solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
adv
安全
WinterIsComing(31822)
发表于2021年03月31日 20时28分 星期三
来自
无线通信设备制造商 Ubiquiti 在 1 月份披露了一起安全事故,称涉及到第三方云服务商,事故暴露了客户的账号凭证。但吹哨人称,这起事故比 Ubiquiti 承认的要严重得多,是“灾难级别”,该公司有意淡化事故风险级别是为了最小化对股价的影响。吹哨人称,除了客户账号泄露外,攻击者还可能访问了客户数据,以及安装在企业和家庭中的客户设备。吹哨人表示,黑客获得了 Ubiquiti 放在 AWS 云服务中的数据库的完整读写访问权限,而 AWS 就是所谓的第三方云服务商。攻击者访问了一位 Ubiquiti IT 雇员 LastPass 账号里的高权限登陆凭证,获得了所有 Ubiquiti AWS 账号的 root 管理员访问权限,此类的权限允许黑客远程访问 Ubiquiti 客户在世界各地的设备。根据 Ubiquiti 在其网站上提供的数据,该公司在全世界 200 多个国家销售了超过 8500 万部设备。Ubiquiti 的安全团队在去年 12 月发现了黑客在系统中留下的后门,在移除后门之后,黑客留下信息勒索 50 比特币以交换他们保持沉默,黑客还提供证据证明他们窃取到了该公司的源代码。Ubiquiti 没有继续联系黑客,而是靠自己发现了第二个后门。
安全
WinterIsComing(31822)
发表于2021年03月30日 13时17分 星期二
来自
英国智库皇家联合军种研究院(RUSI)和 BAE 系统公司发表联合报告称,勒索软件的使用正在“失控”。尽管勒索软件主要是一个刑事犯罪问题,但经济繁荣和关键基础设施可能遭受的破坏令人担忧这类恶意软件还具有国家安全方面的潜在影响。报告称,双重勒索攻击(即在加密文件的同时窃取文件然后威胁泄露文件进行二次勒索)在 2020 年造成“前所未有的”损害,去年 6 月至 10 月间,在勒索软件博客上发帖的新受害者增加 200%。2020 年,采用双重勒索手段的 16 种勒索软件的操作者共进行了 1200 次攻击,受害者分布于 63 个国家。
安全
WinterIsComing(31822)
发表于2021年03月29日 22时35分 星期一
来自
PHP 项目维护者 Nikita Popov 周日表示,攻击者以他和 PHP 作者 Rasmus Lerdorf 的名义向 php-src 库加入了两个恶意 commits,声称是修正文字输入错误,但实际上是植入后门实现远程代码执行。Popov 称,开发团队不是十分确定攻击是如何发生的,但线索指示 git.php.net 官方服务器很可能遭到入侵,而不是个人的 Git 账号被窃取。恶意代码中包含了一条注解 “REMOVETHIS: sold to zerodium, mid 2017”,攻击被认为与加密货币无关,Zerodium 的 CEO Chaouki Bekrar 认为攻击者是在恶搞。恶意代码已经移除,调查正在进行之中。之前拥有写访问权限的开发者现在需要在 GitHub 加入 PHP 小组。
安全
WinterIsComing(31822)
发表于2021年03月29日 18时46分 星期一
来自
Google 安全团队本月中旬披露,一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客,Google 的行动终止了政府黑客们的反恐行动。安全公司经常会堵上友好政府使用的漏洞,但此类的行动很少会公之于众。在这起事件中,部分 Google 雇员认为反恐任务不应该被披露,但另一部分 Google 雇员相信公司完全有权披露,此举旨在保护用户让互联网更安全。Google 在其发表的一系列博客中有意的剔除了与黑客相关的具体细节,他们知道黑客的身份和目标。但不清楚在公开披露前他们有没有提前通知政府。
安全
WinterIsComing(31822)
发表于2021年03月29日 17时42分 星期一
来自
在 Motherboard 报道白帽子黑客花了 16 美元购买短信转发服务就能获得一个人的所有短信后,美国主要移动运营商 T-Mobile、Verizon 和 AT&T 采取行动改变了短信路由的方法,阻止黑客截至目标手机的短信。运营商的行动影响所有移动生态系统中的短信供应商。在这之前,自称 Lucky225 的黑客只是花钱使用了商业短信营销服务商 Sakari 的服务,输入目标用户的手机号码,就能转发手机收到的短信。
安全
WinterIsComing(31822)
发表于2021年03月29日 17时03分 星期一
来自
安全公司 Zimperium 的研究人员发现了包含完整间谍软件功能的先进 Android 恶意程序。恶意程序伪装成系统更新,通过第三方应用商店传播。它的功能包括:窃取 IM 消息,窃取 IM 数据库文件(如果可以 root),检查默认浏览器的书签和搜索,检查 Google Chrome、 Mozilla Firefox 和 Samsung Internet Browser 的书签和搜索历史,搜索特定扩展 .pdf、.doc、 .docx、.xls 和 .xlsx 的文件,检查剪贴板数据,检查通知内容,记录音频,记录电话呼叫,利用前置或后置摄像头定期拍照,窃取照片和视频,跟踪 GPS 位置,窃取短信,等等。受影响的消息应用包括 WhatsApp。
安全
WinterIsComing(31822)
发表于2021年03月29日 15时58分 星期一
来自
非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门,而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试,后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作:运行一个 Powershell 脚本,从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书,修改系统注册表,通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称,黑客还在域名中包含了他的社会安全号码。
安全
WinterIsComing(31822)
发表于2021年03月26日 13时08分 星期五
来自
OpenSSL 项目修复了一个高危漏洞 CVE-2021-3450,该漏洞允许黑客发送特制恶意请求去崩溃服务器。OpenSSL 是最广泛使用的软件加密库。最新披露的 CVE-2021-3449 是一个拒绝服务漏洞,是空指针引用错误导致的。在建立安全连接的初始握手期间,黑客可以利用该漏洞发送恶意形式的重协商请求。研究人员在 3 月 17 日报告了这一漏洞,诺基亚的开发者 Peter Kästle 和 Samuel Sapalski 开发了修复的补丁。
安全
WinterIsComing(31822)
发表于2021年03月23日 12时48分 星期二
来自
加拿大多伦多大学公民实验室的研究人员详细对比了字节跳动旗下的短视频应用 TikTok 和抖音,没有发现 TikTok 存在威胁到美国国家安全的证据。研究人员逆向工程了 TikTok 和抖音的 APK 文件,监视了它们发送的网络流量,发现两者之间有着明显的差异,但并没有表现出任何明显的恶意行为,应用没有未经用户同意收集通讯录、记录和发送照片、音频或视频或地理位置数据,但抖音包含的功能引起了更多隐私和安全方面的担忧,包括动态代码加载和服务端的搜索审查,而 TikTok 不包含这些功能。TikTok 和抖音有着相同的代码库,之后根据市场需要加入不同的定制功能,部分定制可通过服务器端返回的配置值启用或关闭。两个应用都限制了对标记为“仇恨言论”、“自杀预防”和“敏感”等内容的搜索。抖音有政治类关键词搜索限制,而 TikTok 没有此类限制。
安全
WinterIsComing(31822)
发表于2021年03月21日 20时42分 星期日
来自
计算机制造商华硕遭到了勒索软件 REvil 的攻击,攻击者开出了至今金额最高的赎金——5000 万美元。REvil 黑手党在其数据泄密网站上宣布它入侵了华硕公司,并公布了窃取文件的截图作为证据。华硕没有明确承认遭到了攻击,但表示已经通知了多个国家的执法机构和数据保护监管机构。据报道,在与 REvil 黑手党协商时,华硕代表被对方索取 5000 万美元赎金的要求感到震惊。攻击者还警告华硕,不要重复 SolarWind 的命运。攻击者可能利用了最近曝光的 Microsoft Exchange 漏洞。
安全
WinterIsComing(31822)
发表于2021年03月19日 17时41分 星期五
来自
Google Project Zero 安全研究人员披露,一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。研究人员最早是在 2020 年 2 月发现该组织通过水坑攻击利用 4 个 0day 攻击 Windows 和 Android 设备。在之后的 8 个月内同一组织被发现利用了至少另外的 7 个 0day,攻击的范围扩大到了 iOS 设备。Google 研究人员称,攻击者对漏洞利用的开发和利用的漏洞有着专家级别的理解能力,利用的方法相当新颖,它触发 iOS 内核提权漏洞的方法是非同寻常的。攻击者使用的利用链需要突破内置在操作系统和应用中的多层防御。
安全
WinterIsComing(31822)
发表于2021年03月16日 19时26分 星期二
来自
一位黑客演示了如何轻而易举的获取一个人的短信,只需要花钱不需要多少专门知识,而受害者甚至完全不知情。黑客利用的不是 SIM swapped,也不是依赖于 SS7(Signaling System Number 7)路由协议漏洞,而是借助商业短信营销服务 Sakari。Sakari 提供了短信群发和提醒服务,允许客户自己添加想要发送和接收短信的手机号码,它最便宜的方案只要 16 美元。如何获取目标手机的所有短信?方法很简单,直接用该手机号码注册然后选择接收短信,目标手机的短信就转发给了黑客。美国民主党参议员 Ron Wyden 认为,FCC 需要使用其权威迫使手机公司保护其网络,前主席 Pai 让行业自我监管的方法明显失败了。在掌握短信之后,攻击者可以进一步入侵使用手机号码的各类服务,如银行账号和消息应用。代表移动行业的贸易组织 CTIA 表示对此展开了调查,称没有运营商能复现攻击,没有观察到可疑活动的迹象。
安全
WinterIsComing(31822)
发表于2021年03月15日 22时18分 星期一
来自
Google 演示了实用的 Spectre 概念验证攻击,代码发布在 GitHub 上,演示发布在网站 leaky.page 上。2018 年 1 月,Google Project Zero 和奥地利格拉茨技术大学的研究人员披露了与预测执行相关的处理器漏洞 Spectre,利用基于时间的旁路攻击,允许恶意进程获得其他程序在内存中的数据。Google 的概念验证攻击针对的是运行在 Linux 系统上的 Chrome 88 的 V8 JS 引擎,使用的 CPU 是英特尔的 Core i7-6500U Skylake。Google 表示,可以进行微调让攻击能工作在不同的 CPU、浏览器版本和操作系统上,包括苹果的 M1 ARM CPU。概念验证攻击能以 1kB/s 的速度泄露数据。Google 称,虽然浏览器开发商已经实现了网站隔离等缓解措施,但这并不能阻止 Spectre 的漏洞利用,只是防止保存在内存中的敏感数据被攻击者读取。预防 Spectre 攻击还需要 Web 开发者部署应用程序级别的缓解措施。
安全
WinterIsComing(31822)
发表于2021年03月15日 21时41分 星期一
来自
著名开源 3D 绘图软件 Blender 通过其 Twitter 账号宣布其网站进入了维护模式,原因是有黑客尝试入侵。绝大部分基础设施,包括 Wiki、开发者入口、git 库、blender.chat 等功能仍然正常。目前网站除了首页显示的内容,大部分链接指向的页面都显示“不可用(This page is not available)”。目前网站已经下线了 12 小时。暂时不清楚攻击者的企图。当前软件供应链攻击非常流行,对 Blender 的攻击可能也是通过它攻击其客户。
安全
WinterIsComing(31822)
发表于2021年03月13日 22时44分 星期六
来自
瑞士警方周五突击搜查了一名黑客的公寓,扣押了其电子设备。这名黑客据称帮助实施了对硅谷公司 Verkada 监控系统数据的入侵。在这起行动中,黑客访问了超过 15 万监控探头的实时视频源,而这些探头安装在医院、企业、监狱、警察局和学校内。包括特斯拉、Cloudflare 在内的知名企业的监控探头都遭到泄露。Verkada 在报道公布之后向 FBI 报案。但这位名叫 Tillie Kottmann 的黑客遭到搜查的理由与最新的事件无关,而是其它黑客攻击事件,他被控未经授权访问计算机、身份盗窃和欺诈,被要求提供与其黑客活动相关的文件,以及持有的加密货币信息。
安全
WinterIsComing(31822)
发表于2021年03月12日 19时28分 星期五
来自
奔驰因通信模块软件的设计问题在中国召回 260 万辆进口和国产汽车,召回汽车的生产日期在 2016 年 1 月 21 日至 2020 年 11 月 20 日之间。公告称,“当车辆发生碰撞且自动触发紧急呼叫服务时,由车辆碰撞引起的通信模块电源的电压临时下降可能导致车辆自动发送给梅赛德斯-奔驰紧急呼叫中心的车辆位置出现偏差,可能导致救援延迟,存在安全隐患。奔驰将通过汽车远程升级(OTA)技术为召回范围内的车辆免费升级通信模块软件,用户无需到店即可消除安全隐患;对于无法通过汽车远程升级(OTA)技术实施召回的车辆,将通过授权服务中心联系相关用户,为车辆免费升级通信模块软件,以消除安全隐患。
安全
WinterIsComing(31822)
发表于2021年03月11日 21时34分 星期四
来自
今年 1 月,Google 警告有黑客组织对安全研究员发动了针对性攻击。为了建立信誉和联系安全研究员,黑客首先创建了安全博客和 Twitter 账号与潜在目标进行互动,然后发帖发视频声称完成了某个漏洞利用。在与目标建立初步联系之后,黑客会询问目标是否愿意共同研究漏洞,然后提供一个 Visual Studio 项目,其中包含了一个定制的恶意程序 DLL。除了社会工程攻击外,黑客还成功入侵了访问他们博客的安全研究员的计算机系统。当时受害者的系统打了最新的补丁,Google 当时表示他们暂时还不知道入侵机制。微软在周二的例行安全更新中修复了编号为 CVE-2021-26411 的高危漏洞,堵上了被朝鲜黑客利用的 0day。CVE-2021-26411 是一个内存损坏漏洞,影响 IE 和 Edg。
安全
WinterIsComing(31822)
发表于2021年03月11日 11时43分 星期四
来自
安全公司 ESET 发表报告称,微软 Exchange 邮件服务器软件最近曝出的 4 个漏洞正被至少 10 个黑客组织利用。微软已经释出了修复漏洞的补丁,但其企业客户更新速度缓慢,让黑客组织可以利用快速发动攻击。已经有数万家企业和政府机构受到攻击,每天都有新的受害者出现。利用该漏洞,黑客可以在服务器上安装用于后续攻击的 webshells。专家将更新缓慢部分归因于 Exchange 架构的复杂性。
安全
WinterIsComing(31822)
发表于2021年03月10日 17时52分 星期三
来自
一组黑客透露,他们入侵了硅谷创业公司 Verkada 收集的监控探头数据库,访问了超过 15 万探头的实时视频源,而这些探头安装在医院、企业、监狱、警察局和学校内。包括特斯拉、Cloudflare 在内的知名企业的监控探头遭到泄露。黑客演示了特斯拉位于上海的仓库内的监控探头视频,他们表示访问了 222 个特斯拉工厂和仓库探头。黑客此举是为了展示监控的无处不在,以及监控系统很容易遭到入侵。Verkada 表示它已经禁用了所有内部管理员账号,正与外部安全公司对此展开调查。特斯拉回应称已停止探头联网。
安全
WinterIsComing(31822)
发表于2021年03月10日 12时40分 星期三
来自
匿名读者 写道 "今天,Git 项目发布了新的版本,以解决 CVE-2021-213:Git LFS在 git 克隆操作期间使用的延迟检查机制中的安全漏洞,影响2.15及更新版本。这些更新解决了一个问题,即在支持符号链接的 git 克隆过程中,特制的版本库可以通过滥用某些类型的清理/淤泥过滤器(如 Git LFS 配置的过滤器),在不区分大小写的文件系统上执行代码。"