安全快讯Top News

WordPress 插件漏洞被黑客用于恶意重定向和弹窗

黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计,  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源:Bleepingcomputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国汉堡连锁品牌 Checkers 遭黑客攻击 102 家门店 POS 机被感染

美国快餐连锁品牌 Checkers & Rally’s 遭遇恶意程序攻击,15% 的美国门店 POS 机被感染,导致严重的数据泄露。Checkers 是美国境内最大的免下车汉堡连锁餐馆之一,总部位于佛罗里达州坦帕市,目前已经在美国 28 个州开拓业务。 黑客攻击了Checkers的支付系统,并且在100多家线下门店的POS系统中植入了恶意软件。这些恶意软件会收集支付卡磁条上的数据,包括持卡人姓名、支付卡号、卡验证码以及到期日期等等。 Checkers在本周三的安全公告中表示:“近期我们发现部分Checkers & Rally’s线下门店出现了恶意程序导致数据泄露问题。在发现这个问题之后,我们快速聘请了业内的数据安全专家进行广泛调查,并配合联邦执法机构协同受影响餐馆解决这个问题。” 目前Checkers没有回应外媒Threatpost的评论请求。 Checkers表示,根据调查结果,没有证据表明持卡人信息以外的数据受到此问题的影响。 目前美国20个州的102家Checkers门店被发现存在恶意程序,其中最早一笔支付发生在2015年12月。Checkers在其官方网站上罗列了本次受影响的所有门店信息。   (稿源:cnBeta,封面源自网络。)

时隔两周 仍有百万级联网设备未打上微软 BlueKeep 漏洞补丁

外媒 Threat Post 报道称,有研究人员发现,互联网上有百万级设备易受微软 BlueKeep 漏洞的影响,或为 WannaCry 之类的攻击敞开大门。据悉,该漏洞编号为 CVE-2019-0708,但微软已在本月早些时候的星期二补丁(Security Bulletin)中修复。遗憾的是,尽管系统管理员被要求尽快修复,但还是有大量设备暴露在公共互联网上。 (图自 @GreyNoiseIO,via Threat Post)   Errata Security 研究员 Robert Graham 周二警告称,经过分析,目前公网上仍有 100 万台左右的设备易受这个严重漏洞的影响。 受威胁的设备,很容易成为 WannaCry 之类的网络攻击的受害者。更糟糕的是,上周末的检测表明,专门针对这类系统的恶意扫描数量出现了激增。 据悉,微软 Windows 操作系统中的远程桌面服务,存在着重大的远程代码执行缺陷。其影响包括 Windows 7 / XP、Server 2003 / 2008 等在内的诸多版本。 (本次威胁影响大约 95 万台暴露于公网上的计算机)   因担心黑客已经熟练掌握勒索技能,BlueKeep 漏洞或引发又一轮严重的攻击。微软这次还是破例为 Windows XP / Server 2003 提供了星期二补丁。 WannaCry / NotPetya 引发的骚乱,并没有多去多久。而这次曝出的 BlueKeep 漏洞,有些类似于 2017 年快速传播的恶意攻击所使用的 EternalBlue 漏洞。 Ivanti 安全产品管理总监 Chris Goettl 亦在周二表示:“本次曝出的 BlueKeep 漏洞具有在全球范围内掀起另一轮 WannaCry 级别的恶意攻击的潜力”。 (3389 端口原本旨在提供可靠的远程桌面通信协议)   借助 Masscan Internet 等工具,Errata Security 的 Graham 对公网上的 3389 规模进行了大范围扫描,发现漏洞影响将近百万台设备,而黑客有可能在未来一两个月造成严重的破坏。 据悉,受影响的机器包括西门子的一些医疗设备,比如面向放射肿瘤科、实验室诊断、射线成像、医疗点诊断等应用的产品。 为此,西门子建议尽快为潜在受影响的设备打上补丁,并在必要时直接禁用 3389 端口的远程桌面连接(RDP)功能。   (稿源:cnBeta,封面源自网络。)

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nanshou”,且这一攻击源头是中国黑客。 报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。 在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。 然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。 调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   (稿源:开源中国,封面源自网络。)

Flipboard 发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用 Flipboard 今天发布安全通告,公司内部多个系统遭到黑客攻击,已经持续超过 9 个月时间。援引外媒 ZDNet 掌握的多封电子邮件,Flipboard 表示黑客获得了存储客户信息的服务器访问权限。在该服务器上存储了用户名、哈希值、加密密码,以及和第三方服务捆绑的 Flipboard 个人资料。 不过好消息是服务器上存储的密码都是通过名为 bcrypt 的强密码哈希算法进行加密的,目前业内这种算法很难被破解。公司也表示一些密码是使用比较弱的 SHA-1 算法加密的,但是数量并不多。Flipboard 表示:“如果用户在 2012 年 3 月 14 日之后创建或者更改过密码,那么都使用了 bcrypt 算法进行加密。如果用户并没有更改过密码,那么是使用 SHA-1 算法进行加密的。” Flipboard 表示:“我们仍在确定确切的受影响账户数量,但是我们知道并非所有账户都收到了伤害。”在其电子邮件中,Flipboard 表示无论是否受到影响,所有用户都应该重置密码。此外公司已经取消了连接到 Flipboard 的包括 Facebook、Twitter、Google 和 Samsung 在内第三方服务的所有数字代币。 该公司表示。“我们没有发现任何证据证明未经授权的人访问了与您的 Flipboard 帐户相关的第三方帐户。”   (稿源:cnBeta,封面源自网络。)

爱尔兰数据保护机构发起 19 项调查 11 项都是 Facebook

北京时间5月28日早间消息,自欧盟最新的数据保护法规一年前生效以来,Facebook及该公司旗下的Instagram和WhatsApp在爱尔兰遭遇了最多的数据调查。 爱尔兰数据保护委员会表示,他们已经据此发起了19起调查,其中11起重点关注Facebook、WhatsApp和Instagram。 Twitter和LinkedIn也遭到了调查,该委员会还在上周针对谷歌使用个人数据提供精准广告的方式展开调查。 在此之前,谷歌刚刚因为广告个性化缺乏透明度、信息不足和授权不清而遭到法国数据监管机构CNIL罚款5000万欧元。但该公司已经对此提出上诉。 多数美国科技公司都在爱尔兰处理个人数据,所以就需要遵守欧盟的《通用数据保护条例》(GDPR)。在爱尔兰数据保护委员会发起的调查中,有9起是因为个人或企业投诉,还有10起是其主动展开调查。(书聿)   (稿源:新浪科技,封面源自网络。)

谷歌将投资 6.7 亿美元扩建芬兰数据中心

北京时间5月28日早间消息,谷歌将投资约6亿欧元(6.7亿美元)在芬兰建立一个数据中心,而其母公司Alphabet目前也在大力投资服务器,满足对文件和媒体访问速度的需求。 谷歌周一在电子邮件公告中表示,这栋新建筑将在谷歌位于芬兰南部海岸Hamina的现有数据中心综合体上进行扩建,该公司在那里的总投资达到14亿欧元。 随着企业和个人越来越多地在所谓的云平台上存储更多数据,科技公司都在竞相建立更多此类设施。谷歌为用户提供各种服务,包括电子邮件、地图、搜索和照片以及视频。 这家总部位于加州山景城的公司目前在全球拥有58个数据中心。在欧洲,他们自2007年以来已在五个此类设施中投资超过43亿欧元,第一季度的应计资本支出达到45亿美元,其中包括数据中心、服务器和办公设施的支出。 芬兰扩建计划正值谷歌通过其新的流媒体服务Stadia推动视频游戏的发展之际,这将允许玩家通过网络运行游戏,而无需购买昂贵的游戏机或PC。Stadia通过YouTube运行,需要借助数据中心网络才能发挥作用。 谷歌的Hamina综合体将使用从北欧三个新风电场获得的可再生能源为动力。(书聿)   (稿源:新浪科技,封面源自网络。)

黑客正大规模扫描易受 Bluekeep 漏洞影响的 Windows 系统

Bluekeep漏洞最近扫描的源网络(图源:GreyNoise) 黑客们已经开始扫描网上易受RDP高危漏洞(CVE-2019-0708)(又名:BlueKeep)攻击的Windows系统。该漏洞影响包含 Windows XP,Windows 7,Windows 2003,Windows 2008等在内的常用Windows桌面以及服务器操作系统。微软将此漏洞划分为严重级别,并于5月19日发布了补丁,强烈建议广大用户及时更新,以免遭受攻击。 目前还没有成熟的PoC 在过去两周里,infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止,没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见,它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用,但打算保密。 这些公司包括:Zerodium,McAfee,Kaspersky,Check Point,MalwareTech和Valthek。 NCC集团制定了网络安全设备的检测规则,以便公司可以检测到任何开发利用;Opatch开发了一个补丁,可以临时保护系统直到收到官方更新;RiskSense的安全研究员Sean Dillon还创建了一个工具,用来查看电脑是否正确地修复了BlueKeep漏洞。 Bluekeep扫描始于周末 周六,威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew Morris表示,攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网,来寻找易受BlueKeep漏洞攻击的主机。他周六发推说:“仅从Tor出口节点观察到此活动,其可能由一个黑客执行。” 目前,这些只是扫描,不是实际的利用尝试。然而,至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表,为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用,并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章[1,2],所以黑客们开发出自己的利用方式也只是时间问题。 GreyNoise目前看到的源于Tor的扫描表明事情正趋于恶化。   消息来源:ZDnet, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

易到用车服务器遭到连续攻击:攻击者索要巨额比特币

2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。 据悉,攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。我们的相关技术人员正在努力抢修。 易到表示,我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。 5月22日,针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示,在紧急调试全新模式的用户充返活动时,技术工作发生了故障与失误,导致部分用户的账户余额受到影响。 易到表示“已及时的进行了系统修复!此次受影响的用户账户,将在7个工作日内陆续恢复。”   (稿源:快科技,封面源自网络。)

macOS 被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。 Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。 视频:https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   (稿源:cnBeta,封面源自网络。)