一、业界动态
IDG发布2020年安全重点研究的分析报告
IDG发布了2020年安全重点研究的分析报告,旨在更好地了解组织现在和来年关注的各种安全项目。该报告指出,超过三分之一(37%)的人认为,COVID-19和劳动力变动等意外正迫使他们将重点从战略安全任务中转移出来;三分之一的决策者表示,他们2021年安全预算将高于COVID-19之前的预算,41%的人表示总体安全预算将在未来12个月内增加;大多数(87%)受访者明确在过去一年中造成安全事件的原因。
https://www.idg.com/tools-for-marketers/2020-security-priorities-study/
Ehackingnews发布近10年最常见的漏洞的综述报告
Ehackingnews发布了2010年-2020年最常见的漏洞的综述报告。这些漏洞分别为已影响全球超过82亿个设备的BlueBorne、2016发现的Badlock(CVE-2016-2118)、Linux内核中的漏洞DirtyCow、Intel/AMD处理器中漏洞ForShawod、针对OpenSSL加密软件库的Heartbleed、影响了Apple笔记本的iSeeYou、影响英特尔CPU的Lazy、勒索木马Linux.Encoder、针对SSL 3.0的POODLE和OS X中的提权漏洞Rootpipe。
https://www.ehackingnews.com/2021/01/2010-2020-decade-roundup-10-most.html
美国政府正式将SolarWinds黑客归咎于俄罗斯
ZDNet网站1月5日消息,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)、国家情报总监办公室(ODNI)和国家安全局(NSA)发表联合声明,正式指控俄罗斯政府策划了SolarWinds供应链攻击。
https://mp.weixin.qq.com/s/JRLUqeYSvIARWnSj2q8t0w
欧洲网络与信息安全局《铁路网络安全》全文翻译
报告系统介绍了信息安全在铁路行业的政策和法规框架、相关干系人、面临的挑战和应对措施、以及在ERTMS中的应用现状。
https://mp.weixin.qq.com/s/9WWaJJ2suMeNBNxuVeSx0w
利用Capabilities实现Linux系统权限提升
Capabilities机制是在Linux内核2.2之后引入的,如果Capabilities设置不正确,就会让攻击者有机可乘,实现权限提升。
https://www.secrss.com/articles/28488
二、关键基础设施
Communauto汽车共享服务遭受网络攻击
总部位于加拿大蒙特利尔的Communauto汽车共享服务公司遭受了网络攻击,导致很多服务器被锁定和数据被加密、应付账款和发票管理方面的延迟。该公司表示,黑客无法获得用户密码和信用卡号,但设法获得姓名,街道地址和电子邮件地址。目前,调查仍在继续,以更准确地确定哪些数据被盗。
https://ask.wandouxueyuan.com/intelligence/5996
10万+合勤科技Zyxel安全产品曝出管理员级别后门
荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技(Zyxel)是一家位于中国台湾新竹的网络设备制造商。
https://mp.weixin.qq.com/s/ugEXFYInEqpNhzNctfFqTA
三、安全事件
美国司法部称黑客入侵其Microsoft O365邮件服务器
美国司法部(DoJ)称SolarWinds供应链攻击的黑客入侵其Microsoft O365邮件服务器,并访问了3450左右个邮箱账户。该部门称黑客访问的O365邮箱数量仅在3%左右,并且其机密系统并未受到影响。截至目前,受到影响的机构包括财政部、国务院、NTIA、国立卫生研究院CISA、能源部、国家核安全局和国土安全部等。
https://www.bleepingcomputer.com/news/security/solarwinds-hackers-had-access-to-over-3-000-us-doj-email-accounts/
日产公司源代码泄露
日产北美公司一台配置错误(使用了默认的管理员用户名密码组合:admin/admin)的Bitbucket Git服务器的信息在Telegram频道和黑客论坛上开始传播,直到周三该服务器才脱机。
https://mp.weixin.qq.com/s/XwH_NKUOX0xudT8XG1HHMg
黑客组织Thallium针对股票投资者进行供应链攻击
ESTsecurity研究人员发现黑客组织Thallium通过更改私人股票投资通讯程序来进行供应链攻击。被注入特定命令的合法安装程序使用Nullsoft脚本安装系统(NSIS)重新打包,特定命令从恶意的FTP服务器上获取XSL脚本,并在Windows系统上通过内置的wmic.exe实用程序执行该脚本。然后,执行下一阶段的VBScript,以在%ProgramData%目录下创建文件和文件名,并连接C2服务器,以接收其它命令。攻击者会对受感染的系统进行侦查并筛选受害者,部署RAT以进一步进行其他活动。
https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/
四、漏洞事件
Talos披露SoftMaker Office中的代码执行漏洞
Cisco Talos披露了SoftMaker Office中的代码执行漏洞。德国软件开发商SoftMaker Software GmbH为个人和企业提供办公软件套件,该漏洞影响了其文字处理功能组件TextMaker。此次发现的漏洞分别为符号扩展漏洞(CVE-2020-13544),导致文档解析器对用于终止循环的长度进行符号扩展;文档解析功能中的签名转换漏洞(CVE-2020-13545);整数溢出漏洞(CVE-2020-13546),导致应用在缓冲区外部写入数据。
https://www.securityweek.com/softmaker-office-vulnerabilities-allow-code-execution-malicious-documents
Apache Flink高危漏洞 (CVE-2020-17518/17519) 预警
Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞,风险较大。
https://mp.weixin.qq.com/s/xQSzPsBul677UXJTA75vgQ