每日安全简讯(20210316)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 PHP信用卡窃取程序将信息保存在JPG文件中

最近对受感染的Magento 2网站的调查显示，该恶意注入正在捕获来自站点访问者的POST请求数据。它位于结帐页面上，可以对捕获的数据进行编码，然后再将其保存到.JPG文件中。为了成功捕获POST数据，PHP代码需要使用Magento代码框架。它依赖于Magento函数getPostValue来捕获Customer_ POST参数中的结帐页面数据。使用Magento函数isLoggedIn，PHP代码还检查发送POST请求数据的受害者是否以用户身份登录。如果用户确实登录了，它会捕获用户的电子邮件地址。在使用PHP运算符^对所窃取的信息进行异或运算之前，会使用base64对捕获的POST数据进行编码，并将其保存到同一个图像文件中。


https://blog.sucuri.net/2021/03/ ... r-saves-to-jpg.html

---

2 Netgear发布安全固件更新共解决了15个漏洞

Netgear发布了安全固件更新，以解决其JGS516PE以太网交换机中的15个漏洞，其中包括未经验证的远程代码执行漏洞，该漏洞被评为严重。这些漏洞是由NCC Group IT的研究人员发现的，其中大多数影响了NSDP协议，该协议由于遗留原因仍处于启用状态，允许客户使用Prosafe Plus。最严重的漏洞是一个关键的RCE跟踪为CVE-2020-26919，其CVSS v3评分为9.8，其余漏洞是9个高严重性漏洞和5个中等级别漏洞。CVE-2020-26919存在于2.6.0.43之前固件版本的交换机内部管理web应用程序中，未经身份验证的攻击者可以利用它绕过身份验证并以管理员权限执行操作。


https://securityaffairs.co/wordp ... ear-soho-flaws.html

---

3 研究人员发布了微软Exchange漏洞的新PoC

本周早些时候，一位名为Nguyen Jang的安全研究人员介绍了针对Microsoft Exchange ProxyLogon漏洞的PoC漏洞。在PoC发布后不久，Jang就收到了来自微软旗下GitHub的一封电子邮件，声明该PoC因为违反了可接受的使用政策而被撤下。安全研究人员在本周早些时候发布了一个新的概念验证漏洞，该漏洞需要稍加修改才能在易受ProxyLogon漏洞攻击的Microsoft Exchange服务器上设置web shell。NVISO和SANS ISC的高级分析师迪迪埃·史蒂文斯(Didier Stevens)表示，他在没有补丁的Exchange 2016上测试了新的PoC，没有累积更新。不过，如果不调整一些活动目录设置，PoC将无法工作。然而，史蒂文斯表示，本周末发布的PoC中的新信息使他能够让Jang的PoC在他的Microsoft Exchange服务器上成功执行远程代码。


https://www.bleepingcomputer.com ... in-reach-of-anyone/

---

4 谷歌发布针对Chrome浏览器Spectre攻击的PoC

谷歌发布了对其GitHub上的Chrome浏览器进行Spectre攻击的概念验证代码。PoC代码使用JavaScript编写，可在Intel Skylake CPU上的Chrome 88上运行，它允许以1kB / s的速度从设备内存中提取数据。Google发布的PoC代码允许从内存中恢复缓存数据，包括加密密钥等敏感数据。Google专家还开发了其他具有不同属性的PoC漏洞，但他们没有发布。谷歌建议开发人员使用新的安全机制来防止硬件攻击和常见的web级跨站点泄漏。


https://securityaffairs.co/wordp ... me-spectre-poc.html

---

5 Fastway Couriers快递公司泄露用户联系方式

Fastway Couriers快递公司表示，从1月中旬开始的一个月时间里，446143名收到包裹的用户的姓名、邮政地址、电子邮件地址和/或电话号码遭到了“恶意入侵”。被窃取的数据仅用于交付目的，不包含客户的财务信息，因此没有个人财务或支付卡信息处于危险之中，也没有密码在攻击中被泄露。这家快递公司称，2月25日，Fastway雇佣的IT开发承包商确认了这起网络攻击，并在2月26日上午9点前“完全缓解”了攻击。承包商于3月2日通知了Fastway公司这一漏洞。


https://www.irishtimes.com/news/ ... t-details-1.4508084

---

6 以色列K.L.S汽车信贷公司遭黑客攻击数据泄露

K.L.S.是一家拥有17年历史的汽车信贷公司，拥有约20名员工，现有客户超过26000名，由于黑客攻击，这些客户的个人信息可能会被泄露。周六上午，Black Shadow黑客组织宣布，“我们在此通知您，以色列的K.L.S资本有限公司遭到了网络攻击。“在发布声明的几个小时前，该组织故意发布了两名在该公司工作的人员的身份证的模糊照片。在声明发布几分钟后，他们又公布了更多的文件，此后还公布了数十份附加文件，包括身份证、信件、发票、图像、扫描支票、数据库信息等，包括该公司首席执行官的个人信息。当天下午晚些时候，Black Shadow公布了据称他们与该公司电子邮件对话的截图，其中他们要求在6小时内提供1万美元的比特币，并警告称，如果没有得到赎金，他们将公布更多数据。


https://www.jpost.com/jpost-tech ... d-for-ransom-661865

---