每日安全简讯(20210714)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 三菱电机修复了影响其多个空调产品的漏洞

三菱电机最近修复了影响其多个空调产品（主要是集中控制器）的关键和高危漏洞。CISA和三菱电机本月发布了描述这些漏洞的公告，其中一个公告描述了一个严重的漏洞，该漏洞将受影响的控制系统暴露给未经身份验证的XML外部实体，该漏洞可能导致拒绝服务或信息泄露。第二个漏洞被追踪为CVE-2021-20593并被评为高严重性，此漏洞允许低权限用户（公共用户）访问三菱中央控制器EW-50A或AE-200A网络浏览器的管理员页面。除了补丁之外，三菱电机还提供了可用的缓解措施，以及用于检查设备版本号以查看其是否受漏洞影响的说明。


https://www.securityweek.com/mit ... onditioning-systems

---

2 ForgeRock OpenAM存在远程代码执行漏洞

澳大利亚和美国的网络安全机构警告称，ForgeRock的OpenAM访问管理解决方案存在一个被积极利用的漏洞，该漏洞可能被用来在受影响的系统上远程执行任意代码。澳大利亚网络安全中心已经观察到一些攻击者利用这个漏洞来危害多个主机，并部署更多的恶意软件和工具。该漏洞被跟踪为CVE-2021-35464，与 ForgeRock访问管理器身份和访问管理工具中的身份验证远程代码执行漏洞有关，源于该软件使用的Jato框架中的不安全Java反序列化。


https://thehackernews.com/2021/0 ... rgerock-access.html

---

3 研究表明多个供应商使用的IP摄像机固件存在漏洞

法国安全咨询公司Randorisec的安全研究人员已经发现了大量来自UDP技术的IP摄像机固件的严重漏洞。Geutebrück、VCA和Sprinx Technologies的闭路电视设备中捆绑了有缺陷的UDP代码。Randorisec表示，它此前在固件中发现了几个关键漏洞，包括身份验证绕过和远程代码执行漏洞。基于这些早期的漏洞，Randorisec进一步发现了另外11个经过身份验证的RCE漏洞和一个完整的身份验证绕过漏洞。


https://portswigger.net/daily-sw ... by-multiple-vendors

---

4 Spreadshop遭到恶意网络攻击导致数据泄露

2021年7月8日，广受欢迎的商店平台——Spreadshop遭到恶意网络攻击。在其网站上发布的更新中，该平台(由Spreadshirt提供支持)证实，包括银行账户信息在内的个人用户数据遭到了泄露。受影响的数据包括客户、合作伙伴、员工和外部供应商的地址和合同数据等等。根据调查的最新消息，被入侵的服务器不包含任何其他客户群体的银行详细信息。截至目前，袭击背后的肇事者尚不清楚，但他们显然技术娴熟，因为他们能够通过Spreadshop强大的安全措施。


https://www.privacysharks.com/sp ... passwords-breached/

---

5 领英6亿用户信息再次在黑客论坛上被兜售

近日，数以亿计的领英用户资料又一次出现在一个黑客论坛上，目前正在以不公开的价格出售。论坛帖子的作者出售的是从领英6亿个人资料中收集来的信息。作者分享的档案样本包括全名、电子邮件地址、社交媒体账户的链接。这些信息虽然不是非常敏感，但仍可能被恶意行为者利用。领英拒绝将恶意抓取视为安全问题，这可能会让网络犯罪分子收集新的受害者数据而不受惩罚。尽管领英的代表说没有私人数据被泄露是正确的，但大规模收集公开信息仍然会让用户面临垃圾邮件和网络钓鱼攻击的风险。


https://securityaffairs.co/wordp ... ofiles-scraped.html

---

6 时尚品牌Guess披露了一起数据泄露事件

价值数十亿美元的时尚品牌Guess向在2月份的勒索软件攻击中丢失信息的的人发送了信件。在2021年2月2日至2月23日期间，对某些Guess系统的未经授权的访问导致社会安全号码、驾照号码、护照号码和金融账户号码被盗。Guess的发言人不愿回答有多少受害者的问题，只称没有涉及客户支付卡信息。Guess聘请了网络安全公司协助调查，通知了执法部门，通知了涉及信息的员工和承包商，并采取措施加强其系统的安全性。调查确定，这一事件并未对其运营或财务业绩产生实质性影响。


https://www.zdnet.com/article/gu ... er-darkside-attack/

---