欢迎光临
我们一直在努力

7月8日每日安全热点 – 机器人社会工程学

Ysck阅读(11)

漏洞 Vulnerability
IPV6_2292PKTOPTIONS的UAF漏洞导致内核任意读写
安全工具 Security Tools
安全报告 Security Report
安全资讯 Security Information
研究人员发现两家中国公司的不安全的数据库
更好的网络安全取决于了解实际风险和解决正确的问题
Android用户遭遇“无法删除的”广告软件
朝鲜Lazarus APT窃取了美国和欧盟商店的信用卡数据
恶意软件 Malware
Purple Fox EK新增CVE-2020-0674和CVE-2019-1458漏洞利用

黑客攻击俄罗斯外交部Twitter账号;入侵账号窃取色情信息的前雅虎工程师被判缓刑

Ysck阅读(5)

第15期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第15期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

匿名黑客组织攻击并控制俄罗斯外交部一Twitter账号

据外媒报道,劫持Twitter账户已成为某些特定黑客团体的一种爱好。俄罗斯外交部危机管理中心最近就成为了该类黑客的攻击对象,据悉,该中心Twitter账号近期遭到不明组织攻击,并试图出售他们的私人游客数据。

安全研究员Graham Cluley透露,这次攻击发生在72日,当时@MID_travel这个通常转发其他俄罗斯机构帖子的Twitter账号意外发布了一条令人惊讶的推文。该条推文称,黑客掌握了20206月在俄罗斯公共服务门户网站上进行过旅游付款的相关个人数据。

从技术上讲,黑客使用Twitter账号给他们窃取的数据打广告。然而,任何人都可以通过支付66比特币来确定这是不是真的,因为这是黑客对这批数据的要价。

不过俄罗斯当局现已恢复了该账号,并从该页面删除了这条推文,随后还发布了一条详细说明所发生事情的新消息,内容大致如下:72日上午,网络犯罪分子发布了一条信息,而这条信息跟俄罗斯外交部无关,于是我们重新进入了这个账号。现在账号运行正常”。

这次攻击背后的黑客组织并没有被披露,而且俄罗斯当局很有可能永远不会对外提供更多的细节信息。

 

入侵6000账号窃取色情信息的前雅虎工程师被判缓刑

前雅虎软件工程师Reyes Daniel Ruiz在任职期间利用工作访问权限入侵了大约 6000 个雅虎账号,主要目的是搜集女性的私密信息,然后将其转储到自己的个人硬盘。

他在去年认罪,上周被美国联邦法院判处了 5 年缓刑和被要求家庭监禁,但允许因工作、医疗和宗教等原因外出。他还被勒令支付 12.5 万美元罚款和赔偿。

Ruiz 的入侵目标主要是年轻女性,包括朋友和同事。

在访问了雅虎邮箱之后,他还利用这些账号访问了关联在线服务如 iCloudFacebookGmail DropBox,目的仍然是寻找私密的照片和视频。在雇主观察到可疑活动之后,Ruiz 承诺毁坏过储存相关图像的计算机和硬盘。

他在 2018 7 月终止了在雅虎的工作,2019 4 月被起诉,9 月认罪。检方称,虽然在入侵过程中他还窃取到了财务方面的信息,但其主要目标是窃取色情文件。他下载了大约 2TB 的数据,保存了一千至四千个私密照片和视频。

 

伊朗核设施遭黑客攻击起火?或与美国以色列有关

伊朗纳坦兹核设施7月2日起火,伊朗伊斯兰共和国通讯社称,火灾可能是敌方蓄意破坏,或与美国、以色列有关。伊朗官员表示,如果证实火灾由网络攻击引发,伊朗将予以报复。

被视为伊朗铀浓缩计划骨干的纳坦兹核设施位于中部伊斯法罕省,上周四发生大火,从卫星图片所见,涉事的两层高建筑物,超过一大半损毁和烧焦,分析认为反映曾出现爆炸。

美国《纽约时报》引述中东情报官员指,核设施遭受一枚强力炸弹袭击,相信是以色列策划。据报伊朗革命卫队认为是有人偷运炸弹进入设施后引爆,不过路透社引述伊朗官员就有另一说法,指相信事件由网络攻击造成。伊朗原子能组织发言人指,当局已查明出事原因,但基于安全理由而不公开,又证实事件造成一幢2018年启用的先进离心机设施严重损毁,无造成伤亡,但在中期内有可能拖慢发展先进离心机的进度。

有人建议弃用BlackHat等词,遭安全社区热议

Ysck阅读(12)

 

来源:二道情报贩子

信息安全(infosec)社区今天对放弃使用“BlackHat”和“WhiteHat”这两个术语的呼吁做出了愤怒的反应,理由是这两者,尤其是“BlackHat”与种族歧视无关。

谷歌工程副总裁,负责Android安全性和Google Play商店的David Kleidermacher于昨晚撤出了原定于8月在Black Hat USA 2020安全会议上发表的预定演讲,此讨论于昨晚开始。。

在退出公告中,Kleidermacher 恳求信息安全行业考虑使用更加中性的术语,带替代“白帽”(White Hat)、“黑帽”(Black Hat)和“中间人”(man-in-the-middle)等术语。

尽管Kleidermacher只要求业界考虑更改这些术语,但一些成员误以为他的声明是直接要求Black Hat会议更改其名称。

由于BlackHat是网络安全领域的最大会议,因此有关该主题的在线讨论迅速在网络安全专家中广泛传播,并在7月4日周末占据主导地位。

尽管信息安全社区的一部分同意Kledermacher的观点,但绝大多数人不同意,并称其“为至善至美”的信号。

大多数安全研究人员指出以下事实:这些术语与种族主义或肤色无关,并且起源于经典的西方电影,在该片中,小人通常戴着黑帽子,而好人则戴着白帽子。

其他人则指出,黑人与白人之间的二元论代表着邪恶与善良,这是自文明诞生以来就存在的概念,早在人类之间甚至还没有种族隔离之前。

目前,infosec社区似乎不愿意放弃这两个术语,当在与infosec相关的著作中使用这两个术语时,他们并不认为这是一个问题。

7月7日每日安全热点 – SWEED 黑客组织攻击活动分析报告

Ysck阅读(11)

漏洞 Vulnerability
CVE-2020-1836:华为P30信息泄露漏洞
安全工具 Security Tools
efiXplorer:用于UEFI固件分析和逆向工程自动化的IDA插件
安全报告 Security Report
SWEED 黑客组织攻击活动分析报告
安全资讯 Security Information

7月6日每日安全热点 – .NET Core中的漏洞可以绕过杀软

Ysck阅读(18)

漏洞 Vulnerability
CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞EXP公开
恶意软件 Malware
安全工具 Security Tools

CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞通告(利用公开)

Ysck阅读(31)

0x01 漏洞简述

2020年07月03日, 360CERT监测发现 F5 发布了 F5 BIG-IP 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-5902,漏洞等级:严重。

未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。

对此,360CERT建议广大用户及时将 BIG-IP 按照修复建议升级到指定版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛

 

0x03 漏洞详情

F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。

在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

目前msf已经集成了该漏洞的利用。

未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

tmshCmd

在 tmshCmd 的 service方法处理请求的时候,对 command 参数进行处理。

然后调用 WorkspaceUtils.runTmshCommand(cmd, request); 方法执行命令,限制了执行delete,create,list,modify。

if ("POST".equalsIgnoreCase(request.getMethod())) {
            String[] cmdArray = command.split(" ");
            String operation = cmdArray[0];
            String module = cmdArray[2];
            if (!ShellCommandValidator.checkForBadShellCharacters(command) && (operation.equals("create") || operation.equals("delete") || operation.equals("list") || operation.equals("modify")) && WHITELISTED_TMSH_MODULES.contains(module)) {
               try {
                  String[] args = new String[]{command};
                  Result result = Syscall.callElevated(Syscall.TMSH, args);
                  output = result.getOutput();
                  error = result.getError();
               } catch (CallException var11) {
                  logger.error(NLSEngine.getString("ilx.workspace.error.TmshCommandFailed") + ": " + var11.getMessage());
                  error = var11.getMessage();
               }
            } else {
               error = NLSEngine.getString("ilx.workspace.error.RejectedTmshCommand");
}

fileRead

在 fileRead 的 service方法处理请求的时候,对 fileName 参数进行处理。

接着调用 WorkspaceUtils.readFile(fileName); 方法,进行文件读取。

 

0x04 影响版本

  • BIG-IP 15.x: 15.1.0/15.0.0
  • BIG-IP 14.x: 14.1.0 ~ 14.1.2
  • BIG-IP 13.x: 13.1.0 ~ 13.1.3
  • BIG-IP 12.x: 12.1.0 ~ 12.1.5
  • BIG-IP 11.x: 11.6.1 ~ 11.6.5

 

0x05 修复建议

通用修补建议:

升级到以下版本

  • BIG-IP 15.x: 15.1.0.4
  • BIG-IP 14.x: 14.1.2.6
  • BIG-IP 13.x: 13.1.3.4
  • BIG-IP 12.x: 12.1.5.2
  • BIG-IP 11.x: 11.6.5.2

临时修补建议:

官方建议可以通过以下步骤临时缓解影响

1) 使用以下命令登录对应系统

tmsh

2) 编辑 httpd 组件的配置文件

edit /sys httpd all-properties

3) 文件内容如下

include '
<LocationMatch ".*..;.*">
Redirect 404 /
</LocationMatch>
'

4) 按照如下操作保存文件

按下 ESC 并依次输入
:wq

5) 执行命令刷新配置文件

save /sys config

6) 重启 httpd 服务

restart sys service httpd

并禁止外部IP对 TMUI 页面的访问

 

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现BIG-IP在 全球 均有广泛使用,具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类事件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

 

0x08 时间线

2020-07-01 F5官方发布通告

2020-07-03 360CERT发布通告

 

0x09 参考链接

  1. Article: K52145254 – TMUI RCE vulnerability CVE-2020-5902
  2. BIG-IP 应用程序服务、硬件和软件 | F5
  3. Add F5 BIG-IP TMUI Directory Traversal and File Upload RCE (CVE-2020-5902)
  4. CVE-2020-5902

3 分钟黑进阿里内网 + 500 万年薪?阿里 “天才黑客” 回应:假的,已不再做安全

Ysck阅读(25)

我从没黑过阿里网站,‘马云下死命令留我’、‘500万年薪’都是以讹传讹的假新闻。

阿里天才“黑客”吴翰清现身辟谣。

中国宏阔黑客联盟 7 月 5 日消息,针对网络盛传的“阿里天才黑客”吴翰清在面试阿里时仅用 3 分钟便黑进阿里内网,马云爸爸下令高薪挽留一事正式做出回应。

吴翰清在微博公开回应称:

“这是个假新闻!请不要再消费我和阿里来赚流量了。我再澄清一次:

1、我从没黑过阿里网站。

2、宣传黑客攻击是倡导错误的价值观,这是法治社会,黑客攻击不是英雄,是罪犯。

3、黑客精神和黑客攻击是两码事,不要混为一谈。

4、“马云下死命令留他”、“500万年薪”都是以讹传讹。

5、阿里的安全是上千名工程师的共同结晶,我只做出了微小的贡献,不能记在我头上。

6、对反复传播这些假新闻的人,百般无奈,我只能通过法律来追诉了。

7、我近几年都在做人工智能领域,没有做安全了。”

阿里巴巴集团风险委员会主席邵晓锋也转发微博证实了吴翰清的说法,并表示:“如果有人黑阿里网站,我们绝不会高薪聘请,反而会把他们交给警察。”

网传天才黑客故事回顾

看到这里,有些童鞋可能依旧云里雾里,那么,我们先来回顾下网传的这位黑客少年有多厉害。

根据网传故事,2005 年,吴翰清此时 20 岁,拿着中学文凭去阿里巴巴面试网络安全方面的职位。面试官看着简历笑了,问他如何证明自己的技术水平。

他什么也没说,接过面试官的电脑,三下五除二就直接远程关掉了阿里的一台路由设备,导致阿里内部网络中断,整个过程也仅仅用了 3 分钟,当时,马云便下命令以 500 万高薪留住他。

如果让吴翰清这样技术精湛的人才离开阿里,成为在外漂泊的“大风”,对阿里来说始终都是一个巨大的安全隐患。与其为敌,不如招为己用,用黑客抵抗黑客,妙矣!

进入阿里之后,阿里的中心在淘宝网的业务建设上,对于安全防护没有意识。吴翰清为了让领导重视起来,就把全公司上下乃至总监的游戏密码都破解了,然后再给人家发邮件。自此网络安全引起了全公司的重视,吴翰清也被提拔为阿里巴巴高级技术专家。阿里安全也从无到有、从有到强。

也有人说,阿里今天能这么牛逼,全靠阿里云做技术支撑,马云之所以能睡上安稳觉,枕上无忧,全靠以吴翰清为首的顶尖安全专家。

阿里守护神——吴翰清

从今日吴翰清的回应来看,吴翰清主要强调了两个事实:

一是并没有黑过阿里公司内网,所以网传面试时 3 分钟黑进阿里内网,马云爸爸用 500 万高薪留下都是以讹传讹;

二是吴翰清已经转战人工智能。

但尽管如此,道哥吴翰清阿里守护神的标签依然有效。

中国宏阔黑客联盟了解到,吴翰清,人称道哥,中国年轻一代顶级黑客,曾是阿里云首席安全科学家、阿里云盾负责人。同时也是计算机安全领域中的传奇人物。

从小就被称为神童, 15 岁便考入西安交大少年班,也就在那时,他开始对网络攻防技术着迷,并创立了在中国安全圈内极具影响力的组织——“幻影”。

2005 年进入阿里,2012 年曾出走阿里创业,2 年后再次回归阿里。

28 岁时,他带领团队抵御了当时互联网史上最大的 DDos 攻击。30 岁时就以一个团队的力量,每天帮助全中国 37% 的网站抵御 16 亿次攻击。

就算阿里 6 万人全部参加年会,他也能用技术保障一切系统正常运行。

2018 年,32 岁的吴翰清获得了 2017 年度全球 35 位 35 岁以下的青年科技创新人才(TR35)。该奖项的创立,旨在寻找最有可能改变世界的牛人。谷歌创始人拉里·佩奇、Facebook 创始人马克·扎克伯格、Linux 之父林纳斯·托瓦兹、Apple 设计总监乔纳夫·伊森……都曾是该荣誉的获得者。全中国只有 2 个人得奖,他是其中之一。

所以,这样一位传奇的人物,也难免会被传出这样的传闻了。

毕竟,在黑客世界里有这么一句话:

“世界上有四种人:一种是被黑过,一种是不知道自己被黑过,还有一种是不承认自己被黑过,最后一种是正在被黑……”

参考资料:

https://www.leiphone.com/news/201705/f9RYeoJFS8ZnIEUr.html

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

7月4日每日安全热点 – 健身公司V Shred 606 GB客户数据泄露

Ysck阅读(49)

漏洞 Vulnerability
CVE-2020-7284: McAfee NSM 未授权访问
CVE-2020-5902: F5 BIG-IP 远程代码执行漏洞
CVE-2020-9497/9498: Apache Guacamole 网关远程代码执行漏洞
安全工具 Security Tools
KAFL: x86内核Fuzz工具
安全报告 Security Report
安全事件 Security Incident
安全研究 Security Research
Windows Telemetry 服务本地信息泄漏与代码执行
攻击检测基础知识教程:代码执行和持久性-实验1
针对RMI服务的九重攻击 – 上
针对RMI服务的九重攻击 – 下

政治黑客行动:入侵Roblox账号用于支持特朗普选举

Ysck阅读(14)

 

一场黑客活动正在开展,这群黑客瞄准的是Roblox账号。被成功入侵的账号被用于为特朗普在即将于11月举行的美国总统选举拉票。

Roblox是一个在线游戏平台,它允许用户创建游戏并发布给其他人游玩。Roblox是一个非常受欢迎的游戏平台,每月有超过1亿的活跃用户,并且一直名列全球前100名。

虽然Roblox适用于所有年龄段的人,但它更吸引9到14岁的孩子。

玩家可以购买皮肤,用t恤、帽子和其他配件改变他们在游戏中的化身的外观,来定制他们的游戏体验。

 

修改个人资料进行拉票

在上周,黑客通过使用弱密码爆破的方法入侵了Roblox账号。

他们的目标是儿童的账号,一旦黑客获得了访问账号的权限,他们就会修改个人资料的“关于”部分,修改为:“请你们的父母今年给特朗普投票!#MAGA2020。”

 

另外,黑客将购买两件免费的衣服,并将其添加到被黑账号的头像中,以代表他是特朗普的支持者

第一件衣服是一顶红色帽子,上面写着“Running of the bulls”的白色文字。当它出现在Roblox的头像时,第一眼看上去就像特朗普支持者经常戴的“让美国再次伟大”(MAGA)帽子。

 

第二件则是一件印有白头鹰和美国国旗的爱国“美国之鹰”t恤。

 

当BleepingComputer在周六首次发现这一攻击行动时,大约有500个与谷歌关联的账号被黑客入侵。

在写这篇文章的时候,已经有近1000个谷歌关联账号被黑客入侵。

BleepingComputer已经联系Roblox,但目前还没有收到回复。

 

受影响的Roblox用户应该怎么做

如果你的Roblox账号被黑客入侵,你应该尝试登录该账号并将密码更改为更复杂的密码。

对于那些不记得密码的用户,受影响的用户已经告诉BleepingComputer,他们的电子邮件没有被更改,用户可以通过重置密码再次访问该账号。

除了使用安全密码外,强烈建议用户在其Roblox帐户上启用双重身份验证,以获得更好的安全性。

CVE-2020-9497/9498:Apache Guacamole 网关远程代码执行漏洞通告

Ysck阅读(39)

 

0x01 漏洞简述

2020年07月03日, 360CERT监测发现 Apache Guacamole官方 发布了 Guacamole网关远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9497/CVE-2020-9498,漏洞等级:中危。

Apache Guacamole 存在 内存泄漏/内存破坏漏洞,攻击者 通过 攻陷Guacamole管理中的任意一台远程服务器,并诱使Guacamole连接,可以造成 完全控制 Guacamole 主体和其连接的所有远程桌面会话(包括但不限于:上传下载任意远程主机文件;在任意远程主机上执行任意程序/命令等)

对此,360CERT建议广大用户及时将 Apache Guacamole 升级到 1.2.0。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 中危
影响面 有限

 

0x03 漏洞详情

Apache Guacamole网关 是基于HTML5页面的无客户端远程桌面网关。它支持远程连接标准协议,例如VNC,RDP和SSH。方便用户从云端直接访问内部主机。

攻击者在已经攻陷Guacamole管理的任意一台内部服务器的情况下,才能触发以下漏洞,攻击者在外部不能对Guacamole造成危害。

CVE-2020-9497

Guacamole 在处理静态虚拟通道数据时,存在内存泄漏漏洞。Guacamole 在连接RDP客户端时,若RDP客户端(攻击者控制)通过发送特制的 PDU(协议数据单元) ,则会将Guacamole的内存数据传输到连接的RDP客户端(攻击者控制)。

CVE-2020-9498

Guacamole 在处理静态虚拟通道数据指针时,存在内存破坏漏洞。Guacamole 在连接RDP客户端时,若RDP客户端(攻击者控制)通过发送特制的 PDU(协议数据单元) ,则攻击者可以在Guacamole的guacd进程中执行任意代码。进而接管Guacamole所管理的所有远程桌面会话。

 

0x04 影响版本

  • Apache Guacamole:< 1.2.0

 

0x05 修复建议

通用修补建议:

升级到 Apache Guacamole 1.2.0 版本,下载地址为:Apache Guacamole™: Release Archive 。

 

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。

 

0x07 时间线

2020-06-28 Apache Guacamole官方发布通告

2020-07-02 CheckPoint 披露漏洞细节

2020-07-03 360CERT发布漏洞通告

 

0x08 参考链接

  1. Apache Guacamole™: Security Reports
  2. Would you like some RCE with your Guacamole? – Check Point Research