adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
WinterIsComing(31822)
发表于2019年09月05日 20时02分 星期四
来自
中国黑客组织 APT5 aka Manganese 正以 Fortinet 和 Pulse Secure 的企业级 VPN 服务为攻击目标。根据 FireEye 的报告,APT5 的活动可以追溯到 2007 年,它被认为由多个小组构成,有着不同的策略和基础设施,主要攻击目标是电信公司和科技公司,对卫星通信公司有着特殊兴趣。在 Black Hat 安全会议披露 Fortinet 和 Pulse Secure VPN 产品的漏洞之后,APT5 的一个小组从八月下旬开始扫描和尝试利用这些漏洞。两个产品的漏洞都属于预授权文件读取,允许攻击者在无需授权的情况下从 VPN 服务器获取文件。APT5 试图利用漏洞窃取储存有密码信息的文件,然后利用窃取的信息接管设备。Fortinet 的 Fortigate SSL VPN 和 Pulse Secure 的 SSL VPN 产品都非常流行,其客户包括了财富五百强企业。
安全
WinterIsComing(31822)
发表于2019年09月03日 16时27分 星期二
来自
Digital Attack Map 的地图显示,香港过去几天成为了 DDoS 攻击的中心。Digital Attack Map 是 Google Ideas 和 Arbor Networks 的合作项目,使用了 Arbor Networks 的 DDoS 攻击数据,Google 的 Big Picture Team 帮助开发和设计了交互式地图,实时可视化展示全球的 DDoS 攻击。
安全
wenfeixing(25847)
发表于2019年09月03日 13时25分 星期二
来自
kokerkov 写道 "多年以来,美以联合开发用以攻击伊朗核设施的Stuxnet病毒/恶意软件是如何进入高度安全的伊朗核浓缩工厂的,一直是个挥之不去的谜团。从Yahoo的一篇报道中,我们可以窥见一斑 Stuxnet作为网络战数字武器的鼻祖,其设计目的用来破坏伊朗的核项目。伊朗开始在纳塔兹的铀浓缩工厂开始部署第一批离心机后,Stuxnet于2007年某个时候被释放,揭开了数字化战争的序幕。入侵背后的“信使”,之前从未被公开报道和揭露。根据雅虎新闻的线人,此人是一名被荷兰情报机构招募的特工,在美国情报机构CIA和以色列情报机构摩萨德的命令下行动。

此人是一名被荷兰情报机构AIVD招募的伊朗籍工程师。据4个情报来源称,他给美国开发者提供了纳塔兹工厂系统的关键数据,以此开发针对性的攻击代码。他也提供了通过U盘将Stuxnet偷偷上传至工厂系统的至关重要的内部途径。莫萨德和CIA于2004年请求荷兰协助染指纳塔兹的核工厂,然而三年后才如愿以偿。此人以机械师的身份在纳塔兹工厂工作,最终完成了将数字武器送达目标系统的任务。一名线人说:“荷兰特工是把病毒弄进纳塔兹核工厂中最重要的一环”。 "
iOS
WinterIsComing(31822)
发表于2019年09月01日 23时00分 星期日
来自
Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞,TechCrunch 则援引消息来源称此事与中国有关。Google 称,今年早些时候,它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用,攻击者会在访客的 iPhone 手机上安装监视程序,这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链,组合了 14 个漏洞,其中浏览器 7 个,内核 5 个,还有两个沙盒逃逸,至少 1 个提权利用链属于 0day。研究人员 2 月 1 日通知了苹果,给了苹果 7 天的时间修复。苹果在 2 月 7 日释出了 iOS 12.1.4 修复了漏洞。
安全
wenfeixing(25847)
发表于2019年08月31日 21时18分 星期六
来自
福昕 PDF 阅读器和编辑器的开发商福建福昕软通知客户,黑客入侵了它的服务器访问了用户数据。在给受影响客户的邮件通知中,福昕称,未经授权的黑客访问了 My Account 区域,可能访问的用户数据包括了用户名 、电邮地址、企业名称、电话号码、用户账号密码和 IP 地址。它声称信用卡或其它支付信息没有暴露。福昕没有解释泄露的密码是否是加密或加盐还是明文储存,它建议用户下一次登陆时修改密码。
安全
wenfeixing(25847)
发表于2019年08月30日 16时11分 星期五
来自
俄罗斯安全研究员发现,当局用于拦截互联网流量的硬件设备向外泄漏了数据。这些设备被称为 SORM,代表 System for Operative Investigative Activities,能记录 IP 地址、MEI 和 IMSI 码、MAC 地址、ICQ 用户名,以及 POP3、SMTP 或 IMAP4 电邮流量中识别的邮件地址。俄罗斯政府要求所有俄罗斯 ISP 和移动电信公司都必须在其数据中心中安装 SORM 设备,允许执法机构连接该设备,设置过滤和记录规则。在上周举行的 Chaos Constructions 安全会议上,俄罗斯研究员 Leonid Evdokimov 称,部分设备会泄漏数据,他发现有 30 个 SORM 设备运行了没有密码保护的 FTP 服务器,其中包含了来自执法行动留下的流量日志。Evdokimov 是在 2018 年 2018 年 4 月发现了这些设备,到上周部分设备仍然敞开着。
安全
wenfeixing(25847)
发表于2019年08月29日 13时13分 星期四
来自
法国警方在 Avast 的帮助下接管了一台控制僵尸网络的服务器,远程移除了受害者系统中的恶意程序。Avast 称,它发现了一台指令服务器用于控制挖掘数字货币的恶意程序,它位于法国境内,存在一个设计漏洞能无需受害者运行任何额外代码就能移除恶意程序。该恶意程序被称为 Retadup,主要用于挖掘数字货币门罗币,偶尔也会推送勒索软件和窃取密码的恶意程序,该恶意程序的受害者超过 85 万,主要位于南美洲,秘鲁、委内瑞拉、玻利维亚和墨西哥是感染数量最多的国家。
安全
wenfeixing(25847)
发表于2019年08月28日 13时00分 星期三
来自
俄罗斯杀毒软件卡巴斯基报告,一个 Google Play 商店下载量超过一亿的流行应用 CamScanner(或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs)被发现含有恶意模块。CamScanner 是一个合法应用,在大部分时间里没有恶意功能,它靠广告和应用内购买获取收入。但在某个时间情况变了,CamScanner 最近释出的版本包含了含有恶意模块的广告库。卡巴斯基将该模块称为 Trojan-Dropper.AndroidOS.Necro.n。类似的模块此前见于中国造智能手机预装的恶意程序中。该模块定期从开发者指定的服务器上下载加密代码,在设备上解密然后执行。部分 CamScanner 用户已经注意到了该应用的可疑行为,他们在应用页面留言对其他用户发出警告。
安全
WinterIsComing(31822)
发表于2019年08月26日 21时08分 星期一
来自
安全公司 FireEye 报告,多个中国黑客组织正以医疗系统和数据库为目标。该公司称,最近几年与中国有关联的黑客组织 APT41、APT22、APT10 和 APT18 被观察到在尝试获取医疗数据。FireEye 首席分析师 Luke McNamara 称中国黑客尝试获得临床试验数据、研究情报和医疗设备的知识产权。比如最近黑客瞄准了一家专注于癌症研究的美国医疗中心,APT41 在 2015 年攻击了正被收购的一家生物技术公司。研究人员认为这些目标与中国的 2025 年计划相一致。
安全
wenfeixing(25847)
发表于2019年08月22日 19时23分 星期四
来自
俄罗斯安全研究人员 Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节,这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞,试图让Valve 在披露前修复,但第二个 Steam 0day 他无法报告给 Valve,因为 HackerOne 平台的 bug 悬赏项目封杀了他。Valve 拒绝承认他递交的第一个 Steam 0day 是安全问题因此拒绝修复,他试图将漏洞公开但 HackerOne 禁止他这么做,最终他披露了这个本地提权漏洞,得到了媒体广泛的报道,随后他就被封掉,而 Valve 最终释出了补丁,但其他安全研究人员发现这个补丁是不充分的。
安全
wenfeixing(25847)
发表于2019年08月22日 16时56分 星期四
来自
安全研究人员在最近举行的安全会议 DEFCON 上披露了 Webmin 的一个安全漏洞,而在漏洞正式披露前 Webmin 的开发者并没有收到通知。漏洞主要影响 Webmin 1.882 到 1.921,如果没有修改默认设置大部分版本其实是无法被利用的,只有 Version 1.890 在默认设置下受到影响。Webmin 开发者解释说,恶意代码要利用漏洞 Webmin 需要修改设置 Webmin -> Webmin Configuration -> Authentication -> Password expiry policy 设为 Prompt users with expired passwords to enter a new one。默认情况下这个选项没有启用。开发者认为这是有意植入的后门,事故的调查仍然在进行之中。
安全
wenfeixing(25847)
发表于2019年08月22日 15时28分 星期四
来自
VideoLAN 项目释出了 VLC 3.0.8,修复了 13 个安全漏洞。漏洞类型从拒绝访问到远程代码执行,目前还没有漏洞正被利用的报告。这些漏洞都可以通过打开一个嵌入恶意代码的媒体文件利用,部分漏洞可以通过浏览器插件利用。 13 个漏洞中有 11 个书 Semmle 安全团队的 Antonio Morales 发现的,另外两个由 Hyeon-Ju Lee 和 Xinyu Liu 发现。VLC 用户最好尽快升级。
安全
wenfeixing(25847)
发表于2019年08月22日 14时59分 星期四
来自
黑客被发现利用假的 NordVPN 网站传播银行木马。NordVPN 克隆网站是在 8 月 8 日上线的,使用了 Let’s Encrypt 签发的有效证书,吸引搜索 NordVPN 服务的用户下载安装程序,安装程序在安装 NordVPN 客户端的同时会丢下恶意负荷银行木马 Win32.Bolik.2 Trojan。这种木马能对不同银行客户端系统执行 Web 注入、流量拦截、按键记录和窃取信息。安全研究人员发现,同一黑客组织还利用类似的克隆知名网站或服务的方法传播银行木马。
比特币
wenfeixing(25847)
发表于2019年08月22日 13时15分 星期四
来自
法国安全研究人员 Pierrick Gaudry 发现(PDF)计划在下个月使用的莫斯科区块链投票系统存在严重漏洞,能根据公钥计算出私钥。该私钥和公钥被用于在选举中加密用户投票。漏洞主要在于密钥长度太短,现代计算机可以在很短时间内破解出来。攻击者可以利用密钥做什么暂时还不清楚,研究人员认为可能会曝光投票者的身份。莫斯科信息技术部门承诺将解决该问题,该部门发言人承认 256x3 的私钥长度不够安全,他们计划将密钥长度改为 1024 位。但 1024 位显然还是太弱,Gaudry 认为密钥长度至少应该 2048 位。
安全
wenfeixing(25847)
发表于2019年08月21日 20时12分 星期三
来自
苹果、Google 和 Mozilla 采取行动封杀了哈萨克斯坦政府上个月用于对加密流量发动中间人攻击的 CA。从今天开始, Chrome、Firefox 和 Safar 用户如果遇到使用哈萨克斯坦政府 CA 证书加密的 HTTPS 流量将会显示错误信息。主要浏览器开发商的这次协同行动是为了确保被迫安装证书的哈萨克网民的安全。上个月哈萨克斯坦的 ISP 强迫用户安装了 政府的 root CA ,官员给出的理由是保护公民的安全,抵御黑客攻击、网络欺骗和其它类型的网络威胁。但实际上哈萨克斯坦利用该 root CA 签发伪造证书拦截和解密加密流量。它被发现伪造了流行网站 Facebook、Google、Twitter、Instagram 和 YouTube 的证书。哈萨克斯坦政府本月初以实验结束终止了强行的证书的安装。
安全
wenfeixing(25847)
发表于2019年08月21日 12时55分 星期三
来自
RubyGems 软件包仓库的维护者移除了 11 个 Ruby 库的 18 个恶意版本,其中包括流行的 rest-client 库的 4 个版本。rest-client 中的恶意代码会收集发送 URL 和环境变量到乌克兰的一台远程服务器上。后门中的代码还允许攻击者发回 cookie 文件,执行恶意命令。其后门机制甚至还允许植入挖矿脚本。这些恶意版本在被移除前总共下载了三千多次,其中 rest-client 1.6.13 被下载了一千多次。
安全
wenfeixing(25847)
发表于2019年08月19日 17时41分 星期一
来自
Google 向非正式 CA 行业组织 CA/B Forum 递交提议,建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小(有各种原因需要撤销证书),如果没有过期时间那么维护清单将会非常长,有了过期时间那么相关撤销证书就可以永久删除。对于 Google 的提议浏览器开发商表示支持,但 CA 机构不是很高兴。过去 15 年,SSL 证书的过期时间已经从 8 年减少到 5 年,再减少到 3 年,最后减少到 2 年。上一次改变发生在 2018 年 3 月,浏览器开发商尝试将证书过期时间缩短到 1 年,但在 CA 机构反对之后妥协为 2 年。在上一次改变不到 2 年之后再提将过期时间设为 1 年,CA 机构感到遭到了浏览器开发商们的欺压。CA 机构和浏览器开发商之间的斗争通常是在幕后进行,Google 的提议被认为更多是为了证明谁在控制 HTTPS。DigiCert 的代表 Timothy Hollebeek 认为该提议对于恶意网站没有任何影响,因为恶意网站通常运行的时间很短,从几天到数周,域名会被添加到黑名单,而攻击者则会转到新的域名获得新的证书。
安全
wenfeixing(25847)
发表于2019年08月14日 20时27分 星期三
来自
微软修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为 CVE-2019-1181CVE-2019-1182CVE-2019-1222CVE-2019-1226允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。和今年五月修复的 BlueKeep 漏洞不同的是,它影响最新的 Windows 操作系统,而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。
安全
wenfeixing(25847)
发表于2019年08月14日 15时33分 星期三
来自
Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。CTF 代表什么 Ormandy 没有查到,它是 Windows Text Services Framework (TSF) 的一部分,该系统用于管理 Windows 或 Windows 应用程序内的文本展示。当用户启动一个应用,Windows 会启动一个 CTF 客户端,这个客户端会从一个 CTF 服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入方法从一种语言切换到另一种语言, CTF 服务器会通知所有 CTF 客户端,实时改变语言。漏洞在于 CTF 服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的 CTF 会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。
安全
wenfeixing(25847)
发表于2019年08月13日 20时48分 星期二
来自
选择 NULL 作为个性车牌号似乎是一个好主意,在数据库里这是一个空值,它可能会混淆自动车牌阅读器和机动车辆管理局的罚单系统。但在实际中,它可能是一个糟糕的主意。在上周拉斯维加斯举行的 DEF CON 安全会议上,一位安全研究人员分享了他将 NULL 登记为个性车牌号的经历:收到了总金额上万美元的不属于他的交通罚单。这位研究者称自己是一个谨慎的司机,在登记 NULL 作为个性车牌号的第一年没有收到任何罚单。然后他尝试在加州机动车辆管理局网站登记他的车牌,结果系统不认为 NULL 是一个有效的值。接着问题越发严重,他的邮箱开始收到各种交通罚单。原因被认为是数据不完整导致的,这些罚单分配给了 NULL,意思是不知道肇事司机车牌,但他的个性车牌却把这些罚单都揽到了自己身上,他总共收到了超过 1.2 万美元的罚单。他尝试与加州车管局和洛杉矶警方解释,他们都建议他改变车牌号。