每日安全简讯(20210526)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 塔尔萨市计算机系统遭受勒索软件攻击

塔尔萨市的一位官员周五表示，由于受到勒索软件的攻击，出于安全考虑，该市关闭了计算机网络，因此大多数居民无法支付水费。市政府发言人卡森·科尔文(Carson Colvin)说，黑客获取个人数据的企图已被阻止。5月6日，塔尔萨在其网络中检测到恶意软件，并立即开始关闭网络，以防止黑客访问任何敏感信息。黑客要求该市支付赎金，否则就会公布自己侵入网络的消息，塔尔萨没有支付赎金，而是自己宣布了这一消息。


https://www.securityweek.com/tul ... d-security-shutdown

---

2 Bose披露遭勒索软件攻击后泄露了部分数据

美国音响业巨头Bose公司公布其在3月初遭遇了一次勒索软件攻击，泄露了部分员工数据。在一封Bose提交给新罕布什尔州司法部长办公室的违规通知信中，Bose称其“经历了一次复杂的网络事件，导致恶意软件和勒索软件趁虚而入”。该公司补充说：“2021年3月7日，Bose首次在其美国系统上检测到恶意软件和勒索软件。”在勒索软件攻击中暴露的员工个人信息包括姓名、社会安全号码、薪酬信息和其他人力资源相关信息。


https://www.bleepingcomputer.com ... -ransomware-attack/

---

3 研究人员发现蓝牙核心和Mesh规范存在漏洞

法国情报机构ANSSI的研究人员发现蓝牙核心和Mesh Profile规范中存在多个漏洞，这些漏洞可以用来在配对过程中冒充合法设备，并在脆弱设备的无线范围内实施中间人(MitM)攻击。所有支持蓝牙核心和Mesh规范的设备都受到上述问题的影响，容易受到假冒攻击和AuthValue泄露。该漏洞影响蓝牙核心规范2.1至5.2中的BR/EDR安全简单配对，蓝牙核心规范4.1至5.2中的BR/EDR安全连接配对以及蓝牙核心规范4.2至5.2中的LE安全连接配对中的密钥验证。


https://securityaffairs.co/wordp ... sh-specs-flaws.html

---

4 苹果针对macOS和tvOS修复了多个0day漏洞

苹果周一发布了iOS、macOS、tvOS、watchOS和Safari浏览器的安全更新，以修复多个漏洞，包括macOS Big Sur中的一个被积极利用的0day漏洞，并扩展了此前披露的两个0day漏洞的补丁。追踪为CVE-2021-30713的零日问题涉及macOS中Apple的透明度、同意和控制(TCC)框架中的权限问题，该框架维护每个用户的同意的数据库。这家iPhone制造商承认，这个漏洞可能已经被大肆利用，但没有透露细节。


https://thehackernews.com/2021/0 ... combat-ongoing.html

---

5 ReDi饭店预订系统修复了易于利用的XSS漏洞

WordPress插件ReDi Restaurant Reservation中有一个很容易被利用的漏洞，只需将恶意的JavaScript代码片段提交到预订评论字段中，未经身份验证的攻击者就可以窃取客户的个人身份信息。这个漏洞影响了21.0307之前的ReDi Restaurant Reservation版本，此漏洞(CVE-2021-24299)是一个持久的XSS漏洞。由于漏洞的严重性，官方公开披露的时间推迟了一个月。研究人员在4月15日提醒了制造商，制造商4月25日发布了修复程序，有一个补丁(v. 21.0426)版本的插件可供下载。


https://threatpost.com/reservati ... oit-xss-bug/166414/

---

6 黑客承认窃取了超过65000名UPMC员工的敏感数据

一名来自密歇根州的黑客承认窃取了匹兹堡大学医学中心(UPMC) 65000多名员工的敏感数据并在网上出售。联邦应急管理署(FEMA)的IT专家贾斯汀·肖恩·约翰逊在在2014年1月侵入了UPMC的人力资源数据库。约翰逊窃取并出售的数据包括个人身份信息(PII)，其中包括社会保险号、地址、姓名和工资信息。2014年，通过论坛从约翰逊那里购买数据的同谋者使用UPMC员工PII提交了数百份虚假的1040份纳税申报表。


https://www.infosecurity-magazin ... dmits-selling-upmc/

---