设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190505)
返回列表 发新帖

每日安全简讯(20190505)

[复制链接]
发表于 2019-5-4 21:16 | 显示全部楼层 |阅读模式
1 新Magecart攻击活动针对数百个校园网上商店

趋势科技研究人员最近发现在线支付卡窃取活动Magecart,活动影响了美国和加拿大的201家在线校园商店。研究人员无法将此次攻击与Magecart的任何小组联系起来 因此将该组织标记为“Mirrorthief”。研究人员4月14日开始检测针对多个校园商店网站的攻击,并发现攻击者攻击了专为大学商店设计的电子商务平台PrismWeb,将窃取脚本注入到PrismWeb平台在线商店使用的共享JavaScript库中。注入的脚本仿冒Google Analytics脚本格式,虽然加载了不同的脚本,但都是针对PrismWeb平台的。收集的信用卡信息包括卡号、有效期、卡类型、卡验证号(CVN)和持卡人姓名。此外恶意脚本还窃取地址和电话号码等个人信息。
 1.jpg

https://blog.trendmicro.com/tren ... s-in-us-and-canada/

2 安全厂商发布Retefe银行木马最新活动分析

Retefe是一种银行木马,过去只在2018年偶尔出现,针对奥地利,瑞典和瑞士等国家。Proofpoint研究人员2019年4月发现了Windows和macOS版本的Retefe针对瑞士和德国进行攻击。Retefe使用代理将受害者重定向到虚假的银行页面以进行凭证盗窃,而不是像大多数银行木马那样使用网络注入进行浏览器攻击。Retefe木马的再次出现发生了一些变化,攻击者使用stunnel而不再是TOR来保护其代理重定向以及命令和控制通信,并且使用Smoke Loader替换sLoad作为中间加载程序。Retefe还使用共享软件应用程序作为Retefe加载器,恶意共享软件应用程序从其资源中提取7-Zip和stunnel,然后解密并执行主要的Retefe JavaScript代码。
 2.png

https://www.proofpoint.com/us/th ... /2019-return-retefe

3 研究人员发布Gh0stRAT第二部分逆向分析

Reversing Gh0stRAT第一部分中分析了一些Gh0stRAT变体使用加密算法来隐藏其流量,研究人员发布了第二部分分析。分析的Gh0stRAT案例中,攻击者可以完全控制受害者的计算机,一旦获得控制权,攻击者就可以使用Gh0stRAT样本中的唯一命令来拒绝服务。Gh0stRAT样本看起来很简单,没有被加密,不使用任何加载到内存的DLL,但其网络流量包含'Gh0st'。Gh0stRAT通过端口22与其C2服务器通信,执行时首先使用其C2 URL来创建互斥锁,然后获取正在运行的进程的文件路径,再修改注册表维持持久性。Gh0stRAT数据包通常由5字节数据包标头('Gh0st')、4字节压缩数据包、4字节未压缩数据、数据按序组成,但分析的样本更改了其顺序。Gh0stRAT样本具有唯一的响应操作码,此外还有52个不同的命令,每个命令都使用自己独特的操作码。
 3.png

https://www.alienvault.com/blogs ... t-2-the-ddos-ening/

4 IBM API Connect中存在两个严重零日漏洞

F-Secure研究人员发现IBM API Connect中存在两个严重的零日漏洞,IBM API Connect是许多金融机构用来支持PSD2规定的开放银行服务产品。第一个漏洞(CVE-2019-4203)是服务器端请求伪造(SSRF)漏洞,攻击者可以利用该漏洞欺骗网站发出请求,进而从Developer Portal读取敏感文件,或从服务器移动到同一网络中的其他系统。第二个漏洞(CVE-2019-4202)是远程执行代码(RCE)漏洞,它位于Developer Portal的REST API中。利用SSRF漏洞,攻击者可以在开源网络中阻止REST API,再利用RCE漏洞,攻击者可以在受影响的系统上以root权限远程执行命令。IBM已经解决了这些问题,并且提供了修复程序。
 4.png

https://blog.f-secure.com/f-secu ... in-ibm-api-connect/

5 ISPsystem中存在一个关键漏洞影响多个产品

ISPsystem是一个用于管理网站和服务器的软件,其软件产品被全球数百家托管服务提供商使用。CheckPoint研究人员在ISPsystem软件中发现一个关键的安全漏洞,攻击者可以劫持另一个登录用户的会话并控制该用户的网站、虚拟机、计费数据等。在对用户进行身份验证后,ISPsystem中的会话cookie具有6个字节的HEX编码字符串。研究人员指出,攻击者只需要选择一个正确的6字节值就可以劫持另一个用户的有效会话,而这可以通过会话cookie生成器算法来完成。研究人员还列出了可能的攻击情形,并给出了利用漏洞的概念验证。
 5.jpg

https://research.checkpoint.com/vulnerabilities-in-ispsystem/

6 研究人员发现100多个Jenkins插件易受攻击

Jenkins是一个支持构建,部署和自动化软件开发和交付的开源工具,可以通过插件进行扩展以引入其他功能。NCC Group研究人员发现了手动测试了数百个插件,发现100多个插件易受攻击。第一种类型的漏洞是凭证以明文形式存储,尽管Jenkins对credentials.xml文件中的密码进行了加密,但是一些插件开发人员利用其他方式将凭据存储在插件自身的.xml文件或作业的config.xml文件中,而默认安装都具有默认权限,在credentials.xml上是全局可读的,可能导致信息泄露。第二种类型的漏洞有两种影响,凭证捕获和SSRF(跨站请求伪造)。一些插件允许用户测试凭证并连接到服务器,攻击者可以更改CSRF有效载荷中的主机名,欺骗管理员启动与服务器的测试连接,然后捕获凭据。用户可能会滥用一些函数,攻击者可利用SSRF漏洞执行端口扫描,以映射出内部网络或暴力破解登录凭证。
 6.png

https://www.nccgroup.trust/uk/ab ... le-jenkins-plugins/

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表