每日安全简讯(20200805)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现三菱电机工业自动化产品的高危漏洞

研究人员发现三菱电机数十种工业自动化产品存在三个漏洞，可利用这些漏洞进行特权提升，任意代码执行和DoS攻击。具体漏洞包括CVE-2020-14496、CVE-2020-14523、CVE-2020-14521。三菱已经为许多受影响的产品发布了补丁程序，并且还为无法立即安装补丁程序的客户提供了解决方案。


https://www.securityweek.com/hac ... automation-products

---

2 安全研究人员发现Node.js库中的原型污染漏洞

安全研究人员发现，express-fileupload库中的一个漏洞使黑客可以对Node.js服务器进行原型污染攻击。express-fileupload是一个Node.js程序包，下载量超过700万，使应用程序能够处理Web应用程序中上传的文件。Node.js的编程语言JavaScript使用原型定义对象的功能和属性。原型污染攻击利用此特征来操纵应用程序的行为。express-fileupload具有parseNested选项，该选项从上传的文件创建嵌套的对象结构，启用该选项后，攻击者可以在Web请求中使用精心设计的文件名进行原型污染攻击。该漏洞已在该库的最新版本中进行了修复。


https://portswigger.net/daily-sw ... emote-shell-attacks

---

3 Meetup被发现影响用户资金安全的高危漏洞

研究人员发现Meetup平台存在高危漏洞，这些漏洞使攻击者可以窃取资金。Meetup是一个拥有超过3500万用户的平台，为有相同兴趣的人组织在线活动。对于美国境外的组织者，该平台提供PayPal支持，以为付费活动的参与者收取费用。研究人员说，攻击者只需在评论区中发布一个JavaScript脚本，一旦用户访问Meetup页面，就会出现一个JavaScript弹窗，当用户点击弹窗时，攻击者就可以执行各种恶意功能，比如窃取他们的web浏览数据。


https://threatpost.com/critical- ... yment-theft/157934/

---

4 澳大利亚互联网提供商Telstra遭受拒绝服务攻击

几天前，Telstra网络在全澳范围内中断，数百万澳大利亚家庭的网络都已崩溃。布里斯班、悉尼和墨尔本的客户受到的打击最严重，但电信公司表示没有个人数据遭到泄露。拒绝服务攻击会向网络中注入流量或信息以触发崩溃，从而拒绝合法用户的访问。但是，Telstra随后表示：“我们的安全团队已对以拒绝服务网络攻击为代表的大规模消息风暴进行了调查，我们现在认为这不是恶意的，而是域名服务器的问题。”


https://www.theguardian.com/tech ... icious-cyber-attack

---

5 FBI发出新的电子商务欺诈预警消息

在冠状病毒大流行期间，涌现出大量新的欺诈性在线购物网站。美国联邦调查局（FBI）警告，一波新的欺诈性购物网站（通常在社交媒体平台上做广告）会接受各种产品的订单，然后再也不交货。根据FBI的公告，欺诈性网站的价格往往比同类合法网站低很多，需要通过在线转账付款，并从其他传统的电子商务网站复制内容。预警消息中列出的欺诈性网站通常使用Internet顶级域名“ .club”和“ .top”，且通常在最近六个月内注册。


https://www.darkreading.com/atta ... raud/d/d-id/1338534

---

6 应用程序Zello在数据泄露后重置所有用户密码

Zello是一项具有1.4亿用户的移动服务，它允许急救人员、酒店服务员以及家人和朋友使用一键通应用程序进行通信。Zello指出，2020年7月8日他们在其中一台服务器发现了未经授权的活动，黑客可能已访问Zello帐户的电子邮件地址和哈希密码。为安全起见，Zello会在所有下次登录该服务的Zello帐户上强制重置密码。


https://www.bleepingcomputer.com ... -after-data-breach/

---