一周安全頭條(20190922-0929)
作者:星期日, 九月 29, 20190

安全研究 MITRE 通用缺陷列表 (CWE)9月17日,MITRE公布《通用缺陷列表 (CWE) Top 25 最危險軟件錯誤》草稿,并在新聞發布中解釋稱,這是一份關于可致嚴重軟件漏洞的最普遍、最關鍵缺陷的列表。該 Top 25 列表是可供軟件開發人員、測試員、客戶、項目經理、安全研究員和教育者探索軟件通用威脅的社區資源。MITRE 軟件保障主管 Drew Buttner 表示,他們想采用一種更客觀且基于現實世界的方法。2019 Top 25 列表包含從 2017 到 2018 的缺陷,反映 CWE 團隊修正數千個錯誤映射的 CVE 條目的努力。MITRE 計劃在 2020 列表中評估未來一年的映射。Buttner 指出,今年的 Top 25 列表是自 2011 年以來首度推出,但 MITRE 未來的目標是每年都推出一個新列表。

行業動態 美國 選舉系統美國參議院于上周四通過了一項預算案,將撥款2.5億美元加強大選安全。民主黨參議院克里斯?孔斯表示,這筆資金將可以幫助州政府升級選舉系統,從而應對諸如俄羅斯等外國勢力的干預。在2016年的大選中,川普的上任被懷疑是俄羅斯干涉美國大選的結果。

融資并購 終端安全惠普上周四宣布收購終端安全公司Bromium,具體收購價格并未透露。Bromium利用虛擬化技術對垃圾郵件、瀏覽器攻擊等其他攻擊方式進行阻斷,并且在之前已經持續為惠普的反惡意軟件輸出自己的能力。

融資并購 代碼安全代碼安全公司Cycode近日宣布獲得種子輪融資460萬美元。Cycode提供對源代碼進行管控、探測以及響應的平臺,用于解決現代企業因在網絡端儲存各類源代碼而可能發生的代碼泄露以及知識產權問題。Cycode表示市面上暫時沒有與其對標的產品。

融資并購 網絡安全保險 自動化評估加州網絡安全保險公司Pleasaton宣布獲得種子輪融資330萬美元。公司的產品Cowbell Factor為用戶提供持續的自動化網絡安全評估,根據組織的安全態勢以及資金狀況對潛在的威脅和資金影響進行計算。Pleasaton暫時的目標客戶為保險公司,幫助這些保險公司更好地對他們自身的客戶進行評估。

報告調研 在線交互安全 應用指南

2011年福彩3d走势 www.oykik.tw 近日,安全牛聯合四家業內領先的安全廠商通付盾、瑞數信息、威脅獵人、芯盾時代進行研究分析,并形成發布了《在線交互安全應用指南》報告,旨在對在線交互過程中主要用到的防護技術進行闡述,同時就不同場景的需求,進行解決方案的講解,并對未來的趨勢和看法進行了分享。

安全研究 惡意攻擊 財富500強 云賬戶近日,企業安全公司Proofpoint研究人員表示,黑客已經滲透了大約60%的美國頂尖公司的云計算網絡,幾乎所有行業都涉及到了。安全人員表示,在2019年上半年,檢測到超過1500萬次未經授權試圖進入美國財富500強公司云計算網絡的登錄嘗試,其中40萬次成功了。在分析了1000多個云部署中約2000萬個用戶帳戶后,研究發現92%的《財富》500強受訪公司都曾成為網絡攻擊的目標。60%的公司允許攻擊者進入他們的云計算網絡,6%的公司允許攻擊者未經授權登錄到高管賬戶。且攻擊者針對所有領域,在教育,食品和飲料領域攻擊最普遍,醫療保健和金融服務等受監管的行業情況較好。

網絡犯罪 DDoS攻擊 動態發現(WS-Discovery)協議9月18日,阿卡邁 DDoS 緩解服務 Prolexic 的研究人員公布了今年 8 月底某客戶遭遇的 35 Gbps 攻擊細節。相比史上最大 DDoS 攻擊的 1 Tbps,該攻擊看起來似乎不太起眼。但攻擊者采用了相對較新的技術,可以將攻擊放大 15,000%。據悉,該新型攻擊利用了 Web 服務動態發現 (WS-Discovery) 協議實現中的漏洞。WS-Discovery 使同一網絡上的設備能夠相互通信,并可引導網絡中所有設備攜自身信息 ping 某個位置或地址。該協議本是在局域網上內部使用的,并不適用于公開互聯網這種喧囂混亂的地方。但阿卡邁估測,暴露在互聯網上的約 80 萬臺設備可以接收 WS-Discovery 指令。也就是說,發送一條類似點名請求的 “探測” 指令,你就能產生數據泉涌并將巨大的數據流指向目標。

惡意攻擊 伊朗 俄羅斯 關鍵基礎設施 網絡戰伊朗當地時間9月22日晚,德黑蘭再度遭遇了一次大規模襲擊,整個伊朗的網絡系統遭遇了不明來源的大規模攻擊,其中重點攻擊目標在于伊朗的石油和金融設施,對此毫無準備的伊朗,受到了慘重損失。在短時間之內,其金融和石油設施迅速癱瘓,一切正常交易都無法進行下去。好在德黑蘭方面及時向俄羅斯請求援助,俄羅斯派遣了大量網絡戰專家遠程指揮伊朗網絡安全部門反擊,才度過了這一劫。根據伊朗高層不愿透露姓名的官員表示,目前俄羅斯已經確定攻擊來源正是美國中央情報局。

網絡犯罪 YouTube 網絡釣魚近日,大量YouTube創作者賬戶遭黑客攻擊,汽車評論社區創作者受影響最為嚴重。據悉,已有多個用戶報告稱收到電子郵件,或包含多個YouTube創作者網址的鏈接。黑客通過電子郵件引導用戶訪問釣魚網站,獲取賬戶憑證并更改其頻道網址,將熱門頻道重新分配給新用戶,令原賬戶所有者及其追隨者產生賬戶已被刪除的假象。

網絡犯罪 葡萄牙 敏感信息交易葡萄牙警方最近對一名當地黑客發起高達154項罪名的起訴,他們認為該男子與一個名為Football Leaks的網站有關。該網站從2015年開始,發布各種有關球員和俱樂部的敏感信息,包括合同、轉會費等內部文件。對該名男子的起訴包括非法接入以及敲詐未遂。

網絡犯罪 俄羅斯黑客 美國金融機構 用戶數據泄露俄羅斯黑客Andrei Tyurin近日因攻擊多個美國金融機構與公司認罪。Andrei去年被格魯吉亞政府引渡到美國。Andrei在2014年到2015年年中,涉嫌多起針對美國金融機構、經紀公司、金融新聞出版商以及多家其他公司的攻擊,總計盜竊超過1億名用戶的信息;其中,對于摩根大通的攻擊造成了8,000萬用戶的個人信息泄露。Andrei對其的多項指控都表示認罪,將面臨30年的監禁。

安全研究 特洛伊木馬 安卓 自5月以來,一種名為xHelper的新型特洛伊木馬被觀察到傳播到越來越多的Android設備,過去四個月內已發現超過32,000部智能手機和平板電腦被感染。黑客使用的工具是特洛伊木馬下載程序,在設備后臺默默下載其他更危險的惡意軟件,包括但不限于劫持木馬、銀行木馬和勒索軟件。發現它的malwarebytes實驗室的研究人員稱它為android/trojan.dropper.xhelper,最初被標記為一個通用的特洛伊木馬下載程序,但僅僅在幾個月的時間里就爬進了安全供應商的十大最易檢測的移動惡意軟件的行列。xHelper還可以偽裝成JAR歸檔的DEX (Dalvik可執行文件)文件進行傳播,其中包含編譯的Android應用程序代碼。這種感染新Android設備的方法非常獨特,因為傳統的移動木馬程序都是使用惡意的APK (Android包),這些APK隨后會被放入Assets文件夾中,然后安裝在受感染的智能手機或平板電腦上并執行。

漏洞補丁 vBulletin 利用腳本 遠程代碼執行據悉,網絡攻擊者正在大規模利用由一個匿名者所披露的漏洞,它可讓vBulletin服務器被非法接管。vBulletin是互聯網上最流行的網站評論應用之一,而現在它正遭受嚴重的安全威脅,所有vBulletin服務器管理員應盡快安裝好vBulletin開發者于周三上午發布的補丁。周一,一位匿名人士發布了一份18行漏洞利用腳本,相當于正式對外披露這一漏洞。該漏洞可讓未經身份驗證的攻擊者對版本5.0.0到5.5.4版本的vBulletin服務器遠程執行惡意代碼。目前來看,該漏利用方式簡單,以至于一些批評人士將其描述為后門。

漏洞補丁 微軟 IE瀏覽器微軟本周一發布了一個緊急安全補丁,對IE進行了升級以修復其中的一個嚴重漏洞。該漏洞可以通過惡意網頁或者郵件引發遠程代碼執行,換而言之,用戶可能在使用IE瀏覽器上網時,就遭到攻擊者的惡意劫持。由于該漏洞打破了微軟正常的漏洞發布日程,建議IE用戶盡快對系統進行升級。

安全研究 電源管理機制 CPU漏洞 密鑰竊取近日,清華大學計算機系教授汪東升團隊發現了ARM和Intel等處理器電源管理機制存在嚴重安全漏洞——“騎士”。這意味著普通人的支付密碼等隨時存在被泄露的風險。據悉,通過“騎士”漏洞,黑客可以突破原有安全區限制,獲取智能設備核心秘鑰,直接運行非法程序。團隊成員呂勇強介紹,與其他漏洞需要借助外部鏈接或者其他軟件,才能夠對電子設備進行攻擊不同,此次發現的漏洞,從本質上講,黑客不需要借助任何外部程序或者鏈接,就可以直接獲取用戶的安全密鑰。

漏洞補丁 蘋果 iOS 13近日,就在幾天前剛剛發布的iOS 13盡管帶來了一系列的改進其中包括廣受歡迎的全系統暗黑系統,但Reddit上的一些用戶還發現了一個重要的安全漏洞。據用戶Thanamite和createdbyeric披露,當用戶將信用卡添加到他們的賬戶時,意外發現保存到他們個人資料中的信息并不是自己的而是來自一個完全陌生的人的,信息包括姓名、賬單地址以及信用卡號碼的最后四位數字。在發現這一漏洞后,用戶createdbyeric聯系了蘋果,蘋果迅速將問題升級到更高級別并承認問題的嚴重性。

數據泄露 普通話水平測試查詢 代碼安全近日,程序員圈子里突然被陜西普通話等級查詢網刷屏,原因是這個網站竟然把所有考生數據直接寫在源代碼里,任何人查看源代碼后都可以直接查看數據。數據包括考生的照片、身份證號、準考證號、院校以及其他信息,這無疑會造成大量考生的隱私信息被直接泄露。有網友經過查證后發現即便是這些簡單的靜態代碼都不是程序員自己寫的,而是復制 2009 年百度知道示例代碼。這些示例代碼由百度知道用戶 wrr717 在回答用戶提問時編寫的,可以實現按照不同的查詢內容跳轉到不同頁面。而負責開發陜西省普通話水平測試查詢系統的程序員直接復制這段代碼,然后把用戶數據寫入頁面里進行跳轉等。

數據泄露 Thinkful 在線教育據報道,在線教育平臺Thinkful發生數據泄露事件,約4000萬用戶帳戶被曝光,曝光數據包含政府頒發的ID、社會安全號、財務信息。事件發生后,Thinkful立即通知受影響用戶,要求其重置密碼,此外還采取了一系列措施增強系統安全性,并展開全面調查。截至目前,暫不清楚此次事件發生的時間、原因及受影響用戶數量。

 

 


相關文章

寫一條評論

 

 

0條評論