每日安全简讯(20221107)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 英国政府机构正在扫描该国托管的所有互联网设备
英国国家网络安全中心(NCSC)是该国领导网络安全相关事务的政府机构,现在正在扫描英国托管的所有互联网设备以查找是否存在漏洞,其目的是评估英国应对网络攻击的能力,并帮助互联网设备的管理者了解其安全状况。该机构表示,此次扫描涵盖了在英国境内托管的任何互联网可访问的系统,以及一些影响巨大的常见或者严重的漏洞。所有的漏洞扫描器都在自己的环境中进行测试,以检测任何可能存在的问题。
https://www.bleepingcomputer.com/news/security/british-govt-is-scanning-all-internet-devices-hosted-in-uk/
2 思科修复了影响其产品的多个漏洞
思科修复了影响其一些产品的多个漏洞,涉及身份服务、电子邮件和网络安全产品。其中最严重的漏洞是跨站点请求伪造(CSRF)漏洞,被标记为CVE-2022-20961,CVSS评分为8.8,影响思科身份服务引擎(ISE),未经身份验证的远程攻击者可以利用此漏洞在易受攻击的设备上执行任意操作。思科还在其ISE产品中解决了访问控制不足漏洞,此漏洞被标记为CVE-2022-20956,CVSS评分为7.1,攻击者可以通过向受影响的设备发送特制的HTTP请求触发此漏洞。此外,该公司还修复了思科ESA、思科安全邮件和下一代Web管理器产品中的SQL注入漏洞(CVE-2022-20867)和权限提升漏洞(CVE-2022-20868)。
https://securityaffairs.co/wordpress/138068/security/cisco-addressed-multiple-flaws.html
3 苹果公司推出Xcode更新以修复Git漏洞
苹果公司推出了Xcode macOS开发环境的安全更新,以修复三个Git漏洞。第一个漏洞CVE-2022-29187是CVE-2022-24765的变体,攻击者可利用此缺陷在恶意.git目录中创建配置文件,并使用特定变量在共享计算机上执行任意命令。第二个漏洞CVE-2022-39253可能导致信息泄露,攻击者可以利用此漏洞诱骗受害者克隆包含指向受害者系统上敏感信息的符号链接的存储库。第三个漏洞是CVE-2022-39260,当git shell被允许作为登录shell时可能导致任意代码执行。此外,在Xcode 14.1中还解决了影响IDE Xcode服务器的漏洞,此漏洞被标记为CVE-2022-42797,可能允许恶意应用程序获得root权限。
https://www.securityweek.com/apple-rolls-out-xcode-update-patching-git-vulnerabilities
4 新加坡警方表示网络钓鱼诈骗导致受害者损失237000美元
新加坡警方表示,自2022年1月以来,至少有85人成为网络钓鱼诈骗中的受害者,损失共计约237000美元。诈骗者冒充新加坡邮政和电信公司Singtel,并在电子邮件中嵌入用于进行诈骗的URL链接,以此窃取受害者的个人信息。这些链接将重定向到欺诈网站,诱骗受害者提供个人信息,包括他们的账户名称、密码,以及信用卡或者借记卡的详细信息和一次性密码。受害者在发现信用卡或借记卡被用于未经授权的交易后,才意识到他们受到了诈骗。警方建议市民不要点击可疑的电子邮件以及其中的可疑链接,应通过官方网站或者其他官方来源验证消息的真实性,并表示受害者应立即向相关服务提供商举报此类欺诈行为。
https://www.straitstimes.com/singapore/victims-lose-237000-amid-resurgence-in-singpost-and-singtel-phishing-scams-police
5 Crimson Kingsnake冒充知名国际律师事务所进行BEC攻击
研究人员发现出现了一个名为“Crimson Kingsnake”的商业电子邮件妥协(BEC)组织,他们冒充知名的国际律师事务所,诱骗受害者批准逾期付款的发票,以此实施网络诈骗。研究人员于2022年3月首次发现Crimson Kingsnake的活动,并在报告中称已经确定了与该组织相关的92个域名,这些域名与一些真正的律师事务所网站域名相似。攻击者利用相似的域名向受害者发送电子邮件,并在电子邮件中使用精心伪造的徽标和信头,以此让受害者相信电子邮件确实是由相关律师事务所发出。
https://www.bleepingcomputer.com/news/security/new-crimson-kingsnake-gang-impersonates-law-firms-in-bec-attacks
6 研究人员发现多封针对推特认证用户的钓鱼邮件
推特近期宣布一个新的收费计划,用户需要每月支付8美元以保留其推特账号的“蓝V认证”,付费用户还能够享受到更高的优先级、更少的广告、编辑更长的媒体内容等特权。研究人员发现,在推特宣布此计划后,出现了针对认证用户的网络钓鱼活动。攻击者利用入侵的网站和服务器发送钓鱼邮件,在邮件中敦促用户赶紧登录他们的推特账号以免除认证被去除的风险,并在邮件中添加了恶意链接。此链接会重定向至钓鱼网页中,此网页利用推特的收费计划诱使受害者填写账号和密码信息,并向受害者发送短信验证码。
https://www.bleepingcomputer.com/news/security/as-twitter-brings-on-8-fee-phishing-emails-target-verified-accounts
页:
[1]