丝瓜直播app下载

網絡安全通報第二期
發布時間: 2019-04-09 瀏覽次數: 164 文章來源: 信息化建設與管理辦公室

本周網絡狀態:良好

本周信息安全威脅通告

2019年第2 期

本周信息安全漏洞威脅整體評價級別為

丝瓜直播app下载國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞196個,其中高危漏洞54個、中危漏洞114個、低危漏洞28個。漏洞平均分值為5.80。本周收錄的漏洞中,涉及0day漏洞121個(占62%),其中互聯網上出現“LayerBBSQL注入漏洞、ThinkCMF SQL注入漏洞(CNVD-2019-07961)”等零日代碼攻擊漏洞。本周CNVD 接到的涉及黨政機關和企事業單位的事件型漏洞總數1788個,與上周(1675個)環比增長7%。



簡訊

美國空軍計劃投入3500萬美元研發新的進攻性網絡工具。根據白宮對2020財政年度的預算要求,美國空軍希望啟動一項新的網絡計劃,以開發一系列攻擊性網絡工具。該計劃將為美國空軍的網絡任務部隊人員提供先進的網絡戰能力,屬于美國網絡司令部的總體計劃的一部分。在該軍種的預算書中,該計劃被命名為“網絡任務部隊基礎工具”。

丝瓜直播app下载空軍研究和開發預算文件指出。“該計劃使戰斗指揮官能夠在網絡空間中作戰,通過網絡來操縱、破壞、拒絕、降級或破壞目標計算機、信息系統和網絡。“

在2020 財年,美國空軍領導人希望該計劃能夠擴展過去研究的一系列網絡基礎工具,開發其他工具和軟件以及提供可與美國網絡司令部架構互操作的原型的努力。美國網絡司令部領導人發誓,這些軍種將不再開發用于單個軍種的煙囪式的工具或基礎設施。預算文件指出,這些基礎工具將納入空軍的分布式網絡作戰行動(DCWO)組合。

“DCWO 組合可以向戰斗指揮官提供網絡效應,包括環境的網絡作戰準備,攻擊性網絡反擊、網絡攻擊、電子戰作戰、任務規劃、情報、網絡安全產品和服務以及指揮和控制/態勢感知(C2SA)),該文件說明了攻擊敵方網絡、電話、綜合防空系統(IADS),指揮和控制系統以及通過電磁頻譜(EMS)創建網絡效應所需的工具。

預算文件還指出,該計劃利用了美國網絡司令部和空軍先前為基礎工具開發所做的努力,并在其他計劃中獲得資助。

丝瓜直播app下载無論怎么努力企業也只能修復10%的漏洞?統計數據表明,企業只有能力修復其網絡中10%的漏洞。公司規模對這一百分比的影響不大。最近一份報告研究了組織機構需要多長時間來修復他們的系統漏洞,以及他們實際上修復的漏洞數量。

Kenna Security 和the Cyentia 研究所發布的報告《預測的優先次序第三卷:贏取修復競賽》,帶來了一些令人沮喪同時又讓人驚訝的發現。

丝瓜直播app下载令人沮喪的發現是統計數據表明,企業只有能力修復其網絡中10%的漏洞。公司規模對這一百分比的影響不大。

Kenna Security 的首席技術官兼聯合創始人Ed Bellis 表示:無論是否是一個小型企業,在一段特定時間內平均有10 到100 個漏洞,他們能夠修復的漏洞比例和大型企業大致相同,即使這些大型企業每個月有超過1000 萬個開放漏洞。

丝瓜直播app下载換句話說,Bellis 表示修復能力發展的速度與漏洞增長的速度大致相同。the Cyentia 研究所的合伙人兼聯合創始人Wade Baker 表示:規模問題讓我們意識到,可能在特定的時間范圍內,組織機構能夠解決的問題存在一個上限。

漏洞修復的速度因軟件發布者而異。Bellis 表示,微軟和谷歌的軟件漏洞往往能被大大小小的組織機構快速修復。修復時間最長的軟件呢?老式軟件和內部開發的代碼。

不同行業的公司之間在補救時間上也存在巨大差異。投資,運輸和石油/天然氣/能源排在前面,能在最短時間內修復75%的被利用漏洞,在短短112 天內就達成了這一目標。醫療、保險和零售/貿易需要的修復時間最長,達成目標花費了447 天。


  

2 網絡安全漏洞

2.1高危漏洞預警

丝瓜直播app下载  


  

  

2.2 關于WordPress Social Warfare Plugin遠程代碼執行漏洞預警

丝瓜直播app下载2019 年3 月25 日,國外安全研究人員在大量攻擊數據中發現了一個WordPress plugins Social Warfare 遠程代碼執行漏洞。該漏洞位于social-warfare\lib\utilities\SWP_Database_Migration.php 文件中的eval()函數,該函數能夠運行攻擊者在“swp_url”GET 參數中定義的PHP 代碼。此漏洞允許攻擊者接管整個WordPress 站點并管理您的主機帳戶上的所有文件和數據庫,從而實現完全遠程接管整個服務器的目的。

一、漏洞介紹

WordPress Social Warfare Plugin 遠程代碼執行漏洞影響Social Warfare Plugin 3.5.3 以前的版本,我們從上節Social Warfare Plugin 各版本使用量可知,該漏洞影響大部分該插件的90%以上的用戶,所以該漏洞影響范圍甚廣。

丝瓜直播app下载該漏洞位于social-warfare\lib\utilities\SWP_Database_Migration.php 文件中的eval()函數,該函數能夠運行攻擊者在“swp_url”GET 參數中定義的PHP 代碼。此漏洞允許攻擊者接管整個WordPress 站點并管理您的主機帳戶上的所有文件和數據庫,從而實現完全遠程接管整個服務器的目的。

二、影響范圍

丝瓜直播app下载目前據統計,在全球范圍內對互聯網開放Wordpress網站的資產數量多達12833569臺,其中歸屬中國地區的受影響WordPress資產數量為18萬以上,該插件安裝量達7萬多站點。

丝瓜直播app下载目前受影響的Social Warfare Plugin 版本:

丝瓜直播app下载Social Warfare Plugin < 3.5.3

三、修復建議

丝瓜直播app下载WordPress 官方插件庫已經在更新了該插件版本,該插件的用戶可以更新至該插件的最新版本:

丝瓜直播app下载https://wordpress.org/plugins/social-warfare/advanced/


丝瓜直播app下载  

3 本周全國焦點事件

3.1 收錄上億份簡歷的數據公司疑被查

近日,有網友爆料稱,創新工場投資的簡歷大數據公司巧達科技(北京)有限公司(以下簡稱巧達科技)所有員工被警方帶走,后來有員工陸續被放出來。目前公司被查原因尚無法確定,疑似違規收集個人簡歷信息。

丝瓜直播app下载3月23日,有網友在天眼查巧達科技條目下的企業問答中發帖稱,“2019年3月14日巧達數據被封,全員被抓,您知道是什么事情嗎?”一位網名為“王多魚”的用戶在下方回復,收集存儲大量簡歷信息,簡歷對應的平臺以及用戶并沒有授權。他們做的‘愛伙伴’(產品)太猛了,誰在招聘平臺上更新簡歷,公司HR就能發現。名為“李萍”的網友則回復稱,“知道,現在全員還沒出來呢”。另有疑似巧達科技家人發帖求助,稱“我哥在該公司才入職一年,現在音信全無,您這邊能不能幫忙問問,謝謝了?”南都記者從看準網獲悉,有8位員工點評過巧達科技,且有5位建議“千萬別去”,前員工評價,“政策風險大,短期內提高技術還行”、“做的產品風險太大,隨時面臨合規性的問題”、“產品風險很大,管理混亂,不時上演甄嬛傳,KPI嚴格”等。

公開資料顯示,巧達科技是國內用戶畫像關鍵數據服務提供商,號稱中國最大的簡歷大數據公司,收錄了上億份簡歷信息,曾獲得天使輪、A 輪和B 輪融資,資方包括李開復的創新工場、中信產業基金等。

丝瓜直播app下载針對此事,創新工場方面回應21世紀經濟報道稱,是巧達科技的財務投資人,但未曾參與公司的任何運營。同時,巧達早已搬離創新工場,公司獨立運營。目前,巧達科技官網已無法打開,辦公地點被封,原因尚不明。

天眼查顯示,巧達科技成立于2014年7月17日,注冊資本為1050 萬元人民幣,法定代表人王成予。股東主要為王成予、劉煒和北京創新方舟科技有限公司,持股比例分別為85.33%、12.19%、2.48%。

據記者了解,巧達科技旗下擁有一系列的人力資源類大數據產品,比如喬大招和妙招網等。在對外公司介紹中,巧達科技稱是一家提供免費招聘工具軟件和大數據分析服務的公司。通過海量個人行為軌跡數據進行消費趨勢判斷和企業決策影響。在創業邦2015 年的一篇名為《以上億簡歷數據為基礎,愛伙伴可預報員工離職前動態》的報道中,巧達科技產品合伙人劉博表示,“我們的商業模式概括起來也就8個字:獲取簡歷、數據變現”。該文章提及,當時巧達科技已免費提供招聘類工具給超過15萬個企業HR和獵頭顧問使用,當用戶免費試用這些產品時,海量的簡歷數據將與巧達共享。在此基礎上,巧達科技進一步對數據進行分析處理,從而提供包括征信補充、行業預測等服務。

而巧達科技變現的一款重要產品是員工離職預報工具“愛伙伴”,該產品主要利用大量簡歷數據和一定技術手段,對平臺所積累的簡歷的變化進行追蹤、同步,并在員工的簡歷發生變化時提醒公司管理者。

對此,北京志霖律師事務所副主任、中國政法大學知識產權研究中心特約研究員趙占領向南都記者表示,出于可能影響現階段工作或領導對本人的看法,用戶在某招聘網站上的求職意向或投遞簡歷的行為并不希望被現單位領導知悉,這樣的工具涉嫌損害用戶的隱私權。

丝瓜直播app下载針對這種商業模式可能存在的法律風險,趙占領分析,用戶在其他招聘網站上發布的簡歷中包含了求職意向、工作經歷以及聯系電話、住址等個人隱私。雖然用戶在其他招聘網站上發布的簡歷在一定范圍內是公開的,但是用戶僅希望公開的范圍限于該平臺,而且通常情況下,用戶的簡歷還需要用人單位HR通過向平臺付費或者用戶主動投遞簡歷才可以查看。“如果未經用戶同意抓取其簡歷并放置于自己平臺上用于牟利,該行為也涉嫌侵犯用戶的隱私權。”趙占領說。

   

3.2 云集被質疑泄露個人信息,千名消費者慘遭電話詐騙

丝瓜直播app下载多名消費者向《中國消費者報》記者反映,在云集平臺上購物之后,接到了詐騙電話,導致上當受騙。


丝瓜直播app下载中國消費者報》記者獲悉,從去年至今,在云集平臺上,眾多購買了商品的消費者接到了詐騙電話,涉及全國各地上千名消費者。記者了解到,消費者被騙金額從幾千元至數萬元,損失慘重。“對方能說出我的訂單編號,我的姓名,還有我下單買的具體物品。這些都讓我不得不信。”受害者說,在提供了信息后不久,她就發現銀行卡上的錢被一筆一筆的劃走。“到現在,警方也沒有結論,云集也沒有給我一個說法。”受害者說,她質疑自己的訂單信息在云集APP 上被泄露,才導致她上當受騙。

《中國消費者報》記者了解到,疑似因“云集訂單信息泄露”導致消費者遭受詐騙的事情,涉及全國各地的消費者。截至目前,已有不少消費者因此遭受到不同程度的財產損失,受騙金額從幾百元到十幾萬元不等,僅記者掌握的資料顯示,目前整體損失金額或達數百萬元。有的消費者已經向公安機關報案。此外,一些云集的消費者也反映,接到類似詐騙電話,但沒有上當受騙。

從消費者被詐騙的情況來看,云集存在嚴重的信息安全隱患,消費者在云集消費之后,包括個人姓名、電話、收貨地址、消費金額以及交易時間等詳細信息便遭到泄露;此后,更是有部分用戶接連收到詐騙短信和詐騙電話,令人防不勝防。

丝瓜直播app下载律師黃文得對《中國消費者報》記者稱,云集APP 作為電子商務平臺經營者,通過促成網上買賣雙方的交易獲取利益,應當根據《電子商務法》的相關規定履行個人信息保護的法定義務。黃文得說:“云集app 具有獲取買家個人信息的便利,如果其不能切實履行上述法定義務,那么必然導致買家姓名、手機號碼、住址、消費習慣等重要個人信息的裸奔,這將直接導致買家財產損失,甚至損害人身安全。”黃文得認為,從消費者反映的情況來看,消費者在購物后幾個小時內個人信息就被犯罪分子掌握和利用,可以認定云集app 在個人信息保護方面存在重大漏洞,具有嚴重過錯。云集應當對消費者個人信息安全權被侵害一事承擔相應的侵權責任。如果監管部門責令整改而云集APP 拒不改正的,那么,云集APP 平臺涉嫌拒不履行信息網絡安全管理義務犯罪,此為其一。其二,如果消費者個人信息泄露系云集APP 內部員工的個人行為所致,那么該員工個人因為實施了非法提供或者銷售公民個人信息的行為,涉嫌侵犯公民個人信息犯罪。“存在嚴重的信息安全隱患的平臺,必須為消費者遭受的侵害承擔法律責任,有關監管部門應該行動起來,保護消費者的合法權益。


3.3 盜取30余萬條個人信息叫價1比特幣,“網偷”被警方抓獲

暴力破解汽車金融服務平臺后臺管理權限,盜取大量數據放至“暗網叫賣”;篡改短視頻軟件,破壞系統安全防護機制,還在網上“炫技”。3月24 日,警方通報上述兩起案例的嫌疑人均被收入法網。記者獲悉,“2019 凈網行動”以來,武漢網警持續打擊新型網絡犯罪,在新型網絡犯罪的法律適用、電子證據提取和固定等方面不斷研究突破,有效維護清朗網絡環境。警方提醒,互聯網絕非法外之地,網絡從業者必須學法尊法守法。

去年11 月,一篇微信公眾號信息引起人們關注,“‘暗網’上有人掛售某網站30 余萬條用戶資料信息,叫價1 個比特幣。”這個涉事網站負責人獲此消息,焦急萬分。網站負責人匆匆到江漢區公安分局報警。在互聯網上,暗網尤如沉入水中的冰山,追查暗網信息的幕后黑手,相比一般的網上追蹤困難得多。這名作案的黑客還聲稱,他不僅攻克了數據庫,還拿到了包括服務器在內的全部權限,并曬出網站管理后臺信息。

經查,這家網站后臺管理權限已被盜取,被偷走的客戶信息包括身份證、手機號、銀行卡、家庭住址、工作單位、貸款情況等,在暗網上的售價是1個比特幣(時值3.5 萬元)。

網安支隊會同江漢區分局組織專案組立案偵查。通過對海量數據的追蹤、分析、碰撞、比對,終于查明這只幕后黑手是四川省成都市雙流區華陽鎮的一個青年男子吳某。經審查,吳某曾在成都一個軟件專修學院學習,畢業后一直從事互聯網技術相關工作,并在互聯網上搭建一個網站,出售個人信息。今年1 月22 日,專案組在成都警方的配合下,果斷將吳某抓獲歸案。年僅22 歲的吳某交代,他利用一個軟件以暴力破解手段入侵受侵網站后臺。隨后,找到服務器的用戶注冊信息,盜取這家網站大批量、多維度的用戶數據,共計30 余萬條。因為不了解“暗網”相關技術,他還曾向一網友交180元學費。

丝瓜直播app下载去年11 月,武漢網警在網上公開巡查時發現,有人惡意篡改短視頻App 軟件,并在網絡論壇傳播。網警當即將此消息反饋給開發這款軟件的科技公司。該公司技術人員分析發現,這種篡改會導致核心數據丟失,尤其嚴重的是,篡改后的軟件極易被不法分子利用,將境外一些暴力、色情等視頻傳入境內。

網安支隊迅速會同武昌區公安分局成立專班展開偵查工作。他們通過分析篡改軟件,比對相信息,查明篡改軟件的犯罪嫌疑人竟是不到20 歲的遼寧青年郭某某。郭某某通過修軟件代碼并重新打包,使普通用戶可突破安全機制隨意瀏覽不良信息。根據該公司后臺數據顯示,已有40 余萬人次使用了該篡改軟件,在使公司利益受損的同時,也形成很大的網絡安全隱患。

丝瓜直播app下载今年3 月8 日,工作專班趕赴遼寧本溪,將郭某某抓獲歸案。經審查,郭某某交代了全部作案過程。他是一所大專學校就讀的在校生,所學并非計算機專業。自高二起就對計算機編程產生濃厚興趣的他,由于家里沒有經濟條件買電腦,竟用手機編代碼10 萬條。他篡改這款短視頻的初衷并非為謀利,只為“炫技”。他將篡改后的“版本”連同篡改的技術細節在網絡論壇上分享給網友們,一時間數萬粉絲稱之為“大神”。大受“鼓舞”的他又進一步篡改軟件,并將其分為“免費版”“收費版”兩個版本,并獲利3000 余元。

據辦案民警介紹,社交能力較差,還有點結巴的郭某某,兼職寫代碼、送外賣補貼家用。今年1 月初,他發現經過篡改的軟件的擴散已經不受控制,有些害怕,遂停止了更新。



3.4 華碩更新Live Update,修復遭APT 攻擊濫用的后門漏洞


京時間3月27日早間消息,此前有消息稱華碩此前發布的一個軟件升級工具含有漏洞,該漏洞可以讓黑客入侵用戶的計算機。據美國科技媒體Engadget報道,今日華碩宣布,他們推出了一個旨在修復該漏洞的新升級工具。

丝瓜直播app下载華碩針對筆記本電腦用戶發布了新版本的Live Update,這個工具解決了此前軟件中所含有的ShadowHammer 后門漏洞。另外,該公司還承諾將會通過多重安全驗證機制來預防用戶的設備受到進一步的攻擊。華碩表示,他們還將會對服務器系統進行升級,從而在未來避免遭受攻擊。

在發布新的工具之后,華碩公司還重申稱,ShadowHammer 的影響范圍并不大,該公司表示只有“非常小的一部分用戶”受到了此次事件的影響。這個事件被認定為是一次“高級持續威脅(Advanced Persistent Threat)”,它所針對的是企業和組織,而不是普通用戶。華碩在一份聲明中表示,該公司所生產的其他設備沒有受到此次事件的影響。

盡管華碩已經修復了這個漏洞,但是依然有人質疑該公司為何沒有在第一時間對系統進行鎖定。升級工具經常會成為被黑客所利用的工具,因為這些工具不僅受用戶的信任,而且對操作系統擁有高權限,因此這些工具在正式發布之前必須要經過嚴密的安全檢查,以免被黑客所利用。


仙林校區地址:南京市亞東新城區文苑路9號 郵編:210023 三牌樓校區地址:南京市新模范馬路66號 郵編:210003 鎖金村校區地址:南京市龍蟠路177號 郵編:210042 蘇ICP備11073489號-1