欢迎光临
我们一直在努力

7月3日每日安全热点 – 47%MongoDB数据库被黑客入侵索要赎金

Ysck阅读(53)

漏洞 Vulnerability
CVE-2020-14173漏洞导致Atlassian Jira服务器和数据中心的文件上载功能允许远程攻击者通过跨站点脚本(XSS)漏洞注入任意HTML或JavaScript。
CVE-2019-20419漏洞导致Atlassian Jira服务器和数据中心版本允许远程攻击者通过Tomcat中的DLL劫持漏洞执行任意代码。
e-learning PHP 脚本 0.1.0 存在SQL注入漏洞
安全研究 Security Research
印度统一支付接口和支付应用程序的安全性分析
CVE-2019-5786 漏洞原理分析及利用
WMIHACKER(仅135端口免杀横向移动)
安全事件 Security Incident
政治黑客行动:入侵Roblox账号用于支持特朗普选举
47%的在线MongoDB数据库被黑客入侵索要赎金
勒索软件要求巴西电力公司Light S.a.支付1400万美元赎金。
Facebook向数千名应用程序开发者公开了用户数据
安全工具 Security Tools
Forerunner:一款支持多线程、Ping探测和数据提取的快速可扩展网络扫描库

CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞通告

Ysck阅读(138)

 

0x01 漏洞简述

2020年07月03日, 360CERT监测发现 F5 发布了 F5 BIG-IP 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-5902,漏洞等级:严重。

未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。

对此,360CERT建议广大用户及时将 BIG-IP 按照修复建议升级到指定版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛

 

0x03 漏洞详情

F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。

在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

 

0x04 影响版本

  • BIG-IP 15.x: 15.1.0/15.0.0
  • BIG-IP 14.x: 14.1.0 ~ 14.1.2
  • BIG-IP 13.x: 13.1.0 ~ 13.1.3
  • BIG-IP 12.x: 12.1.0 ~ 12.1.5
  • BIG-IP 11.x: 11.6.1 ~ 11.6.5

 

0x05 修复建议

通用修补建议:

升级到以下版本

  • BIG-IP 15.x: 15.1.0.4
  • BIG-IP 14.x: 14.1.2.6
  • BIG-IP 13.x: 13.1.3.4
  • BIG-IP 12.x: 12.1.5.2
  • BIG-IP 11.x: 11.6.5.2

临时修补建议:

官方建议可以通过以下步骤临时缓解影响

1) 使用以下命令登录对应系统

tmsh

2) 编辑 httpd 组件的配置文件

edit /sys httpd all-properties

3) 文件内容如下

include ' <LocationMatch ".*..;.*"> Redirect 404 / </LocationMatch> '

4) 按照如下操作保存文件

按下 ESC 并依次输入 :wq

5) 执行命令刷新配置文件

save /sys config

6) 重启 httpd 服务

restart sys service httpd

并禁止外部IP对 TMUI 页面的访问

 

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现BIG-IP在 全球 均有广泛使用,具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类事件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

 

0x08 时间线

2020-07-01 F5官方发布通告

2020-07-03 360CERT发布通告

 

0x09 参考链接

  1. Article: K52145254 – TMUI RCE vulnerability CVE-2020-5902
  2. BIG-IP 应用程序服务、硬件和软件 | F5

腾讯状告老干妈反被骗,实则3人为游戏礼包码伪造印章

Ysck阅读(29)

第14期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第14期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

腾讯状告老干妈被骗,实则3人为游戏礼包码伪造印章

20193月,腾讯与老干妈公司签订了一份《联合市场推广合作协议》,腾讯会给老干妈的油辣椒系列做相关推广,但后期腾讯方表示已履行合约,对方的付款经多次催办仍未受到,因此起诉。

6月29日,中国裁判文书网发布了《深圳市腾讯计算机系统有限公司与贵阳南明老干妈风味食品销售有限公司、贵阳南明老干妈风味食品有限责任公司服务合同纠纷执行实施类执行裁定书》,《裁定书》显示,法院同意原告腾讯请求查封、冻结被告老干妈名下价值1624.06万元的财产。

 

630日晚间,老干妈官方微信针对该事件发布声明回应了这起纠纷案,声明表示经核实,我司从未与腾讯公司或授权他人与腾讯公司就老干妈品牌签署《联合市场推广合作协议》,且我司从未与腾讯公司进行过任何商业合作。

该事件在7月1日终于水落石出。根据贵阳市公安局双龙分局警方通报,经初步查明,系三名不法人员伪造老干妈公司印章,冒充老干妈公司市场经营部经理,与腾讯公司签订合作协议。其目的是为了骗取腾讯公司在推广活动中配套赠送的网络游戏礼包码,之后通过互联网倒卖非法获取经济利益。

 

某开发人员公开发帖指责直接公布厂商漏洞行为

昨天,一哥们在科技论坛V2EX信息安全板块发布了一篇帖子,该用户表示吐槽自己刚上线的产品就被相关网安从业人员直接公开漏洞,对客户造成影响和损失,并询问广大网友能否通过法律途径获得赔偿。

 

对此,评论用户纷纷发表了不同意见,表示:

“国内的漏洞平台应该都是发出漏洞标题,然后联系厂商。具体漏洞细节只有白帽、平台审核人员、厂商才能看到。 ”

“通知厂商就像是在路上扶跌倒的老人,运气好啥事没有,但顶多落下一声谢谢。运气不好不仅被抓进去还得赔钱。
然后就是楼主的描述,并没有说清楚,是平台公布了漏洞还是漏洞的细节,如果是漏洞细节那确实是平台的问题,这无可厚非。但是如果只是公布存在漏洞的话,尼玛自己的产品有问题,还怪平台发现了问题,都是什么傻狗,也配发布产品?
其次就是楼主对发现问题的态度,因为投入了精力所以不容许别人公开错误,因为出了错误就必须通过楼主的方式进行汇报,当用你系统的人是你的御用测试呢?
最后,也没说是什么产品,哪家公司。难道也知道自己开发的东西就是个垃圾,经不起推敲? ”

“没有系统是真正安全的,IOS 、Android 、Windows 这些流弊的系统每年被爆的漏洞比你多得多,不想着怎么解决漏洞,而是解决提出漏洞的人,国内的安全环境已经恶劣如斯。从我的经验来看,顶多是平台公布的一个漏洞标题《 xxcms 存在 xx 漏洞》,绝对不会公布详情的,而且在漏洞被白帽子发现之前,可能有无数个黑帽子已经开始批量拿站了,你确定真的有为你的客户考虑过吗?”

随即该网友又在下方发表了回帖,表示不是针对个人,更加不是针对平台,并发表观点:“安全人员应该通知厂家并修复漏洞 ,再提交平台公开漏洞”。

 

石黑一雄诺奖后的第一本书还没出版就被黑客盯上,想先一睹为快?

2020616日下午,英国费伯出版社宣布:石黑一雄诺贝尔文学奖之后的第一部作品《克拉拉和太阳》(Klara and the Sun将在202132日出版!

费伯出版社突如其来的“官宣”,让书迷和媒体都来不及反应。其实,《克拉拉和太阳》的书稿早已分发到世界各地出版商手中,筹备全球出版。只是保密工作做得太好,费伯出版社“官宣”前,知情者都没有透露一丝风声。

奇怪的是,出版消息一公布,世界各地的出版商、译者就收到一封来自版权代理人的电子邮件,主题是向他们套取《克拉拉和太阳》的书稿。出版商们满头雾水:“书稿不是你们发过来的吗?怎么又来要回去?”

很快,出版商们又收到了一封新邮件,来自真正的版权代理人:电子邮箱遭到黑客入侵,如果遇到奇怪的电子邮件,尤其是索要书稿的,请一定不要上当!

原来,石黑一雄的新书刚“官宣”,就被黑客们盯上了。他们千方百计想获得书稿——可能是为了牟利,也可能单纯地想先睹为快——这才上演了一出“高科技窃书的好戏。难道这位黑客也是书迷?

7月2日每日安全热点 – 游走在东欧和中亚的奇幻熊

Ysck阅读(18)

漏洞 Vulnerability
(Pwn2Own Tokyo 2019) Netgear R6700v3 LAN RCE write-up and exploit
Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过
安全工具 Security Tools
GoGhost是一种高性能、轻量级、便携的用于大规模SMBGhost扫描的开源工具
安全报告 Security Report
游走在东欧和中亚的奇幻熊
安全资讯 Security Information
美联邦通信委员会周二正式将华为和中兴通讯指定为国家安全威胁
59款中国APP印度遭禁后续:TikTok主动下架
安全研究 Security Research
重新审视 CVE-2019-19781 (Citrix NetScaler / ADC) 漏洞
SMBaloo:A CVE-2020-0796 (aka “SMBGhost”) Windows ARM64.漏洞利用
Zombie VPN在一个特殊的vpnsdk(anchorFree)上执行的系统级代码(CVE-2020-12828)
恶意软件 Malware
藏身“隐秘的角落”大肆敛财?!XMRig变种挖矿木马猖獗作恶

国外软件工程师:TikTok涉及隐私泄露问题

Ysck阅读(28)

Facebook爆出5000万用户信息数据被“剑桥分析”公司泄露,Instagram存在安全漏洞使得用户数据存在泄露的可能。国外一名高级软件工程师则认为TikTok 与这两个公司一样涉及隐私泄露问题

两个月前,Reddit用户bangorlol在讨论TikTok时发表了一条评论。Bangorlol声称已经成功地对TikTok进行了逆向分析,并分享了他对中国短视频社交平台业务的了解。总的来说,他认为TikTok存在严重的用户数据非法利用和其他问题,强烈建议用户永远不要再使用TikTok。考虑到TikTok是2019第四大最受欢迎的免费iPhone app,这个发现相当令人担忧

 

对TikTok的分析

以下为bangorlol发布的分析帖子翻译内容,第一人称叙述角度。

我对这个app进行了逆向分析,可以说是非常了解这个app的运行机制了(至少几个月前的版本是非常了解的)

TikTok实际上是一家数据收集服务公司,它不像Fackbook或者Instagram那些社交网络遮遮掩掩的盗取用户数据。它们正在使用一个API来获取你的短信,联系人,或你的设备信息。可以获取到的数据包括以下几个方面

1.手机硬件(cpu类型,cpu核心数,硬件id,屏幕尺寸,dpi,内存使用情况,磁盘空间,等等)
2.手机上已经安装的其他应用程序(我甚至看到一些我已经删除的应用程序)
3.所有与网络相关的东西(ip地址,本地ip地址,路由器mac,手机mac, wifi名称)
4.以上操作都不需要你的手机处于越狱状态
5.该应用的一些变体当时启用了GPS ping,大约每30秒激活一次——如果你曾经为一个post IIRC标记位置,这是默认启用的
6.他们在你的设备上设置了一个本地代理服务器来转换视频格式,但这很容易被滥用,因为它没有身份验证

最可怕的是,他们所做的大部分日志都是远程可配置的,除非你对他们的每个本地库进行逆向(如果你能够通过他们定制的OLLVM分支,那么阅读整个程序会很有意思)和手动检查每一个混淆函数。他们有几个不同的保护,以防止你逆向或调试应用程序。如果该软件知道你试图逆向分析它,应用程序的行为会略有改变。在Android版本中也有一些代码片段,允许下载远程zip文件,解压缩它,并执行上述二进制文件。一个手机app完全没有理由需要这个功能。

最重要的是,他们已经很久没有使用HTTPS了。他们在HTTP REST API中泄露了用户的电子邮件地址,以及用于重置密码的二级电子邮件。在几个月前,如果你对这个程序实施中间人攻击,你甚至还可以获取到用户的真实姓名和生日。

他们为用户提供一种“病毒式传播”的体验,吸引他们留在平台上。不管你第一个TikTok帖子是不是质量很高,你都有可能获得相当多的赞。这个app还有很多令人毛骨悚然的老人和孩子们的直接接触,我个人也看到过(并报告过)一些非常可疑的东西:40-50岁的男人和8-10岁的女孩用性暗示的歌曲进行二重唱。这些视频被公开发布。

事情是这样的。他们不想让你知道他们收集了多少关于你的信息,所有这些数据集中在一个地方,对安全的影响是巨大的。他们用一种算法对所有分析请求进行加密,这种算法会随着每次更新而改变(至少密钥会改变),这样你就看不到他们在做什么。他们还这样做,如果你在dns级别上阻止与他们的分析主机的通信,你就无法使用这个应用程序。

总的来说,我对Instagram、Facebook、Reddit和Twitter都进行过逆向分析,他们收集的数据远没有TikTok收集的那么多,而且他们肯定不会像TikTok那样直接试图隐藏发送的信息。将Instagram、Facebook、Reddit和Twitter和TikTok比较就好像拿一杯水和海洋做比较。

我是一个专注于对应用程序进行逆向分析,研究它们的工作机理的书呆子。称TikTok为广告平台是一种保守的说法。我认为TikTok本质上是针对儿童的恶意软件。请不要使用TikTok。不要让你的朋友和家人使用它。

 

bangorlol 简介

以下是boredpanda网站对TikTok分析作者bangorlol的访谈内容:

bangorlol不是一个脚本小子。在我职业生涯的最后几年里,我一直致力于对移动应用程序逆向分析,分析它们是如何工作的,并围绕它们构建额外的第三方功能。最近,我主要逆向了我们公司合作伙伴的api,这样我们就不用等他们为我们定制一些东西了。

当我有时间的时候,我会去寻找bug的奖励,或者帮助我的朋友解决他们的问题(或者他们的CTF题)。

总的来说,我喜欢研究软件安全,每次换工作时,我都会发现新公司产品的几个主要的缺陷。

实际上我是一个全能王,因为我对软件工程的大多数领域都很熟悉,对许多安全话题也都很熟悉。

据报道,中国的开发团队花了200天的时间来创建最初版本的TikTok,但是当Bangorlol把他的目光放在TikTok上时,TikTok就像是一个待宰羔羊。不过,它确实试图反抗。

TikTok花了很多精力阻止像我这样的人搞清楚他们的应用程序是如何工作的。
在应用程序的所有级别上都有大量的混淆,从标准的Android变量重命名到字节跳动fork以及为它们的原生内容定制ollvm。
它们隐藏函数,阻止调试器attach,并使用许多狡猾的技巧来增加难度。
老实说,这比我所瞄准的大多数目标都要复杂和烦人,Bangorlol解释道。

这种保密是可以理解的。据彭博社(Bloomberg)报道,TikTok的收入与它的受欢迎程度成正比,它的所有者字节跳动(ByteDance)去年的净利润为30亿美元。

Bangorlol认为,在当今社会,我们已经将泄露个人信息常态化,不再对隐私和安全有任何期望,所以把我们的数据和钱一起交给TikTok并不奇怪。“大多数“正常人”的普遍共识是,他们不能/不会成为目标,所以这没什么。或者他们没什么好隐瞒的,所以我为什么要在乎?

请记住,Bangorlol的研究结果是基于几个月前的TikTok版本,并且已经几个月没有分析这个应用了。这款应用程序可能会改变指纹技术,或者添加或删除一些令人厌恶的功能。我强烈鼓励那些比我聪明得多、有更多空闲时间的安全研究人员来看看这个应用程序,尽可能仔细检查每一个细节。他补充道,至少Android版本的本地库中有很多东西我无法弄清楚,也没有时间做进一步的调查。

Bangorlol说:“TikTok可能不符合被称为恶意软件的确切标准,但它绝对是穷凶极恶的(在我看来)。”各国政府禁止它是有原因的。不要使用这个应用程序,不要让你的孩子使用它。告诉你的朋友不要再用它了。它提供给你的只是一个快速的娱乐来源,你可以在其他地方得到,而不用把你的数据交给中国政府。你相当于直接将自己和你的人际网络(工作和家庭)置于危险之中。

 

网友评论

网友1:绝对精彩的分析。如果有人问你“不是所有的应用程序都在追踪你的数据,那跟facebook有什么不同吗?”你会怎么回答?
网友2回复:“我对Instagram、Facebook、Reddit和Twitter都进行过逆向分析,他们收集的数据远没有TikTok收集的那么多,而且他们肯定不会像TikTok那样直接试图隐藏发送的信息。将Instagram、Facebook、Reddit和Twitter和TikTok比较就好像拿一杯水和海洋做比较。”我想他用这段话回答了这个问题。
网友3回复:事实是,Facebook拥有很多公司,比如whatsapp和instagram。我猜他们把所有的数据放在一起来获取更精确的用户数据

网友4:我在一家提供视频基础设施的公司工作,我们的产品之一是一个分析套件。这个分析套件提供了他提到的所有数据,而且还提供了更多。Turner, Discovery, New York Times, Hulu,和大家最喜欢的公司MindGeek都在使用我们的分析套件,还有上百个其他的大客户。作者说,”这个应用程序的一些变体当时启用了GPS ping,大约每30秒一次”,这叫做心跳。应用程序或应用程序中的视频播放器必须有心跳,这样播放器才能检测到观众是否仍在观看视频等等。我们的分析+视频播放器服务每8秒发送一次常规心跳,来判断你的播放进度

网友5:几乎所有的社交媒体平台都是如此。如果它是免费的,那么用户就是产品。

网友6:我希望中国不会发现我推翻他们政府的计划

网友7:有按键记录吗?所以他们有我的网上银行信息和邮箱密码?
网友8回复:不,如果是这样的话,它将是整个手机操作系统的一个主要漏洞。如果我说错了,请纠正我,但我觉得他们最多能做的是在第三方网站上使用cookie(不包括银行网站和类似的网站),并跟踪你输入的内容。它不太可能包含任何对你过于敏感的东西,只会让他们收集更多的数据。当然,他们可以跟踪你在他们自己的应用程序中输入的任何内容。

网友9:啧啧啧,你会发现所有的“animal ears”、“gender swap”、“aging”应用程序都只是收集照片,用于面部识别数据库。

网友10:人们似乎必须不断被提醒中国是什么

网友11:它只播放视频,但会消耗电池,你会发现你的设备发热严重,这证明它不仅仅是播放视频。

 

总结

bangorlol分析了TikTok获取用户数据的行为,并认为TikTok相当于一个恶意软件。但从网友评论看来,只有少部分人对他的说法买账。

7月1日每日安全热点 – Google下架25个窃取Facebook凭据Android应用

Ysck阅读(44)

漏洞 Vulnerability
UPnP 协议 CallStranger 漏洞影响数百万设备
Treck TCP/IP协议库多个漏洞安全风险通告
CVE-2020-2021 PAN OS操作系统曝“10分”罕见漏洞
安全工具 Security Tools
Spray:一款功能强大的活动目录凭证密码喷射工具
ROADtools – 微软Azure AD渗透框架
安全报告 Security Report
Bitdefender专门针对StrongPity APT组织木马工具的分析报告
安全资讯 Security Information
安全研究 Security Research
BIAS:蓝牙冒充攻击
联发科芯片 Rootkit 漏洞分析(CVE-2020-0069)
恶意软件 Malware
卡巴斯基对工控恶意样本Industroyer的检测与技术分析

CVE-2020-1457/1425:Microsoft Windows 编解码器库远程执行代码漏洞通告

Ysck阅读(87)

 

0x01 漏洞背景

2020年07月01日, 360CERT监测发现 Microsoft官方 发布了 Microsoft Windows 编解码器库远程执行代码漏洞 的风险通告,该漏洞编号为 CVE-2020-1457和CVE-2020-1425 ,漏洞等级:严重。

Microsoft Windows是美国微软公司研发的一套操作系统,Windows Codecs Library是其中的一个音频、视频文件编解码器。

Microsoft Windows编解码器库处理内存中的对象的方式中存在远程代码执行漏洞,攻击者可利用该漏洞,借助特制图像文件执行任意代码。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛

 

0x03 漏洞详情

Microsoft Windows编解码器库处理内存中的对象的方式中存在远程代码执行漏洞,攻击者可利用该漏洞,借助特制图像文件执行任意代码。

 

0x04 影响版本

  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 2004 for 32-bit Systems
  • Windows 10 Version 2004 for ARM64-based Systems
  • Windows 10 Version 2004 for x64-based Systems
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1709 (Server Core Installation)
  • Windows Server, version 1803 (Server Core Installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

 

0x05 修复建议

通用修补建议:

用户可以通过Microsoft Store App自行检查更新,详细信息可以参考:Get updates for apps and games in Microsoft Store

 

0x06 时间线

2020-06-30 Microsoft官方发布通告

2020-07-01 360CERT发布通告

 

0x07 参考链接

  1. CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
  2. CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability

美国大通银行被黑客攻击,用户无端收到银行转账;REvil又勒索上詹姆斯了!

Ysck阅读(47)

第13期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第13期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

美国大通银行被黑客攻击,用户无端收到银行转账

据相关人士爆料,美国大通银行(chase bank)据传被黑客攻击了!目前在推特上美国趋势的热度已经飙到第一。

很多用户称收到了大通银行的转账,纷纷发推特表示疑惑,这种从天而降的惊喜居然从梦中变成了显示,惊不惊喜,意不意外~

但是有部分用户表示账户里的钱莫名其妙变少了,有人多,有人少,所以这黑客黑的很平均啊~

目前至少三家美国银行的股票都跌了,周末的美利坚,是又开始躁动起来了吗?

 

黑客为支持特朗普连任,黑进小学生游戏账户为其买应援装备

大家都知道,国内的小学生对游戏的痴迷程度不亚于贫穷的你对金钱的渴望,而国外就有一款名为Roblox的游戏深刻吸引着9至14岁的小孩。在这款游戏中,玩家可以通过购买T恤,帽子以及其他相关配饰装扮自己的虚拟人物形象。

而就在上周,一项以支持特朗普连任美国总统的持续性活动开始对这些小学生下手了,尤其是那些使用弱密码的Roblox帐户小学生。

黑客攻击了他们的游戏账户,在获得了他们的访问权限之后,首先将他们的个人资料“关于”的部分修改为了“请您的爸爸妈妈今年给特朗普投票哟!MAGA2020

不仅如此,这些黑客还十分“盗亦有盗”,黑客不单是攻击账户留言,还给这些可爱的学生们购买了两套皮肤装备作为应援特朗普的酬劳。“虽然我黑进了你的账户吧,虽然我还让你劝说你爸爸麻麻给我投票吧,但我可不是让人干活不给人钱的黑心老板。 ”

第一件“赠送的装备”是一个带有白色文字的红帽子,上面带有“公牛奔跑”的字样,乍一看,它特别像特朗普支持者通常戴的再次使美国变得伟大MAGA)帽子。

然后还在账户中添加了爱国主义的“国美之鹰”T恤,包含秃鹰和美国的国旗。

截止上周六,Google大约有500个帐户被入侵,而目前被黑账户数量已经达到了1000个。如果你的Roblox帐户已被黑客入侵,赶紧登录帐户,然后将密码更改成复杂密码。

所以这件事告诉我们,同时也是告诉小学生,登录使用复杂密码是多么的重要!

 

REvil又勒索上詹姆斯了!一线明星敏感信息起拍价60万美金

继REvil勒索软件团伙勒索蕾哈娜、特朗普、创建信息拍卖网站之后,这伙人最近又把魔掌伸向了勒布朗詹姆斯、玛丽亚凯莉、妮琪·米娜等一线名人,这些名人的数据起拍价达到了60万美元。

该组织在公开的英文信息中表示:“我们拥有无数有价值的文件,购买这些数据的幸运者将在很长一段时间内感到满意。整个演艺圈不只有演唱会和粉丝的爱,还有大把金钱,操纵社会、幕后丑闻、性丑闻、毒品和背叛。”

他们还表示,每个文件批次都包含从名人办公室下载到的完整信息,有合同、协议、保密协议、机密信息、法庭冲突和公司的内部通信内容。

关于黑客入侵的消息在上个月就频频发生,近来,全世界多个国家出现了黑客勒索娱乐圈名人的案例,此前韩国数名演员遭黑客骚扰勒索的事件就已经闹得沸沸扬扬。

Treck TCP/IP协议库多个漏洞安全风险通告

Ysck阅读(161)

 

0x01 事件背景

2020年06月29日,360CERT监测到Treck官方发布了Treck TCP/IPv4/IPv6 软件库的安全更新。

Treck TCP/IP 是专门为嵌入式系统设计的高性能TCP/IP协议处理套件。

此次安全更新发布了多个漏洞补丁,其中CVE编号有19个,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。针对这一系列漏洞,JSOF(漏洞发现者)对其命名为:Ripple20,19个漏洞都是内存损坏问题,漏洞类型主要为远程代码执行漏洞、拒绝服务漏洞和缓冲区溢出漏洞,原因是Treck的软件库对不同协议数据包处理错误而造成的(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太网链路层)。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 中危
影响面 广泛

 

0x03 漏洞详情

  1. 该系列漏洞并非广义的TCP/IP协议的漏洞;其危害不针对整个互联网。
  2. 目前已公布的受影响的设备均为 IoT 设备,在 PC 设备领域没有发现受到影响的设备。
  3. 该系列漏洞存在于 treck 公司开发的TCP/IP底层库实现中。
  4. 根据 Ripple20 报告,该系列漏洞最高的危害是堆溢出造成远程命令执行。
  5. 目前暂未统计出受影响的所有设备列表。
  6. 远程命令执行需要构造复杂的系列数据包,利用难度非常高。
  7. 需要满足特定条件才可触发漏洞。

如果发现相关设备存在漏洞,请及时联系设备厂商进行修复。或参考下方缓解措施。

部分漏洞可以造成的影响如下

漏洞编号(CVE-2020-*) 造成影响
11896/11901 远程代码执行
11897/11904 越界写
11898/11903/11905/11908 信息泄漏
11900 UAF
11899/11902/11910/11912/11913/11914 越界读
11906/11907/11909 溢出
11911 水平越权

部分漏洞核心问题点以及临时缓解方案如下

漏洞编号(CVE-2020-*) 问题触发点 缓解措施
11896/11907 ip 分片处理 禁用该功能
11897/11906 ipv4/ipv6 源路由功能 禁用该功能
11898/11900/11902 ip-in-ip隧道 禁用该功能
11899 ff00::/8 广播包 禁止该地址广播包
11901 DNS DNS数据包检测;使用安全DNS
11903/11905 DHCPv4/DHCPv6 禁用 DHCP 客户端;禁用 DHCP 中继
11910/11911 ICMP 禁止特殊的ICMP报文(MTU/地址掩码更新等)
11913/11914 错误的以太网帧 丢弃格式错误的以太网帧
11912 错误的TCP 数据包 检测 TCP SACK和时间戳,丢弃错误的TCP 数据包

 

0x04 影响版本

  • Treck TCP/IP: <=6.0.1.66

 

0x05 修复建议

通用修补建议:

  1. 更新到 Treck TCP/IP 6.0.1.67 或更高版本。

临时修补建议:

  1. 部署网络扫描安全监测平台,对内部网络进行扫描监测,对披露的相关品牌资产进行识别,监测暴露的端口、协议接口等敏感信息。
  2. 部署网络流量分析设备,进行深度数据包检查,与网络设备联动丢弃错误的数据包。
  3. 部署 IDS/ IPS,对内部数据包进行签名,拒绝非法通信数据包。

 

0x06 时间线

2020-06-17 JSOF发布通告

2020-06-29 360CERT发布通告

 

0x07 参考链接

  1. Overview- Ripple20
  2. CVE-2020-11896 RCE CVE-2020-11898 Info Leak
  3. CMU VU#257161 network mitigations

6月30日每日安全热点 – 疫情期间Windows RDP暴力攻击次数翻倍

Ysck阅读(28)

漏洞 Vulnerability
CVE-2020-2021 PAN-OS:SAML身份验证中的身份验证绕过
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告
安全研究 Security Research
浅谈PyYAML反序列化漏洞
红蓝对抗之Windows内网渗透
CVE-2019-5786 漏洞原理分析及利用
ThinkPHP 6.x反序列化POP链(二)
硬件安全系列——ARM Cortex-M4固件逆向分析
安全事件 Security Incident
研究人员透露,在COVID-19期间,每天对Windows RDP进行的暴力攻击次数已增加了一倍
在勒索软件攻击后,UCSF向网络罪犯支付了114万美元以恢复文件
安全工具 Security Tools
Kube-Bench 检查是否根据CIS Kubernetes 安全基准部署了Kubernetes