国内外简报industry briefing

国内外信息安全简报2018年第二十三周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.网络可见性:或为IoT时代阻止网络威胁的关键

由于物联网(IoT)设备的快速增加,预计2020年,网络上将会有超过2000万的非托管设备,而其中只有10%可以通过传统的安全产品进行管理。设备暴增为企业带来了更多的风险挑战。企业在面临网络攻击的同时,还要面对随之而来的成本和声誉损失,因此只有提高对网络上正在发生事情的可见性,才能更快地应对威胁。(详情链接

2.令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,能够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Weißer 和另外一名安全研究人员。该漏洞归因于 2016 年 CSS3 Web 标准中引入的名为 “mix-blend-mode” 的特性,允许 Web 开发人员将 Web 组件叠加在一起,并添加控制其交互方式的效果。为展示此漏洞,研究人员造访了一个恶意网站,发现可以利用跨域 iframe 获取用户的 Facebook 资料,包括照片和用户名等信息,整个过程不需要与用户有额外的互动。(详情链接

3.Windows JScript组件存在远程代码执行漏洞

Windows操作系统的JScript组件中存在漏洞,攻击者可以在用户计算机上执行恶意代码。发现这个漏洞的是Telspace Systems公司的Dmitri Kaslov,他把漏洞发给了趋势科技的Zero-Day Initiative(ZDI),这个项目专门向大公司提交漏洞项目。(详情链接

4.Kromtech安全中心披露两起数据泄露事件 涉及本田汽车和环球唱片

Kromtech安全中心在本周三(5月30日)再次披露了两起数据泄露事件,事件的主体包括本田汽车公司(HONDA)在印度的子公司——本田印度(Honda India)以及成立于1912年的全球音乐巨头——环球唱片(Universal Music Group,UMG)。

其中,本田印度因为不安全的AWS S3存储桶泄露了超过5万名客户的个人详细信息,而环球唱片则因为受到其承包商的牵连,暴露了自己的内部FTP凭证、数据库根密码和AWS配置详细信息,包括访问密钥和密码。(详情链接

5.Git 爆任意代码执行漏洞,所有使用者都受影响

Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,由于Git在处理子模块代码库的设置档案存在漏洞,开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。(详情链接

6.尼日利亚黑客伪装成上海某企业发送“木马发票”,现已入侵主机 450 台

不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。(详情链接

7.甲骨文计划删除Java序列化功能,称其为“可怕的错误”

甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流。Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。”(详情链接

8.RTU曝10分漏洞,欧盟能源企业或面临大范围DoS攻击

工业网络安全公司 Dragos 2018年5月24日披露,"最强"工控恶意软件 Trisis(又被称为 Triton 和 HatMan)背后的黑客组织 Xenotime 初露行动轨迹,目前已扩大攻击目标范围。工业网络安全公司 Dragos 经过分析后发现,黑客组织 Xenotime 已将目标瞄向全球的组织机构,该公司未透露该组织近期的攻击活动细节,但指出该黑客组织活跃在多个设施中,除了施耐德电气的 Triconex 以外还针对其它的安全系统。(详情链接

9.Mac设备遭遇新门罗币挖矿软件入侵

大量Mac用户发现,一个名为mshelper的进程占用了他们的CPU和电池,事实上,这是一款门罗币挖矿病毒。Malwarebytes的研究人员对mshelper恶意软件进行了分析,虽然没能确定传播方式,但假冒的Flash Player安装程序,恶意文档或盗版软件应该是主要渠道。程序是一个名为pplauncher的文件,由启动守护程序(com.pplauncher.plist)保护进程,程序由Golang开发,并且相对较大(3.5 Mb)。(详情链接

10.美国软件公司AgentRun意外泄露众多保险公司客户个人敏感信息

据外媒ZDNet报道,美国软件公司AgentRun最近意外暴露了成千上万保单持有人的个人敏感信息,而究其原因竟然又是因为一个未加密的Amazon S3存储桶。AgentRun是一家总部位于美国伊利诺伊州芝加哥的软件公司,由前独立保险经纪人和软件工程师Andrew Lech于2012年创建,专为保险经纪人提供客户管理软件。不安全的Amazon S3存储桶包含了大量的缓存数据,涉及数千名不同保险公司客户的个人敏感信息,包括类似Cigna和SafeCo Insurance这样的大型保险公司的客户,遭泄露的信息可能包括保险单文件、健康和医疗信息以及一些财务数据。(详情链接