【安全帮】CVE-2020-11710: Kong API网关未授权漏洞通告

CVE-2020-11710: Kong API网关未授权漏洞通告

Kong API网关被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件，为云原生应用提供鉴权，转发，负载均衡，监控等能力。Kong API 网关管理员控制接口存在未授权访问漏洞，攻击者可以通过 Kong API网关管理员控制接口，直接控制API网关并使其成为一个开放性的流量代理，从而访问到内部的敏感服务。该漏洞为高危，建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

参考来源：

https://mp.weixin.qq.com/s/mzwwjglGKi8prm5SoaJaww

 

黑客50万美元售卖Zoom零日漏洞

据外媒BleepingComputer报道，相比近期zoom频频被爆出在线围观、商业机密泄露、加密宣传造假等问题，更严重的情况出现了：黑客把Zoom Windows客户端零日漏洞的利用方法以50万美元的价格出售。据报道称，这个零日漏洞是一个远程代码执行漏洞，潜在的攻击者可以在运行 Zoom Windows 客户端的系统上执行任意代码，如果再加上其他漏洞，甚至可以完全控制用户的设备。

参考来源：

https://www.anquanke.com/post/id/203247

 

伊朗黑客组织对美发起新一轮攻击

APT34（也称为OilRig或Helix Kitten）是由伊朗政府支持的网络间谍组织，他们的目标行业包括政府机构，金融服务，能源和公共服务，电信以及石油和天然气。研究人员近期发现了APT34利用新工具集进行的网络活动。根据此次发现的网络钓鱼文件，伊朗黑客组织将美国Westat员工或Westat提供服务的组织作为攻击目标。Westat是一家美国公司，为美国政府机构以及企业，基金会以及州和地方政府提供研究服务。

参考来源：

https://www.freebuf.com/articles/network/231307.html

 

戴尔发布新工具来检测 BIOS 攻击

计算机制造巨头戴尔上周发布了一种新的安全工具，该工具可以检测到试图修改计算机 BIOS 组件的攻击。该工具名为 “Dell SafeBIOS 事件和攻击指示器”，其作用是通过检测对 Dell 计算机的 BIOS 配置的更改并在公司的管理控制台中发出警报。该工具的目的是使系统管理员能够隔离可能已经受到威胁的工作站，以便进行补救。

参考来源：

https://netsecurity.51cto.com/art/202004/614614.htm

 

Git凭证泄露漏洞（CVE-2020-5260）通告

4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE-2020-5260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响版本 Git对恶意 URL 执行 git clone 命令时会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。请相关用户采取措施进行防护。

参考来源：

https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

 

公安部与中央网信办牵头建立跨部委打击危害公民个人信息和数据安全违法犯罪长效机制

机制成员单位包括公安部、中央网信办、最高人民法院、最高人民检察院、工业和信息化部、国家市场监督管理总局等。针对公民个人信息泄露事件频发、侵犯公民个人信息违法犯罪活动突出等问题，各部门依托该机制，紧密围绕危害公民个人信息和数据安全的隐患，充分发挥职能优势，严厉惩治犯罪，加强法律指导，突出联合整治，加强行业监管，加强宣传教育引导，构建保护公民个人信息和数据安全的社会综合治理体系。

参考来源：

https://mp.weixin.qq.com/s/_HyN5ZKdYT2pRDviXhbG_Q

 

漏洞赏金平台Bugcrowd融资3000万美元

近日，漏洞赏金平台  Bugcrowd在由Rally Ventures牵头的D轮融资中募集了3000万美元。宣布这一消息之际，网络安全行业正面临着越来越大的技能鸿沟，报告显示，越来越多的网络犯罪和网络攻击在2021年将给全球造成高达6万亿美元损失，而随着新冠疫情的爆发，全球远程办公的常态化将使这一数字比预期的还要高。

参考来源：

https://www.aqniu.com/industry/66929.html