每日安全简讯(20210413)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗纳坦兹核设施疑似遭遇网络攻击

伊朗上周日称其纳坦兹地下核设施遭遇停电，并表示此次停电是“核恐怖主义”行为的结果。虽然没有立即宣称对此事负责，但怀疑对象落在了以色列，以色列媒体几乎一致报道了一场由该国策划的毁灭性网络攻击导致了停电。


https://www.securityweek.com/ira ... t-nuclear-terrorism

---

2 Gino集团汽车经销商遭勒索软件攻击

位于意大利库内奥市的Gino集团汽车经销商遭遇到勒索软件攻击。该经销商在发送给意大利各地客户的通知中表示，在2021年4月7日发现其系统遭到了未知黑客的攻击，并立即聘请一家专门的公司，以试图解决问题并尽可能减少损失。


https://www.databreaches.net/it- ... -ransomware-attack/

---

3 Zoom应用漏洞影响Windows和Mac版本

在最近结束的Pwn2Own黑客大赛中，研究人员在Zoom、Apple Safari、Microsoft Exchange、Microsoft Teams、Parallels Desktop、Windows 10和Ubuntu Desktop操作系统中发现了可被利用的漏洞。特别值得注意的是Zoom应用程序中存在的漏洞，该漏洞的利用不需要与受害者进行任何交互，只需参与Zoom通话，该漏洞影响Windows和Mac版本的应用程序，尚不清楚Android和iOS版本是否也容易受到攻击。


https://thehackernews.com/2021/0 ... ri-ms-exchange.html

---

4 GravCMS修复严重的远程代码执行漏洞

研究人员在基于PHP的开源软件包GravCMS中发现了造成远程代码执行（RCE）风险的严重漏洞。该漏洞被跟踪为CVE-2021-21425，允许未经认证的攻击者劫持易受攻击的内容管理系统的管理功能以及其他潜在利用。相关用户可升级到修补程序版本GetGrav 1.10.8。


https://portswigger.net/daily-sw ... software-developers

---

5 130万Clubhouse用户数据在线泄露

CyberNews研究人员发现包含130万Clubhouse用户个人数据的SQL数据库在线泄露。黑客在黑客论坛发布广告，声称可免费提供一个SQL数据库，其中包含130万Clubhouse用户记录。泄露的记录包括Clubhouse的用户ID、姓名、用户名，Twitter用户名、Instagram用户名、关注者数量、用户关注的人数、帐户的创建日期等，但不包括财务数据。研究人员向Clubhouse报告了他们的发现，但在文章发布时，Clubhouse尚未确认暴露数据的真实性。


https://securityaffairs.co/wordp ... ouse-data-leak.html

---

6 贸易应用程序Upstox暴露客户数据

贸易应用程序Upstox已向客户发出警报，称暴露了客户的联系方式数据和KYC详细信息，但客户资金和证券仍然安全。Upstox表示，在收到声称未经授权访问Upstox数据库的电子邮件后，已通过一家国际网络安全公司调查存储在第三方数据仓库系统中的一些KYC数据被泄露的可能性。现已发现黑客将Upstox数据样本在暗网发布。Upstox还表示，目前还不确定有多少客户的数据被泄露。


https://www.news18.com/news/tech ... n-safe-3630869.html

---