安全快讯Top News

施耐德电气修补16 个 U.motion Builder 软件漏洞

据外媒报道,施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致信息泄露的路径遍历或者其他一些错误,以及通过 SQL 注入造成的远程代码执行缺陷。 U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。 据悉,U.motion Builder 大多数安全漏洞已被归类为中等严重性,但也有一些安全漏洞基于 CVSS 评分来看非常严重。 最严重漏洞(CVE-2017-7494)的 CVSS 评分达到了 10,根据介绍,该漏洞允许远程执行代码,对 Samba 软件套件造成了一定影响。另外,由于与 WannaCry 攻击类似,它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备,其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5 Networks。 U.motion Builder 中另一个严重漏洞的标识为 CVE-2018-7777,该漏洞允许经过身份验证的攻击者通过向目标服务器发送特制请求来远程执行任意代码。 除此之外,一个 SQL 注入缺陷 CVE-2018-7765 也被列为高度严重。 这些问题影响到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供补丁之外,还分享了一些缓解潜在攻击的建议。 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

YouTube 遭黑客破坏并清除大量流行音乐视频

YouTube 上正在发生一些可疑的事情。看起来谷歌的子公司遭到了黑客的袭击,因为一些流行的音乐视频已经遭到了破坏或者突然消失了。事实上,该平台上观看次数最多的视频– Louis Fonsi 和 Daddy Yankeee 的 Despacito 在 YouTube 上暂时无法观看。 目前尚不清楚攻击的来源是什么,但大多数受影响的视频都是从 Vevo 帐户上传的。根据 The Verge 的一份报告,其他受影响的视频包括 Chris Brown,Shakira,Selena Gomez,Katy Perry和 Taylor Swift 的歌曲。大多数这些剪辑已经被编辑以去除损坏的内容。 其中一名参与攻击的黑客说,他们使用脚本来篡改视频。与此同时,他黑客组织的另一名成员威胁要取消美国宇航局的 YouTube 频道,以及有争议的保罗兄弟洛根和杰克频道。 稿源:cnBeta,封面源自网络;

虚拟货币 Verge(XVG) 遭受攻击,黑客获利百万美金

据外媒报道,上周虚拟货币 Verge(XVG) 遭到攻击,黑客窃取了价值 100 万美元的token。事情发生后,Verge 开发团队不得不采取“硬分叉”(hard-fork )方法来升级协议。 据称,Verge 系统机制中存在一个漏洞,黑客正是利用这个漏洞,使用虚假时间戳来挖矿,大约可以每秒钟生成一个新的区块。 在 Bitcoin Talk 也有用户证实了这一消息。 据推测,这次攻击属于大多数攻击,也就是说黑客在某种程度上能够控制大部分网络挖掘能力。 Verge 开发团队周三最终证实,此次攻击导致 XVG 价值从 0.07 美元下降到 0.05 美元。 稿源:freebuf,封面源自网络;

Linux 系统的 beep 包中存在竞争条件漏洞,可被黑客利用探测机密文件

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞,黑客可利用这个漏洞探测到计算机中的文件(包括 root 用户的机密文件)。这个漏洞标识为 CVE-2018-0492,不会实造成远程攻击,但是这是一个特权提升(EoP)漏洞,可被攻击者利用获取到 root 级别的访问权限,完全访问系统并发起恶意攻击。 如果黑客利用这个 beep 包获取了特定文件,就能进一步采取措施,将 beep 包作为启动平台,执行其他命令。目前,新版的 Debian 和 Ubuntu 中已经修复了这个漏洞。 稿源:freebuf,封面源自网络;

美国提出新法案 希望建立人工智能国家安全委员会

据外媒报道,众议院武装部队新兴威胁和能力小组委员会主席 Elise  Stefanik 最近提出新法案,希望建立一个人工智能国家安全委员会。如果该法案通过,美国总统特朗普将在 2019 年某个时候收到关于人工智能的完整报告。该法案将制定“ 2018 年国家安全委员会人工智能法”,并要求临时组建一个 11 人委员会,其目的是对政府进行人工智能的全面审查。它要求在颁布后 180 天内制定初步报告。 根据该法案,委员会成员将负责提供以下方面的见解: 确定美国在人工智能和相关技术方面的竞争力 保持美国人工智能和量子计算机技术的领先地位 人工智能的国外发展情况 鼓励私营企业投资人工智能 劳动力教育和奖励计划,以吸引高质量的候选人加入 AI 领域 与人工智能军事化有关的风险 人工智能的道德 建立鼓励开放源码共享数据的“数据标准” 制定与人工智能相关的隐私和安全措施 以及“委员会认为与国家共同防御有关的任何其他事宜”。 该委员会将要求“不超过 1000 万美元”进行审查,并将于 2020 年 10 月 1 日解散。这当然取决于该法案是否会获得众议院和参议院通过,然后通过总统签署成为法律。目前特朗普尚未公开讨论这个新法案。 特朗普此前仅发布过关于机器人的推文,但它与机器学习或人工智能无关。 相比之下,美国前总统奥巴马花了大量时间讨论人工智能。在 2016 年接受《连线》采访时奥巴马曾表示: 我一直在思考人工智能的监管结构问题,在技术早期,应该百花齐放。政府的管理应该更轻松,大力投资研究,并确保在基础研究和应用研究之间的对话。随着技术的出现与成熟,如何将人工智能纳入已有的监管结构中成了一个更为棘手的问题,政府需要参与更多。 稿源:cnBeta,封面源自网络;

Autho 身份验证出现漏洞,致使企业遭受攻击

Auth0 是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型,每天管理 4,200 万次登录,并为 2000 多家企业客户管理每月登录数十亿次。 2017 年 9 月,来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞,并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造(CSRF / XSRF)攻击触发 CVE-2018-6874 漏洞,对 Auth0 身份验证的应用程序绕过登录身份验证。 稿源:freebuf,封面源自网络;

海底电缆被切断导致毛里塔尼亚断网近两天

据外媒 The Verge 报道,连接西非大部分地区的 ACE 海底电缆于 3 月 30 日被切断。据报道,这起破坏事件发生在毛里塔尼亚沿海地区,导致至少十个邻国的宽带通信速度降低。在连接部分恢复之前,毛里塔尼亚本身断网近 48 个小时。 其他国家有足够的地面有线电视和卫星电视连接线,可以在失去光缆的环境中继续联网,但在周末的大部分时间里,互联网接入仍然受到严重干扰。 类似这样的断网事件很少成为头条新闻,但它很好地提醒了大部分互联网基础设施仍然脆弱 – 特别是在西非这样的地方。当一条主要电缆被切断时,会产生哪些重大影响?当没有其他基础设施可以依赖时,就会导致大规模断网事件出现。缺乏投资,整个地区的互联网变得不太稳定。 不过至少在理论上,像 Alphabet 的气球和 Facebook 的太阳能无人机这样的项目正试图解决这个问题。但实际上,所有真正需要的是更多的电缆和登陆点 – 尼日利亚具有这样的条件,但这是毛里塔尼亚所没有的。 稿源:cnBeta,封面源自网络;

FB 数据丑闻爆料人:泄密用户数据可能存储在俄罗斯

Facebook 数据泄密丑闻爆料人克里斯多夫·威利(Christopher Wylie)上周日表示,受到此次事件影响的用户总数可能超过 8700 万,而这些数据可能存储在俄罗斯。 威利表示,通过心理测试应用收集 Facebook 用户数据的剑桥大学教授亚历山大·科根(Aleksandr Kogan)可能允许把这些数据存储在俄罗斯。科根经营的 Global Science Research 在没有经过用户允许的情况下,将这些数据分享给备受争议的政治数据分析公司剑桥分析(Cambridge Analytica)。 “我认为,真正的风险在于,这些数据可能已经被很多人使用,而且可能存储在世界各地的不同地方,包括俄罗斯。原因在于,收集这些数据的教授当时在英国和俄罗斯之间往来,他当时效力于一个俄罗斯资助的心理学项目。”威利接受 NBC 采访时说。 他补充道:“我不能告诉你有多少人使用过这些数据,这最好由剑桥分析来回答,但我可以说,有很多人都曾接触过这些数据。” Facebook 和剑桥分析均未对此置评。科根也没有作出回应。 威利认为,受到此次事件影响的人数可能超过 Facebook 上周公布的 8700 万人。《观察家》和《纽约时报》最初的报道认为这一数字约为 5000 万人。剑桥分析曾经表示,他们通过 Global Science Research 获得的 Facebook 用户数据不超过 3000 万。 相关阅读: –Facebook 宣布遏制选举舞弊和用户操纵的新举措 –美国参议员:Facebook 丑闻可能“很严重” 难自行解决 –消息人士称扎克伯格将在周一会见美国立法者 稿源:新浪科技,封面源自网络;

华尔街日报:Facebook隐私丑闻把苹果谷歌一块拖下水

近日,《华尔街日报》科技专栏作家克里斯托弗·米姆斯( Christopher Mims )周日撰文称,在用户隐私保护上,美国科技巨头过去几乎处于自由放任的监管环境中,自律意识淡薄,但是一切即将改变。虽然现在只有 Facebook 数据泄露丑闻被曝光,但是苹果、谷歌、亚马逊的“底子也不干净”,也会被一同纳入监管。 文章内容如下: 我们终于认识到了一个现实:我们不仅仅是 Facebook、谷歌等公司的“产品”。正如一位硅谷投资者所言,我们还是他们增长的助推剂。 至少,从我们的个人数据来讲是这样的。每周,我们似乎都能在美国和欧洲听到关于我们信息被盗、被泄露和利用的最新报道。同时,人们不断呼吁政府加强监管和消费者保护。 我们认识不够的是,苹果、亚马逊公司同时会受到多大程度的影响,不管是正面影响还是负面影响,因为他们必须与付费用户保持直接联系。(另一科技巨头微软公司在智能机革命过程中并未发挥重大影响力,也没有实现与其他公司类似的增长,但是也必须遵守未来出台的监管规定)。 过去 10 年,营收和市值的爆炸式增长足以令这四家公司傲视全球经济。但是,他们身处的自由放任的监管环境似乎真的即将结束。 Facebook 是导火索 Facebook 是造成科技巨头面临更严格监管的导火索:在政治圈里,公众人物的表态和近期调查显示,美国人突然对 Facebook 的“权力”感到更加担心。就在 6 个月前,这种担心还有些杞人忧天,但是现在却成了现实。密苏里州总检察长正要求 Facebook 披露哪些政治活动通过付费方式获得了用户个人数据,以及用户是否知道个人信息被分享。 在欧洲,严格的数据保护规定《通用数据保护条例》(GDPR)将在今年 5 月 25 日生效。《通用数据保护条例》加入了“有效而且具有劝诫作用”的罚款。根据违例程度的不同,包括不当处理个人数据,让儿童使用非适龄服务或查看不宜内容等,最高罚款可达到一家公司全球营收的 4%。按照 2017 年营收计算,Facebook 可能面临 16 亿美元罚款。 Facebook CEO 马克·扎克伯格( Mark Zuckerberg )近期表示,他的公司正在努力把《通用数据保护条例》适用范围扩大到每一名用户身上。他还表示,Facebook 等公司的自律必不可少,并支持对发布政治广告的互联网公司进行检查。在这一点上,Facebook 此前就已经承诺过。 苹果谷歌亚马逊受波及 谷歌的广告模式对数据的需求程度与 Facebook 不相上下,只是不收集我们的搜索历史和位置。谷歌旗下 YouTube 平台能够追踪用户的媒体喜好。自 2012 年以来,谷歌从其所有产品中收集我们的数据。 在与监管部门打交道上,谷歌更有经验。2013 年,谷歌与美国联邦贸易委员会就竞争争议达成和解。几个月来,谷歌一直在宣传他们在遵守《通用数据保护条例》上付出的努力。不过,和Facebook不同的是,谷歌并不打算把类似于《通用数据保护条例》的规定应用到所有国家,所以类似规定应该不会很快在美国实施。 亚马逊已经在运营一项年营收达到 28 亿美元的广告业务,通过收集数据投放目标广告。鉴于亚马逊的零售和广告生态系统几乎能够自给自足,所以它不必像对手那样对其许多行为展开大幅调整。不过,《通用数据保护条例》对亚马逊造成的负担目前还不清楚,这需要用户以及他们律师的检验。 “长期以来,亚马逊一直坚守在隐私和数据安全上的承诺。当《通用数据保护条例》生效后,我们致力于遵守它的规定,”亚马逊发言人称。 《通用数据保护条例》很可能会在短期内加强苹果在隐私保护上的声望。“苹果会发现,《通用数据保护条例》与他们的价值观十分契合,”Facebook 早期投资人罗杰·迈克内米(Roger McNamee)表示。 苹果 CEO蒂姆·库克(Tim Cook)称,他们从来不会在用户隐私上犯下和 Facebook 一样的错误。但是,库克的信心掩饰了一个事实:现在,绝大多数用户通过移动设备访问 Facebook。如果没有 iPhone 和其他 Android 手机,Facebook 甚至都不会存在。 苹果还为开发者获取有利可图的个人信息创造了机会。例如,iPhone 和 Android 手机的权限设置模糊,这就意味着我们距离让陌生人出售我们的位置数据只有一次点击。 尽管苹果在 App Store 中实施了隐私规定,要求开发者在获得不同寻常的丰富信息时需要获得用户的同意,但是它并不要求每一位开发者按照相同的严格标准保护隐私。 现在,Facebook 可能是被报道最多的公司,但是从长期来看,苹果、谷歌以及亚马逊很可能也会面临理直气壮的监管部门的审查。监管部门不仅会为企业如何处理用户数据制定新规,还会对直接收集数据的设备进行监管。 稿源:cnBeta、凤凰网科技,封面源自网络;

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。 变体 1:[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。 当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io,Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是,Matrix Ransomware 的这种变体无法免费解密。 变体 2:[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。 当文件被加密时,它将加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如, test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 #Decrypt_Files_ReadMe#.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com,RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是,像以前的版本一样,这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤: – 备份 – 如果您不知道是谁发送的,请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件, – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源:东方安全,封面源自网络;