研究团队发现Adobe Experience Manager中RCE 0day;俄罗斯黑客已在丹麦中央银行的网络潜伏超过半年
发布时间 2021-06-301.研究团队发现Adobe Experience Manager中RCE 0day
研究团队发现Adobe Experience Manager(AEM)中存在RCE 0day。AEM是流行的内容管理解决方案,已成为许多知名企业的首选内容管理系统 (CMS),包括万事达卡、LinkedIn、PlayStation和McAfee在内的多家公司都受到了影响。该漏洞存在于生在CRX /crx/packmgr/端点,攻击者可以绕过Dispatcher中的身份验证来访问CRX Package Manager,然后在AEM中上传恶意包来获得对应用程序的完全控制。
原文链接:
https://www.infosecurity-magazine.com/news/zero-day-exploit-found-in-adobe/
2.俄罗斯黑客已在丹麦中央银行的网络潜伏超过半年
俄罗斯黑客团伙Nobelium入侵了丹麦中央银行(Danmarks Nationalbank)并植入了恶意软件,在没有被发现的情况下访问网络超过半年。该活动是去年SolarWinds供应链攻击的一部分,在Version2以信息自由为由从丹麦央行获得官方文件后才披露的。该恶意软件已经在丹麦央行的网络中存在了长达7个月之久,直到FireEye披露了此次供应链攻击活动后才被发现。
原文链接:
https://www.bleepingcomputer.com/news/security/russian-hackers-had-months-long-access-to-denmarks-central-bank/
3.微软发布安全更新,修复Edge浏览器中的多个漏洞
微软发布安全更新,修复了Edge浏览器中的2个漏洞。其中较为严重的是安全绕过漏洞(CVE-2021-34506),使用Edge浏览器内置的Microsoft Translator功能自动翻译网页时触发的跨站点脚本(UXSS)漏洞导致的,可以用来在网站上远程执行任意代码。研究人员称该漏洞的复杂性很低,攻击者可以在不需要任何权限的情况下实现。此次修复的另一个漏洞为特权提升漏洞(CVE-2021-34475)。
原文链接:
https://thehackernews.com/2021/06/microsoft-edge-bug-couldve-let-hackers.html
4.NVIDIA发布安全更新,修复GeForce中的安全漏洞
NVIDIA发布安全更新,修复了GeForce Experience中的安全漏洞。该漏洞被跟踪为CVE‑2021‑1073,CVSS评分为8.3。该公司称漏洞会导致欺骗攻击,是由NVIDIA GeForce Experience软件中对特殊格式链接的不当处理导致的。攻击者可以创建一个特制的链接,用户在浏览器中而非应用程序中打开登录页面,并输入他们的密码后被劫持。
原文链接:
https://threatpost.com/nvidia-high-severity-geforce-spoof-bug/167345/
5.AcadeME公司遭到攻击,泄露以色列约28万学生信息
AcadeME是以色列的一家服务提供商,为寻找工作的学生提供帮助。6月20日,名为DragonForce的马来西亚黑客团伙称其入侵了AcadeME,并窃取了约28万个学生的个人信息,包括电子邮件、密码、姓名、地址甚至电话号码。虽然AcadeME否认了这一说法,但攻击者公开了代码截图、服务器地址以及数据的表格证明此次攻击。此外,该团伙还在上周五对以色列的多家银行(Bank of Israel、Bank Leumi和Mizrahi Tefahot)发起了DDoS攻击。
原文链接:
https://www.jpost.com/israel-news/details-of-over-200000-students-leaked-in-cyberattack-672179
6.Tesorion研究人员计划公开新勒索软件Lorenz解密器
荷兰网络安全公司Tesorion计划公开新勒索软件Lorenz的解密器。Lorenz勒索软件团伙自2021年4月以来一直活跃,攻击了全球的多个组织,其赎金要求相当高,在50万美元到70万美元之间。Lorenz在CBC模式下使用RSA和AES-128的组合来加密文件,为每个文件使用随机生成的密码,然后使用CryptDeriveKey函数导出加密密钥。Tesorion分析了该勒索软件并计划通过NoMoreRansom发布。
原文链接:
https://securityaffairs.co/wordpress/119492/cyber-crime/lorenz-ransomware-free-decryptor.html
京公网安备11010802024551号