安全快讯Top News

安全预警 | 致远 OA 系统远程任意代码执行高危安全漏洞预警

昨日(2019年6月26日),互联网上有安全研究者预警并发布了关于致远OA系统的高危安全漏洞,攻击者可以通过某接口漏洞在未授权的情况下实现远程任意代码执行,最终控制整个系统权限。据悉致远OA系统是由用友致远互联旗下协同管理软件系统,在国内很多央企、大型公司都有广泛应用。 知道创宇404实验室立即启动漏洞应急流程,确定该漏洞存在致远OA系统某些型号及版本中某Servlet接口缺少必要的安全过滤,最终允许攻击者远程执行任意代码,并且该接口无需认证即可访问,危害巨大。 通过知道创宇旗下ZoomEye网络空间搜索引擎搜索结果,全球共有29,425个致远OA系统开放记录,中国为29,247个大部分分布在北京、广东、四川等省。 临时方案建议 1. 启用知道创宇旗下云安全防御产品“创宇盾”。 2. 积极联系致远OA系统 http://www.seeyon.com 获取技术支持或联系知道创宇404实验室提供临时解决方案(电话:4001610866)。

Kubernetes 命令行存在新的漏洞

根据 TECHERATI 网站报道,Atredis Partners 公司的安全研究人员 Charles Holmes 在 Kubernetes 中发现了一个新的漏洞,如果利用该漏洞,攻击者可以将恶意容器放置到用户工作站上。 该漏洞影响 Kubernetes 的 kubectl 命令行工具,而这个工具是让用户在容器和用户机器之间复制文件。 容器调度器 Kubernetes 在确立为多云部署之后,就大受开发人员的喜爱,根据 JetBrains 的报告,29% 的开发人员现在使用 Kubernetes。所以漏洞的出现会引起很多人关注。 Kubernetes ProductSecurity Committee (Kubernetes 产品安全委员会)的代表人 Joel Smith ,将该漏洞与 CVE-2019-1002101 漏洞联系在一起,CVE-2019-1002101 是在今年3月发现的漏洞,也使攻击者能够通过 kubectl 嵌入恶意容器,而最初解决这个问题并不完整。 Joel Smith 说,攻击者可以将恶意代码嵌入容器的 tar 二进制文件中,这可能允让他们在调用 kubectl 时将文件写入用户计算机上的任何路径,不过,最新的漏洞可以通过将 kubectl 升级到 1.12.9、1.13.6 和 1.14.2 或更高版本来修复。   (稿源:开源中国,封面源自网络。)

EA Origin 现安全漏洞:3 亿名用户可能受到威胁

据外媒报道,游戏服务出现安全漏洞不是什么新鲜事,日前,来自Check Point Research和CyberInt的研究人员就公开了一个来自EA Origin服务的漏洞。Origin是EA推出的一个类Steam的数字发行平台,由于它是在PC上获得新发行EA游戏的唯一途径,所以它拥有不少的用户,目前已经达到数百万。 Check Point Research和CyberInt在今天的一份报告中指出,这个漏洞可能已经影响到来自世界各地多达3亿的原始用户。该漏洞允许黑客可以无需先盗取登录凭证的情况下就能劫持原始账户。他们可以通过使用废弃的子域名窃取身份验证令牌并利用OAuth单点登录和EA登录系统内置的信任机制来访问这些帐户。 视频来源:https://player.youku.com/embed/XNDI0NDk2OTk3Ng== 今年早些时候,Check Point在《堡垒之夜》中发现了类似漏洞。实际上,这种攻击利用了EA的微软Azure帐户中废弃的子域名,然后以此创建看似合法的网络钓鱼链接。一旦受害者点击了该链接,Check Point和CyberInt就可以得到他们的认证令牌并劫持其账户,而无需登录电子邮件或密码。 不过Check Point和CyberInt在任何怀有恶意的行为者能够利用该漏洞之前就提醒了EA,这使得后者能够利用这两家公司提供的信息关闭这一漏洞。很显然,这对于EA和Origin用户来说是一个好消息。   (稿源:cnBeta,封面源自网络。)

美国国家安全局承认第二起未经授权的元数据收集事件

美国国家安全局(NSA)在10月份收集了未经授权的电话和短信数据,这是公众所知的第二起此类事件。据《华尔街日报》报道,美国公民自由联盟通过《信息自由法》诉讼抓住了这一违规行为。据说,国家安全局内部有关此事的备忘录在公开前已被“大量”修改。 这些文件没有说明收集了多少记录,但确实表示,这些数据来自一家电信公司,该公司提供了美国NSA没有要求的信息,而且没有得到美国外国情报监督法院的批准。记录开始于10月3日,但直到10月12日才停止,当时国家安全局要求公司调查异常情况。 美国公民自由联盟说,这些文件表明,由于NSA第一次违规,一个人可能被作为监控目标,导致NSA在2018年6月删除了现有的数据库。美国国家安全局多年来一直在收集电话元数据,利用它跟踪恐怖主义嫌疑人和其他人。该计划于2013年由前NSA承包商爱德华斯诺登曝光,显示NSA也在收集许多无辜美国人的数据,这可能使该计划成为大规模监视的工具。 元数据由日期、时间、电话号码和设备标识符等详细信息组成。元数据可以用来拼凑关于一个人生活的许多细节,比如日常习惯以及他们的朋友和家人是谁。据称,该数据库被删除是为了应对导致运营商发送日志的错误,日志中既有准确的信息,也有不准确的信息。外界指责NSA收集与目标无关的用户数据,在这一点上,美国国家安全局认为重新开始要比逐条检测要容易得多。   (稿源:cnBeta,封面源自网络。)

研究发现微软 OneDrive 上存储的恶意软件突然大幅增加

微软OneDrive用于托管恶意文件的使用率显着上升。根据FireEye报告显示,微软OneDrive上一季度托管恶意文件的用户数量激增60%以上,而此前仅上升了一位数百分点。据FireEye称,OneDrive在托管恶意文件的使用率方面,已经超过Dropbox、Google Drive和WeTransfer等竞争对手。 另一方面,Dropbox虽然没有看到与微软OneDrive几乎相同的托管恶意文件用户数量激增,但仍保持着恶意文件使用量季度环比增长的最高比例,使其成为存储此类文件最常用的托管服务。攻击者发现这些知名和可信的站点很有用,因为它们绕过了安全引擎执行的初始域信誉检查。 攻击者没有直接向目标发送包含恶意内容附加文件的电子邮件,而是将内容上载到文件共享站点。目标受害者从服务接收到一个新文件正在等待他们的通知,以及一个下载该文件的链接。其中一些服务还提供文件预览,显示URL中的内容,无需下载文件即可单击该URL。这使得攻击非常有效,而且很难被发现。 该报告还建议用户不要将敏感或机密文档存储在公共托管的文件共享网站上,因为当今数百万受害者的电子邮件帐户遭遇大量网络钓鱼。   (稿源:cnBeta,封面源自网络。)

macOS 门禁功能爆出安全漏洞:可安装恶意程序

门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道,这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。 当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时,macOS 会检查 Developer ID 签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave,开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。 该漏洞由安全专家Filippo Cavallarin首先发现,主要利用了Mac的两项功能:automount和Gatekeeper。正如外媒Tom’s Guide报道,Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核,但是对于从本地存储设备(通过automount安装)授予文件安全通道,不经过详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘,从而绕过正常的筛选协议。 Cavallarin表示已经于今年2月份向苹果方面反馈并于5月24日发布了详细信息,但是这个尚未得到修复解决。随附的OSX / Linker恶意软件会试图劫持Mac,从而让计算机从事任何恶意活动,包括加密货币挖掘和数据窃取。 该代码已上传四次到VirusTotal,后者是一个研究人员用于检测和共享恶意软件样本的存储库。目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载,相对容易能够避免OSX/Linker恶意软件。   (稿源:cnBeta,封面源自网络。)

研究发现黑客已渗透十多家运营商 必要时可切断通讯网络

黑客已经悄然渗透到全球十多家移动运营商,完全掌控了公司的通讯网络。根据总部位于波士顿的安全公司Cybereason近期发布的安全警告,在过去七年中黑客一直利用已经渗透的运营商网络来窃取敏感数据,甚至于在必要的时候可以完全关闭通讯网络。 该公司的安全研究人员本周二表示,他们一直在调查名为Operation Softcell的黑客活动,攻击目标主要针对欧洲、亚洲、非洲和中东地区的移动运营商。自2012年开始不断有移动运营商被悄然渗透,获取完整的网络控制权限,并吸取了数百GB的用户数据。 Cybereason安全研究主管Amit Serper表示:“这些黑客拥有所有用户名和密码,并为自己创建了一系列特权,能够做任何他们想要做的事情。黑客拥有高级别的访问权限,如果愿意的话他们甚至可以关闭整个通讯网络。” Serper表示目前没有证据表明有美国运营商受到影响,但是这个黑客活动仍在持续活跃,甚至可能会衍生出更强大的病毒控制形态。Cybereason发现,虽然他们能够破坏网络信号,但黑客更关注间谍活动而不是中断。黑客窃取了数百GB的呼叫数据记录,其中包括敏感信息,如实时地理定位。 在获得对移动运营商内部服务器的访问权限之后,黑客可以访问数亿客户的呼叫数据记录。这将提供诸如地理位置数据,呼叫日志和文本消息记录之类的信息。虽然黑客可以访问数百万人的数据,但他们只窃取了不到100名高度针对性的受害者的数据。 Cybereason的安全实践副总裁Mor Levi表示,袭击者可能会成为政府和军方中高调受害者的目标。 Cybereason的研究人员发现,攻击者通过利用旧漏洞获取了对十几家移动运营商的访问权限,例如隐藏在Microsoft Word文件中的恶意软件或者找到属于该公司的公开服务器。 一旦他们进入,恶意软件就会通过搜索同一网络上的所有计算机进行传播,并尝试通过登录尝试来充斥他们。只要凭证有效,它就会继续传播,直到黑客到达呼叫者数据记录数据库。   (稿源:cnBeta,封面源自网络。)

谷歌追加 10 亿欧元在荷兰拓展数据中心

北京时间6月24日晚间消息,据彭博社报道,谷歌今日宣布,将投资10亿欧元(约合11美元)在荷兰拓展数据中心基础设施。 谷歌称,将在阿姆斯特丹北约30英里的Agriport地区建立一座新数据中心。与此同时,谷歌还将对位于埃姆斯哈文(Eemshaven)的当前的数据中心进行扩建。 对此,谷歌全球数据中心部门副总裁乔·卡瓦(Joe Kava)在一份声明中,凭借充足的可持续能源,荷兰在该领域颇具吸引力。 当前,科技公司在选择期数据中心所在地时,都要考虑到可再生能源问题,以减少对化石燃料的依赖。凭借丰富的风能和水电资源,以及有助于节约空调的凉爽气候,使得荷兰成为了首选目的地。 2018年,谷歌曾宣布已向其荷兰数据中心业务投资15亿欧元。加上今日宣布的10亿欧元,使得谷歌在荷兰该领域的投资达到了25亿欧元。(李明)   (稿源:新浪科技,封面源自网络。)

用户数据值多少钱?美国两议员要求社交媒体公开

北京时间6月24日晚间消息,由两党参议员组成的小组在周一提交了一项法案,要求社交媒体公司就其从消费者处收集到的数据和盈利方式披露更多信息。 这项“DASHBOARD法案”(Designing Accounting Safeguards to Help Broaden Oversight And Regulations on Data)旨在帮助消费者理解使用免费社交媒体服务要付出的代价。该法案要求每月活跃用户数超过1亿的“商业数据运营商”披露用户数据的收集类型,并且评估此类数据的价值。它还要求这些公司提交年度报告,披露涉及数据收集的第三方合同,并且允许用户删除部分或全部被收集到的数据。 “数年来,社交媒体公司一直告诉消费者,它们的产品是可以免费使用的。但事实情况并非如此——虽然不用自掏腰包,但实际上用户已经通过自己的数据支付了使用这些社交媒体平台的费用。”弗吉尼亚州民主党参议员马克·华纳(Mark Warner)在新闻发布会上说道。 作为将受此法案波及的公司之一,Facebook已经公开了一个指标,用户可以从中获悉其数据的价值。Facebook会在向美国证券交易委员会提交的季度财报中公布每用户平均收入(ARPU)。在最新的一份财报中,Facebook表示每位用户平均可以带来6.42美元的营收。 一直以来,两党内的部分立法人员都在呼吁加强对于大型科技公司的监管,而“DASHBOARD法案”的出台正是他们采取的最新举措。提交这项法案的两位参议员分别是华纳以及密苏里州共和党人约什·霍利(Josh Hawley)。他们两位历来都是支持要加强科技监管的议员。此项新法案的提出恰逢美国科技巨头们正深陷联邦贸易委员会以及司法部开展的反垄断调查漩涡之中。 两位参议员都在立法层面作出了很大努力,旨在明确大型科技公司在用户数据以及内容政策上的责任。 霍利在上周也提出了一个法案,这将使得《通信规范法1996》第230条对大型科技公司的豁免保护失去效力。如果此法案能够通过,那么Facebook、Twitter、谷歌旗下的YouTube等依赖用户内容推动平台发展的公司都将面临巨大挑战。如果这些公司同意每两年提交审计,以证明其内容删除措施是“政治中立”性的,那么它们也有机会获得豁免保护。 华纳还希望通过立法层面的努力,扩大科技巨头措施的透明度。四月,他提交了一份法案,禁止每月活跃用户数超过1亿的平台使用“黑暗模式“,即劝说用户放弃比预想中更多的个人信息。其中一个例子便是将电话或电子邮件的访问权限设为使用平台的要求。(晴天)    (稿源:新浪科技,封面源自网络。)

OpenSSH 增加对存储在 RAM 中的私钥的保护

OpenSSH 是 SSH (Secure Shell) 协议的免费开源实现,它是许多 Linux 发行版中用于加密到远程系统的连接的默认解决方案。 此前,Google 的 OpenBSD 开发人员和安全研究员 Damien Miller 对 OpenSSH 进行修改,增加了对存储在 RAM 中的私钥的保护,让攻击者更难利用硬件漏洞的侧通道攻击来提取私钥。 Damien Miller 解释说,用于保护内存中私钥的对称密钥来自由随机数据(目前是 16 KB)组成的一个相对较大的 prekey。而工作方式是,密钥在加载到内存中时被加密,并在需要签名或必须保存时解密。 虽然这种预防措施并不是应对硬件攻击的完整解决方案,但它确实会使攻击者更难获得成功。Damien Miller 分析说,“攻击者必须以高精度恢复整个 prekey,然后才能尝试解密被屏蔽的私钥,但是目前的攻击具有比特错误率,要想累加到整个prekey,这显然是不可能的。” 这并不是长久之计,Damien 表示,当计算机架构变得安全的时候,才可以彻底消除这个问题。   (稿源:开源中国,封面源自网络。)