设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20211027)
返回列表 发新帖

每日安全简讯(20211027)

[复制链接]
发表于 2021-10-26 20:51 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 安天发布报告从软件供应链视角看网络安全

2021年10月14日,有境外消息声称:国内某银行内部源代码和数据泄露,并将相关代码在网络上售卖。安天应急处理中心(安天CERT)根据相关信息总体倾向评估:这是一个攻击者攻击软件开发企业,窃取软件产品源代码及其产品用户信息,并在该企业的产品用户中选择最具有影响力的机构,以该机构的信息泄露为噱头,进行炒作,扩大影响,并贩卖代码牟利的事件。这是一起软件开发厂商被入侵事件,并无证据证明其下游用户遭到了入侵,但其潜在风险需要高度重视。此后阿里云安团队在10月22日监测到npm官方仓库ua-parser-js官方账号疑似遭遇劫持。这些事件连同2020年末,SolarWinds 旗下的Orion基础设施管理平台的源码遭到攻击者篡改,导致数百家关键机构遭遇入侵,引发了对软件供应链安全的高度关注。
 供应链.png

https://mp.weixin.qq.com/s/cBXtDVCeHFxNMeMvVO54Ww

2 英国超市特易购的网站和应用程序遭受网络攻击

在特易购声称黑客试图干扰其系统后,这家英国零售巨头的服务已经崩溃。特易购的网站和应用程序出现服务中断始于周六,导致购物者无法订购商品和跟踪发货。这家超市后来在Twitter上证实,它的食品杂货网站和应用程序已经恢复运行,但它暂时使用了一个“虚拟等候室”来管理庞大的客流量。
周末期间,购物者抱怨信息缺乏,许多人想知道如何取消订单,以及是否能退款。特易购的一名发言人表示:“没有理由相信这个问题会影响客户数据,我们将继续采取持续的行动确保所有数据的安全。”
 英国超市.jpg

https://www.bbc.com/news/business-59027423
Tesco website hack.pdf (307.55 KB, 下载次数: 14)

3 流行的开源论坛软件Discourse修复了一个RCE漏洞

超级流行的、被广泛部署的开源社区论坛和邮件列表管理平台Discourse有一个关键的远程代码执行漏洞,这个漏洞在周五的紧急更新中得到了修复。该漏洞被跟踪为CVE-2021-41163,在Discourse版本2.7.8及更早版本中被发现。该漏洞可由发送恶意请求的攻击者触发,由于在subscribe_url值中缺乏验证,该请求可能导致远程代码执行。该漏洞已在最新的测试版、稳定版和通过测试的Discourse版本中修复,对于无法更新到2.7.9或更高版本的管理员,解决方法是在上游代理阻止以“/webhooks/aws path”开头的请求。
 Discourse.jpg

https://threatpost.com/cisa-critical-rce-discourse/175705/

4 研究人员发现爱立信OSS-RC组件存在两个新漏洞

运营支持系统 - 无线电和核心(OSS-RC)为无线电和核心组件提供了一个集中接口。来自意大利电信公司TIM的漏洞研究部门RTR发现了两个影响爱立信OSS-RC的新漏洞。第一个漏洞是一个XSS漏洞(CVE-2021-32569),存在于18B版本的OSS-RC系统和ALEX下的旧客户文档浏览库中。第二个漏洞是CVE-2021-32571,在18B及更早版本的OSS-RC系统的数据迁移过程中,某些包含用户名和密码的文件未删除地留在系统中。
 OSS-RC-1.png

https://securityaffairs.co/wordp ... n-oss-rc-flaws.html

5 数百万Android用户成为UltimaSMS诈骗活动的目标

网络犯罪分子利用151个下载量达1050万次的Android应用程序,在用户不知情的情况下,进行了大规模的诈骗活动。Avast的研究人员发现了这一活动,并将其命名为“UltimaSMS”,并报告了他们在谷歌Play商店上找到的80个相关应用。谷歌很快就下架了这些应用程序,但欺诈者可能通过欺诈性的订阅费用赚取数百万美元。这些黑客通过151个安卓应用程序发起了UltimateSMS活动,这些应用程序伪装成打折应用程序、游戏、自定义键盘、二维码扫描、视频和照片编辑器、垃圾电话拦截器、相机滤镜等。
 UltimaSMS诈骗活动.png

https://www.bleepingcomputer.com ... ion-fraud-campaign/

6 Gummy Browsers攻击可收集用户的浏览器指纹信息

浏览器指纹,也称为机器指纹,是指一种跟踪技术,用于通过收集有关远程计算系统的软件和硬件的属性来识别互联网用户。一种“潜在的破坏性和难以检测的威胁”可能被攻击者利用于收集用户的浏览器指纹信息,目的是在受害者不知情的情况下欺骗他们,从而有效地窃取他们的隐私。来自德克萨斯A&M大学的学者们将这种攻击系统称为“Gummy Browsers”,将其比作一种将近20年的“Gummy Fingers”技术,该技术可以模拟用户的指纹生物特征。
 Gummy Browsers.jpg

https://thehackernews.com/2021/1 ... er-collect-and.html
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 04:29

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表