Adobe安全更新修复Magento中两个重要的代码执行漏洞;Dell iDRAC存在遍历漏洞,可完全控制服务器

发布时间 2020-07-30

1.Adobe发布安全更新,修复Magento中两个代码执行漏洞



Adobe发布了安全更新,以修复Magento Commerce和Magento Open Source中的两个严重的代码执行漏洞。其中一个是由路径遍历错误引起的,被跟踪为CVE-2020-9689,它允许具有管理员权限的攻击者执行任意代码。另一个是基于DOM的跨站脚本漏洞,被追踪为CVE-2020-9691,它允许使未经身份验证的攻击者执行任意代码。此外,此次更新还修复了由可观察到的时间差引起的签名验证绕过漏洞(CVE-2020-9690)。目前,针对该漏洞尚无已知的利用和攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/magento-gets-security-updates-for-severe-code-execution-bugs/


2.Google发布安全更新,修复Chrome中的8个漏洞



Google发布安全更新,修复了Chrome中的8个漏洞,影响了Windows、Mac和Linux系统下的Chrome版本84.0.4147.105。此次更新中修复的较为严重的漏洞为V8中的类型混淆问题(CVE-2020-6537)、WebView中的实现不当问题(CVE-2020-6538)、SCTP释放后使用问题(CVE-2020-6532)、CSS释放后使用问题(CVE-2020-6539)、Skia中的堆缓冲区溢出漏洞(CVE-2020-6540)以及WebUSB释放后使用问题(CVE-2020-6541)。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/28/google-releases-security-updates-chrome


3.Dell iDRAC存在遍历漏洞,可被黑客利用完全控制服务器



Positive Technologies研究人员发现Dell远程访问控制器(iDRAC)中存在遍历漏洞(CVE-2020-5366),可被黑客利用完全控制服务器。通过利用此漏洞,经过远程身份验证的攻击者可以打开和关闭产品,或更改其散热和电源设置。除此之外 ,该漏洞可被利用读取控制器操作系统中的任何文件,并且在某些情况下干扰控制器的操作。该漏洞会影响固件版本为4.20.20.20之前的Dell EMC iDRAC9控制器,Dell EMC在检测到该漏洞之后便发布了安全更新,并敦促用户尽快安装。


原文链接:

https://www.infosecurity-magazine.com/news/dell-emc-patches-idrac/


4.新型Linux后门Doki使用Dogecoin API,针对Docker实例



Intezer Labs发现,新型Linux后门程序Doki使用了Dogecoin API,针对Docker实例。黑客组织Ngrok自2018年底以来一直活跃,最初倾向于使用Ngrok服务托管C&C服务器。而在该组织最近一次的攻击中,其针对泄露了管理API的Docker实例。黑客通过利用Docker API在目标公司的云基础架构中部署新服务器,随后运行感染了加密挖矿恶意软件Doki的Alpine Linux服务器。研究人员表示,Doki的目的是允许黑客控制其新部署的Alpine Linux服务器,以确保加密采矿操作按预期运行。


原文链接:

https://www.zdnet.com/article/new-linux-malware-uses-dogecoin-api-to-find-c-c-server-addresses/#ftag=RSSbaffb68


5.卡巴斯基发现勒索软件VHD与朝鲜黑客组织Lazarus有关



卡巴斯基发布的报告显示,勒索软件VHD与朝鲜黑客组织Lazarus有关。研究人员在2020年3月至5月的调查中发现了勒索软件VHD的样本,这些样本利用SMB暴力破解分发MATA恶意软件框架。VHD可隐蔽地连接到受害者的电脑驱动器,加密文件,并删除所有的System Volume Information文件夹,从而破坏系统中的Windows还原功能。而且,它可以禁用防止重要文件被篡改的进程,例如Microsoft Exchange或SQL Server。卡巴斯基发现Manuscrypt木马也使用了MATA框架,因此判断同样使用了该恶意框架的VHD与Lazarus有关。


原文链接:

https://www.bleepingcomputer.com/news/security/north-korean-hackers-created-vhd-ransomware-for-enterprise-attacks/


6.IBM发布报告,2020年度平均数据泄露成本为386万美元



IBM于本周三发布了年度数据泄露成本报告,2020年度平均数据泄露成本为386万美元。尽管与2019年相比,平均成本下降了1.5%,但泄露超过5000万条记录的超大型泄漏事件的成本可能高达3.92亿美元,高于2019年的3.88亿美元。总体而言,帐户凭据泄露以及云配置错误导致了近40%的数据泄露事件。此外,利用第三方漏洞,例如0day,也是造成数据泄露的重要因素,一家因此类漏洞导致数据泄露的公司可能需要支付高达450万美元的赔偿。但是,如果企业购买了网络保险,则平均可减少20万美元的损失。


原文链接:

https://www.zdnet.com/article/todays-mega-data-breaches-now-cost-companies-392-million-in-damages-lawsuits/