丝瓜直播app下载

網絡安全通報第三期
發布時間: 2019-04-24 瀏覽次數: 475 文章來源: 信息化建設與管理辦公室

本周網絡狀態:良好

本周信息安全威脅通告

2019年第3

本周信息安全漏洞威脅整體評價級別為

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞180 個,其中高危漏洞71 個、中危漏洞78 個、低危漏洞31 個。漏洞平均分值為5.99。本周收錄的漏洞中,涉及0day 漏洞84 個(占47%),其中互聯網上出現“BigTreeCMS 'parent' SQL 注入漏洞、WordPress 插件WordPress-Feed-Statistics 開放重定向漏洞”等零日代碼攻擊漏洞。本周CNVD 接到的涉及黨政機關和企事業單位的事件型漏洞總數1599 與上周(1960 個)環比下降18%

丝瓜直播app下载  


簡訊

96%的新加坡企業稱2018年遭遇過網絡攻擊。2018 年,約96%的新加坡企業遭遇過網絡攻擊,其中勒索軟件是最常用的攻擊模式。

28%的受訪者表示勒索軟件是最常用的攻擊模式,25%的受訪者表示惡意軟件是最常遇到的攻擊類型,而11%的受訪者表示是云數據入侵,特別是Google Drive

調查公司Opinion Matters 調查了250名來自新加坡金融、醫療、政府和零售等行業的首席信息、技術和網絡安全官,92%的受訪者指出攻擊數量有所增加;約95%的受訪者稱網絡攻擊比以前更加復雜,其中14%的人強調網絡釣魚攻擊是成功入侵的主要原因,另有12%的人認為程序缺陷是導致數據泄露的主要原因。

在制造業和工程業的公司中,近三分之二的公司在過去12個月里遭遇過三到五次黑客入侵,23%的公司將第三方應用程序和勒索軟件列為黑客成功入侵的主要原因。

月,新加坡對技術風險和業務連續性管理指導方針進行了修改,要求金融機構實施更多措施,增強其運營彈性。行業監管機構新加坡金融管理局表示,這些舉措旨在讓相關機構更好地應對正在迅速變化的網絡安全威脅。

3個月曝光多起中國企業簡歷信息泄露:涉5.9億份簡歷。研究人員發現,中國企業今年前3個月出現數起簡歷信息泄漏事故,涉及5.9份簡歷。

據美國科技媒體ZDNet報道,有研究人員發現,中國企業今年前3個月出現數起簡歷信息泄漏事故,涉及5.9億份簡歷。大多數簡歷之所以泄露,主要是因為MongoDBElasticSearch服務器安全措施不到位,不需要密碼就能在網上看到信息,或者是因為防火墻出現錯誤導致。

在過去幾個月,尤其是過去幾周,ZDNet 收到一些服務器泄露信息的相關消息,這些服務器屬于中國HR企業。發現信息泄露的安全研究者叫山亞·簡恩(Sanyam Jain)。單是在過去一個月,簡恩就發現并匯報了7宗泄露事件,其中已經有4起泄露事故得到修復。

比如,310日,簡恩發現有一臺ElasticSearch不安全,里面存放3300萬中國用戶的簡歷。他將問題報告給中國國家計算機應急響應小組(CNCERT)4題。313日,簡恩又發現一臺ElasticSearch不安全,里面存放8480萬份簡歷,在CNCERT的幫助下,問題也得到解決。315日,簡恩又找到一臺問題ElasticSearch服務器,里面存放9300萬份簡歷。簡恩說:“數據庫意外離線,我向CNCERT匯報,還沒有收到回應。”

第四臺服務器存放來自中國企業的簡歷數據,里面有900萬份簡歷,服務器同樣來自ElasticSearch。還有第五個泄露點,這是一個ElasticSearch服務器集群,里面存放的簡歷超過1.29億份。簡恩無法確認所有者,目前數據庫仍然門戶大開。簡恩還發現另外兩個泄露點,只是規模較小。一臺ElasticSearch服務器存放18萬份簡歷,一臺存放17000份簡歷。

簡單統計,中國企業在過去3個月泄露的簡歷達以5.90497億。

丝瓜直播app下载  

  

網絡安全漏洞

2.1高危漏洞預警


2.2 關于Atlassian Confluence Widget Connector存在目錄穿越、遠程代碼執行漏洞的安全公告

2019410日,國家信息安全漏洞共享平臺(CNVD)收錄了Atlassian Confluence Widget Connector目錄穿越、遠程代碼執行漏洞(CNVD-2019-08177CNVD-2019-08178)。攻擊者利用該漏洞,可在未授權的情況下實現目錄穿越及遠程執行代碼。目前,漏洞利用原理已公開,廠商已發布新版本修復此漏洞。

一、漏洞情況分析

Confluence是一個專業的企業知識管理與協同軟件,可用于構建企業wiki

Confluence的編輯和站點管理特征能夠幫助團隊成員之間共享信息、文檔協作、集體討論,信息推送。Confluence應用于多方面技術研究領域,包括IBMSun MicroSystemsSAP 等眾多知名企業使用Confluence來構建企業Wiki并面向公眾開放。Confluence Widget ConnectorConfluence的窗口小部件,使用Widget Connector能將在線視頻、幻燈片、圖片等直接嵌入網頁頁面中。

2019320日,Confluence官方發布了版本更新信息,修復了目錄穿越、遠程代碼執行漏洞。該漏洞產生于服務器端模板的注入漏洞,主要存在于Confluence ServerData Center的插件Widget Connector當中,存在漏洞的版本允許攻擊者通過在插入文檔與視頻相關的內容時(/rest/tinymce/1/macro/preview)直接通過HTTP請求參數添加_template字段即可回顯相關目錄與文件信息,同時也可通過file:///等協議執行系統命令。攻擊者利用該漏洞,可在未經授權的情況下,對目標網站進行遠程命令執行攻擊。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括:

Atlassian Confluence Server 6.6.12 及以下版本;

Atlassian Confluence Server 6.7.0-6.12.2 版本;

Atlassian Confluence Server 6.13.3 之前的所有6.13.x 版本;

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

CNVD秘書處對Confluence的全球占有率進行了調查,結果顯示全球Confluence系統數量約為61888,其中,8177個系統位于我國境內。

在黨政機關、重要行業的信息系統中,使用Confluence建立信息共享wiki站點的比例很小,故影響較低。

三、漏洞處置建議

目前,Confluence 官方已發布新版本修復此漏洞,CNVD建議用戶立即升級至最新版本:

https://atlassian.com/software/confluence  

  


本周全國焦點事件

3.1 濟南地鐵國內首家實現刷臉支付乘車,人臉信息該如何保護?

41日,濟南市首條地鐵線路1號線正式開啟商業運營,而據了解隨著地鐵上線的還有人臉識別乘車系統,這也讓濟南地鐵成為國內首條采用3D人臉識別閘機的地鐵線路。

濟南地鐵1號線是濟南首條地鐵線路,從昨日運營開始支持包括普通單程票、濟南公交卡、泉城通、掃碼乘車、刷臉乘車在內的多種購票乘車方式,而其中刷臉乘車的正式商用在國內地鐵領域尚屬首次。

據移動支付網了解,濟南地鐵的刷臉乘車需要在其官方APP“濟南地鐵”上開通,但值得注意的是整個人臉錄入的過程非常快速,并且不需要進行相關的身份認證,也不需要進行第三方支付的免密扣款授權,即“人臉識別”的開通是完全脫離支付環節的。而實際上,進行人臉支付時是需要其賬戶內有余額,或者開通相關的免密扣款。通過體驗者的反饋來看,體驗的流暢度并不是很統一,但整體而言識別率還算不錯,認證過程也能夠接受,能夠滿足基本的通行速度。

根據已知信息,濟南地鐵的人臉識別同樣是采用“1N”的比對認證形式,通過事先錄入人臉信息存在云端系統服務器,乘客過閘時再通過自身人臉進行實時比對驗證。目前由于只支持濟南地鐵1號線的部分閘機,通行量有限,不知道當比對數據過多時會不會影響比對時間。另外也不清楚有沒有相應的脫機方案,當網絡不好時會不會影響相應的通行效率。


隨著移動支付的迅速普及,刷臉支付已經開始逐漸向零售行業甚至交通領域延伸。據移動支付網了解,目前包括深圳地鐵、廣州羊城通、北京地鐵、上海申通地鐵在內的多家地鐵公交公司都在試點人臉識別支付過閘。今年1月,金華公交率先在國內公交領域正式應用刷臉支付乘車。

人臉識別的個人信息安全問題

人臉識別的火熱也讓其安全性成為關注的焦點。

據移動支付網了解,此次濟南地鐵的3D人臉識別閘機內置奧比中光提供的3D攝像頭,可以獲取完整的三維人臉數據,同時具備活體檢測能力,能輕松辨識出照片、視頻與面具等偽裝攻擊行為,誤識率僅為百萬分之一。

但這僅僅是官方的說法,也僅僅是3D 結構光攝像頭在普通環境下的識別率。交通領域的實際情況中如何在識別速度和識別率之間作出平衡,如何達到活體檢測識別的效率,都是需要去克服的問題。

眾所周知,人臉信息屬于弱隱私信息,但是又具有唯一性。這也是為何盡管目前人臉識別技術已經達到了相應的商用標準,但很多人仍然對于人臉支付懷有忌憚的原因,因為國內對于人臉信息的合法使用和保護仍然處于法律法規相對空白的局面。

2017 年,蘋果推出Face ID,正式將人臉識別支付帶入到手機中,但是蘋果的人臉信息只會存儲在本地的安全芯片中,不會上傳到服務器,因此個人的人臉信息相對安全,相對而言不會有服務器人臉信息泄漏的風險。這就要求個人對于自身安全信息的保護,畢竟這和自己保護自己的財產安全一樣。

但是目前人臉識別被廣泛應用在零售等公共領域,這也導致人臉信息無法存儲在本地,那么存儲在云端服務器的數據應該由誰保管?如何保管?泄漏之后又是誰的責任?這些必然成為用戶關心的問題。

但是按照目前人臉識別的應用來看,大部分企業仍然是將責任劃分給了消費者,類似于濟南地鐵這樣,那么如果以后每個企業都研發一套屬于自己的人臉識別系統,每個人的人臉信息被分散地存儲在各個企業的云服務器中,一旦一個信息泄漏是不是意味著所有的支付賬戶都會有風險呢?畢竟密碼是可以修改的,而人臉信息沒有辦法重新更換!

隨著新技術的發展,創新的能力可以為消費者帶來更多的便利,但是在支付領域安全和便利永遠是值得深思的問題。人臉識別目前仍然處于探索期,如何制定健全完善的行業法規,如何有效地形成產品落地,需要相關企業和部門的共同努力。


3.2北京警方打掉特大APP刷量團伙,起獲涉案手機近兩千部

依托公安部“凈網2019”專項行動,海淀警方加大對涉網犯罪案件的打擊力度,尤其對網絡黑產的根源打擊。日前,經過海淀警方近9個月的縝密偵查,在廣東警方的大力配合下,一舉打掉一個利用計算機軟件控制大量手機虛擬下載安裝APP產品騙取推廣費的網絡犯罪團伙,共抓獲涉案人員15人,起獲涉案手機近兩千部、服務器四臺、筆記本兩臺、主機兩臺。

警方介入手機APP推廣現可疑

20187月,海淀警方接到轄區一網絡公司報案,稱該公司開發的一款APP產品,在與推廣公司簽署推廣協議并交納巨額推廣費用后,發現APP產品下載安裝量與實際使用情況存在巨大差距,懷疑推廣公司存在詐騙推廣費的行為。接到報案后,海淀分局警務支援大隊、刑偵支隊等職能部門和派出所組成專案組,共同對案件開展工作。

專案偵查特大網絡黑產浮出水面

專案組兵分兩路對案件開展偵查。

第一組通過對報案公司進行走訪了解到該公司所開發的一款APP產品,在與推廣公司簽署推廣協議并支付費用的情況下,發現該款手APP產品在下載和安裝量上和后臺監測到的實際運行量相比卻存在巨大落差,也就是說APP只有下載安裝量,但沒有實際使用,由此可以判斷推廣公司很可能存在“貓膩”!

第二組通過對推廣公司進行調查了解到,推廣公司接到項目后又找到了一些渠道推廣商,將該款APP產品進行推廣,而這些渠道推廣商再找到一些小公司,然后通過虛構該公司APP產品的下載安裝量,從而達到詐騙推廣費用的目的。從數據流量來看,可疑數據集中在廣東地區,于是專案組立即將偵查中心轉移至廣東。

201812月至20193月,專案組三次南下廣東進行前期摸排,在掌握相關證據后,2019319日,專案組再次兵分三路分赴汕頭、廣州和深圳對多家涉案公司開展工作。

在廣東汕頭,專案組通過與汕頭警方緊密配合,很快將掌握的可疑數據來源鎖定在汕頭市龍湖區某信息科技網絡公司。與此同時,負責廣州、深圳的專案組民警也通過與當地警方的緊密配合,迅速摸清了當地涉案公司的情況及人員架構。

321日,專案組見抓捕時機已成熟,開始統一抓捕行動,打響“第一槍”的是汕頭專案組。在涉案公司內,民警首先控制了公司內6名嫌疑人,并在涉案公司內發現多個裝滿手機的“手機墻”。只見每個手機墻由近百部正在運行的手機組成。民警通過對手機進行檢驗,發現每部手機都在通過自動程序反復重復著從手機APP市場點擊、下載并安裝運行軟件的動作。在這些手機不斷點擊下載的程序中,報案公司開發的APP產品果然也在其中。專案組當場起獲了涉案手機近兩千部、服務器四臺、筆記本兩臺、主機兩臺。

就在汕頭首戰告捷的同時,廣州和深圳也分別抓獲4名和5名犯罪嫌疑人。

經審訊,嫌疑人對利用計算機軟件控制大量手機虛擬下載安裝APP產品騙取報案公司推廣費用的犯罪事實供認不諱。目前,15名犯罪嫌疑人因涉嫌詐騙罪均已被海淀警方押解回京并依法刑事拘留,此案還在進一步審理中。


3.3 Facebook 群組“變身”網絡犯罪跳蚤市場,有人公開兜售相關業務

據外媒CNET報道,過去我們經常聽到網絡犯罪分子使用隱藏服務器或暗網來買賣他的商品的消息。而思科Talos團隊周五發布的一份報告顯示,這些慣犯正在通過Facebook群組公開展示他們的業務。

思科Talos團隊發現了74Facebook 群組正在被用于買賣被盜的信用卡信息和網絡犯罪工具。根據Talos團隊的說法,這些群組共有385,000名成員。

Talos團隊稱通過搜索spam carding CVV 很容易找到這些群組。如果用戶加入一個或多個群組,Facebook的算法會建議更多類似的群組。

Facebook表示已經審查了Talos團隊提交的群組,其中大多數群組在2018年被標記。該公司已經刪除了一些違反其政策的群組。


“這些群組違反了我們針對垃圾郵件和金融欺詐的政策,我們刪除了它們,”Facebook 發言人在一封電子郵件中說。“我們知道我們需要更加警惕,我們正在大力投資以對抗這類活動。”

這家社交網絡表示,其已經撤銷了運行惡意群組的帳戶的權限,因此他們無法制作新的帳戶。該公司正在繼續調查并刪除違反政策的群組、網頁和帳戶。


然而,Talos 團隊表示,盡管Facebook 迅速刪除了大多數惡意群組,但“新群組仍在繼續涌現”,截至周五有些群組仍然活躍。


3.4 10個惡意軟件家族被托管在美國服務器上進行傳播

據外媒報道,研究人員發現10個不同的惡意軟件家族托管在美國注冊的十多臺服務器上,它們通過疑似Necurs的僵尸網絡進行傳播。網絡安全公司Bromium的研究人員表示,他們在20185月至20193月期間一直監測與該基礎設施相關的活動。

10個惡意軟件包括5個銀行木馬家族(DridexGootkitIcedIDNymaimTrickbot)、2個勒索軟件變種(GandcrabHermes),以及3個信息竊取器(FareitNeutrinoAzorult)。其中有11臺服務器屬于一家位于美國內華達州的公司,該公司提供VPS托管服務。


在美國的基礎設施上發現這些惡意軟件是不尋常的,因為美國執法機構通常會在發現惡意基礎設施存在時迅速查封它們。

網絡安全研究人員表示,服務器上的惡意軟件家族已經在多個大規模網絡釣魚活動中傳播。電子郵件和托管已與命令與控制系統分離,這表明這些服務器被不同的組織使用,其中一些負責電子郵件和托管,而另一些負責管理惡意軟件。

在追蹤了與惡意基礎設施相關的垃圾郵件和釣魚活動后,Bromium表示,在所有檢測到的攻擊中,電子郵件是主要的攻擊載體,包含惡意VBAMicrosoft Word文件是首選的武器化文檔。最受歡迎的釣魚誘餌是求職申請,其次是支付請求。網絡釣魚活動以美國為主要目標,誘餌郵件通常假冒成著名的美國機構。

此外,惡意軟件樣本的快速編譯以及托管速度表明,惡意軟件開發商和分銷基礎設施運營商之間存在著某些聯系。比如Hermes Dridex的編譯和托管只需幾個小時,最長不超過24小時。

研究人員表示,此次活動中的用戶名和密碼是“username”和“password”,提交文件的名為“test1.exe”,所以很可能只是一次試驗。而且Dridex活動停滯了幾個月,這可能預示著更大規模的Dridex活動即將到來。


3.5 PoS系統感染木馬,好萊塢知名餐廳顧客支付卡信息泄露

Earl Enterprises2019329日承認,網絡犯罪分子在10個月內從其擁有的數十家餐館中竊取了支付卡數據。

調查顯示,此事件影響了Buca di Beppo、三明治伯爵、好萊塢星球、Chicken Guy!、MixologyTequila Taqueria餐廳這些品牌全部歸Earl Enterprises所有。遍布美國的所有Buca di Beppo地點似乎都受到卡信息泄露的影響,以及屬于其他品牌的幾個地點。


根據Earl Enterprises的說法,黑客們制作了一種惡意軟件,用于抓取銷售點(PoS)系統上的信用卡和借記卡信息。此攻擊中涉及的惡意軟件捕獲了卡號,到期日期以及某些情況下的持卡人姓名。

2018523日至2019318日期間在受影響地點使用支付卡的消費者可能會受到影響。客戶可以使用Earl Enterprises提供的在線工具查看他們訪問過的餐館是否受到影響。該公司表示,BertuccisSeaside on the PierCafé好萊塢品牌并未受到影響,也不是好萊塢星球酒店或商店。它還聲稱該事件并未影響美國以外的地點或在線訂單。

該公司在其網站上發布的一份聲明稱,該事件影響了“數量有限的客人”。然而,安全博客Brian Krebs報告說,在220日,一個名為Jokers Stash的黑暗網絡市場,專門銷售信用卡數據,已經出售了大約215萬張被盜卡片,這些卡片似乎來自Earl Enterprises所擁有的餐館。

Krebs在確定數據可能來自其系統之后不久就通知了該公司。Krebs的通知似乎引發了Earl Enterprises的調查,涉及兩家網絡安全公司。聯邦執法部門也已意識到數據泄露。

在過去一年中披露了支付卡數據泄露的主要連鎖餐廳連鎖店名單還包括Huddle HouseChilisApplebeesCheddars Scratch Kitchen


仙林校區地址:南京市亞東新城區文苑路9號 郵編:210023 三牌樓校區地址:南京市新模范馬路66號 郵編:210003 鎖金村校區地址:南京市龍蟠路177號 郵編:210042 蘇ICP備11073489號-1