【网安动态】760多个恶意Ruby程序包对RubyGems进行域名抢注；思科发布安全补丁解决产品的众多漏洞

vlambda
2020-04-20

【网安动态】760多个恶意Ruby程序包对RubyGems进行域名抢注；思科发布安全补丁解决产品的众多漏洞

内容提要：

1. 760多个恶意Ruby程序包对RubyGems进行域名抢注

3. AiR-ViBeR：风扇产生可控振动以窃取气隙系统中的数据

4. 美国开发用于军事和工业系统的开源网络安全工具包

5. 新的MBRLocker恶意软件变种已在4月持续发布

6. 美国技术行业敦促国会支持在疫情期间大力推进信息技术和抵御网络安全威胁

7. 黑客秘密修改合法的JavaScript文件使用WooCommerce插件攻击WordPress网站

8. CVE-2019-14040和CVE-2019-14041影响所有具有Qualcomm芯片组的Android设备

9. 与叙利亚有关的黑客使用冠状病毒为主题

【网安动态】760多个恶意Ruby程序包对RubyGems进行域名抢注；思科发布安全补丁解决产品的众多漏洞

1.760多个恶意Ruby程序包对RubyGems进行域名抢注

研究人员已经发现了760多个恶意Ruby程序包对RubyGems（即Ruby社区的gem仓库/托管服务）进行了域名抢注。恶意软件故意使用与流行软件包（例如，atlas-client而不是atlas_client）相似的软件包名称，意图诱使用户在不知不觉中运行恶意代码。所有恶意Ruby程序包都是通过两个帐户发布的，研究人员认为这是由同一攻击者创建。实际上，他们认为，同一攻击者针对RubyGems存储库先前至少进行了两次恶意活动。

2.思科发布安全补丁解决包括影响IP电话和UCS Director等众多漏洞

思科本周发布了安全补丁，以解决其产品的众多漏洞，包括影响IP电话和UCS Director的严重漏洞。IP电话中修补的严重漏洞会影响Web服务器，并可能允许未经身份验证的远程攻击者以root特权执行代码。该错误的CVSS评分为9.8，漏洞跟踪为CVE-2020-3161。思科UCS Director和UCS Director Express for Big Data总共解决了三个关键漏洞，这些漏洞可能允许未经身份验证的远程攻击者绕过身份验证或进行目录遍历攻击。这些缺陷被跟踪为CVE-2020-3239，CVE-2020-3240和CVE-2020-3243，并且由于访问控制验证不足和输入验证不正确而存在。这三个问题均在UCS Director 6.7.4.0和UCS Director Express for Big Data 3.7.4.0中得到了解决。

3.AiR-ViBeR：风扇产生可控振动以窃取气隙系统中的数据

以色列一所大学的学者已经证明了使用安装在计算机中的风扇来产生可控振动的可行性，该可控振动可用来窃取气隙系统中的数据。这项代号为AiR-ViBeR的技术是以色列某研究人员设计出的数据泄露技术中的最新技术。这个主题的研究非常重要，因为气隙系统（隔离在无法访问Internet的本地网络上的计算机）通常用于政府或公司网络上，以存储敏感数据，例如机密文件或知识产权。尽管AiR-ViBeR技术是一项非常新颖的技术，但是通过振动传输数据的速度非常慢，所以被利用的可能性不高。

4.美国开发用于军事和工业系统的开源网络安全工具包

美国通用电气（GE）研究与国防高级研究计划局（DARPA）合作进行一项耗资490万美元的项目，以开发用于军事和工业系统的开源网络安全工具包。针对网络安全威胁的验证证据和弹性设计(VERDICT)项目旨在评估关键系统的网络安全，并加强保护以提高网络弹性。目标是开发一个全面的系统，可以规定最佳的防御措施，为每个系统的判决评估。尽管军事系统通常通过云平台进行操作以提高网络弹性，但安全人员表示，恶意分子仍有可能入侵该系统。该工具包将使军方更清楚地看到潜在的漏洞，并采取措施加强保护。

5.新的MBRLocker恶意软件变种已在4月持续发布

安全公司表示，新的MBRLocker恶意软件变种已在4月持续发布。研究人员在野外发现了新的MBRLocker变体，但这很可能是试图诱骗该团队。MBRLocker，也称为DexLocker，是一个勒索软件和恶意软件家族，试图破坏受感染计算机的主启动记录（MBR）。然后引入了恶意BIOS，该BIOS要求赎金以换取恢复的访问权限。这种恶意软件通常通过warez和破解软件传播。以MBR为目标的恶意软件旨在阻止用户即使在安全模式下也无法启动，但是使用额外的可启动设备，解锁通常相对容易。通常建议从备份还原。

6.美国技术行业敦促国会支持在疫情期间大力推进信息技术和抵御网络安全威胁

美国技术行业团体周四敦促国会支持在疫情期间大力推进信息技术和抵御网络安全威胁。美国互联网协会、CompTIA、网络安全联盟、数字创新联盟、采购倡导中心和信息技术产业委员会向国会领导人发出信函，强烈敦促他们将为信息技术现代化和网络安全提供资金列入下一个计划。参加该技术联盟的公司包括亚马逊，谷歌，微软，Twitter，Airbnb，AT＆T和Mozilla，以及许多领先的网络安全组织。他们主张国会为现代化联邦机构网络提供资金，为州和地方政府升级IT，确保对网络安全进行投资,防止黑客利用疫情发动攻击。

7.黑客秘密修改合法的JavaScript文件使用WooCommerce插件攻击WordPress网站

安全人员发现信用卡盗版者通过秘密修改合法的JavaScript文件，找到了一种难以检测的方法来使用WooCommerce插件攻击WordPress网站。这很不寻常，因为对电子商务系统的大多数攻击都涉及在文件末尾添加代码，这种技术很有效，但防御者更容易发现。当涉及到对较小的电子商务网站的攻击时，通常更容易更改付款明细，将资金转至恶意帐户。在这起事件中，攻击者费了很大的劲来掩盖他们的踪迹，甚至清除了攻击后网站上缓存的被盗数据。WordPress CMS上最明显的泄露迹象是添加了一个PHP文件来确保恶意代码被加载。目前不知道攻击者是如何进入这个站点的。

8.CVE-2019-14040和CVE-2019-14041影响所有具有Qualcomm芯片组的Android设备

CVE-2019-14040和CVE-2019-14041的两个安全漏洞影响了所有具有Qualcomm芯片组的Android设备跟踪，并可被利用来为恶意应用程序提供完整的root功能。 Zimperium的zLabs研究团队最初于2019年7月31日向高通报告了安全问题。概念证明（PoC）已于8月4日发送给美国芯片巨头，一个月后，高通向Android供应商发送了补丁程序。在给供应商足够的时间来向客户部署安全修复程序之后，高通公司发布了二月份的安全公告。第一个漏洞CVE-2019-14041是从缓冲区更新函数中提取的竞争条件问题，缓冲区更新函数通过指针发送到TrustZone。第二个漏洞CVE-2019-14040是内核内存映射中的先用后用漏洞。

9.与叙利亚有关的黑客使用冠状病毒为主题

Lookout安全研究人员表示，与叙利亚有关的黑客最近转而使用冠状病毒为主题。该活动自2018年1月开始活跃，目标受众是以阿拉伯语为母语的用户，使用数十种Android应用程序，但官方的Google Play商店中没有这些应用程序。恶意应用程序可能针对叙利亚和周边地区的用户。总共发现了71个恶意Android应用程序，它们都连接到同一命令和控制（C＆C）服务器。服务器的IP地址链接到叙利亚电信机构（STE），该机构以托管政府支持的叙利亚电子军（SEA）的基础结构而闻名。在该活动中使用的71个恶意应用中，有64个是SpyNote的版本，SpyNote是已知的商业监视软件系列。其他属于SandroRat，AndoServer和SLRat家族。

vlambda博客
学习文章列表