BUF早餐鋪 | 900萬臺國產視訊監控裝置被指存在漏洞;Gallmaker網路犯罪集團崛起;關於微軟多個安全...
各位 Buffer 早上好,今天是2018 年 10 月 12日星期五,農曆九月初四。今天的早餐鋪內容有:900萬臺杭州雄邁科技生產的視訊監控裝置被曝DVR漏洞;Gallmaker網路犯罪集團崛起,主要物件為東歐和中東的政府和軍事組織;國家漏洞庫CNNVD:關於微軟多個安全漏洞的通報;暗網黑市管理員在參加世界鬍子錦標賽前落網,獲刑20年;美參議員要求FTC對谷歌隱瞞Google+安全漏洞行為展開調查。
900萬臺杭州雄邁科技生產的視訊監控裝置被曝DVR漏洞
安全研究人員發現的漏洞包括預設管理員密碼(即無密碼,初始設定沒有強制設定密碼)、“預設”帳戶的不安全憑據、多個未加密通道、薄弱的更新機制和未簽名的韌體等。
研究人員表示幫助使用者連線到公司“XMEye P2P Cloud”並與裝置進行互動操作的ID很容易通過裝置的MAC地址獲得,而且與雲伺服器提供商建立的鏈路(預設情況下已啟用)沒有加密,這些伺服器的地理位置等資訊暫時沒有想請提供。最關鍵的是,裝置的P2P雲功能可以繞過防火牆並允許遠端連線到專用網路,這也是之前成為Mirai殭屍網路重災區的原因之一。[來源: ofollow" rel="nofollow,noindex" target="_blank">helpnetsecurity ]
Gallmaker網路犯罪集團崛起,主要物件為東歐和中東的政府和軍事組織
賽門鐵克是第一個發現該網路犯罪集團的機構。在本週釋出的一份報告中,安全供應商將Gallmaker定性為針對東歐和中東的政府和軍事機構的有組織團伙,目標涵蓋東歐國家的數個海外大使館和中東的國防承包商。賽門鐵克高階威脅情報分析師表示,Gallmaker使用包含政治和外交主題的惡意檔案來誘騙受害者點選,表明這是一個以間諜活動為動機的團伙。
根據賽門鐵克的說法,Gallmaker應該是從2017年12月開始活動,能夠追蹤到的最近一次行動發生在2018年6月。該團伙的有趣之處在於行動時根本不使用惡意軟體,只用一些正常的工具和協議,例如來自滲透測試、資料存檔、壓縮等技術領域的軟體,因此難以被檢測和察覺。[來源: darkreading ]
國家漏洞庫CNNVD:關於微軟多個安全漏洞的通報
近日,微軟官方釋出了多個安全漏洞的公告,包括MS XML 遠端執行程式碼漏洞(CNNVD-201810-294、CVE-2018-8494)、Windows Hyper-V 遠端執行程式碼漏洞(CNNVD-201810-327、CVE-2018-8490)等多個漏洞。成功利用上述安全漏洞的攻擊者,可以在目標系統上執行任意程式碼。微軟多個產品和系統受漏洞影響。目前,微軟官方已經發布補丁修復了上述漏洞,建議使用者及時確認是否受到漏洞影響,儘快採取修補措施。[來源: 安全內參 ]
暗網黑市管理員在參加世界鬍子錦標賽前落網,獲刑20年
在美國緝毒局(DEA)、聯邦調查局(FBI)和國稅局(IRS)的聯合行動中,參加“大鬍子比賽”法國公民 Gal Vallerius 終於落網。由美國司法部公共事務辦公室的新聞稿可知,Vallerius 是大型暗網市場之一的 Dream Market 的管理員和高階主持者。據悉,Dream Market 的暗網裡的上線時間,在 2013 年 11 月前後。
該市場易於匿名獲得非法的物資和服務,買賣雙方需要通過比特幣或其它加密貨幣進行交易。在一開始,Oxymonster 主要做些氧可酮(OxyContin)和利他林(Ritalin)的買賣。但不久後,他就被暗網市場的創始人僱傭為高階主持者和管理員,從而在 Dream Market 的日常非法交易中扮演了一個重要的角色 —— 染指通過加密貨幣進行的毒品交易和洗錢,以及非法產品和服務的交換。[來源: cnbeta ]
美參議員要求FTC對谷歌隱瞞Google+安全漏洞行為展開調查
據外媒報道,谷歌可能要為其Google+引發的安全恐慌面臨一項來自美國聯邦貿易委員會(FTC)的調查。據悉,Google+近日被曝出讓一些第三方軟體開發者擁有訪問使用者私人資訊的許可權。不過調查將不會針對漏洞本身,而是谷歌隱瞞的行為。今年3月,谷歌修復了這一安全漏洞但卻決定不對外公佈。
谷歌認為,在沒有發現數據遭到濫用的證據也無法準確確認受漏洞影響的人之前,他們選擇不向公眾發出警告是正確的做法。另外,谷歌表示將永久關閉面向個人Google+社交平臺。而谷歌的一份內部備忘錄顯示,谷歌之所以沒有披露此事則是因為它不想招致監控部門的審查。[來源: cnbeta ]
*Freddy 編譯整理,轉載請註明來自 FreeBuf.COM