每日安全简讯(20201213)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Facebook发现APT32组织与越南IT公司有关

来自Facebook的网络安全研究人员发现越南威胁组织滥用其平台入侵人们的账户并分发恶意软件后，正式将该组织的活动与越南的一家IT公司联系起来。被追踪到的代号为APT32(或Bismuth、OceanLotus和Cobalt Kitty)的国家联盟特工，至少自2012年以来，就以策划复杂的间谍活动而闻名。Facebook安全政策主管Nathaniel Gleicher和网络威胁情报经理Mike Dvilyanski说:“我们的调查将这一活动与越南的一家IT公司CyberOne Group（也称为CyberOne Security、CyberOne Technologies、Hánh Tinh company Limited、Planet and Diacauso）有关。“


https://thehackernews.com/2020/1 ... t32-oceanlotus.html

---

2 Adrozek恶意软件每天可感染3万多台电脑

微软警告称，一种名为Adrozek的恶意软件正在推动一场新的浏览器劫持和凭证窃取的活动。这种恶意软件在其高峰时期，每天能够感染3万多台设备。在受感染的计算机上，Adrozek会将广告注入搜索引擎结果页面，并且可以劫持Microsoft Edge，Google Chrome，Yandex Browser和Mozilla Firefox。该恶意软件利用从其操控者控制的服务器下载的恶意脚本，在更改被劫持的网络浏览器的设置和组件后注入广告。微软365 Defender研究团队说：“建议在其设备上发现此威胁的终端用户重新安装其浏览器。”


https://www.bleepingcomputer.com ... -windows-pcs-a-day/

---

3 Glassdoor网站解决了关键的CSRF漏洞

Glassdoor是一个求职和发布匿名公司评论的网站，已经解决了一个关键问题，可以利用该问题接管帐户。Bug赏金研究员“Tabahi”(ta8ahi)发现了这个问题，它被描述为一个站点范围内的跨站点请求伪造(CSRF)漏洞，严重程度得分为9分。该漏洞赏金猎人于2月份首先通过HackerOne向Glassdoor报告了他们的发现。经过一段时间的错误分类后，该漏洞报告被认为是有效的，并发布了严重评分。Glassdoor于同月修补了此问题，但仅在12月才公开披露。


https://www.zdnet.com/article/cr ... er-review-platform/

---

4 Sophos修复Cyberoam操作系统中的漏洞

今天，Sophos透露，在可以远程向CROS设备添加账户的Cyberoam (CROS)操作系统中修复了一个SQL注入漏洞。Sophos建议解释道，这种类型的漏洞可能允许远程执行SQL语句，但前提是管理接口(HTTPS管理服务)暴露在WAN区域上。Sophos已经在所有受支持的CRO版本上部署了该漏洞的修补程序，受影响的设备应立即更新到最新版本。要检查是否已安装此修复程序，用户可以从CROS控制台输入以下命令：cyberoam diagnostics show version-info。


https://www.bleepingcomputer.com ... -their-cyberoam-os/

---

5 科技独角兽UiPath公司泄露部分用户信息

科技独角兽UiPath是一家制造机器人自动化软件的初创公司，目前正在向用户发送电子邮件，告知他们的个人信息在网上被泄露的安全事件。该公司在今天发给用户的一封电子邮件中写道：“2020年12月1日，UiPath意识到发生了一起事件，该事件导致未经授权就泄露了包含有关UiPath Academy用户的有限个人信息的文件。”该文件包括真实姓名、电子邮件地址、用户名、公司名称、国家/地区的详细信息，以及注册该公司在线学习平台UiPath Academy的用户的UiPath认证详细信息。


https://www.zdnet.com/article/ro ... closes-data-breach/

---

6 Marriage Tax Refund公司曝光10万客户数据

英国Marriage Tax Refund公司通过一个错误配置的内容管理系统（CMS）曝光了超过10万名客户的个人信息。Website Planet的研究人员于10月13日发现了这个问题，并于第二天通知了该公司。根据研究团队的说法，该公司错误地配置了其WordPress CMS，从而使PDF文档的目录列表可供公众查看，而没有密码保护。这意味着理论上任何人都可以查看有关Marriage Tax Refund客户的个人识别信息（PII），包括：申请人的全名、性别和家庭住址、客户伴侣的全名和性别，以及他们可以要求的退税金额。


https://www.infosecurity-magazin ... osed-personal-info/

---