免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Google Home智能扬声器存在漏洞可导致黑客窥探设备
Google Home 智能扬声器中的一个错误允许安装一个后门帐户,该帐户可用于远程控制它并通过访问麦克风馈送将其变成窥探设备。 某研究人员发现了这个问题,并因去年负责任地向 Google 报告该问题而获得了 107,500 美元。 本周早些时候,研究人员发布了有关该发现和攻击场景的技术细节,以展示如何利用该漏洞。在试验自己的 Google Home 迷你扬声器时,研究人员发现使用 Google Home 应用程序添加的新帐户可以通过云 API 向其远程发送命令。
https://www.bleepingcomputer.com/news/security/google-home-speakers-allowed-hackers-to-snoop-on-conversations/
2 LockBit勒索组织针对葡萄牙里斯本港进行网络攻击
里斯本港是葡萄牙最繁忙的港口,也是整个欧洲最常用的港口之一,由于其位于欧洲和非洲之间的战略位置,每年处理 13,200,000 吨货物。 圣诞节那天,里斯本港务局 (APL) 的官员告诉媒体,港口已成为目标。 尽管发生了袭击事件,但港口官员表示,该事件并未影响运营活动,但指出国家网络安全中心和司法警察均已收到该事件的通知。近日,LockBit 勒索软件组织表示,它对港口发起了攻击,声称窃取了财务报告、审计、预算、合同、船舶日志以及有关货物和船员的其他信息。该团伙在 1 月 18 日之前提供该端口以满足赎金要求,并威胁要泄露被盗数据。
https://therecord.media/port-of-lisbon-website-still-down-as-lockbit-gang-claims-cyberattack/?web_view=true
3 乌克兰关闭诈骗呼叫中心并表示有18,000个受害者
冒名顶替者在乌克兰的一个呼叫中心工作,他们冒充银行的 IT 安全员工欺骗了数千名受害者。 他们联系了受害者,声称他们的银行账户已被攻击者访问,并要求提供财务信息,声称这是防止欺诈所必需的,但却清空了他们的银行账户。 哈萨克斯坦网络警察局、国家警察总调查部、检察长办公室和执法人员发现了该计划。 调查人员发现,37 名接线员在一个呼叫中心工作,该呼叫中心由三名第聂伯罗居民称为哈萨克斯坦公民,同时假装是他们银行的 IT 安全员工。
https://www.bleepingcomputer.com/news/security/ukraine-shuts-down-fraudulent-call-center-claiming-18-000-victims/
4 Netgear公司建议用户修补最近修复的WiFi路由器高危漏洞
Netgear 已经修复了一个影响多个 WiFi 路由器型号的高危漏洞,并建议客户尽快将他们的设备更新到最新的可用固件。 该漏洞影响多个 Wireless AC Nighthawk、Wireless AX Nighthawk (WiFi 6) 和 Wireless AC 路由器型号。 尽管 Netgear 没有透露任何有关受此漏洞影响的组件或影响的信息,但它确实表示这是一个预身份验证缓冲区溢出漏洞。 如果在攻击期间实现了代码执行,成功的缓冲区溢出利用的影响范围从拒绝服务后的崩溃到任意代码执行。 攻击者可以在不需要权限或用户交互的情况下在低复杂度攻击中利用此缺陷。 在周三发布的安全公告中,Netgear 表示“强烈建议您尽快下载最新固件”。
https://www.bleepingcomputer.com/news/security/netgear-warns-users-to-patch-recently-fixed-wifi-router-bug/
5 美国CISA将JasperReports漏洞添加到其已知被利用漏洞目录中
美国 CISA 将 TIBCO Software 的 JasperReports 漏洞添加到其已知被利用漏洞 (KEV) 目录中,这些漏洞被跟踪为 CVE-2018-5430(CVSS 分数:7.7)和 CVE-2018-18809(CVSS 分数:9.9)。 TIBCO JasperReports 是一种开源 Java 报告工具,用于创建和管理报告和仪表板。 根据 Binding Operational Directive (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。
https://securityaffairs.com/140131/security/known-exploited-vulnerabilities-catalog-jasperreports.html?web_view=true
6 研究人员披露SNI代理错误配置可导致SSRF漏洞
复杂 Web 应用程序中的一个典型任务是将请求路由到不同的后端服务器以执行负载平衡。 大多数情况下,反向代理用于此。 此类反向代理在应用程序级别(通过 HTTP)工作,并且根据主机标头的值(HTTP/2 的:authority)或部分路径路由请求。 一种典型的错误配置是反向代理直接使用此信息作为后端地址。 这可能导致服务器端请求伪造 (SSRF) 漏洞,允许攻击者访问反向代理后面的服务器,例如,从 AWS 元数据中窃取信息。 研究人员调查对在其他级别/协议上运行的代理设置的类似攻击——特别是 SNI 代理。
https://www.invicti.com/blog/web-security/ssrf-vulnerabilities-caused-by-sni-proxy-misconfigurations/
|