《维他命》每日安全简讯20180929

发布时间 2018-09-29

【攻击事件】Facebook遭零日漏洞攻击,约5000万用户的访问令牌被窃


9月28日Facebook确认其遭到黑客攻击,攻击者利用零日漏洞窃取了超过5000万用户的访问令牌。该漏洞存在于Facebook的View As功能中,可允许攻击者窃取用户的访问令牌并访问用户的私人信息,而无需账户密码或双因素验证码。Facebook已采取措施帮助近9000万用户重置了访问令牌,并禁用了View As功能。由于调查仍处于早期阶段,Facebook尚未确定是否有任何账户被滥用或信息被访问。


https://thehackernews.com/2018/09/facebook-account-hack.html


【攻击事件】美圣地亚哥港遭勒索软件攻击,部分业务受影响


美国圣地亚哥港遭到勒索软件攻击,其IT系统受到损害。港口的部分公众服务受到影响,包括停靠许可、商业服务和公共记录等。该港口表示已收到勒索票据,要求以比特币进行支付,但并未披露具体的金额。目前这一事件还在进一步的调查和处理中,尚未披露更多详细信息,也不清楚该事件与本月巴塞罗那港的攻击事件是否存在关联。


https://www.bleepingcomputer.com/news/security/port-of-san-diego-affected-by-a-ransomware-attack/


【安全漏洞】Google Project Zero披露新Linux内核漏洞及其PoC


Google Project Zero的安全研究人员Jann Horn发现新Linux内核漏洞(CVE-2018-17182)。该漏洞是Linux内存管理子系统中的use-after-free漏洞,可允许非特权用户提权至root权限。研究人员还披露了相关PoC。Linux内核开发团队已经在最新的版本中修复了该漏洞,但截至周三Debian和Ubuntu中尚未包含该修复补丁。


https://thehackernews.com/2018/09/linux-kernel-exploit.html


【安全漏洞】ZDI披露富士电机Alpha 5系统中的多个尚未修复的安全漏洞


ZDI披露日本电气设备公司富士电机的Alpha 5智能伺服系统中的多个安全漏洞,版本3.7及之前的版本受到影响。该产品主要用于亚洲和欧洲的商业设施和关键制造部门。漏洞包括缓冲区溢出漏洞(CVE-2018-14794和CVE-2018-14788),可导致任意代码执行及敏感信息泄露。此外,根据ICS-CERT,还包括两个缓冲区溢出漏洞(CVE-2018-14802和CVE-2018-14790)。富士电机声称正在努力修复这些漏洞。


https://www.securityweek.com/no-patches-critical-flaws-fuji-electric-servo-system-drives


【恶意软件】研究团队发现主要针对欧亚大陆和东南亚的新恶意软件NOKKI


Palo Alto Networks的Unit 42团队发布关于新恶意软件NOKKI的分析报告。该恶意软件与之前的恶意软件家族KONNI存在代码重叠和基础设施重叠,因此其背后的攻击者可能是同一个。NOKKI的恶意活动主要针对欧亚大陆以及东南亚地区,其目标往往具有政治动机。其C2服务器位于韩国境内。总的来说,根据C2协议的不同,研究人员在2018年初到2018年7月期间共观察到两波攻击浪潮。


https://researchcenter.paloaltonetworks.com/2018/09/unit42-new-konni-malware-attacking-eurasia-southeast-asia/


【恶意软件】研究人员在Google Play中发现银行木马Razdel


ESET研究人员在Google Play中发现银行木马Razdel,该木马伪装成电话和语音录制app QRecorder,主要针对欧洲银行的用户。Razdel是银行木马BankBot的一个变种,根据安全研究员Lukas Stefanko的说法,该木马的下载次数达1万多次。Razdel针对的银行包括Air Bank、Equa、ING、Bawag、Fio、Oberbank和Bank Austria。根据捷克警方的声明,QRecorder共感染了5名捷克公民,并从他们的账户中窃取了超过7.8万欧元。


https://securityaffairs.co/wordpress/76637/malware/qrecorder-app-malware.html



【启明星辰集团ADLab整理发布】