每日安全简讯(20220625)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天针对通过下载站传播的匿影僵尸网络进行了分析
近期,安天CERT监测到匿影僵尸网络正在利用软件下载站“微当下载”进行传播,目前我国已有近两千台设备受其感染。攻击者将恶意代码伪装成多个实用软件上传到微当下载站,软件被受害者下载并执行后会创建一个服务项,功能为从指定C2服务器下载后续攻击载荷。该载荷会尝试注入到其它进程并继续下载新的攻击载荷,新载荷功能为利用漏洞尝试横向传播,并在入侵成功的计算机内创建一个计划任务,实现持久化驻留。匿影僵尸网络首次被发现于2019年3月,早期利用永恒之蓝漏洞传播挖矿木马,而后也开始传播勒索软件、窃密木马。匿影僵尸网络为了躲避安全软件检测,攻击过程中下载的恶意载荷均不落地,直接在内存中执行。
https://mp.weixin.qq.com/s/vhDGm0ODGaveGtx1MWxa4A
2 NSO声称超过5个欧盟国家使用Pegasus间谍软件
NSO集团本周告诉欧洲立法者,五个以上欧盟成员国使用Pegasus间谍软件。在周四举行的欧洲议会委员会会议上,这家监控软件制造商的总法律顾问格尔芬德拒绝回答有关该公司客户的具体问题。相反,他经常重复公司的说法,NSO只向政府机构出售间谍软件,而不是私人公司或个人,而且只用于预防和调查恐怖主义和其他严重犯罪。格尔芬德补充说:“有时私营公司确实参与其中,政府机构始终是最终用户。出于安全方面的原因,有时会有商业第三方参与交易,这些商业第三方通常会在NSO和政府之间充当合同方面的中间人。他们从不使用系统本身,他们无权访问系统。”
https://www.theregister.com/2022/06/24/nso_customers_eu_pegasus/
3 电子产品零售商Fast Shop的网站遭到黑客攻击
近日,电子产品零售商Fast Shop遭到黑客攻击,该网站和应用程序都已下线,但该公司表示,目前服务已恢复。Fast Shop通知称,它发现了一次试图未经授权访问公司系统的行为。作为一种预防形式,该公司激活了安全协议,因此,该网站和应用程序暂时不可用,但它们已经恢复并正常运行。该公司在一份声明中说,公司的整个信息库都处于严格的安全程序之下,没有证据表明其客户数据受到了损害。
https://newsbulletin247.com/economy/121032.html
4 数据监控和搜索供应商Splunk修复了一个代码执行漏洞
数据监控和搜索供应商Splunk修补了Splunk Enterprise部署服务器中的一个代码执行漏洞,并承诺将其后端移植到更早的版本。部署服务器用于向Enterprise实例分发配置和内容更新。然而,一个严重的漏洞CVE-2022-32158意味着9.0之前的版本允许客户端利用服务器将转发器包部署到其他客户端。攻击者如果在一个环境中破坏了一个通用转发器,或者可以访问该环境中的一个通用转发器,就可以在该组织中的所有其他通用转发器(UF)端点上执行任意代码。Splunk在一份声明中表示:“Splunk针对受影响的产品发布了修复版本,缓解了这些问题,我们强烈鼓励客户尽快升级。”
https://portswigger.net/daily-swig/splunk-patches-critical-vulnerability-while-users-push-for-legacy-updates
5 Hillrom Medical制造的心电图仪存在未授权访问漏洞
全球各地的医疗机构都在使用Hillrom Medical制造的心脏监测器,其中存在一个漏洞,黑客可以利用该设备的短程Wi-Fi连接获得未经授权的访问。该心电图仪还包含硬编码的密码,这是黑客们津津乐道的一种编码漏洞。CISA警告说,这些漏洞允许攻击者通过执行命令、获得特权、访问敏感信息和逃避检测来危害设备的软件安全。包含漏洞的Hillrom Medical产品包括:Welch Allyn ELI 380静息心电图仪2.6.0及更早版本、Welch Allyn ELI 280/BUR280/MLBUR 280静息心电图仪版本2.3.1及之前版本、Welch Allyn ELI 250c/BUR 250c静息心电图仪2.1.2及更早版本、Welch Allyn ELI 150c/BUR 150c/MLBUR 150c静息心电图仪2.2.0及更早版本。
https://www.govinfosecurity.com/federal-authorities-warn-cardio-product-security-flaws-a-19443
6 英国汽车服务提供商Halfords因网站漏洞泄露客户详细信息
一名安全研究员的研究结果显示,英国汽车服务和零部件销售商Halfords在分享其客户的详细信息方面有些过于自由。像许多人一样,网络安全顾问哈顿使用Halfords来保持他的汽车处于最佳状态。有一次,哈顿使用Halfords的服务给他的汽车换了一个轮胎后收到了一封有用的确认邮件,其中有订单跟踪的链接。Hatton在点击链接时注意到一些API调用对于IDOR(不安全的直接对象引用)来说似乎已经成熟。有了电子邮件地址,哈顿就能提取出有关他的预订的各种信息,包括他的电话号码、汽车详细信息和他的确切住所。几个月后,哈顿决定预订一项服务,并再次收到一封电子邮件,暴露了另一个可利用的终端,这一次不需要电子邮件,而是一个ID,这个ID随着每一笔订单的增加而增加,这样哈顿就可以检索与该ID关联的所有客户详细信息。
https://www.theregister.com/2022/06/23/halfords_data_leak_vulnerability
页:
[1]