漏洞概要

缺陷编号:
暂无

漏洞标题:
Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

提交时间:
2017-08-11

危害等级:

相关厂商:

漏洞分类:
安全文章

关注度:
共 7 人关注

漏洞详情

最近西方各国政府对于网络安全的政策制定越来越频繁,包括英国引入新的《数据保护法案》,美国国家技术标准局(NIST)发布网络安全劳动力框架,都是为国内企业的安全问题提供指引。有兴趣的各位可以在 FreeBuf 首页的安全快讯栏目中看到这些内容。而每天发生的数据泄露和入侵事件也越来越多,这是 Buf 早餐铺的资讯要为各位呈现的新鲜时事。

本期 Buf 早餐铺的主要内容有:安全公司 Carbon Black 客户数据大规模泄露;肯尼亚选举委员会或被黑;每月交 500 保证百度搜索排前三页;两名安全研究人员在 DefCon 发表演讲后就被公司解雇;一家神秘公司发布 25 万美元奖金的漏洞奖励计划。

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

【国际时事】

Carbon Black 客户数据大规模泄露,都是财富 1000 强企业的机密数据

最近安全管理策略提供商 DirectDefense 揭露称,安全公司 Carbon Black 泄露 TB 级别的企业客户机密数据。这些企业都采用 Carbon Black 的终端检测与响应(EDR)解决方案 Cb Response。泄露的数据包括某家大型流媒体企业 AWS 的 IAM 凭证、管理员凭证、Google Play 密码;某社交网络企业的内部用户名和密码;某金融服务企业涉及金融数据的 AWS 密码、相关交易加密、金融模型、客户信息的数据。其中许多企业都位列财富 1000 强。

Carbon Black 的 EDR 解决方案会通过管理文件和应用的白名单实现,当 EDR 安全产品发现某个文件并不存在于白名单中时,会将文件上传到云端服务器,并进行多重引擎扫描(如 VirusTotal )。EDR 云借由扫描结果来判断是否阻止该文件。但在此过程中,文件副本会保留在多重引擎扫描云服务器上。这种扫描采用付费访问模式,很多人都可以访问过去扫描存储的文件,甚至下载文件作分析。

DirectDefense 在深入调查后发现上传文件使用的 API 密钥(32d05c55),通过该主密钥就可以找到“数十万、TB级别的数据文件”。因此 DirectDefense 认为 Carbon Black 的服务存在数据泄露问题。DirectDefense 认为可能其它 EDR 安全服务也存在此类问题,并非 Carbon Black 独有。

Carbon Black 回应称,DirectDefense 提到的多重引擎扫描服务对客户而言并不是默认开启的需要用户自己手动启用,而且也已经对客户进行了数据共享方面的警告。详情参见 FreeBuf 的报道文章。[来源:BleepingComputer]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

肯尼亚反对党领导人称:选举委员会被黑,黑客意图操纵总统大选

国外媒体报道称,肯尼亚反对党领导人表示,本周三黑客入侵肯尼亚选举委员会数据库,意图操纵选举结果。周二选民已经针对现总统 Uhuru Kenyatta 以及反对党领导人 Raila Odinga 进行投票,计票工作还在持续。

Odinga 宣称黑客利用 IEBC 选举委员会某个被杀员工的身份凭证入侵了电子投票系统,并启用某种抬高 Kenyatta 选票的算法。Odinga 说投票结果是假的,是欺骗。随后他还公布了 IEBC 服务器的日志来支撑他的说法,据说 Kenyatta 的总得票率因此抬高了 11%。

从 92% 的投票站统计来看,IEBC 结果显示 Kenyatta 得到 1300 万票,得票率 54.4%,而 Odinga 的得票率为 44.7%。Odinga现年72岁,已经是第四次参与总统选举。[来源:SecurityWeek]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

研究人员:KONNI 恶意程序和 DartHotel 攻击之间存在关联,都以朝鲜为攻击目标

Cylance 的研究人员最近发现,近期针对朝鲜的两波间谍行动是存在关联的,分别是 DarkHotel 攻击和名为 KONNI 的恶意程序。KONNI 是个 RAT 远程访问木马,最早发现是在 3 多年以前,过去几年一直在活跃中。这款恶意程序能够记录键击、窃取文件、获取截屏、收集数据——今年,思科 Talos 团队发现,这款恶意程序主要用于攻击和朝鲜有关的企业组织。

前不久 Bitdefender 也观察到一波名为 Inexsmar 的间谍活动,与黑客组织 DarkHotel 疑似存在关联——这是个存在有近 10 年的黑客组织。卡巴斯基 2014 年 11 月最早曝光该组织。该组织以亚太地区的商务旅行人士为目标——包括来自朝鲜、俄罗斯、韩国、日本、孟加拉、泰国、中国、印度、美国、印尼和德国等地的个人。而 Inexsmar 行动以朝鲜的政府雇员为攻击目标。

Cylance 发现 KONNI 涉及的钓鱼文档实际上和 Inexsmar 行动所用钓鱼文档很相似。包括所用的文档标题,文档排版格式,还有作者署名。Cylance 仍在对 KONNI 作深入分析,专家认为该恶意程序作者未来还会发布新版变种,采用更复杂的混淆技术。[来源:SecurityWeek]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

两个间谍行动的恶意文档对比

vDos 运营者正式被起诉,曾是全球最大规模 DDoS-For-Hire 服务

以色列当局最近正式起诉两名年仅 19 岁的 vDos 服务运营者——关注 DDoS 的读者应该知道,vDos 是全球最大规模的 DDoS-For-Hire 平台,该平台已经在去年秋季下线。vDos 服务运营从 2012 年就开始了,最终于去年 9 月终结。

vDos 先前提供的服务包括月度订阅的“stresser service”服务,还有可租用僵尸网络向目标发动攻击。去年夏季, PoodleCorp 黑客组织租用了 vDos 的僵尸网络,不过 PoodleCorp 的 PoodleStresser 中存在漏洞,其它黑客或者安全专家能够从其第三方僵尸网络中获取到数据。PoodleStresser 的源码暴露了其与 vDos API 之间的关联,随后专门从事信息安全调查的记者 Brian Krebs 发现其中的蛛丝马迹,并于去年 9 月刊文揭露 vDos 服务,及其运营者 Yarden “applej4ck” Bidani 和 Itay “p1st” Huri。很快,FBI 和以色列警方逮捕两名嫌疑人,并令 vDos 服务下线。Brian Krebs 因此引发黑客众怒,KrebsOnSecurity 博客遭遇史上最大规模 DDoS 攻击。

以色列国务院检察长办公室的声明并未提到两人的名字,不过声明中确认了 vDos 运营者从服务中获取超过 60 万美元收入—— vDos 在全球范围内发动超过 200 万次 DDoS 攻击。两名犯罪嫌疑人利用一家英国皮包企业来洗钱。vDos 最知名的两个客户 Lizard Squad 和 PoodleCorp 黑客组织间也的确存在关联。[来源:BleepingComputer]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

【国内资讯】

黑客”黑了”百度排名:每月交 500 保证搜索前三页

去年年末,温州市永嘉县公安局网警部门在梳理以往涉网案件的过程中发现,很多被推到百度搜索首页的链接,背后都指向江苏扬州的一家网络科技公司。这家公司为不特定客户非法提供百度 SEO 服务:通过程序攻击百度程序算法,进而破坏百度排名规则,将特定的网站推到首页。

每个月交点钱就能把相关网站推到同类搜索的首页或者前三页。一年的时间,这家公司靠这个“本事”进账两千多万元。永嘉警方成立专案组掌握了这家网络公司的基本组织框架。公司主要负责人姓刘,今年46岁,是江苏人。刘某花很长时间编写了这套软件,并在 2015 年底开始正式运行。据交代,刘某手中有一万多名客户,客户每个月交 500 元,就能保证相关链接保持在前三页。为此,刘某还花了几百万元租了 80 多台服务器,设置好程序专门提供排名优化服务。

这家公司的经营行为已经构成涉嫌破坏计算机信息系统犯罪,2017 年 6 月 1 日,永嘉公安在扬州公安部门的大力协作下实施抓捕,顺利抓获犯罪嫌疑人刘某、卜某、郑某等 25 人,查封扣押服务器 80 余台。目前 25 名犯罪嫌疑人均被依法采取刑事强制措施,警方仍在对其服务器数据重新建模,案件还在进一步侦查中。[来源:网易科技]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

【其它】

Salesforce 公司两名安全研究人员在 DEF CON 发表演讲后,就被公司解雇

Salesforce 公司最近辞退了主动安全防护业务负责人 Josh Schwartz ,和另一名高级工程师 John Cramb ,这两名公司员工上个月刚刚在拉斯维加斯的 DEF CON 大会上进行过演讲。两人都在 Salesforce 的“red team”团队工作。

国外媒体报道称,这两个人是在从 DEF CON 的舞台上下来之后就被 Salesforce 的一名高级管理人员解雇了。据说这名高管在两人上台前的半小时就给他们发短信说不要去演讲,但他们没有看到这条消息。

而演讲有关于一款叫做 MEATPISTOL 的工具,这是个用于注入构建、基础设施自动化和 shell 交互的工具,旨在缩短重新配置和重写恶意程序的时间和精力。这个工具名称其实就是 Metasploit 的字母换位。公司团队成员用这款工具进行授权访问后的系统控制,并非发动攻击的。据说这款工具让团队脱离了枯燥的渗透测试,让工作更为高效。

原本这款工具是要开源的,不过据说在早前给 Schwartz 和 Cramb 的短信中,这名公司高层说不会公开 MEATPISTOL 代码。而 Schwartz 在 DEF CON 演讲中说要努力让这款工具公开。会后,Schwartz 还发了推特提及此事,不过他很快删除了推文并将 Twitter 账户转为私人可见。当前 Schwartz 和 Cramb 拒绝就此事发表评论。[来源:ZDNet]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

一家神秘公司发布高额漏洞奖励计划,25 万美元找虚拟机逃逸漏洞

Bugcrowd 漏洞众测平台最近出现一个为期 8 周、仅邀请挖洞的漏洞奖励计划,从 9 月开始持续到 10 月份,这个项目标价 25 万美元,目标是找虚拟机逃逸漏洞。Bugcrowd 表示这是目前其第三方平台最大规模的漏洞奖励项目。

这次的“超级机密”漏洞奖励计划要求参与的白帽首先提交一份报告,包括他们打算怎么做和各种相关信息。这家神秘公司在声明中提到,排在前 5 的报告,即便最终没有找到漏洞,只要能展示出专业实力和努力,就能获得 1 万美元奖金。当前已经有 27 名参与者加入到项目中。除了最高 25 万美元的奖励之外,该项目也针对泄露内存和代码的漏洞,奖金 10 万美元;还有针对相关未经授权网络访问的漏洞,提供 25000 美元奖金。

实际上,微软上个月公开的升级版 Windows 漏洞奖励计划就为白帽提供最高 25 万美元的奖金,主要针对 Hyper-V 中发现 hypervisor 和主机内核远程代码执行漏洞。[来源:ThreatPost]

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

Buf早餐铺 | 两名研究人员在DefCon演讲后就被公司解雇;一家神秘公司发布25万美元漏洞奖励项目;黑客“黑了”百度排名

很多网站并不在意你的密码是否安全:GoDaddy 表现最好,Spotify、Uber 等垫底

Dashlane 密码管理器 App 开发商最近公布了一份名为《2017 Password Power Rankings》的研究,5 名研究人员测试了 37 家消费用户网站和 11 家企业网站的密码安全标准。测试标准包括网站要求用户账户的密码长度、是否要求字符混用、密码强度评估工具、暴力破解挑战或帐号锁定、MFA 选项等。

Dashlane 认为虽然密码复杂程度主要取决于用户,但网站也是有责任的。在 37 家针对普通消费用户的网站中,仅有 GoDaddy 得到满分 5 分,19 家网站基本合格(3-4分),苹果、微软、Paypal 等做得还不错,而 Facebook、谷歌、雅虎等就只是合格而已了;亚马逊、eBay、Twitter 等站点只得到 2 分;Dropbox、Evernote 和 Pinterest 更是只有 1 分,Netflix 得 0 分。

企业网站情况类似,Stripe 和 QuickBooks 表现最好,Basecamp 和 Salesforce 也不错,GitHub、MailChimp 和 SendGrid 达到合格水平;而 DocuSign 和 MongoDB(mLab) 只有 2 分,AWS 和 Freshbook 只得1分。Dashlane 还专门提到,包括亚马逊、谷歌、Instagram、LinkedIn 等在内的很多网站允许使用只有小写字母“a”的密码,Netfix 和 Spotify 甚至接受“aaaa”这个密码。[来源: SecurityWeek]

* 欧阳洋葱整理编译,转载请注明来自 FreeBuf.COM

发表评论

电子邮件地址不会被公开。 必填项已用*标注