新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第74期

<<返回

2019年10月14日 09:40

一、业界动态

1、U盘仍是企业计算机安全风险的主要威胁

一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器。加密驱动器制造商Apricorn的研究表明,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。

http://hackernews.cc/archives/27638

2、英美澳施压 要求 Facebook 停止端到端加密计划

近年来,跨数字平台的端到端加密已经日渐普及。但是对于监管机构来说,这也为他们的调查取证和执法行动带来了极大的麻烦。近日,美国、英国和澳大利亚政府共同签署了一封公开信,要求 Facebook 停止在其所有平台上推行端到端加密计划,且矛头直指该公司首席执行官马克·扎克伯格。

http://hackernews.cc/archives/27622

3、澳大利亚网络安全中心发布《中小型企业网络安全指南》

澳大利亚网络安全中心(ACSC)发布《中小型企业网络安全指南》,该指南阐述了常见的网络威胁以及企业可以采取哪些措施来保护自己免受损害。该指南专为中小型企业设计,旨在使其了解、采取行动并增强其网络安全防御能力,以应对不断发展的网络安全威胁。该指南介绍了恶意软件、钓鱼邮件和勒索软件等常见威胁,还列举了多种针对威胁的预防措施。该指南不建议企业支付赎金,因为无法保证能够重新获得访问权;建议企业采取自动更新、自动备份和多因素身份验证等措施;建议在人员和流程中采取访问控制、密码短语及员工培训;该指南还附带了用于参考的安全术语词汇表。

https://www.us-cert.gov/ncas/current-activity/2019/10/10/acsc-releases-small-business-cybersecurity-guide

4、Ponemon Institute发布《2019年全球SMB网络安全状况报告》

根据周二Ponemon Institute发布的《2019年全球SMB网络安全状况报告》,全球66%的中小型企业(SMB)在过去12个月内报告了网络攻击事件 - 其中76%的企业总部位于美国。Ponemon表示这是连续第三年SMB报告的网络安全事件出现“显著增长”。当前SMB面临的最常见网络攻击形式是网络钓鱼、设备入侵或被盗、凭据窃取。随着自带设备办公(BYOD)模式的盛行,设备的被盗尤其成为一个问题。在过去12个月中,共有63%的企业报告了敏感公司数据或客户信息丢失事件,而在美国这一比例上升至69%,显著高于四年前的50%。

https://www.zdnet.com/article/76-percent-of-us-businesses-have-experienced-a-cyberattack-in-the-past-year/

二、工业安全

1、TwinCAT PLC存在多个漏洞,可导致拒绝服务攻击

德国厂商Beckhoff制造的TwinCAT PLC存在多个DoS漏洞。Beckhoff主要提供工业PC、I/O及现场总线组件、驱动技术和自动化软件等工业解决方案,该公司表示其产品已在全球超过75个国家/地区使用。Rapid7研究人员发现TwinCAT受两个DoS漏洞的影响,包括Profinet驱动程序中的漏洞(CVE-2019-5637)及组件内部通信协议ADS有关的漏洞(CVE-2019-5636)。Rapid7指出,可能导致DoS状况的数据包类型通常是由nmap和其他网络扫描程序发出的,这意味着合法的网络扫描或漏洞管理活动可能会暂时破坏设备,但此类设备通常不会暴露在互联网上。

https://www.securityweek.com/vulnerabilities-expose-twincat-industrial-systems-dos-attacks

2、研究团队披露施耐德电气Modicon M580中的多个漏洞

思科Talos披露施耐德电气Modicon M580中的多个漏洞。Modicon M580是施耐德电气的Modicon可编程自动化控制器产品线中的最新产品。研究人员发现Modicon对FTP的使用中存在多个漏洞,包括FTP明文身份验证漏洞(CVE-2019-6846)、FTP固件更新功能导致的拒绝服务漏洞(CVE-2019-6844~CVE-2019-6841,CVE-2019-6847)、UMAS明文数据传输漏洞(CVE-2019-6845)以及TFTP服务器信息泄露漏洞(CVE-2019-6851)。受影响的产品版本为Modicon M580 BMEP582040 SV2.80。

https://blog.talosintelligence.com/2019/10/vuln-spotlight-schneider-electric-m580-part-2-sept-2019.html

三、安全事件

1、FIN7黑客组织将新型RAT恶意软件加载到ATM制造商软件中

FIN7黑客组织将新型工具添加到了其恶意工具集里,其是一种能直接将载荷恶意软件分发到内存里的加载器,并且将一个模块连接到ATM制造商NCR Corporation的合法远程管理软件中。

http://www.mottoin.com/detail/4227.html

2、印度搜索引擎Justdial API漏洞导致1.56亿用户帐户暴露

印度本地搜索引擎Justdial存在安全漏洞,导致黑客可以登录其1.56亿用户帐户中的任何一个。除了访问用户信息(例如姓名、电话号码和电子邮件地址)外,攻击者还可以通过该公司的支付服务JustDial Pay来查看用户的财务信息,包括帐户的余额和交易记录。该漏洞由安全研究员Ehraz Ahmed发现,它利用了该网站的注册API。攻击者甚至可以利用该漏洞更改用户的JustDial Pay账户信息,从而导致发送至该账户的所有资金都被重定向,但攻击者无法进行汇款操作,因为这需要额外的PIN码。JustDial在一份声明中表示该漏洞已被修复。

https://thenextweb.com/security/2019/10/10/a-bug-in-indian-local-search-app-exposed-over-156-million-accounts/

3、Volusion遭黑客入侵,超过6500家电商网站受波及

根据zdnet的消息,黑客入侵Volusion的基础设施并传播恶意代码,导致超过6500家电子商店网站受影响。该事件是一个典型的MAGECART供应链攻击,攻击者获得了Volusion的Google Cloud基础设施访问权限,并在其中修改了JS文件,添加用于记录用户信用卡信息的恶意代码。这些恶意代码被加载到基于Volusion的在线商店中。截至目前恶意代码仍在Volusion的服务器上,Volusion尚未对此事件进行回应。

https://www.zdnet.com/article/hackers-breach-volusion-and-start-collecting-card-details-from-thousands-of-sites/

4、TeamViewer据称“被入侵”事件的研判及结论

2019年10月11日,火眼举办的FireEyeSummit大会上,几张演讲的PPT拍照被公开到网上,其中一张提及到一款非常流行的远程控制软件TeamViewer曾经疑似被黑客组织入侵,并称其可以访问安装了TeamViewer的任何系统。FireEye所说的事件应该发生在数年前,新版本TeamViewer仍被受控的可能性较小。

https://www.freebuf.com/articles/system/216444.html 

四、漏洞事件

1、Windows 10 Mobile 还有 2 月退休 但微软拒绝修复新发现的漏洞

微软承认Windows 10 Mobile上存在一个安全漏洞,该漏洞能允许默认人绕过你的锁屏屏幕来访问你的相册。不过好消息是,该漏洞只有在锁屏界面启用Cortana才会存在,不过坏消息就是微软表示不会修复该安全漏洞。

http://hackernews.cc/archives/27688

2、四款 D-Link 路由器发现无法修复的漏洞

DIR-652,DIR-655,DIR-866L和DHP-1565这四款D-Link路由器中发现了严重的安全漏洞。如果你不幸的拥有这四款路由器中任意一款,那么为了你的安全唯一的选择就是弃之不用,因为这个漏洞永远无法修复。

http://hackernews.cc/archives/27646

3、Whatsapp被曝现漏洞

近日,Facebook旗下即时通讯工具WhatsApp修复了一个安全漏洞,此前通过该漏洞,黑客可以用恶意GIF动图入侵该软件。

http://hackernews.cc/archives/27603

4、macOS终端模拟器iTerm2曝出存在7年的RCE漏洞

安全厂商ROS发现macOS终端模拟器iTerm2存在一个具有7年历史的严重RCE漏洞(CVE-2019-9535),该研究是Mozilla开源支持计划(MOSS)的一部分。根据Mozilla发布的博客文章,该RCE漏洞存在于iTerm2的tmux集成功能中,攻击者可通过向终端提供恶意输出来执行任意命令。视频演示表明,此漏洞的潜在攻击媒介包括连接到攻击者控制的恶意SSH服务器、使用curl等命令获取恶意网站或使用tail -f跟踪包含某些恶意内容的日志文件等,或是使用命令行工具诱使用户打印攻击者控制的内容来触发。Mozilla警告称该漏洞影响3.3.5及更高版本的iTerm2,并已在iTerm2 3.3.6中修复。

https://thehackernews.com/2019/10/iterm2-macos-terminal-rce.html