【云演情报】四叶草安全SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)通告
四叶草网络安全学院致力于网络安全攻防实战型人才培养,学院总结多年一线实网攻防经验与案例,自研实战攻防安全教学体系,结合线上、线下培训、竞赛以及攻防实战等形式培养和提升实战能力。
一周漏洞速览
Saltstack命令执行漏洞(CVE-2020-11651)
SaltStack是基于python开发的一套C/S自动化运维工具。攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。
SemCMS 2.7任意密码重置漏洞
SemCMS是一套开源外贸企业网站管理系统,使用php语言编写,可在window或linux系统下运行。SemCMS 2.7版本存在任意密码重置漏洞,攻击者可利用此漏洞更改管理员的密码,从而登陆网站后台。
修复建议:
升级至最新版本。
seacms v6.45前台代码执行
海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选。seacms v6.45前台存在代码执行漏洞,攻击者可以利用此漏洞在web服务器下执行任意代码,从而达到控制服务器的目的。
修复建议:
升级至最新版本。
一周安全资讯速览
四叶草安全SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)通告
谷歌安卓 RCE 漏洞可导致攻击者完全访问设备 击者完全访问设备
谷歌修复了安卓操作系统中的一个漏洞,它可导致攻击者完全控制用户设备,从而以完整权限安装程序、窃取或更改数据或创建新账户。谷歌历来都跟通过 Google Play 商店下载的安卓应用传播恶意软件进行斗争,并在一年半以来继续努力以保持战斗力。然而,恶意软件仍然横行 Google Play 平台上。就在上周,研究人员发现了一款安卓恶意软件 EventBot,从流行的金融应用如PayPal、Barclays、Capital One 等中窃取至数据。
多操作系统平台资产风险状况研究:微软漏洞最多
Kenna Security 发布了一份新的报告,其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction: Volume 5: In Search of Assets at Risk》报告,该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。报告指出,微软资产的 70% 至少具有一个高风险漏洞。在整个研究期间,研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞,其中已完成修复的漏洞有 1.79 亿个,占比 83%。根据 Kenna Security 的说法,其余未修补的 3600 万个漏洞要高于 Max、Linux 和 Unix 资产的总和。苹果的补丁率位列第二高,为 79%。Linux、Unix 和其他网络设备的补丁率则为 66%。
特斯拉二手车泄露客户数据
越来越多上市公司已经开始将勒索软件列为前瞻性风险因素
现在越来越多的上市公司在向美国证券交易委员会提交的文件中,将赎金软件列为前瞻性风险因素。在过去的12个月里,已经有超过1000份文件提到赎金软件作为风险因素,仅2020年1月1日到现在,就有超过700份,预计今年这一数字将轻松超过2019年的数字。这些申报的目的是为了告诉股东,公司很容易受到攻击,也可能成为赎金软件团伙的攻击目标,任何赎金软件的感染都可能给公司带来巨大的、不可忽视的损失。如今,赎金软件犯罪团伙已经不再以家庭用户为目标,而主要是针对大型企业网络,寻求奢侈的赎金支付。现在,赎金软件团伙对大公司的追杀十分凶猛。
计算机电源成为黑客窃取资料工具
现在有不少公司或者机构为了避免重要数据被外泄,都会对于那些极其重要的计算机进行物理断网,而这也可以说是保障计算机数据不被黑客盗取的终极方法之一。不过这方法理论上来说对于内部人员想要窃取机密数据似乎不是万一失的,而这也是公司企业不停加强内部安全监控的原因。而最近国外一个网络安全研究机构就发现了一个方法,可以在计算机完全物理断网的情况下窃取其中的资源。具体的方法涉及到一个可以改变CPU负载的恶意软件,以及一部手机。通过改变CPU的负载,电源的超声波频率也会随之改变,而在旁边最远不超过5米范围的手机则可以收到这些超声波,从而达到传送数据的目的。
Facebook SDK 问题导致部分 iOS 应用崩溃 Spotify、TikTok 均受影响
当地时间今天下午,多个iPhone和iPad用户发现他们设备上的iOS应用在运行时出现了崩溃的现象,而这个问题似乎是由应用所使用的Facebook SDK的故障造成的。在一些苹果设备论坛上有多个关于iOS设备上的应用不断出现崩溃的投诉,各种应用似乎都受到了影响,专门用于监测网络服务健康程度的Downdetector仪表盘上更是出现了罕见的全员故障情景。目前还不清楚这个问题何时能修复,但由于有这么多应用受到影响,可能很快就会得到重视和解决,Facebook很可能会通过服务器更新迅速修复这个问题。
任天堂遭史上最大规模黑客攻击 Wii完整源码和设计泄露
任天堂在此前NNID账户被盗之后近日又被不法者盯上,导致了Wii主机的完整源码/设计方案和N64技术演示流出,可以说已经成为任天堂史上最大规模的泄露案件。根据ResetEra论坛上的汇总,所有的数据都直接从一家和任天堂合作的公司内部窃取。除了Wii和N64的主机相关资料外,本次任天堂被泄露的还有大量《宝可梦》相关档案,包括了《宝可梦黄/蓝》、《宝可梦金/银》的调试版本和源码、《宝可梦日月/终极日月》的调试版本等。
零时科技区块链本周安全情报
所有以太坊交易中过半交易价格低于20美元数
据科学家Alex Svanevik整理的最新数据显示,以太坊交易中有58%的交易价格低于20美元,而80%的交易价格低于90美元;大约20%的比特币交易价值超过900美元;稳定币所有交易的40%在100美元至1000美元之间。数据显示,与ETH的持有者相比,比特币持有者更愿意在加密货币交易上花更多的钱。这反映了人们如何使用以太坊:对于DApp(适合微交易)而言,该网络是一种主流的选择,但也可能是因为以太坊是矿池、博彩类应用程序和交易所的流行枢纽。比特币通常用于支付,人们似乎愿意进行更大额的交易。
美国CFTC指控多个公司进行加密货币和二元期权欺诈
据Cointelegraph消息,美国商品期货交易委员会(CFTC)指控美国和以色列公司的高管涉嫌诈骗1500万美元,涉及加密货币和二元期权。5月5日提交的法庭文件提到了两起重大诈骗案,第一起涉及2013年10月至2016年11月期间进行的二元期权交易,第二起涉及数字资产,2013年11月至2018年8月期间进行的比特币和以太坊交易。CFTC指控以色列的Tal Valariola和Digital Platinum Limited的Itay Barak协助美国公司All In Publishing制定并向美国和外国投资者推广大量误导性的投资计划。在所谓具有误导性的营销活动中,多达51917名用户开设了一个二元期权账户,存入了总计近1300万美元的资金。此外,共有8043名用户开设了数字资产交易账户,存款总额超过200万美元。
巴基斯坦 4400 万移动用户信息泄漏,此前黑客尝试以 210 万美元比特币出售
据 ZDNet 报道,本周有 4400 万巴基斯坦的移动用户的的详细信息被泄漏,而在上个月,一名黑客试图以价值 210 万美元的比特币出售一个包含 1.15 亿巴基斯坦移动用户的记录。ZDNet 表示,已经获得了两个数据集的副本,一个包含了 4400 万条记录,另一个包含 5500 万条用户的记录,这是此前 1.15 亿条记录中的一部分,泄漏的内容包括用户姓名、家庭住址、身份证、手机号等信息。
更多精彩资讯敬请期待···
点
更多漏洞讯息请点击菜单栏看“小道消息”: