六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第96期

2020年03月30日 10:25

一、业界动态

1470 万个 IPv4 地址对外出售:价值逾 3 亿美元

IPv6倡导者Jun Murai昨日宣布,他将实际上出售超过1400万个IPv4地址,并将全部所得(预计总额将超过3亿美元)投入到与亚太地区的互联网监管机构APNIC共同拥有的一个信托基金。

https://mp.weixin.qq.com/s/1agUm6_JoXkl6YrOjRuvlA

FBI关闭了俄罗斯黑客平台DEER.IO

周二,联邦调查局(FBI)关闭了位于俄罗斯的在线平台Deer.io,该平台已经托管了数百个在线商店,这些在线商店出售了非法产品和服务。

https://securityaffairs.co/wordpress/100492/breaking-news/fbi-shuts-down-deer-io.html

未来Firefox或将强制启用HTTPS链接 禁止访问不安全页面

Firefox的未来版本可能会引入HTTPS-only模式,也就是说全面阻止访问不安全的网站。在最新上线的Firefox 76 Nightly版本中,Mozilla引入了一项实验性功能,如果一切顺利将会在未来几个月登陆稳定版中,向所有用户开放。

https://www.cnbeta.com/articles/tech/959819.htm

工信部部署开展2020年IPv6端到端贯通能力提升专项行动

工业和信息化部近日发文部署开展2020年IPv6端到端贯通能力提升专项行动。提出到2020年底,实现IPv6网络性能与IPv4趋同,平均丢包率、时延、连接建立成功率等指标与IPv4相比劣化不超过10%;IPv6 活跃连接数达到 11.5 亿;移动网络IPv6流量占比达到10%以上。

https://mp.weixin.qq.com/s/Q8dXJI_4lqSMjAzWM2jcHA

工信部网络安全管理局就新浪微博App数据泄露问题开展问询约谈

针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。

http://news.cnstock.com/news,bwkx-202003-4509283.htm

 

二、关键基础设施

研究团队发布针对ICS的Kwampirs RAT的分析报告

ReversingLabs分析了Kwampirs RAT的攻击IOC,以帮助公司保护其组织免受该恶意软件的攻击。FBI最近警告称,除了针对软件供应链公司外,Kwampirs攻击者现在已经演变成针对ICS企业,尤其是能源行业。研究人员发现每个Kwampirs样本都带有200个C2 URL的硬编码列表(以域名或IP地址的形式),Kwampirs尝试按顺序访问这些URL并使用第一个活动的ULR作为C2服务器。ReversingLabs共确定了1586个URL。样本的标头显示所有样本都是使用Visual Studio 2010编译的。时间戳与它们的出现时间没有关联,这可能意味着样本是在故意带有不正确时间戳的虚拟机中编译的。ReversingLabs创建了IOC列表,公司可以使用这些IOC创建新的防火墙和入侵检测规则,并在SIEM日志中搜索是否遭到感染。

https://www.techrepublic.com/article/boost-security-defenses-against-kwampirs-rat-malware-with-new-list-of-iocs/

Ameren Sioux和Labadie电厂的供应商遭勒索软件攻击

美国密苏里州Ameren Sioux和Labadie电厂的设备供应商(LTI Power Systems)遭勒索软件攻击,部分数据文件被窃。这些文件包括两家电厂的设备图和示意图,例如不间断电源设备的详细原理图,该设备用于在中断期间提供临时备用电源。圣路易斯公共广播电台称这些数据文件的时间在1996年至2017年之间。文件中似乎不涉及客户信息。华盛顿大学网络安全战略计划的负责人乔·舍勒(Joe Scherrer)表示,该攻击的目的主要是为了窃取知识产权。Ameren发言人表示该公司正在对此事件进行调查,并补充称没有理由认为泄露的数据涉及机密或对其运营至关重要。

https://news.stlpublicradio.org/post/ameren-missouri-equipment-supplier-targeted-ransomware-attack#stream/0

 

三、安全事件

Github疑似遭中间人劫持,网友反馈访问报证书错误

部分网友反馈Github网站无法访问,疑似有攻击者大规模地发起中间人劫持。除了Github网站,京东、koajs 等其他网站似乎也受到影响。

此次攻击似乎通过骨干网络进行443端口劫持,经测试,DNS系统解析是完全正常的。目前受影响的主要是部分地区用户,且涉及所有运营商,比如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些网站并未出现任何异常情况。

由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。

https://www.freebuf.com/news/231667.html

安全公司Keepnet Labs意外发现一个包括50亿条已泄露记录的数据库

专家发现一个属于安全公司Keepnet Labs的Elasticsearch实例,其中包含超过50亿条以前泄露的数据记录网络安全事件。泄露数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源(即Adobe,Last.fm,Twitter,LinkedIn,Tumblr,VK等)。

https://securityaffairs.co/wordpress/100198/data-breach/uk-security-firm-data-leak.html

精英黑客企图侵入WHO,身份尚不清楚

本月初精英黑客试图侵入世界卫生组织(WHO),其中一位高级机构官员表示,对WHO的网络攻击增加了两倍多。WHO信息安全官员Flavio Aggio表示,黑客的身份尚不清楚,而且没有成功侵入。但是他警告说,在WHO及其伙伴忙着控制新冠疫情之际,这些黑客侵入企图升高

https://cn.reuters.com/article/who-hacker-health-attack-0324-idCNKBS21B05U

首例以“冠状病毒”为主题的勒索病毒,篡改系统MBR

最近国外安全研究人员公布了一款以“冠状病毒“为主题的勒索病毒,这款勒索病毒会修改系统MBR,会修改受害者主机磁盘名为CoronaVirus,同时生成的勒索提示信息文件为CoronaVirus.txt。

https://mp.weixin.qq.com/s/PgOmpZ5nkGhjki1FbafJcg

 

四、漏洞事件

严重的RCE漏洞影响了数百万基于OpenWrt的网络设备

一位安全研究人员披露了影响基于OpenWrt Linux操作系统的网络设备的严重远程执行代码漏洞。该漏洞被命名为CVE-2020-7982,存在于OpenWrt的OPKG软件包管理器中。

https://securityaffairs.co/wordpress/100400/hacking/critical-rce-openwrt-devices.html

Adobe修复了其Creative Cloud中可致任意文件删除的严重漏洞

近日,Adobe修复了Windows版Creative Cloud桌面应用程序的一个严重漏洞,发布了带外安全更新,对漏洞进行修复。该漏洞编号为CVE-2020-3808,攻击者可以利用该漏洞从运行的Creative Cloud客户端进入Windows计算机系统,删除特定任意文件。

https://www.freebuf.com/news/231488.html

Nginx内存内容泄漏:问题复现与修复方案解析

最近HackerOne公布了Nginx内存内容泄漏的问题,如果说内存内容泄漏的问题是个Bug的话,那这个Bug是个比较典型的程序没有对输入异常数据做适当的过滤处理而形成的。

https://www.freebuf.com/vuls/231098.html

泛微e-cology存在信息泄露漏洞(CNVD-2020-19589)

泛微e-cology是一款面向大中型企业的办公平台产品。泛微e-cology存在信息泄漏漏洞,攻击者可利用该漏洞获取用户登录密码。

https://www.cnvd.org.cn/flaw/show/CNVD-2020-19589


more

手机扫码打开

logo