《维他命》每日安全简讯20181225
发布时间 2018-12-25
1、维基解密披露美国大使馆购物清单,文件数量超过1.6万份
12月21日维基解密披露1.6万份文件,这些文件是美国大使馆的购物清单。根据这些文件,美国驻多国大使馆都曾购买间谍设备。例如2018年8月,美国驻萨尔瓦多使馆发布一份采购需求,其中包含94件间谍设备,包括能安装在汽车里的夜视摄像头以及伪装在钢笔、打火机、衬衫纽扣、眼镜等日常用品中的摄像头。美国驻乌克兰使馆则采购了录音机和隐蔽无线电设备等。
2、漏洞利用工具包Underminer在12月推出改进版本
Malwarebytes Labs发现漏洞利用工具包Underminer在12月份推出了改进的版本。在2018年秋季,Underminer主要利用IE中的漏洞(CVE-2018-8174)和Flash Player中的漏洞(CVE-2018-4878)。但在12月份,研究人员认为新版本的Underminer实现了最近的Flash Player漏洞利用(CVE-2018-15982)。其最终payload的打包和执行的方式仍是Underminer独有的,其payload为Hidden Bee。
3、英国政府推出国家网络安全技能初步战略征集意见稿
英国政府推出国家网络安全技能初步战略的征集意见稿,这一初步战略的目标是解决更广泛的网络安全能力差距。报告中对网络安全技能进行了明确定义,并将在2019年发布完整的网络安全知识体系(CyBoK)。初步战略还将建立一个新的、独立的英国网络安全委员会,该委员会将负责制定涵盖不同专业的框架,奠定网络安全专业的结构基础。政府还将继续支持发展行业主导的培训生态系统。
4、研究团队披露华为路由器中的信息泄露漏洞
NewSky Security披露华为路由器中的一个信息泄露漏洞,该漏洞(CVE-2018-7900)使得攻击路由器的过程更加简化。攻击者可以利用该漏洞判断路由器是否具有默认凭据,而无需连接到设备。该漏洞的原理是路由器面板的登录页面的html源码中包含一个特定的变量,该变量的特定值揭示了路由器是否具有默认密码,因此攻击者可以在ZoomEye/Shodan上隐式地获取具有默认密码的设备列表。在接到报告后,华为已经修复了该漏洞。
5、施耐德电气修复EVLink电动汽车充电站中的多个安全漏洞
施耐德电气表示其EVLink电动汽车充电站的Parking落地式单元(v3.2.0-12_v1及更早版本)存在三个安全漏洞,包括硬编码凭据漏洞(CVE-2018-7800)、代码注入漏洞(CVE-2018-7801)和SQL注入漏洞(CVE-2018-7802)。EVLink通常用于办公室、酒店和超市等地方,该公司已经为这些漏洞提供了修复补丁。本月早些时候卡巴斯基实验室披露ChargePoint Home的充电桩存在多个漏洞,研究人员还指出EV通信协议、EV支付系统和后端通信的安全性都易受攻击。
6、Akamai发布新钓鱼策略研究报告,重点关注游戏、社交及中奖
根据Akamai的新钓鱼策略研究报告,流行的“三个问题”在线小测验被发现是一个大型的网络钓鱼诈骗活动。该钓鱼活动模仿了四个行业(包括航空、零售、娱乐和食品)的78个品牌,例如迪士尼乐园、Dunkin'Donuts和Target等。该骗局通常承诺测验之后给予奖励,但实际上会要求用户在接受奖品之前提供个人信息,并在社交媒体上传播链接。Akamai的报告还关注了游戏、社交及中奖等钓鱼策略。
声明:本资讯由启明星辰维他命安全小组翻译和整理
12月21日维基解密披露1.6万份文件,这些文件是美国大使馆的购物清单。根据这些文件,美国驻多国大使馆都曾购买间谍设备。例如2018年8月,美国驻萨尔瓦多使馆发布一份采购需求,其中包含94件间谍设备,包括能安装在汽车里的夜视摄像头以及伪装在钢笔、打火机、衬衫纽扣、眼镜等日常用品中的摄像头。美国驻乌克兰使馆则采购了录音机和隐蔽无线电设备等。
原文链接:
https://shoppinglist.wikileaks.org/2、漏洞利用工具包Underminer在12月推出改进版本
Malwarebytes Labs发现漏洞利用工具包Underminer在12月份推出了改进的版本。在2018年秋季,Underminer主要利用IE中的漏洞(CVE-2018-8174)和Flash Player中的漏洞(CVE-2018-4878)。但在12月份,研究人员认为新版本的Underminer实现了最近的Flash Player漏洞利用(CVE-2018-15982)。其最终payload的打包和执行的方式仍是Underminer独有的,其payload为Hidden Bee。
原文链接:
https://blog.malwarebytes.com/threat-analysis/2018/12/underminer-exploit-kit-improves-latest-iteration/3、英国政府推出国家网络安全技能初步战略征集意见稿
英国政府推出国家网络安全技能初步战略的征集意见稿,这一初步战略的目标是解决更广泛的网络安全能力差距。报告中对网络安全技能进行了明确定义,并将在2019年发布完整的网络安全知识体系(CyBoK)。初步战略还将建立一个新的、独立的英国网络安全委员会,该委员会将负责制定涵盖不同专业的框架,奠定网络安全专业的结构基础。政府还将继续支持发展行业主导的培训生态系统。
原文链接:
https://www.gov.uk/government/publications/cyber-security-skills-strategy/initial-national-cyber-security-skills-strategy-increasing-the-uks-cyber-security-capability-a-call-for-views-executive-summary4、研究团队披露华为路由器中的信息泄露漏洞
NewSky Security披露华为路由器中的一个信息泄露漏洞,该漏洞(CVE-2018-7900)使得攻击路由器的过程更加简化。攻击者可以利用该漏洞判断路由器是否具有默认凭据,而无需连接到设备。该漏洞的原理是路由器面板的登录页面的html源码中包含一个特定的变量,该变量的特定值揭示了路由器是否具有默认密码,因此攻击者可以在ZoomEye/Shodan上隐式地获取具有默认密码的设备列表。在接到报告后,华为已经修复了该漏洞。
原文链接:
https://blog.newskysecurity.com/information-disclosure-vulnerability-cve-2018-7900-makes-it-easy-for-attackers-to-find-huawei-3e7039b6f44f5、施耐德电气修复EVLink电动汽车充电站中的多个安全漏洞
施耐德电气表示其EVLink电动汽车充电站的Parking落地式单元(v3.2.0-12_v1及更早版本)存在三个安全漏洞,包括硬编码凭据漏洞(CVE-2018-7800)、代码注入漏洞(CVE-2018-7801)和SQL注入漏洞(CVE-2018-7802)。EVLink通常用于办公室、酒店和超市等地方,该公司已经为这些漏洞提供了修复补丁。本月早些时候卡巴斯基实验室披露ChargePoint Home的充电桩存在多个漏洞,研究人员还指出EV通信协议、EV支付系统和后端通信的安全性都易受攻击。
原文链接:
https://threatpost.com/critical-bug-patched-in-schneider-electric-vehicle-charging-station/140370/6、Akamai发布新钓鱼策略研究报告,重点关注游戏、社交及中奖
根据Akamai的新钓鱼策略研究报告,流行的“三个问题”在线小测验被发现是一个大型的网络钓鱼诈骗活动。该钓鱼活动模仿了四个行业(包括航空、零售、娱乐和食品)的78个品牌,例如迪士尼乐园、Dunkin'Donuts和Target等。该骗局通常承诺测验之后给予奖励,但实际上会要求用户在接受奖品之前提供个人信息,并在社交媒体上传播链接。Akamai的报告还关注了游戏、社交及中奖等钓鱼策略。
原文链接:
https://www.akamai.com/us/en/multimedia/documents/report/a-new-era-in-phishing-research-paper.pdf声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号