欢迎光临
我们一直在努力

6月29日每日安全热点 – WastedLocker:针对美国组织的攻击浪潮

Ysck阅读(13)

漏洞 Vulnerability
后门大开:GeoVision(台湾指纹扫描仪和监控技术制造商)产品中发现了关键漏洞
安全事件 Security Incident
安全资讯 Security Information
亚洲媒体公司 E27 遭受安全漏洞,黑客要求 “捐赠”
德克萨斯州遭受到针对政府机构和企业人为操纵的勒索软件的网络攻击
安全研究 Security Research
在Windows10(1909)中结合 DLL 劫持和 UAC 绕过
一种针对纸质投票的可扩展侧信道攻击
Tomcat 基于 Servlet 的无文件 webshell 的相关技术研究
Pwn2Own-Netgear-R6700-UPnP漏洞分析

CVE-2020-11996:Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告

Ysck阅读(17)

 

0x01 漏洞背景

2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。

通过恶意构造的HTTP/2请求序列可能会在几秒钟内触发高CPU使用率。如果在并发HTTP/2连接上发出足够数量的此类请求,服务器可能会变得无响应。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 中危
影响面 广泛

 

0x03 漏洞详情

通过恶意构造的HTTP/2请求序列可能会在几秒钟内触发高CPU使用率。如果在并发HTTP/2连接上发出足够数量的此类请求,服务器可能会变得无响应。

 

0x04 影响版本

  • Apache Tomcat : 10.0.0-M1 to 10.0.0-M5
  • Apache Tomcat : 9.0.0.M1 to 9.0.35
  • Apache Tomcat : 8.5.0 to 8.5.55

 

0x05 修复建议

通用修补建议:

 

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Apache Tomcat在 全球 均有广泛使用,具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。

 

0x08 时间线

2020-06-25 Apache官方发布通告

2020-06-29 360CERT发布通告

 

0x09 参考链接

  1. CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service

Gartner预测:2020年中国安全市场支出增长7.5%,达到299亿元

Ysck阅读(17)

 

根据全球领先的信息技术研究和顾问公司 Gartner 最新预测,全球信息安全与风险管理技术和服务领域的支出在2020年将持续增长,但增速将低于此前的预期。

2020年全球信息安全类支出预计将增长2.4%,达到1238亿美元(参见表1)。这一增幅低于Gartner在2019年12月的更新中预测的8.7%。中国安全市场支出将增长7.5%,达到299亿人民币(参见表2)。新冠疫情大流行促进了若干领域里的短期需求增长,例如部署云计算,远程工作技术( remote worker technologies )以及成本节约措施(cost saving measures)等。

Gartner管理副总裁 Lawrence Pingree 先生表示:“与IT行业的其他领域 一样,我们预计安全领域也将受到新冠疫情的负面影响。总体而言,我们认为2020年安全软件与服务领域的增长都将有所放缓并下降。”
“但仍有一些因素在支持着某些安全市场领域,例如基于云的产品与订阅受到需求或交付模型的支持,一些安全类支出将不会被随意支配,积极趋势也不能被忽略。” Lawrence Pingree 先生表示。

根据Gartner的研究,向基于云的交付模式的不断转变使得安全市场对整体下滑的抵御能力与有所增强,2019年基于云的总体安全部署平均渗透率已达12%。基于云的交付模式在诸如安全电子邮件以及Web网关等市场领域的部署率以高达50%以上。

今年的支出削减将对网络安全设备领域造成最严重影响,包括防火墙设备( firewall equipment )以及入侵检测与防御系统(IDPS)。2020年消费者在安全软件领域的支出预计也将下降。

表 1:2019-2020全球各项安全类支出预测 (单位:百万美元)

市场领域 2019 2020 增长率 (%)
应用安全 3,095 3,287 6.2
云安全 439 585 33.3
数据安全 2,662 2,852 7.2
身份访问管理 9,837 10,409 5.8
基础设施保护 16,520 17,483 5.8
综合风险管理 4,555 4,731 3.8
网络安全设备 13,387 11,694 -12.6
其他信息安全软件 2,206 2,273 3.1
安全服务 61,979 64,270 3.7
客户安全软件 6,254 6,235 -0.3
总计 120,934 123,818 2.4

因采用四舍五入计算方式,某些数字加合可能并不完全等于所示总数。

来源:Gartner(2020年6月)

表 2:2019-2020中国各项安全类支出预测 (单位:百万人民币)

市场领域 2019 2020 增长率 (%)
应用安全 848 945 11.5
客户安全软件 1,336 1,448 8.3
数据安全 565 616 9.0
身份访问管理 1,730 1,852 7.1
基础设施保护 2,139 2,318 8.4
综合风险管理 97 106 9.9
网络安全设备 7,518 7,111 -5.4
其他信息安全软件 379 395 4.2
安全服务 13,173 15,078 14.5
总计 27,784 29,869 7.5

因采用四舍五入计算方式,某些数字加合可能并不完全等于所示总数。

来源:Gartner(2020年6月)

文章来源:电子产品世界

Telegram疑似信息泄露 超4000万个条目公布于暗网

Ysck阅读(57)

 

据IT新闻网站 Kod.ru 报道,Telegram 用户数据疑似遭到泄露,数百万用户信息被公布于暗网论坛上。

某暗网论坛发布了一个包含Telegram数百万用户电话号码和唯一标识符的数据库。该数据库大约 900 MB,http://Kod.ru 的屏幕快照表明该文件包含超过4000万个条目。这些数据库包含电话号码和用户ID之类的详细信息,信息泄露很可能是因为用户滥用了联系人导入功能。

Telegram 新闻服务部门证实了数据库的存在,并指出在用户在注册过程中通过内置的联系人导入功能收集了这些信息。但是,Telegram 新闻服务部门表示,超过一半的联系人已经过时。数据库中近70%的账户是来自伊朗,剩余30%来自俄罗斯。

6月28日每日安全热点 – Magento 1.x 版本仍在大规模使用

Ysck阅读(18)

漏洞 Vulnerability
CNVD-2020-30168: KKCMS sql 注入漏洞
Haiwell 云组件 Cloud SCADA 代码执行漏洞
CVE-2020–8469: 趋势科技密码管理软件 DLL 劫持漏洞
安全工具 Security Tools
GhostShell:一款带有AV绕过和反分析技术的恶意软件研究工具
Screenspy – 绕过安全策略获用户屏幕截图工具
Espionage – Linux 网络数据包拦截嗅探工具
安全事件 Security Incident
安全资讯 Security Information
安全研究 Security Research

6月27日每日安全热点 – 欧洲银行遭史上最大基于PPS的DDoS攻击

Ysck阅读(19)

安全工具 Security Tools
ShellcodeLoader – 将shellcode用rsa加密并动态编译exe,自带几种反沙箱技术
安全资讯 Security Information
安全研究 Security Research
DarkCrewBot – 机器人商店船员的归来
使用yarGen提取Linux恶意脚本特征
恶意软件 Malware
Himera与AbSent-Loader利用COVID-19传播恶意软件
安全报告 Security Report

6月26日每日安全热点 – Github推出论坛用于解决用户使用问题

Ysck阅读(13)

安全报告 Security Report
安全研究 Security Research
使用定制化的Ysoserial攻击java反序列化漏洞
微软APT研究团队:缓解已受攻击的Exchange服务器所造成的影响
FreeRDP 越界读信息泄漏漏洞分析
NCCGroup 团队对 Evil Corp 组织开发的 WastedLocker 勒索软件的分析
JBOSS 无文件 webshell 的技术研究
安全资讯 Security Information
Github推出针对CodeQL的论坛用于解决用户使用问题

6月25日每日安全热点 – 4000万telegram 账户数据泄漏

Ysck阅读(16)

漏洞 Vulnerability
GHSL-2020-122:git-diff-apply命令注入漏洞
CVE-2020-9480: Apache Spark 远程代码执行漏洞通告
CVE-2020-14993:DrayTek Vigor2960,Vigor3900和Vigor300B设备缓冲区溢出漏洞,可使未经授权的攻击者远程执行代码
安全工具 Security Tools
进攻性的OSINT–使用LeakLooker进行进攻性信息泄漏搜集
安全报告 Security Report
安全事件 Security Incident
4000万telegram 账户数据泄漏
安全资讯 Security Information
WikiLeaks创始人阿桑奇被指控与“Anonymous”有密谋

BlueLeaks:24年的警察机密数据被泄露

Ysck阅读(33)

 

一个名为”DDoSecrets”的组织在网络上公开发表了269GB的机密数据,包含了长达24年的200多个警察部门的数据。这些被泄露的数据叫做”BlueLeaks”。

这些被泄露的几十万份文件都是FBI的报告和公告,可以在里面找到许多完整的国际银行帐号(IBAN),电话号码和电子邮件地址。

DDoSecrets与维基解密相似,但DDoSecrets承诺公开所有秘密,而维基解密则是有选择性的公开。

截止本文写作时,DDoSecrets发布的链接依然可以访问,这个链接包括了泄露的图像,文档,数据表,网页,电子邮件和文本文件。

其数据被此泄漏暴露的一些组织和部门包括:

阿拉巴马州融合中心
奥斯汀地区情报中心
波士顿区域情报中心
科罗拉多信息分析中心
加州麻醉品官员协会
特拉华州信息和分析中心
联邦调查局休斯敦公民学院校友会
联邦调查局国家学院协会阿肯色/密苏里分会
联邦调查局国家学院协会密歇根分会
联邦调查局德克萨斯州国家学院协会
沃思堡情报交换中心
用于信息共享和交换的明尼苏达融合中心情报通信企业
伊利诺斯州犯罪报告和信息-东部地铁
爱荷华执法学院
爱荷华州融合中心
基于信仰的信息共享和分析组织
密苏里信息分析中心
北加利福尼亚地区情报中心
内华达的网络交流
新罕布什尔州信息分析中心
北内华达地区情报中心
北德克萨斯聚变中心
内华达威胁分析中心
奥兰治县情报评估中心
南卡罗来纳信息情报中心
圣地亚哥犯罪和情报分析协会
南达科他州核聚变中心
佛罗里达东南聚变中心
东南密歇根警察局长协会
(旧金山湾区)
德克萨斯州毒品官员协会
犹他州信息和分析中心
弗吉尼亚执法部门国家安全网络
威斯康星州情报中心

BlueLeaks发布于6月19日,从这个发布日期我们可以看出该事件的潜在动机。可能是对警方无故杀害乔治•弗洛伊德(George Floyd)事件的抗议和报复。

布莱恩·克雷布斯报道了这次泄露,6月20日他从美国国家融合中心协会(NFCA)获得了一份分析报告,证明了泄露记录的真实性。

NFCA的调查结果表明,泄漏文件中的日期和时间戳显示,历史最悠久的文件可追溯到24年前的1996年8月。

另外,KrebsOnSecurity报道称泄露的数据中还包含电子邮件和相关附件。

根据NFCA提供给KrebsOnSecurity的情报显示,泄漏的源头是休斯顿的软件开发公司Netsential,NFCA的初步分析显示,其中一些文件包含高度敏感的信息,例如ACH路由号码,国际银行帐号(IBAN)和其他财务数据,以及个人身份信息(PII)和信息请求(RFI)和其他执法和政府机构报告中列出的嫌疑人的图像

对于Netsential公司,他们的网站上有简单的业务介绍:“我们的软件目前被财富500强公司、金融机构、中小型企业、协会、在线出版物、政府机构和全美各地的学校使用。Netsential具有容易维护的特性,只需要简单的粘贴复制就可以轻松维护和更新你的网站”

目前尚不清楚本次事件是否影响了该公司的其他客户,该公司董事斯蒂芬·加特雷尔(Stephen Gartrell)没有接受KrebsOnSecurity的采访。

 

黑客可以利用这些数据

根据NFCA的说法,泄露的数据可能会被黑客,网络犯罪分子和其他国家利用,用于攻击NFCA和相关情报机构。

Steptoe&Johnson LLP的律师Stewart Baker指出,泄漏的信息对于挖掘警察的不正当行为没有太大帮助,但可能对案件中的受害者构成危险并影响正在调查的案件。因为NFCA的工作主要是收集威胁和罪犯的情报,不一定会保存警察不当行为的数据。

Baker还认为,这么多材料当中肯定会涉及到一些敏感行动,甚至可能涉及警察人员名单或者卧底警察的信息,所以我担心这会威胁公务人员的生命安全。”

DDoSecrets成员艾玛·贝斯特(Emma Best)通过Twitter澄清了巴哈马总检察长办公室对该组织的一些误解:

上图大意如下:

DDoSecrets成立于2018年12月,而不是2019年12月。美联社当时报道了这一事件,通过浏览我们的网站或简单地谷歌一下这个问题就可以很容易地确定。这些数据并非来自2020年1月。我们的会员都公开在我们的网站上

“实际上,2018年12月只是我们的公开成立。我们实际上在11月开始了我们的工作,甚至更早开始建设该项目”Best补充道。

到目前为止,记者和各种专业人士正在分析这些被泄露了的数据,寻找有价值的信息。如果有新的重要信息被发现,我们会马上跟进报道。

总的来说,这次针对200多个执法部门的数据泄漏事件是全球首例。

6月24日每日安全热点 – NTT披露受到国家级黑客攻击

Ysck阅读(16)

漏洞 Vulnerability
三菱机电MC Works64,MC Works32远程命令执行漏洞
OSIsoft PI Web API XSS漏洞引起的RCE
macOS上的GNS3服务器任意文件读取
趋势科技密码管理器中的DLL劫持(CVE-2020–8469)
安全报告 Security Report
ASRC 2020年第一季度邮件安全报告
安全资讯 Security Information
日本电报电话公司(NTT)披露受到国家级黑客攻击
美国Minted(艺术工会)发生数据泄露,黑客在暗网出售包含500万用户记录的数据库