每日安全简讯(20220213)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 超过500个Magento网站在skimmer攻击中被黑

电子商务安全公司Sansec发现，几十万家运营Magento 1电子商务平台的在线商店被一个web skimmer工具盯上。上个月底，他们的爬虫在一天内发现了大约374个感染病例，这次攻击被发现。在所有的攻击中，都使用了相同的恶意软件。根据Sansec的说法，这种攻击非常突出，因为攻击者使用了PHP对象注入和SQL注入的组合，这帮助他们控制Magento存储。这些攻击是通过naturalfreshmall(.)com域名发起的，域名当前处于离线状态。


https://www.hackread.com/500-mag ... ent-skimmer-attack/

---

2 JFrog发布工具以保护JavaScript应用程序免受恶意NPM包的攻击

软件公司JFrog声称，多亏了JFrog发布的三个工具，JavaScript开发者将能够更好地防止恶意包进入他们的应用程序。这些工具是npm-secure-install、package-checker和npm_issues_statistic，旨在解决使用开源软件包时遇到的一些最棘手的安全问题。其中，它们验证包的版本是否可信，确保安装的安全，并监视应用程序中可能存在问题的组件。


https://portswigger.net/daily-sw ... icious-npm-packages

---

3 Moxa MXview的网络管理系统被发现存在5个漏洞

研究人员本周警告称，Moxa MXview基于web的网络管理系统的关键安全漏洞，为未打补丁的MXview服务器上未经验证的远程代码执行敞开了大门。影响3.x到3.2.2版本的5个漏的在CVSS漏洞严重程度等级上总共得分10分，其中三个可以串联在一起实现上述RCE(CVE-2021-38452、CVE-2021-38460和CVE-2021-38458)，另外两个漏洞可以用来获取密码和其他敏感信息(CVE-2021-38456、CVE-2021-38454)。


https://threatpost.com/critical- ... al-rce-moxa/178399/

---

4 斯里兰卡将使用印度开发的数字身份框架

斯里兰卡政府已优先实施统一数字身份框架(简称UDIF)，这是一个基于生物识别技术的国家数字身份项目。但熟悉印度Aadhaar项目的网络安全专家表示，他们对数据保护法律(包括数据本地化法规)的缺乏以及网络攻击的风险感到担忧。斯里兰卡将使用印度的Aadhaar项目框架。据斯里兰卡政府新闻门户网站发布的一份报告称，斯里兰卡总统和印度总理举行会晤后，印度向岛国斯里兰卡提供了一笔金额不详的资金，用于实施数字身份框架。


https://www.govinfosecurity.com/ ... y-framework-a-18489

---

5 佛罗里达州一营销公司因配置错误泄露数百万客户信息

安全研究人员发现了一个不安全的Amazon S3存储桶，其中包含了数百万人的个人身份信息(PII)。存储桶中有10个文件夹，包含大约6000个文件和总计超过1GB的数据。这个没有安全保护的存储桶是位于佛罗里达州萨拉索塔的营销和客户关系管理公司“Beetle Eye”的财产。研究人员表示，PII对所有互联网用户都是公开的，因为存储没有被正确配置，它的内容没有密码保护或加密。被曝光的记录包含多种形式的PII，包括姓名、电话号码、电子邮件地址和邮寄地址。


https://www.infosecurity-magazin ... -exposes-lead-data/

---

6 数字日程安排平台FlexBooker泄露了数百万客户的数据

vpnMentor的安全研究人员表示，数字日程安排平台FlexBooker被指控泄露了数百万客户的敏感数据。研究人员表示，这家总部位于俄亥俄州的科技公司使用AWS S3存储数据，但没有实施任何安全措施，导致内容完全暴露，任何使用网络浏览器的人都可以轻松访问。被曝光的1900万份文件包括全名、电子邮件地址、电话号码和约会详情。


https://www.zdnet.com/article/am ... cember-data-breach/

---