纵观全球态势,感知安全天下。悬镜安全精心筛选过全球一周安全大事,带你聚焦安全热点。
01Talos专家发现GoAhead Web服务器的RCE漏洞
近期,思科Talos的安全专家在GoAhead嵌入式Web服务中发现了两个漏洞,其中包括一个高危RCE漏洞。
GoAhead可以说是世界上最流行的微型嵌入式Web服务器,由EmbedThis开发。它原本的定义为“紧凑、安全和易于使用”。GoAhead已部署在数亿台设备中,是小型嵌入式设备的理想选择。根据Shodan搜索引擎的数据,在撰写本文时,暴露在公网上的GoAhead数量已经超过130万。
第一个漏洞被标记为CNNVD-201912-058、CVE-2019-5096,与multi-part/form-data之类的请求有关。未经身份验证的攻击者可以利用这个漏洞触发一个use-after-free,通过发送恶意的HTTP请求在目标服务器上实现任意命令执行。
根据安全报告的说法:“对基于版本v5.0.1、v4.1.1和v3.6.5的GoAhead Web服务器的应用,在处理multi-part/form-data一类请求时存在一个远程命令执行漏洞。攻击者所发送的恶意HTTP请求可能触发use-after-free,破坏堆结构,导致命令执行。恶意请求可以以GET或POST请求的形式存在,并且所请求的资源不需要真实存在于目标服务器上。”
而研究人员发现的第二个漏洞被标记为CNNVD-201912-050、CVE-2019-5097,也可被未经身份验证的攻击者所利用,通过发送恶意HTTP请求进行拒绝服务(DoS)攻击。
“对基于版本v5.0.1、v4.1.1和v3.6.5的GoAhead Web服务器的应用,在处理multi-part/form-data一类请求时存在一个拒绝服务漏洞。一个恶意HTTP请求可能导致服务器处理流程进入死循环。恶意请求可以以GET或POST请求的形式存在,并且所请求的资源不需要存在于目标服务器上。”
根据Talos的说法, GoAhead的5.0.1、4.1.1和3.6.5版本均受这两个漏洞影响。Talos已在8月份向EmbedThis报告了这些问题,而在11月21日这些漏洞已得到了解决。
早在2017年12月,Elttam的专家发现GoAhead Web服务存在缺陷(CNNVD-201712-407 、CVE-2017-17562),影响数十万物联网设备。这个漏洞也可以被利用在受影响的设备上执行恶意代码。
原文链接地址:http://985.so/fhAD
02全球ipv4地址已耗尽,ipv6势在必行
11月18日,新一期全球超级计算机500强榜单面世,美国超级计算机“顶点”蝉联冠军,中国则继续扩大数量上的领先优势,在总算力上与美国的差距进一步缩小。
在上榜数量上,中国境内有228台超算上榜,蝉联上榜数量第一,比半年前的榜单增加9台。美国以117台位列第二。
近十年来,我国先后成立天津、深圳、济南、长沙、广州、无锡6家国家级超算中心,另外,第7家国家超级计算郑州中心正在筹建中。
对于我国在计算机数据发展方面一直在突破。尤其对于美国垄断市场方面,中国在根服务器、5G技术方面已经在全面部署。
中国将打破美国根服务器的垄断
工信部也对外发布通知
目前全球IPV4根服务器只有13台,1个主根服务器在美国,其余12个均为辅根服务器。其中9个在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。也就是说,我们中国上网每一次访问都要经过日本到达美国,再从美国返回来,导致中国在互联网时代的局限性以及没有话语权。
IPv6优点:
1、目前IPv4网址资源接近枯竭
2、IPv6具有更大的地址空间
3、IPv6增加了增强的组播
4、IPv6有更快的传输速度,移动性更强
5、IPv6有更安全的传输方式
为了网站域名解析的在国内完成,摆脱外国在域名根服务器这块的制衡,我国互联网建设没有赶上IPv4时代,但抓住了IPv6协议在全球传播的历史机遇。
企业升级IPv6的原因
2017年我国已经在全球部署了25台ipv6根服务器,国内部署了包括1台主根服务器在内的4台根服务器,这就是著名的“雪人计划”。
2019年ipv6在我国已经全面应用,明年将覆盖50%的互联网用户,目前我国已建成规模最大、业务形态最全的IPv6网络。
再者我国在为5G打基础,为物联网打基础,为工业4.0打基础,为人工智能打基础,为全面实现“中国制造2025”做好充分的准备。
各个政府单位、企业的网络应用也是越来越广泛,安全性能的要求也越来越高,对比现在整个互联行业,大的企业无论在PC端还是移动端,都已经完成了升级。
而对于还没有升级的企业,显然早升级比晚升级要更好,主动比被动好。避免被提醒要升级IPv6导致损失。
原文链接地址:http://985.so/fhA6
032019年全球流行勒索病毒猖狂,10点建议给到你
本文转载安全客,经小编整理发布,关于文章细节可以查看原文链接地址:http://985.so/fhA2。
2019年应该是勒索病毒针对企业攻击爆发的一年,这一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企业、组织机构被勒索病毒攻击的新闻被曝光,勒索病毒已经成为了网络安全最大的威胁,利用勒索病毒进行攻击的网络犯罪活动也是全球危害最大的网络犯罪组织活动,勒索病毒成为了地下黑客论坛最流行、讨论最热门的恶意软件,其中STOP勒索病毒、GandCrab勒索病毒、REvil/Sodinokibi勒索病毒、Globelmposter勒索病毒、CrySiS/Dharma勒索病毒、Phobos勒索病毒、Ryuk勒索病毒、Maze(迷宫)勒索病毒、Buran勒索病毒、MegaCortex勒索病毒被列为全球十大流行勒索病毒。
全球这些主流的勒索病毒笔者都曾详细跟踪并研究过,相关的报告可以查看之前的文章,2019年下半年又出现了一些新型的勒索病毒,比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等,这几款新型的勒索病毒主要在国外比较流行,目前发现的大部分流行的勒索病毒暂时无法解密,重点在防御,针对勒索病毒的一般防范措施,笔者总结了以下几条建议,仅供参考:
1、及时给电脑打补丁,修复漏洞
2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击
3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染
4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件
5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击
6、开启Windows Update自动更新设置,定期对系统进行升级
7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件
8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机
9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击
通过笔者一直跟踪与分析,预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织加入进来,通过勒索病毒迅速获利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招.
04卡巴斯基在4种开源VNC软件中发现了数十个缺陷
卡巴斯基专家分析了,名为虚拟网络计算(VNC)的远程访问系统的几种不同实现,并确定存在内存损坏漏洞,某些漏洞可能会导致远程执行代码。
VNC系统使一台设备可以远程访问另一台设备的屏幕,其中包括主要的操作系统,如GNU / Linux,Windows和Android。VNC是最受欢迎的工具之一,查询shodan.io可以找到超过600,000台VNC服务器在线可用。VNC系统使用远程帧缓冲区(RFB)协议来远程控制设备,传输屏幕图像,鼠标移动和 按键 设备之间的事件。VNC 在工业环境中被广泛采用,许多工业控制系统(ICS)制造商都在VNC进行远程控制。
卡巴斯基分析了流行的开源VNC系统LibVNC,UltraVNC,TightVNC和TurboVNC。“这项研究的结果是,我们发现了许多内存损坏漏洞,这些漏洞总共被分配了37个CVE标识符。发现服务器和客户端软件中的数十个漏洞,攻击者可能利用其中的一些漏洞对目标系统进行了更改。同时还发现UltraVNC中存在22个安全漏洞。37个漏洞中的大多数已得到解决。专家指出,TightVNC存在一个关键问题,因为TightVNC 1 X已停产,维护人员将不会发布任何更新。
“所有错误均与不正确的内存使用情况有关。利用它们只会导致故障和拒绝服务,这是相对有利的结果。”卡巴斯基继续说道。“在更严重的情况下,攻击者可以获得未经授权的设备信息访问权限,或者将恶意软件释放到受害者的系统中。
卡巴斯基专家解释说,利用某些已发现的漏洞会对工业系统造成严重风险,即使 服务器端 只有经过身份验证的攻击者才能利用这些问题。因此,专家建议在服务器上设置一个强密码以减轻风险。
专家解释说 客户端 应用通常会在其代码中包含错误,从而使它们容易受到黑客攻击。
卡巴斯基ICS CERT的研究人员Pavel Cheremushkin说:“发现的漏洞的简单性让我感到惊讶,特别是考虑到它们的使用寿命。” “这意味着攻击者早就可以注意到并利用这些漏洞。而且,许多开源项目中都存在一些漏洞,即使重构了包括易受攻击的代码在内的代码库,漏洞仍然存在。”
原文链接地址:http://985.so/fhAy
05涉嫌违法采集个人信息 天津银行等100款APP遭下架
购物软件知道你想买啥,美食软件知道你爱吃啥,出行软件知道你要去哪……互联网在为我们日常生活提供便利的同时,也给用户的个人隐私披上了一件“皇帝的新装”。
12月4日,国家网络安全通报中心发布消息称,又有100款违法违规采集个人信息的APP被查处并责令整改。其中,“范登读书”、“天津银行”、“天津农商银行”和“乐贷款”等金融类APP榜上有名。
来源:国家网络安全通报中心微信公众号
相关部门查处力度不断加大的同时,监管也在持续升级。不久前,央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,进一步规范金融客户端应用软件的安全管理。此外,《金融科技(FinTech)发展规划(2019-2021年)》中也明确提出,要引导金融机构加强金融领域APP与门户网站的安全管理。
原文链接地址:http://985.so/fhAw
06支付宝机房宕机,目前已恢复正常
12月6日下午17点左右,很多支付宝用户发现账号出现异常。包括无法正常登陆和支付,有的甚至收不到验证码等情况。余额显示功能也无法正常使用,提示定格在网络无法链接。支付宝钱包始终处于“网络繁忙,请稍后再试”的状态。
“订单不存在,请检查后重试”、“系统异常,请稍后再试”、“顾客太多,客官请稍后”等现象成为网友吐槽的重点。“支付宝崩了”瞬间登上新浪热搜。
截止昨日17:30分前后,支付宝的所有功能均已回复正常。据官方解释,这是由于机房网络抖动所致。
此事件虽然并未造成太大影响,但是仍然有不少网友调侃,马上就到花呗的还款日了,这种故障如果多出几次,是否钱就不用还了?
其实,此类宕机也并非支付宝首次出现。
最著名的是2015年5月27日,时间同样是下午17点左右。支付宝出现登录异常的状况,问题和本次十分类似。但当时前后持续了2个小时,直到19点才逐步恢复正常。
而后,支付宝方面回应称,“由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝”。
2015年5月28日,支付宝发布声明,并对支付宝因光纤被挖断而断网事件道歉。
参考来源:新浪支付宝官方微博、IDC新闻