摘要: 纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。 1.VMware NSX SD-WAN中存在未经验证的命令注入漏洞 Critical Start最新发现了VMware的NSX SD-WAN环境中一个未经身份验证的命令注入漏洞并向VMw...
纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。
- 1.VMware NSX SD-WAN中存在未经验证的命令注入漏洞
Critical Start最新发现了VMware的NSX SD-WAN环境中一个未经身份验证的命令注入漏洞并向VMware的安全响应中心发出警告。该漏洞(CWE-78)允许攻击者在远程服务器上运行任意命令。由于命令注入漏洞可能导致托管Web应用程序的服务器受到损害,因此通常被认为是一个非常严重的缺陷,可能会影响各种网络设备,包括路由器,交换机和防火墙,从而将敏感的、基于网络的信息暴露给未经授权的访问和使用。VMware了解后迅速发布了一个补丁来解决这个漏洞。
- 2.美国国土安全部警告说ERP系统即将受到网络攻击
7月25日,美国国土安全部(DHS)发布了一份警告,警告国家黑客、犯罪集团和黑客攻击者的活动会增加,以反对企业资源规划(ERP)系统。
这一警告是基于威胁情报公司Digital Shadows和Onapsis两天前发布的联合报告详细介绍了民族国家黑客、犯罪集团和黑客主义者是如何通过这些软件来攻击许多组织应用基础架构的。
原文链接:https://www.bleepingcomputer.com/news/security/dhs-warns-of-impending-cyber-attacks-on-erp-systems/
- 3.安全厂商发布Parasite HTTP 木马分析报告
Proofpoint研究人员最近发现了一种新的远程访问木马(RAT),可以在地下市场上销售。被称为Parasite HTTP的RAT病毒,特别值得注意,因为它包含了大量用于沙箱检测、反调试、反仿真和其他保护的技术。恶意软件在本质上也是模块化的,允许参与者在可用时添加新的功能,或者在感染后下载其他模块。
到目前为止,研究者只在一个小型的电子邮件活动中观察到了Parasite HTTP,这些邮件的目标收件人主要是信息技术、医疗保健和零售行业。
原文链接:https://www.proofpoint.com/us/threat-insight/post/parasite-http-rat-cooks-stew-stealthy-tricks
- 4.XorDDoS家族最新变种来袭
最近接到某客户反馈Linux服务器存在异常流量和可疑进程,深信服EDR安全团队迅速出击,捕获到了相应的恶意样本,通过分析确认此样本是Linux.XorDDoS恶意样本的最新变种,感染方式和远程恶意服务器地址均发生了改变。
Linux.XorDDoS运行之后,会通过fork创建子进程,然后结束掉父进程,并创建相应的守护进程,然后删除自身,拷贝自身到相应的目录下,同时样本运用了“多态”的方式,在相应的目录不断生成随机文件名的恶意程序,运行之后又删除自身,导致安全人员在查找相应的恶意程序时,总是定位不到相应的文件,进程列表也不断发生改变,同时Linux.XorDDoS会利用RootKit技术隐藏相应的IP地址端口号,然后通过与远程服务器进行通信,返回相应的数据包,解密之后,对相应的服务器IP地址发起DDOS攻击。
原文链接:http://www.freebuf.com/articles/system/172987.html
- 5.美国警方最高法院裁定,警方需要获得移动位置数据的授权
美国最高法院裁定,警方必须获得搜查令才能从移动运营商和类似服务获得移动定位数据。该决定旨在防止政府的监视活动,并保护第四修正案规定的公民隐私。最高法院裁定,访问移动运营商和类似公司存储的位置数据也需要授权,这些数据允许监控几乎所有公民的活动。当然,当有危及公民生命的危险情况或在处理国家安全问题时,当局可以在没有授权的情况下运作。
原文链接:https://securityaffairs.co/wordpress/73832/laws-and-regulations/supreme-court-location-data.html
- 6.数据泄露红色警报 | 一百多家汽车厂商机密数据曝光,特斯拉通用大众丰田都中招
据多家外媒报道,7 月初,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。此次泄露的主要原因是 Level One 在使用 rsync(广泛用于大型数据传输和备份)进行数据传输时,没有限制使用者的IP地址,导致非指定客户端也能连接。同时,他们也没有设置身份验证等用户访问权限,导致 rsync 可以公开访问,进而导致数据库裸奔。
此次泄露的数据主要包括客户数据、员工信息及与 Level One 自己的资料数据这三类。
原文链接:http://www.freebuf.com/news/178343.html
悬镜安全介绍:北京安普诺,由北京大学白帽黑客团队“Xmirror”主导创立,专注于动态数据中心和云计算租户侧的高级定向攻击防护,核心业务主要包括悬镜云卫士、云鉴网站威胁扫描系统等自主创新产品及以实战攻防对抗为特色的政企安全服务,专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应安全智能管家解决方案。