国内外简报industry briefing

2019年第28周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 阿里、腾讯等11家企业签订防范治理电信网络诈骗责任书

在中国互联网大会“2019防范治理电信网络诈骗论坛”上,工信部组织阿里巴巴、腾讯、百度、京东、字节跳动、拼多多、新浪微博、58同城、美团、世纪佳缘、网宿科技11家单位,签订“重点互联网企业防范治理电信网络诈骗责任书”,进一步压实企业主体责任,切实加强社会监督和行业自律,积极净化网络通信环境,以优异的成绩迎接中华人民共和国成立70周年。(详情链接

2. 思科回应交换机中出现华为证书和密钥:因疏忽忘记删除

思科和华为是通信设备上的老对手,市场竞争多年。2003年,思科曾以“抄袭代码”为由将华为告上法庭。但是,日前思科发布了19条安全声明,其中18条涉及中高危漏洞,另一个则是与小企业级250,350,350X和550X交换机有关的低级别漏洞。而原因居然是由于使用了Futurewei公司(华为北美研发公司)编写的OpenDaylight开源软件包(该开源项目的成员同样有思科)。思科称,本来FindIT团队用在测试阶段的密钥和证书,结果上线前疏忽,忘记删除了。为了进一步澄清,思科强调,证书和密钥仅仅存在于文件系统中,并没有被设备激活使用,现在更是已经删除了。(详情链接

3. 美海岸警卫队称其一艘舰船曾遭黑客攻击

美国海岸警卫队周一发消息称,其一艘舰船上的计算机系统遭到了黑客袭击,美国海岸警卫队“强烈建议”美国船只的所有者“安装并定期更新基本的防病毒软件”。但是,美国海岸警卫队新闻服务部门没有具体说明遭到黑客攻击的是哪一艘船。 (详情链接

4. Zoom安全漏洞被指可以让网站劫持Mac摄像头

据外媒报道,当地时间7月9日,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。(详情链接

5. 国家工业信息安全漏洞库上线

2019年中国工业信息安全大会日前召开,会上,国家工业信息安全漏洞库正式上线,来自有色、钢铁、装备制造、石油石化等10个关键领域的行业龙头共建重点实验室行业分中心,加快对工业信息安全监测、态势感知、检查评估、攻防演练等一批核心技术攻关。(详情链接

6. 调查报告指出员工使用的移动设备对金融企业造成了严重风险

金融服务是一个受到严格监管的行业,但这并不意味着它不受网络安全问题的影响。根据一份最新的报告,金融服务组织面临来自移动设备的网络钓鱼和中间人(MiTM)攻击的频次高于其他行业,并且技术的发展趋势使问题变得更加复杂。(详情链接

7. McAfee漏洞防护更新包导致Windows登录功能出现故障

7月10日晚上发布的McAfee Endpoint Security(ENS)安全软件更新给该产品的用户带来了严重的麻烦,更新包阻止用户登录计算机。根据McAfee发布的公告,如果Windows PC正在使用McAfee ENS 10.2,并启用了漏洞利用防护并且安装了Exploit Prevent定义更新9418,则会无法登录Windows。为解决此问题,McAfee立即发布了更新包9419,该更新可防止新工作站遇到此问题。但是对于已经受影响的工作站,即使禁用了漏洞利用防护,用户仍然无法登录,必须要进行手动Windows注册表修复。该修复过程必须通过安全模式完成,对于拥有数千甚至数十万个工作站的组织来说,难以招架。(详情链接

8. 全新的勒索软件针对QNAP Systems的NAS产品发起攻击

Anomali的研究人员发现了一种针对QNAP Systems网络附加存储(NAS)设备用户的全新勒索软件——eCh0raix,可能会对于美国境内的19,000多个系统造成严重威胁。恶意软件的运营商似乎通过强制弱凭证或利用其中的已知漏洞来获取对设备的访问权。然而,安全供应商在周三发布的一份咨询报告中表示,确切的感染媒介目前尚不清楚。(详情链接

9. 不给收集个人信息权限就无法安装,鲁大师发布整改公告

7月11日晚间,针对要求用户一次性同意开启多个可收集个人信息权限一事,鲁大师官微发布整改公告称,已经进行调整,下个版本,将会在用户使用评测前提示用户本测试需要获取的相应权限并进行测试。鲁大师承诺,现在及将来都不会利用用户隐私进行非法获利。(详情链接

10. My Dash Wallet在线钱包恶意脚本曝光,已有数千万用户资产被窃

近日,有用户反应称价值数百万人民币的DASH币遭恶意窃取。根据用户提供的信息,降维安全实验室研究人员发现My Dash Wallet在线钱包网页被嵌入恶意脚本,该恶意脚本会将用户DASH币账户余额、keystore或私钥、种子等关键信息上传至https://api.dashcoinanalytics.com/stats.php。此外,黑客在greasemonkey油猴脚本论坛也上传了带有恶意脚本的插件,一旦安装此插件,当用户访问该在线钱包时,就会窃取用户DASH币相关密钥等信息。(详情链接