1.開源路由器發行版OPENWRT/LEDE RCE漏洞(CVE-2020-7982)
研究人員披露開源路由器發行版OPENWRT/LEDE中的關鍵RCE漏洞(CVE-2020-7982)的技術細節和PoC。該漏洞存在於OpenWrt的OPKG軟件包管理器中,OPKG對下載的軟件包執行完整性檢查時,如果SHA-256校驗和包含任何前導空格,OPKG會跳過完整性檢查繼續執行安裝任務。該漏洞可能使遠程MitM攻擊者能夠誘騙系統安裝未經驗證的惡意軟件包或軟件更新,從而攔截目標設備的通信和執行任意代碼。OpenWrt版本18.06.0至18.06.6和19.07.0以及LEDE 17.01.0至17.01.7均受到影響。建議受影響的用戶將其設備固件升級到最新OpenWrt版本18.06.7和19.07.1。
2.Adobe帶外安全更新,修復Creative Cloud中的任意文件刪除漏洞
Adobe發佈帶外安全更新,修復Windows版Creative Cloud桌面應用程序中的一個嚴重漏洞。該漏洞(CVE-2020-3808)源自TOCTOU競爭條件,可允許攻擊者刪除目標系統上的任意文件。但Adobe並未提供有關攻擊的更多詳細信息,例如攻擊者是否需要在本地還是可遠程利用,或者是否需要身份驗證。Adobe建議用戶按照安全公告中的說明將其產品更新到最新版本。這是三月份Adobe發佈的第二個帶外更新。
3.思科Talos披露libmicrodns庫中的多個RCE和DoS漏洞
思科Talos的安全研究人員披露Videolabs的libmicrodns庫中的多個DoS和代碼執行漏洞。Videolabs由VideoLAN成員創立,是VLC移動應用程序的當前編輯者,也是VLC媒體播放器的重要貢獻者。libmicrodns是跨平臺的mDNS解析器庫,在VLC媒體播放器中用於mDNS服務發現。最嚴重的一個漏洞是遠程代碼執行漏洞(CVE-2020-6072),其CVSS分數為9.8。其餘漏洞的CVSS評分均為7.5,但它們影響了庫中的不同組件,包括資源記錄解析功能中的DoS漏洞(CVE-2020-6071)、TXT記錄解析功能中的DoS漏洞(CVE-2020-6073)、消息解析功能中的DoS漏洞(CVE-2020-6077)等。這些漏洞影響了libmicrodns庫版本0.1.0,供應商於3月20日發佈了修復版本0.1.1。
4.FireEye發佈APT41攻擊活動報告,利用多種漏洞入侵全球企業
在1月20日至3月11日之間,FireEye觀察到APT41試圖利用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central中的漏洞攻擊超過75個客戶。其目標行業包括銀行/金融、建築、國防工業基地、政府、醫療、高科技、高等教育、法律、製造業、媒體、非營利、石油和天然氣、石化、製藥、房地產、電信、運輸、旅遊和公用事業。目標國家包括澳大利亞、加拿大、丹麥、芬蘭、法國、印度、意大利、日本、馬來西亞、墨西哥、菲律賓、波蘭、卡塔爾、沙特阿拉伯、新加坡、瑞典、瑞士、阿聯酋、英國和美國。目前尚不清楚APT41是掃描互聯網並試圖發起大規模攻擊活動還是僅針對特定組織的子集,但看起來更像是針對性攻擊。
5.TrickBot團伙利用惡意APP TrickMo繞過銀行雙因素認證
IBM X-Force研究人員發現TrickBot團伙正在使用惡意APP TrickMo繞過銀行的雙因素身份驗證(2FA)保護。在受害者將TrickMo安裝到他們的Android設備上之後,該APP可以攔截各種交易驗證碼(TAN),包括一次性驗證碼(OTP)、移動TAN(mTAN)和pushTAN驗證碼,並轉發給TrickBot攻擊者,後者隨後可以利用它們進行欺詐性交易。研究人員解釋,TrickMo旨在突破最新的OTP方法,尤其是打破德國經常使用的TAN驗證碼。除此之外,TrickMo的主要功能還包括竊取個人設備信息、攔截SMS消息、鎖定手機、竊取設備中的圖片和自毀/刪除機制。
6.美國特百惠官網遭黑客入侵併感染Magecart腳本
黑客攻擊了美國特百惠公司(Tupperware)的官網,並植入了用於竊取客戶信用卡信息的惡意腳本(被稱為skimmer或Magecart)。根據Malwarebytes的一份報告,該惡意代碼已經在Tupperware主頁上運行了至少五天。目前Tupperware已經從其服務器上刪除了惡意腳本,但尚未發佈正式的回應或聲明。Malwarebytes表示該惡意代碼在每次用戶付款時創建一個漂浮的iframe,並顯示一個模仿VISA CyberSource付款形式的表單,該表單會收集用戶輸入的數據,例如姓名、賬單地址、電話號碼、信用卡號碼、到期日期和CVV碼,然後將其發送到遠程服務器。Tupperware的本地化頁面也感染了該腳本,但很容易識別出來,因為本地頁面顯示的都是本地語言,而惡意表單是英語。
閱讀更多 網絡吵翻天 的文章
