,以此提取受害者的私密神经网络结构,如深层神经网络特定层中的神经元数量。 万幸的是,在团队向 Nvidia 通报了他们的研究结果后,该公司表示将向系统管理员推出一个补丁,以便他们可以禁止从用户级进程访问性能计数器。 同时,研究团队还向 AMD 和英特尔安全团队通报了同样的事情,以便它们评估这些漏洞是否会在自家产品上被利用。   稿源:cnBeta,封面源自网络;

参议员提出的隐私法草案可能会让科技公司的 CEO 因数据泄露而入狱

在Equifax发生大规模破坏之后一年,数百万人感到沮丧,因为此后没有任何改变。全国范围内都有集体诉讼,这通常是对数据泄露事件的回应,律师今年也起诉Facebook和Uber,但立法者仍然认为这些公司无需对错误处理数百万人的数据负责。 来自俄勒冈州的民主党参议员罗恩·怀登希望通过“消费者数据保护法”改变这一点。这位立法者在参议院一直处于网络安全和隐私问题的最前沿,于周四提出了一项数据隐私法案草案,对违反用户隐私权的公司准备进行更严厉的处罚。 该法案仅适用于市值超过5000万美元且拥有超过100万人以上个人信息的公司。该草案建议提高联邦贸易委员会执行反隐私侵权的能力,并且要求公司提交年度数据保护报告,类似于Google和Apple等公司自愿发布的透明度报告。该报告需要由首席执行官签署,如果他们向联邦贸易委员会撒谎,他们可能面临长达20年的监禁。 Wyden的法案草案还引入了一个全国性的“Do No Track”,该网站将为美国人创建一个中心页面,让他们选择退出互联网上的数据共享。目前,如果您想退出数据跟踪,则必须在您注册的每个网站的设置中执行此操作。在某些情况下,选择退出的唯一方法是不使用网站。 去年,国会山正在推动联邦数据隐私法,以应对像Facebook在Cambridge Analytica的问题上遇到的隐私问题。另外,苹果首席执行官蒂姆库克呼吁制定联邦数据隐私法,认为隐私是一项“基本人权”。谷歌,Facebook和亚马逊也表示他们支持联邦数据隐私法,尽管科技公司想要什么和隐私倡导者想要什么有很大的不同。   稿源:cnBeta,封面源自网络;

Facebook 将为 Workplace 提供单独域名保障商户数据安全

新浪科技讯 北京时间11月1日凌晨消息,9月28日,在Facebook公布了一项影响数百万用户的安全漏洞的那一天,该公司创业企业业务负责人向顶级客户沃尔玛确保其数据尚未泄露。 沃尔玛是Facebook的Workplace的客户。而Workplace是Facebook社交网络的工作版本,公司付费以后,他们的员工可以使用Facebook风格的功能进行沟通,例如私人消息,新闻提要和实时流。根据Facebook在2017年10月分享的最多数据显示,该服务与Slack和其他企业通信服务竞争,被包括星巴克和雪佛龙在内的30,000家组织使用。 在9月28日的沟通中,Facebook的Workplace负责人Julien Codorniou向沃尔玛企业首席信息官Clay Johnson表示,Facebook正在采取措施进一步将Facebook的企业业务与其消费者服务分开。根据沃尔玛副总裁乔·帕克(Joe Park)的说法,Facebook告诉该公司,Facebook很快会为Workplace提供单独的域名。 Park称,“我们得到的保证是(企业)数据将会存在于Facebook的消费者版本之外,这是彻底的改变,他们甚至会改变域名以反映这一点。” 新域名Workplace.com现已成为营销网站。 Facebook的Workplace产品经理卢克泰勒(Luke Taylor)周三告诉CNBC,预计在2019年的某个时候,Facebook企业客户将会从Workplace页面登录。 泰勒表示,这一域名的改变来自于一部分Facebook的Workplace客户先前对企业工具与Facebook的消费者业务托管在同一域名表示担忧。该公司已经逐一告知客户有关域名转移的信息。 泰勒告诉CNBC,“我们已经处于和他们分开这样的一个位置。继续把他们一起放在Facebook.com域名上有点困难了。从品牌的角度来看,这是我们想做的事情,当然我认为这也让我们的客户对产品本身更加信任。” 泰勒说,该公司希望首先对新客户开始使用该域名,然后帮助现有客户迁移进入。 “我们将与客户合作,确保客户以他们的节奏进行迁移”,泰勒表示:“当你看到Oculuses,Instagrams甚至Facebook的消费业务时,他们都拥有自己的域名和自己的品牌标识。正如我们看到我们的增长如此迅速增长以及我们对市场的牵引力增加,我们感到现在恰好是推进自有品牌的正确时机。”   稿源:新浪科技,封面源自网络;

谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌

新浪科技讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。谷歌表示,只有大约0.01%的用户会受到这次更新的影响,一小部分用户会为了提升浏览器的性能而禁用JavaScript。 谷歌本次推出的第二个更新与Android恶意应用有关。谷歌计划调取该公司推出的安全扫描应用Google Play Protect的数据,该应用会对用户的手机进行扫描,并且发现手机中所安装的恶意软件,提醒用户进行卸载。 谷歌的第三个更新,是向用户展示他们此前曾经允许那些第三方应用和网站调用用户的帐号信息,提醒用户定期进行检查,对那些已经不再使用的第三方应用和网站进行取消授权操作。 谷歌的第四个更新针对的是用户帐号被入侵之后的恢复工作。这个更新能够帮助用户重新获得帐号的访问权,并且对已经被入侵的数据进行重新保护。另外,用户可以使用这个功能查看Google Pay帐号的消费情况,并且查看Gmail和Drive中是否被添加了新的文件。   稿源:新浪科技,封面源自网络;

美女童军加州奥兰治县分部网络遭攻击 或涉及 2800 名成员信息泄露

据 Threat Post报道,美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击,最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露,该组织已经向所有填写申请的成员邮箱发送了一份通知信,承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉,并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号,破解进入了GSOC的计算机网络,获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名,出生信息,电邮地址,家庭地址,驾驶执照,健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号,通过传统邮箱寻求GSOC分部的确认。   稿源:cnBeta,封面源自网络;

研究称谷歌 Home Hub 存在诸多安全隐患 能被远程控制

新浪科技讯 北京时间10月31日上午消息,谷歌首次涉足智能显示器领域并且推出了Google Home Hub,产品得到大家的一致好评。然而,根据一项安全审查,事实情况可能有所不同。一位研究人员声称这项设备的安全性“令人大失所望”。当然,谷歌肯定是否认这些说法的。 Google Home Hub无法像JBL Link View、Lenovo Smart Display等其他智能助手显示器在安卓系统上运行,而是使用谷歌的Cast Platform。根据近期的一次采访,似乎是因为公司对于Cast Platform更加熟悉才做出此决定的。 研究人员杰里·甘布林(Jerry Gamblin)表示,这一决定就使得设备可能面临诸多安全隐患。根据他的研究,使用不安全的应用程序接口可以在一些情况下远程控制Home Hub。据此,甘布林能够利用command prompt命令让Google Home Hub重新启动。 “过去两个晚上,我一直在研究Google Home Hub的安全性,结果令人大失所望。通过(非正式)的应用程序接口,可以不经身份验证就能进行远程控制。” 这里提到的API是Google Home应用程序用于连接设备的。更重要的是,这已经不是新闻媒体第一次报道此“安全漏洞”了。今年早些时候出现了更为严重的安全问题,即它可以揭露Chromecast或Google Home设备的准确位置(精确到街道地址)。 在上一次被曝出安全漏洞之后,谷歌修补了此漏洞,但是其他问题似乎依然未去处理。无所畏惧的黑客和研究人员还在继续利用该应用程序接口存在的问题进行尝试。 谷歌对此发表声明:“所有的Google Home设备在设计时都将用户安全和隐私问题置于首位,设备采用了受硬件保护的启动机制,进而确保只有谷歌认证的代码可以在设备上使用。此外,任何携带用户信息的对话内容都经过了验证和加密。 最近有关于Google Home Hub安全性问题的言论都是不准确的。此声明中提到的应用程序接口是手机应用用于配置设备的,只有在这些应用与Google Home设备使用相同WiFi网络的情况下才可以进入。尽管此言论描述了一些问题,但没有证据表明用户信息存在风险。” 谷歌并未给出明确的判定,双方都有理可据。但谷歌声称该API是用于配置设备且不会透露个人信息时,这其实已经验证了我们在非官方文件中发现的事实。 甘布林提出了一个非常合理的观点,即该应用程序接口至少可以进行身份验证,而不必完全开放。这对谷歌来说可能是轻松就能修复的问题,但鉴于谷歌已经不是第一次因此应用程序接口而备受抨击了,想来事情也不会太快发生转变。   稿源:新浪科技,封面源自网络;

对一些服务在海外的同学提个中肯的建议 | 知道创宇云安全

*海外CN2专线防护上线啦* 在拓展海外业务的征途中,您是否有过这些烦恼? · 国外云防护服务商家太多,不知道选哪家才靠谱? · 好不容易选中一家,付款太麻烦? · 恶意攻击不断,消耗服务器资源影响运转还泄露信息? · 服务器部署在海外,国内老用户访问太慢还掉线,一不小心就流失了?   不用担心了,知道创宇海外CN2专线防护现已上线! 什么是CN2? CN2(CNCN),即互联网第二平面(俗称二平面),是相关网络运营商的下一代多业务的承载网,主要用于海外地区。CN2采用的核心技术是IP/MPLS,海底光缆直连大陆,省去跳转国际网络的延迟,具有高弹性、高冗余性和低延迟的特性,属于专线通道,速度更快更稳定。  产品简介 又快 China Telecom Global等大陆运营商合作,多条海外CN2专线直连大陆,PING值低至30ms,几乎等同于国内服务器的访问速度。 又安全 通过CN2线路接入抗D保、创宇盾和加速乐三大王牌安全产品,保障业务快速稳定、安全无忧。  为什么选择我们? 1. 网络结构完善,传输速度更快 海外CN2线路在IP层,实现平均小于500ms的快速路由收敛;在MPLS层,核心节点之间50条链路部署了FRR,实现50ms的保护切换。知道创宇在国内PING值低至30ms,欧美PING值约为100~200ms之间,极大缩短网络访问延迟。   2. 多地域节点 知道创宇在海外拥有多条CN2线路直连大陆,自2013年起便开始在香港部署数据中心,在台湾、日本、韩国、新加坡各地均有CN2节点,实力满足海外各地域与大陆间的业务稳定开展。   3. 带宽升级,满足多业务需求 CN2承载的是网络运营商具有QoS保证的SLA业务,可同时支持语音、数据、视频、专线、国际互联等多业务,知道创宇提供CN2带宽升级服务,保障充足的带宽资源,满足多业务的需求。   4. 全球Anycast抗DDoS服务 若CN2线路遭受到DDoS攻击,知道创宇将会及时调Anycast进行抗D,完美防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC(ChallengeCollapsar)攻击,确保线路连接正常。     所以, 不用再烦恼,不用再担心, 选择知道创宇海外CN2专线防护,为您的征途保驾护航! 详细了解:https://www.yunaq.com/cn2/