六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第70期

2019年09月16日 13:43

一、业界动态

1、谷歌将在Chrome 78中测试基于HTTPS的DNS功能

谷歌已经宣布计划在今年10月下旬发布的Chrome v78版本中正式测试新的DNS-over-HTTPS(DoH)协议。DoH的DNS请求作为加密的HTTPS流量通过端口443发送,而不是通过端口53以明文发送。这可以阻止第三方观察者通过记录和查看未加密的DNS数据来跟踪用户的浏览历史记录。对于初步测试,谷歌表示只会为少数DNS提供商切换到DoH,支持的DNS提供商列表包括Cleanbrowsing、Cloudflare、DNS.SB、Google、OpenDNS和Quad9。Mozilla之前也宣布计划在本月晚些时候为美国的一小部分用户逐步启用DoH。

https://thehackernews.com/2019/09/chrome-dns-over-https.html

2、新NetCAT攻击可从英特尔CPU中窃取数据

研究人员发现一种新的侧信道攻击,它影响了自2012年以来制造的所有现代英特尔服务器处理器。该攻击被称为NetCAT(网络缓存攻击),与英特尔的数据直接I/O技术(DDIO)有关,DDIO在最新的英特尔服务器级处理器中默认打开,包括Intel Xeon E5、E7和SP处理器系列。该漏洞(CVE-2019-11184)的利用难度较高,攻击者需要进行身份验证,并且需要与目标系统建立直接网络连接。英特尔将该漏洞的CVSS评分确定为2.6分,并建议在受影响的CPU上禁用DDIO和RDMA功能,或限制从外部不受信任的网络直接访问易受攻击的系统。额外的缓解措施包括使用能够抵抗定时攻击的软件模块或使用恒定时间样式的代码。

https://thehackernews.com/2019/09/netcat-intel-side-channel.html

3、国家计算机病毒中心发布违规APP和SDK名单

国家计算机病毒中心发布违规APP和SDK 今日头条、金山词霸等知名APP榜上有名。今日(9月15日),国家计算机病毒中心发布了《移动APP违法违规问题及治理举措》。其中APP(应用程序)和SDK(软件开发工具包)存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。

https://www.cnbeta.com/articles/tech/889483.htm

4、高危预警:针对MySQL数据库的勒索病毒

近期,深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为,截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。

https://www.4hou.com/system/20251.html

二、工业安全

1、西门子推出DejaBlue、Urgent/11和SACK Panic漏洞的修复补丁

近日西门子发布几份安全公告,推出最近的DejaBlue、Urgent/11和SACK Panic漏洞的修复补丁。西门子表示,微软在8月份修补的四个Windows远程桌面服务漏洞影响了部分Healthineers产品,但大多数医疗产品未受影响。这些漏洞被追踪为DejaBlue,与微软在5月份修复的BlueKeep类似。西门子还告知客户其许多产品受到最近披露的Linux内核漏洞(SACK Panic)的影响,其中最严重的一个漏洞为可导致DoS的漏洞(CVE-2019-11477)。此外,西门子RUGGEDCOM WIN产品受到最近披露的Wind River VxWorks漏洞(Urgent/11)影响。

https://www.securityweek.com/siemens-issues-advisories-dejablue-sack-panic-vulnerabilities

2、LYCEUM APT组织针对中东天然气、石油基础设施的攻击分析

LYCEUM APT组织主要针对的是具有战略性国家重要性的部门,包括石油和天然气以及通信行业。LYCEUM最早可能在2018年4月开始运作。域名注册表明,2018年中期的一项活动主要针对南非目标,在2019年5月,LYCEUM APT组织发起了一场针对中东石油和天然气组织的运动。此活动在2019年2月针对供应商恶意软件服务开发工具包后急剧上升。

https://www.4hou.com/info/news/20273.html

3、黑客利用DoS漏洞导致美国电网防火墙反复重启

北美电力可靠性公司(NERC)上周表示今年早些时候影响美国电网实体的网络安全事件并没有最初设想的那样危险。NERC在一份报告中指出,黑客在2019年3月5日利用DoS漏洞导致电网防火墙在10小时内反复重启,该事件只影响了一些低影响级发电站点的网络外围防火墙,并没有造成电力供应的任何中断。随后的分析确定重启是由利用已知防火墙漏洞的外部实体发起的,运营商最终发现他们未能为受到攻击的防火墙应用固件更新,在操作员部署适当的补丁后,防火墙不再重启。

https://www.zdnet.com/article/cyber-security-incident-at-us-power-grid-entity-linked-to-unpatched-firewalls/

三、安全事件

1、Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。

http://hackernews.cc/archives/27300

2、美国制造商成为LokiBot恶意活动的最新攻击目标

美国一家未披露名称的大型制造公司成为LokiBot木马的最新攻击目标。研究人员于8月21日首次观察到该攻击活动,该垃圾邮件是从可能遭到渗透的“可信”发件人发送给目标企业的销售部门。邮件伪装成报价请求,但实际上分发LokiBot木马。根据Fortinet研究人员的分析,此次LokiBot样本的文件大小为286KB,最近编译时间为8月21日,恰好与垃圾邮件的发送日期相同。此次攻击的IP地址注册到亚利桑那州凤凰城的一家网站托管服务提供商(名称为LeaseWeb USA),此前曾在6月份发生的垃圾邮件攻击中使用过两次。

https://threatpost.com/u-s-manufacturer-most-recent-target-of-lokibot-malspam-campaign/148153/

3、什么值得买服务中断数小时:称服务器遭大面积攻击

9月11日深夜,什么值得买发布服务异常致歉公告称,11日下午16:00起,因服务器遭受大面积攻击,什么值得买App和网站出现了服务异常,导致值友无法正常使用。

https://www.secrss.com/articles/13629

四、漏洞事件

1、某Telnet后门漏洞影响逾百万台物联网设备

据外媒报道,近日,研究人员在德国电子制造商Telestar Digital GmbH旗下产品发现了两个新漏洞(CVE-2019-13473和CVE-2019-13474)。据了解,黑客能够利用这些漏洞远程控制物联网设备的网络信号,并更改设备名称、窃取音频文件等。受影响的产品为Telestar公司的Imperial&Dabman I和D系列的联网设备,涉及设备的总数已逾百万台。

https://mp.weixin.qq.com/s/155u1SuDkHbvnpmB1V4MFQ

 


more

手机扫码打开

logo