每日安全简讯(20211223)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员在Auerswald VoIP系统中检测到两个后门

据报道，在美国联邦机构的网络中发现了一个后门。现在，RedTeam的渗透测试研究人员已经在德国电信硬件制造商Auerswald生产的一种常用的网络电话(VoIP)设备中发现了多个后门。这些后门是在渗透测试期间检测到的，根据RedTeam的研究人员的说法，攻击者可以快速获得对设备的完全管理权限。研究人员透露，他们在COMpact 5500R PBX的固件中发现了两个后门密码。一个后门密码用于“解决方案用户Schandelah”，另一个用于“拥有最佳特权的用户admin”。


https://www.hackread.com/backdoo ... rswald-voip-system/

---

2 比利时国防部承认攻击者利用Log4j漏洞访问其计算机网络

比利时国防部遭受了一次网络攻击，因为不法分子利用了Log4j的一个漏洞。这次袭击标志着北约国家的国防部首次成为这些漏洞的受害者。比利时国防部发言人说:“国防部发现其计算机网络受到了一次网络攻击，迅速采取措施，隔离受影响的部分。首要任务是保持国防网络的可用性。”他补充说:“这次攻击是在利用Log4j漏洞之后发生的，该漏洞上周被公布于众，全世界的IT专家都在参与其中。”比利时政府组织网络安全中心发布新闻稿称：“使用Apache Log4j软件但尚未采取行动的公司可能会在未来几天和几周内出现重大问题。”


https://www.theregister.com/2021 ... ry_log4j_exploited/

---

3 Android版本的Facebook存在不安全的直接对象引用漏洞

Facebook向一名来自尼泊尔的青少年研究员支付了4750美元的漏洞赏金，以奖励该漏洞可能被用来发现页面管理员的身份。企业可以使用Facebook页面来提高其品牌在社交媒体平台上的知名度，但Facebook账户对该页面拥有管理权限，该账户仍然是私密的。然而，来自尼泊尔的19岁少年Sudip Shah发现，Android版Facebook存在一个不安全的直接对象引用(IDOR)漏洞，可以用来泄露页面管理员的身份。


https://www.securityweek.com/fac ... page-admin-identity

---

4 SEO WordPress插件中的两个漏洞使超过300万个网站受影响

在非常流行的SEO WordPress插件中，两个高严重性的安全漏洞使超过300万个网站面临被接管的风险。这两个漏洞包括一个关键的身份验证权限提升漏洞(CVE-2021-25036)和一个高危的身份验证SQL注入漏洞(CVE-2021-25037)。插件开发者于2021年12月7日发布了安全更新，以解决这两个漏洞。然而，根据补丁发布后两周的下载统计，超过82万个使用该插件的网站还没有更新，仍然容易受到攻击。


https://www.bleepingcomputer.com ... al-seo-plugin-flaw/

---

5 育碧确认其流行的视频游戏Just Dance发生数据泄露

育碧公司宣布数据被泄露，原因是一些攻击者将其热门视频游戏Just Dance作为攻击目标。该游戏开发商证实，在攻击者利用“错误配置”窃取数据后，客户信息可能已被访问。育碧在一份声明中表示，此次违规仅限于“技术标识”，包括玩家标签、个人资料ID和设备ID，以及上传至游戏社区或社交媒体资料。这一事件是错误配置导致的，一旦发现，很快就修复了，但这使得未经授权的个人可能访问并可能复制一些个人玩家数据。


https://portswigger.net/daily-sw ... eo-game-data-breach

---

6 西肯塔基州骨科研究所披露了一起电子邮件黑客事件

总部位于肯塔基州的一家肌肉骨骼医疗机构周一开始通知近10.7万人，他们受保护的健康信息可能在今年夏天发生的一起电子邮件黑客事件中被泄露。在6月24日至7月8日期间，一名未经授权的攻击者访问了几个员工电子邮件账户，其中包括姓名和社会安全号码。在提交给缅因州总检察长的一封违规通知信样本中称，这起事件于7月7日首次被发现，当时该公司意识到一名员工的电子邮件账户存在可疑活动。


https://www.govinfosecurity.com/ ... hone-outage-a-18170

---