每日安全简讯(20220803)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发现超3200个应用会泄露Twitter API密钥
研究人员发现了3207个移动应用程序公开了 Twitter API 密钥,可能使攻击者能够接管与该应用程序关联的用户 Twitter 帐户。该发现属于网络安全公司 CloudSEK,该公司审查了大型应用程序集是否存在潜在数据泄漏,并发现 3207 个应用程序泄露了 Twitter API 的有效消费者密钥。当用户将其 Twitter 帐户与此移动应用程序相关联时,这些密钥还将使该应用程序能够代表用户执行操作,例如通过 Twitter 登录、创建推文等。
https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/
2 勒索软件团伙声称从Creos Luxembourg SA窃取数据
ALPHV/BlackCat 勒索软件团伙声称入侵了欧洲天然气管道 Creos Luxembourg SA,从该公司窃取了超过 150 GB 的数据,总计 180000 个文件,被盗数据包括合同、协议、护照、账单和电子邮件等。拥有 Creos 大部分股权的 Encevo 公司发布了一份安全公告,宣布天然气管道形式在 7 月 22 日至 23 日期间遭受了网络攻击。
https://securityaffairs.co/wordpress/133899/cyber-crime/alphv-blackcat-ransomware-creos-luxembourg.html
3 黑客窃取了访问 140000 个支付终端的密码
一家网络安全公司披露,黑客可以访问用于远程管理和控制由数字支付巨头 Wiseasy 制造的数千个信用卡支付终端的仪表板。Wiseasy 是一个流行的基于 Android 的支付终端制造商,用于亚太地区的餐厅、酒店、零售店和学校。通过其 Wisecloud 云服务,Wiseeasy 可以通过互联网远程管理、配置和更新客户终端。但据这家安全公司称,用于访问 Wiseasy 云仪表板的 Wiseasy 员工密码(包括一个“管理员”账户)是在暗网市场上发现的。
https://techcrunch.com/2022/08/01/wiseasy-android-payment-passwords/
4 CompleteFTP漏洞允许攻击者删除服务器文件
文件传输软件 CompleteFTP 中的一个安全漏洞允许未经身份验证的攻击者删除受影响安装上的任意文件。CompleteFTP 由澳大利亚的 EnterpriseDT 开发,是一款专业的 Windows FTP 和 SFTP 服务器,支持 FTPS、SFTP 和 HTTPS。安全研究人员发现了软件HttpFile类中的一个漏洞,该漏洞是由于在文件操作中使用用户提供的路径之前缺乏适当的验证所致。
https://portswigger.net/daily-swig/completeftp-path-traversal-flaw-allowed-attackers-to-delete-server-files
5 警惕攻击者利用书签作为数据渗出通道
两个通用且看似无害的浏览器功能——创建书签(也称为“收藏夹”)和浏览器同步的能力——使用户的生活更轻松,但也可能让黑客建立一个隐蔽的数据渗出通道。一些攻击者设法利用 Chrome 的同步功能并使用扩展程序将他们的计算机直接连接到目标工作站,为远程数据操作创建隐蔽通道,用于数据渗出和 C&C 通信。在企业环境中浏览器扩展的使用可能会受到限制,从而阻止该访问路径,因此 SANS 技术学院的学生 David Prefer 决定调查是否可以利用书签同步机制。
https://www.helpnetsecurity.com/2022/08/02/data-exfiltration-via-bookmarks/
6 Outlook在打开Uber收据电子邮件时崩溃
微软表示,Outlook 电子邮件客户端在打开和阅读带有 Uber 收据电子邮件等表格的电子邮件时会崩溃。虽然已知问题会影响当前频道版本 2206 内部版本 15330.20196 及更高版本中的 Microsoft 365 客户,但它也可能触发当前 Beta 版和当前频道预览版中的无响应。Microsoft团队已经开发了一个修复程序,在经过验证后将很快发布给 Beta 通道客户。微软补充说,在当前频道中使用 Outlook 版本的客户将在 2022 年 8 月 9 日星期二的本月补丁中收到修复。
https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-is-crashing-when-reading-uber-receipt-emails/
页:
[1]