安全快讯Top News

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

美国 FTC 开始着手调查 Equifax 机构信息泄露案件

震惊全美的数据泄密事件过后,信用报告机构 Equifax 遭到美国联邦贸易委员会(FTC)和众议院的调查,未来更可能受到 SEC 等监管机构的调查。Equifax 于本周四证实,当前正接受 FTC 现场调查。 FTC 公共事务代理负责人 Peter Kaplan 表示,FTC 通常不会针对正在进行的调查作出评论,但因为这件事关乎公众利益,其潜在影响也较为重要。因此现在证实FTC 正在就 Equifax 数据泄露一事进行调查。Equifax 上周公开承认,公司在 7 月底发现数据库遭黑客入侵,数据泄露涉及 1.43亿 美国消费者,其黑客访问信息主要包括姓名、社保号码、出生日期、地址,有时还包括驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。 这是去年雅虎宣布两起网络漏洞以来,最备受瞩目的网络安全漏洞。不仅如此,公司三位高管在 8 月初共计出售近 200 万美元的股票,这难免引发有关内幕交易的猜测。此外,Equifax 开通一个名为的 Trust ID Premie 网站,令消费者得以确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护。然而,公司的用户服务条款隐含了一个陷阱——如果资料被泄露,并注册了这个网站,用户将同意放弃向 Equifax 发起集体诉讼的权利。这无疑再度引燃民众不满。 近四十名参议员在本周二要求司法部、SEC 和 FTC 联手调查这家公司高管在泄密发生后抛售股票的操作。据悉,Equifax CEO 将会就公司客户大规模信息泄漏事件于 10 月 3 日参加众议院的一个委员会听证。英国《金融时报》报道称,这家公司也可能面临美国 SEC 以及多个州检察长的调查。 除了 Equifax 之外,美国还有 TransUnion 和 Experian 两大征信巨头。Equifax 泄密事件过后,整个行业受到的监管可能升级。本周四,这家公司股票开盘后暴跌超 9%,随后跌幅收窄,当日收跌 2.44%,盘后下跌 1.21%。上周五信息泄露事件曝光以来,Equifax 股价累计跌幅达 30% 以上,市值蒸发近 50 亿美元。 稿源:cnBeta、华尔街见闻,封面源自网络;

微软零日漏洞( CVE-2017-8759 )已被利用于传播恶意软件 FinSpy

据外媒 9 月 13 日报道,网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞( CVE-2017-8759 ),允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据,以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示,资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy,其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备,以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。目前,研究人员尚不清楚有多少用户已被攻击,也不了解此次攻击活动是否与俄罗斯政府有关。不过,好在作为微软每月安全更新的一部分,研究人员已发布漏洞修复补丁。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

逾 4000 台 ElasticSearch 服务器遭 POS 恶意软件感染

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( AWS )中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一:2012 – 2014 年 PoS 恶意软件传播数量图 近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。 图二:研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三:恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。 原作者:India Ashok, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜黑客以韩国数字货币交易平台为首选攻击目标

安全公司 FireEye 发表报告称,朝鲜黑客表现出了对数字货币的浓厚兴趣,至少三家韩国数字交易平台成为他们的攻击目标。据悉,朝鲜黑客采用钓鱼攻击的方法展开攻击活动。 过去几个月内,比特币币值出现了大幅上涨,一度突破 5000 美元,但过去几天由于传出中国准备打击比特币关闭比特币交易平台,币值出现了大幅下滑,目前币值已经跌至 4000 美元以下。朝鲜因为核试验和发射导弹而遭到联合国制裁,FireEye 认为黑客以数字货币为目标可能是为政府寻找硬通货,窃取数字货币兑换可使用现金。 稿源:solidot奇客,封面源自网络;

美国土安全部宣布国家机构禁用卡巴斯基安全产品

据华盛顿邮报报道,美国国土安全部发布消息称,美国所有国家机构停止使用卡巴斯基实验室的产品,其原因是俄罗斯政府方面可能进入该系统。在一个具有约束力的指令中,代理国土安全秘书 Elaine Duke 命令联邦民事机构在其网络上识别卡巴斯基实验室软件。 90 天后,除非另有指示,否则他们必须移除软件,理由是该公司与俄罗斯政府有联系,其软件构成安全隐患。消息中称:“该举动是因为卡巴斯基产品对联邦信息系统的信息安全造成风险,国土安全部对卡巴斯基某些代表与俄罗斯情报部门的关系感到不安,此外俄罗斯的法律规定,俄罗斯情报部门可以要求或者强迫卡巴斯基提供帮助,拦截那些通过俄罗斯网络传达的信息。” 另据俄罗斯卫星通讯社消息,美国国土安全部要求美国所有国家机构在 30 天内删除卡巴斯基的软件,并在 60 天内制定过渡到其它软件的计划,在 3 个月的期限内开始落实计划。目前,国土安全部没有展示出任何卡巴斯基与俄罗斯政府有关系的证据。国土安全部还表示,俄罗斯公司可以对美国政府有关不准使用在联邦部门使用该公司产品的禁令提出异议。 稿源:cnBeta,封面源自网络;

因边境未授权电子设备搜查行为,ACLU/EFF 将美国土安全局告上法庭

据外媒报道,美国公民自由联盟(ACLU)和电子前沿基金会(EFF)日前针对发生在边境未经授权的笔记本、智能手机搜查行为将美国土安全局(DHS)告上了法庭。获悉,两家机构以 11 个人的名义起诉了 DHS,其中 10 名为美国公民,另 1 名为绿卡持有者。 ACLU 和 EFF 在马萨诸塞州提出了这一诉讼,在它们看来,这种未经授权的边境搜查已经违宪。据悉,这 11 名个体来自各行各业,他们当中有记者、工程师、艺术家、学生、退伍军人、企业主。部分人的设备被边境警员没收并被扣留好几个月时间。 对于边境警员的这些行为,ACLU 非常担心隐私问题,因为他们不仅在未经授权的情况下搜查设备而且还可能下载来自设备的数据并将其保留以便未来的搜查。除此之外,如果被搜查的人携带设备储存有公司或机构的重要信息那么这也就意味着公司或机构的数据也存在曝光风险。而对于其他一些人来说,这些搜查和扣押将致其好几周甚至好几月都用不上手机、平板或笔记本。 稿源:cnBeta,封面源自网络;

Equifax 再陷风波:一门户网站管理员密码竟是 admin/admin

据外媒报道,又一个 Equifax 门户网站被指存在安全协议问题。最先发现这个的 Hold Security LLC 指出,一个负责管理信用报告纠纷(内含个人信息)的新 Equifax 门户网站使用的用户名和密码都为 admin。该门户网站叫 Veraz,来自阿根廷,目前已下线,然而它是在 Equifax 获得潜在安全漏洞报告后才采取的行动。 除了管理员用户名和密码都极其简单外,研究人员还从安全公司提供的页面看到,该网站职工的登录也非常简单,他们所有人的用户名和密码都以纯文本的格式储存在网页中。而这么做并非因为他们的用户名或密码有多么难,相反,很简单–用户名和密码都是员工的姓氏。 或许用户名和密码很好破解可以让人理解,但是,这个网站的设置也异常脆弱。实际上,它使用的还是上世纪 90 年代初所用的安全级别。登入网站后可以找到 Equifax 用户大量信息,包括姓名、DNI(阿根廷社保号)、投诉和/或决议。据了解,该门户网站总共有 14000 页内容,其中 750 页为消费者投诉信息。 稿源:cnBeta,封面源自网络;

英国足协要求国际足联加强 2018 俄罗斯世界杯网络系统安全

据外媒 9 月 12 日报道,国际足球联合会( Fifa )于本周证实,英国足球协会( FA )已写信表达自身对黑客组织可能秘密监控足球协会网络系统、窃取球员机密信息的担忧,旨在要求他们在 2018 年俄罗斯世界杯期间加强网络系统安全。 随着俄罗斯黑客组织 “ 花式熊 ” 于去年入侵世界反兴奋剂机构 (WADA)网络系统并曝光大量服用违禁药物的金牌得主后,今年开始将注意力转向足球。8 月,该黑客组织从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。据悉,泄露名单包括在 2010 年南非世界杯期间,被相关机构允许使用违禁药物治疗的 25 名顶级球员信息。因此,英国足球协会极其担忧其球员信息已遭黑客窃取。 目前,安全专家仍在调查该起事件,以确定国际足联的基础设施是否受到损害。不过,专家警告称,酒店、咖啡馆与机场的 WiFi 连接都可能成为黑客攻击的目标地点。此外,他们推测 “ 花式熊 ” 在线泄漏各球员信息,旨在报复世界反兴奋剂机构于去年发表调查报告揭露俄罗斯运动员使用兴奋剂参赛一事。 原作者:Jason Murdock, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蓝牙协议被曝 8 处零日漏洞,逾 53 亿物联网设备易遭 BlueBorne 攻击

HackerNews.cc 9 月 12 日消息,网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux,甚至使用短距离无线通信技术的物联网设备。目前,这些漏洞影响逾 53 亿受害系统,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow ( 6.x )或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备,以及商业与面向消费者的 Linux 平台( Tizen OS )、BlueZ 与 3.3-rc1 系统。 据悉,安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) Ο Android 蓝牙网络封装协议(BNEP)服务中存在远程执行代码漏洞(CVE-2017-0781) Ο Android BNEP 个人区域网络(PAN)配置文件中存在远程执行代码漏洞(CVE-2017-0782) Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-0783) Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-8628) Ο Apple 低功耗音频协议存在远程执行代码漏洞(CVE Pending) 然而,安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”,允许攻击者完全接管支持蓝牙的设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害者进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围内。 另外,Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现,他的团队成功创建了一个僵尸网络,并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示,即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击,因为很难同时满足条件:所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前,Google 与 Microsoft 已经为其客户提供了安全补丁,而运行最新版本的移动操作系统(即 10.x)的 Apple iOS 设备也是安全的。不过,Android 用户还需等待其设备厂商发布修复补丁。在此期间,研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时将蓝牙关闭。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。