安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第92期

<<返回

2020年03月02日 10:34

一、业界动态

微盟员工删库跑路,公司市值暴跌10亿

2月23日晚,微盟公司的SaaS业务突然崩溃,基于微盟的商家小程序都处于宕机状态。随后微盟官方发布公告称:本次故障是由微盟核心运维人员的恶意破坏导致。受删库事件影响,微盟股价24日出现下跌,仅在这一天时间内,蒸发的市值超过10亿港元。2月27日,微盟创始人孙涛勇回应员工删库表:企业都有至暗时刻,不落井下石是道德。

https://www.freebuf.com/news/228514.html

MITRE发布安全漏洞列表CWE 4.0版,新增硬件安全漏洞

Mitre发布常见安全漏洞列表CWE 4.0版,该列表已扩展为涵盖硬件安全漏洞,其中包括:制造和生命周期管理问题;安全流程问题;集成问题;权限分离和访问控制问题;一般电路和逻辑设计问题;核心和计算问题;内存和存储问题;外围设备、片上结构和接口/IO问题;安全原语和加密问题;电源、时钟和复位问题;调试和测试问题;跨领域问题。

https://www.helpnetsecurity.com/2020/02/27/hardware-security-weaknesses/

在韩国政府之后,波兰政府也增加了对 Linux 的使用

前段时间, 韩国政府起草了一项战略,准备采用基于 Linux 的开源操作系统全面取代 Windows 7,以摆脱对其的依赖。目前,波兰的社会保险公司 ZUS( Zakład Ubezpieczeń Społecznych)也已宣布,与 Linux Polska 达成一项协议,以提供具有三年支持服务的集成服务器虚拟化解决方案,新的解决方案将允许 ZUS 开发和优化 IT 系统。

https://www.oschina.net/news/113603/poland-increases-use-of-linux

新恶意软件Mozart通过DNS隐蔽通信

一种名为Mozart的新型后门恶意软件正在使用DNS协议与远程攻击者通信,以绕过安全软件和入侵检测系统的检测。

https://mp.weixin.qq.com/s/Bv55slrEO8Z6wlGhS52Q3Q

 

二、关键基础设施

美国电力供应商RMLD遭勒索软件攻击

马萨诸塞州电力供应商RMLD遭到勒索软件攻击,其官网http://rmld.com目前不可用,并且无法预计具体的恢复时间。RMLD表示电力服务并未受到攻击的影响,电网仍然安全,并且没有迹象表明客户的财务数据受到损害,但攻击中可能暴露的客户数据包括姓名、地址、电子邮件地址以及电量使用记录。RMLD尚未确认勒索软件如何进入其计算机系统,也没有说明攻击者要求多少赎金,但表示拒绝支付赎金。

https://www.infosecurity-magazine.com/news/ransomware-attack-at-us-power/

 

三、安全事件

人脸识别初创公司遭黑客入侵!拥有30亿张照片图库

2020 年 2 月 27 日,据 thedailybeast 报道,初创公司 Clearview AI 遭到黑客入侵。

据 Clearview AI 披露,入侵者在“未经授权”访问了该公司的客户名单、客户建立的用户账户数量,以及客户进行的搜索次数;其中涉及到的客户包括执法机构、银行等。

https://www.t00ls.net/articles-55145.html

迪卡侬数据库泄露了1.23亿员工的数据

专家发现了一个泄漏的数据库,其中有超过1.23亿条记录属于迪卡侬西班牙(可能还有迪卡侬英国),泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等

https://securityaffairs.co/wordpress/98471/data-breach/decathlon-spain-data-leak.html

DDoS勒索分子瞄准澳大利亚银行

过去一周,澳大利亚金融业的银行和其他组织成为了广泛勒索活动的目标。除非组织以门罗币(XMR)加密货币支付巨额赎金,否则威胁组织会一直向受害人发送威胁电子邮件,以进行分布式拒绝服务(DDoS)攻击。、

https://www.zdnet.com/article/australian-banks-targeted-by-ddos-extortionists/

 

四、漏洞事件

关于 Apache Tomcat 存在文件包含漏洞的安全公告

2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。

https://www.t00ls.net/articles-55097.html

博通Wi-Fi芯片加密漏洞,影响超过十亿台设备

ESET研究人员在Broadcom(博通)和Cypress的Wi-Fi芯片中发现新漏洞KrØØk,该漏洞(CVE-2019-15126)可导致易受攻击的设备使用全零加密密钥来加密用户的部分通信信息。在成功的攻击中,攻击者可以解密由易受攻击的设备传输的某些无线网络数据包。该漏洞影响的设备包括亚马逊(Echo、Kindle)、苹果(iPhone、iPad、MacBook)、谷歌(Nexus)、三星(Galaxy)、树莓派(Pi 3)、小米(RedMi)的某些客户端设备以及华硕和华为的某些AP和路由器设备,保守估计有超过十亿设备受影响。Cypress已经向供应商发布了固件修复程序,用户可通过其设备制造商获取相应更新。研究人员没有在高通、Realtek、Ralink和Mediatek的WiFi芯片中发现该漏洞。

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/

Exchange Server远程代码执行漏洞(CVE-2020-0688)

ZDI披露微软Exchange Server中远程代码执行漏洞(CVE-2020-0688)的技术细节。微软最初称该漏洞是由内存损坏导致的,但后来将描述修正为该漏洞是由Exchange Server在安装时未能正确创建唯一的加密密钥导致的。该漏洞存在于Exchange控制面板(ECP)组件中,由于使用了静态密钥,经过身份验证的攻击者可以诱使服务器反序列化恶意制作的ViewState数据,从而在服务器上ECP应用(SYSTEM权限)的上下文中执行任意.NET代码。

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys