ACSC发布CMS系统安全指南;Netgear修复其路由器产品中的多个漏洞

发布时间 2020-03-06

1.澳大利亚ACSC发布CMS系统安全指南



澳大利亚网络安全中心(ACSC)发布一份用于保护CMS系统的网络安全指南,该指南概述了如何在web服务器上识别和最小化潜在风险的策略,其目标受众是负责使用CMS开发和保护网站或Web应用程序的人。攻击者可以使用自动化工具扫描Internet上的安全漏洞。一旦CMS被入侵,攻击者可以利用其权限来:获得Web应用程序的验证区域和特权区域的访问权限;上传恶意软件来获得远程访问,例如上传Web Shell或RAT;在合法网页上注入恶意内容。攻击者还可以将受感染的Web服务器用作“水坑”攻击的一部分,或用作C&C的基础设施。ACSC建议采取的缓解措施包括:使用CMS托管服务;良好的补丁管理;漏洞评估;账户管理;加强CMS安装的安全性控制措施;监控CMS安装上对托管内容的未授权更改等。

 

原文链接:

https://www.cyber.gov.au/publications/securing-content-management-systems


2.研究人员警告微软有600多个子域易遭劫持

研究人员警告称微软有600多个合法的子域名易遭劫持和滥用。子域名劫持是指该子域的DNS记录指向不再存在的域名,而创建该不存在域名的攻击者即可利用错误配置的DNS记录劫持该子域。攻击者可以将被劫持子域的访问者导向钓鱼网站、分发恶意软件或进行欺诈攻击。安全公司Vullnerability扫描了微软部分重要域名的所有子域名,发现有670多个子域易遭攻击,包括identityhelp.microsoft.com,mybrowser.microsoft.com,webeditor.visualstudio.com,data.teams.microsoft.com和sxt.cdn.skype.com等。微软发言人表示已经了解了该报告,并正在根据需要采取适当的措施来保护微软的服务和客户。


原文链接:

https://www.securityweek.com/over-600-microsoft-subdomains-can-be-hijacked-researchers


3.Netgear修复其路由器产品中的多个漏洞



Netgear修复其无线AC路由器Nighthawk(R7800)中的一个RCE漏洞,该漏洞被Netgear追踪为PSV-2019-0076,可允许未经身份验证的攻击者控制路由器,受影响的版本为1.0.2.68之前的固件版本。Netgear并未披露与该漏洞有关的详细信息,仅敦促客户访问在线支持页面以下载该漏洞的补丁。R7800路由器还受到验证后命令注入漏洞(跟踪为PSV-2018-0352)的影响,受影响的固件版本为1.0.2.60之前的版本。该漏洞还影响了D6000、R6000、R7000、R8000、R9000和XR500系列的其它29个型号的路由器。此外,另一个命令注入漏洞(PSV-2019-0051)影响了R6400、R6700、R6900和R7900 SKU中的5个型号的路由器。


原文链接:

https://threatpost.com/critical-netgear-bug-impacts-nighthawk-router/153445/


4.思科修复Webex Player中的两个RCE漏洞



思科发布产品安全更新,修复多个漏洞,其中包括Webex Player中的两个RCE漏洞(CVE-2020-3127和CVE-2020-3128)。这两个漏洞是由于未对存储为ARF(高级记录格式)或WRF(Webex记录格式)的Webex记录中的元素进行充分验证而导致的,攻击者可以通过链接或电子邮件附件向用户发送恶意的ARF或WRF文件,诱使用户打开该文件并以当前用户权限执行任意代码。受影响的产品包括WebEx Network Recording Player和Webex Player。此外,思科还修复了Intelligent Proximity中的SSL证书缺乏验证漏洞(CVE-2020-3155)和Prime Network Registrar中的跨站点请求伪造漏洞(CVE-2020-3148)。完整漏洞列表请参考以下链接。


原文链接:

https://securityaffairs.co/wordpress/98973/security/cisco-rce-webex-player.html


5.服装零售商J.Crew遭撞库攻击,客户信息泄露



美国服装零售商J.Crew宣布在2019年4月前后遭到撞库攻击,该攻击导致其部分客户的帐户和信息被黑客访问。可能泄露的信息包括客户账户中存储的信用卡号后四位数字、到期日期、卡类型和相关账单邮寄地址、订单号、快递确认单号和发货状态。J.Crew已禁用了所有受影响客户的帐户,并要求他们通过privacy@jcrew.com或800-205-7956与J.Crew客户服务中心联系和重置其密码。


原文链接:

https://www.bleepingcomputer.com/news/security/jcrew-disables-user-accounts-after-credential-stuffing-attack/


6.有线电视运营商Virgin Media 90万客户信息泄露



Virgin Media是英国和爱尔兰的有线电视运营商,该公司在2020年2月28日发现其数据库至少从2019年4月19日起可公开访问。该数据库包含大约90万人的联系方式,例如姓名、家庭地址和电子邮件地址、电话号码,但不包括任何密码或财务信息,例如信用卡号码或银行账户。根据正在进行的调查,该数据库至少在近期遭到一次未授权访问,Virgin Media并不清楚其访问的范围以及是否实际使用了数据库中的任何信息。

 

原文链接:

https://www.bleepingcomputer.com/news/security/virgin-media-data-breach-exposes-info-of-900-000-customers/