思科发布安全更新,修复ASA和FTD中的路径遍历漏洞;D-Link路由器固件未加密的镜像可泄露加密密钥 原创 维他命 维他命安全 今天

发布时间 2020-07-24

1.思科发布安全更新,修复ASA和FTD中的路径遍历漏洞



思科已发布安全更新,修复自适应安全设备(ASA)软件和Firepower威胁防御(FTD)软件Web服务中的路径遍历漏洞(CVE-2020-3452)。该漏洞是由于受影响设备处理的HTTP请求中的URL缺乏正确的输入验证所致,攻击者可以通过发送包含目录遍历字符序列的特制HTTP请求来利用此漏洞。成功的利用后,攻击者可以在目标设备上查看Web服务文件系统内的任意文件。该漏洞影响了AnyConnect或WebVPN配置的ASA和FTD软件。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/23/cisco-releases-security-updates-asa-and-ftd-software


2.卡巴斯基发现Lazarus利用恶意软件MATA窃取数据



卡巴斯基最近发现朝鲜客组织Lazarus利用恶意软件框架MATA进行勒索软件攻击和数据盗窃,针对多个国家和地区的公司,包括波兰、德国、土耳其、韩国、日本和印度。Lazarus的目标包括但不限于软件开发公司、互联网服务提供商和电子商务公司。MATA是一个模块化框架,可用于感染Windows、Linux和macOS系统。在攻击过程中,黑客使用MATA将多个插件加载到受感染系统的内存中,运行命令,操纵文件和进程,注入DLL,在Windows设备上创建HTTP代理和隧道。


原文链接:

https://www.bleepingcomputer.com/news/security/lazarus-hackers-deploy-ransomware-steal-data-using-mata-malware/


3.D-Link路由器固件未加密的镜像可泄露加密密钥



安全研究人员发现,D-Link路由器固件未加密的镜像可泄露加密密钥。在开始分析时,研究人员从网站下载了D-Link固件( 1.02B03版本),然后使用Binwalk进行分析,发现了两个固件文件DIR3040A1_FW102B03.bin和DIR3040A1_FW102B03_uncrypted.bin。在运行以uncrypted结尾的文件时发现,该镜像包含未加密的固件二进制文件 ,然后他们可以提取并分析存储的解密密钥。经过进一步分析,研究人员发现解密和加密密钥均被嵌入二进制文件中。


原文链接:

https://www.bleepingcomputer.com/news/security/d-link-blunder-firmware-encryption-key-exposed-in-unencrypted-image/


4.新的僵尸网络Prometei利用Windows SMB挖掘加密货币



思科Talos在野外发现了一个新的僵尸网络Prometei,其利用Microsoft Windows SMB协议横向移动,同时秘密地挖掘加密货币。该僵尸网络总共有15个可执行模块,这些模块由一个主模块控制,有两个主要功能分支:一个是C ++分支,专门用于加密货币挖掘操作;另一个是基于.NET的分支,专门用于凭证盗窃,滥用SMB和混淆。Prometei首先通过利用Eternal Blue等SMB漏洞破坏计算机的Windows Server消息块(SMB)协议。然后利用Mimikatz和暴力攻击来扫描、存储和盗取凭证,并将发现的所有密码发送到命令和控制(C2)服务器,以供其他模块使用。该黑客组织的一台C2服务器在6月被查封,但这似乎对Prometei的活动没有任何实质性影响。


原文链接:

https://www.zdnet.com/article/prometei-botnet-is-infecting-machines-to-mine-for-cryptocurrency/#ftag=RSSbaffb68


5.僵尸网络Emotet开始大量分发恶意软件QakBot



研究人员发现,僵尸网络Emotet开始高速地分发恶意软件QakBot,取代了之前长期使用的TrickBot。安全研究员Bom发现了一个QakBot样本,并利用Any.Run进行分析,发现了其命令和控制服务器(C2)地址的列表。网络犯罪情报公司Intel 471进一步分析显示,此QBot样本中的字符串partner01表明,Emotet此次活动有很强的联系。目前,尚不清楚QakBot会在受感染的系统上部署什么,但一些受害者可能会感染勒索软件,尤其是ProLock。


原文链接:

https://www.bleepingcomputer.com/news/security/emotet-botnet-is-now-heavily-spreading-qakbot-malware/


6.约克大学遭数据泄露,或因Blackbaud感染勒索软件



约克大学披露其遭到了数据泄露,员工和学生数据被盗,与其第三方云计算提供商Blackbaud于2020年5月遭到的勒索软件攻击有关。该大学尚未披露可能受到影响的个人数量,但表示此次泄露的数据可能包括了姓名、职称、性别、出生日期、学生编号、电话号码、电子邮件地址、实际地址和LinkedIn个人资料记录、课程信息、所获得的资格、有关课外活动的详细信息、职业、雇主、调查答复以及已记录的校友活动和筹款活动。尽管Blackbaud已经支付赎金,但不能保证数据已按协议销毁,因此该大学还展开了自己的调查,并将此事件告知工作人员、学生和英国信息专员办公室(ICO)。


原文链接:

https://www.zdnet.com/article/university-of-york-discloses-data-breach-staff-and-student-records-stolen/#ftag=RSSbaffb68