找回密码
 注册创意安天

每日安全简讯(20210902)

[复制链接]
发表于 2021-9-1 17:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Cream Finance加密货币交易平台遭到黑客攻击

Cream Finance是一家去中心化金融(DeFi)加密货币交易平台,该平台遭到了黑客攻击,该攻击者在被发现之前窃取了近2900万美元,其中 418,311,571 为 Amp Coin,1,308.09 为以太坊加密货币。PeckShield的研究人员称,该功能中的一个漏洞使威胁行为者能够实施“再入攻击”,这允许在处理前一笔交易的同时循环借入资金。该公司声明称:“我们已经通过暂停AMP的供应和借贷以阻止这种利用。其他市场没有受到影响。”

AdobeStock_170377953.jpeg
https://threatpost.com/cream-finance-defi-29m/169077/


2 OpenSSL漏洞影响QNAP的网络附加存储设备

周一,QNAP发布了两份关于OpenSSL远程代码执行和拒绝服务 (DoS) 漏洞的安全公告,这些漏洞已于上周修复,影响了其网络附加存储 (NAS) 设备。这些漏洞被跟踪为 CVE-2021-3711和 CVE-2021-3712。CVE-2021-3711是一个与 SM2 解密相关的高严重性缓冲区溢出漏洞,CVE-2021-3712是一个可用于 DoS 攻击并可能用于泄露私有内存内容的中等严重性漏洞。上周二,OpenSSL 1.1.1l中修复了这两个OpenSSL漏洞。

qnap-devices-scaled-e1630421811772.jpeg
https://threatpost.com/qnap-openssl-bugs/169054/


3 攻击者可以远程禁用Fortress Wi-Fi家庭安全警报

Fortress S03 Wi-Fi家庭安全系统是一种自助 (DIY) 警报系统,Fortress S03 Wi-Fi家庭安全系统中发现了新的漏洞,攻击者可能会利用这些漏洞进行未经授权的访问,以改变系统行为,包括在受害者不知情的情况下解除设备的防护。网络安全公司Rapid7于2021年5月发现并报告了两个未修补的漏洞,被跟踪为CVE-2021-39276(CVSS分数:5.3)和CVE-2021-39277(CVSS分数:5.7)。CVE-2021-39276涉及未经身份验证的API访问,使拥有受害者电子邮件地址的攻击者能够查询API以泄露设备的国际移动设备识别码(IMEI)。CVE-2021-39277与射频信号重放攻击有关,其中缺乏足够的加密使攻击者能够使用软件无线电(SDR) 捕获无线电频率命令和控制空中通信,并重放传输以执行特定功能,例如在目标设备上的“防护”和“解除防护”操作。

home-security-system.jpg
https://thehackernews.com/2021/0 ... sable-fortress.html


4 Marketo黑客组织在暗网出售日本富士通的数据

日本科技巨头富士通(Fujitsu)的数据被一个名为Marketo的组织在暗网上出售,但该公司表示,这些信息“似乎与客户有关”,而不是他们自己的系统。8月26日,Marketo在其泄密网站上写道,它有4 GB的被盗数据正在出售。他们提供了数据样本,并声称拥有机密的客户信息、公司数据、预算数据、报告和其他公司文件,包括项目信息。富士通发言人淡化了这一事件,并称没有迹象表明这与5月份黑客通过富士通的ProjectWEB平台从日本政府实体窃取数据有关。

image004.jpg
https://www.zdnet.com/article/fu ... lated-to-customers/


5 DuPage医疗集团数据泄露影响约60万患者信息

DuPage医疗集团正在通知600,000名患者,他们的个人信息可能在7月份的一次网络攻击中被泄露。DuPage医疗集团在7月中旬经历了持续近一周的计算机和电话中断。宕机是由7月12日至7月13日期间访问其网络的“未经授权的参与者”造成的。调查人员于8月17日确定,包含患者信息的某些文件可能被泄露。被泄露的信息可能包括姓名、地址、出生日期、诊断代码、识别医疗程序和治疗日期的代码。对于少数人来说,社会安全号码可能已被泄露。

CA4EHTNTXBGZXPNZRYRI3Z6V4E.jpg
https://www.chicagotribune.com/b ... c3caknie-story.html


6 印度尼西亚COVID-19追踪应用程序泄露用户信息

vpnMentor团队的研究人员N. Rotem和R. Locar发现了一个暴露的数据库,其中包含印度尼西亚 COVID-19 追踪应用程序的数据。该应用程序被称为“印度尼西亚健康警示卡”(eHAC),对在该国的旅行者来说是强制性的。研究人员在2021年7月15日发现了暴露的数据库,在联系了多个政府机构希望有人能做出回应后,该数据库于2021年8月24日被关闭。数据库中大约有130万条eHAC用户记录,此外,该数据库还存储了该国226家医院和诊所的详细信息。

sample.png
https://www.technadu.com/indones ... tracing-app/298229/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 07:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表