Evernote Chrome插件XSS漏洞,波及约460万用户;WAGO工业交换机硬编码后门账户;黑客团伙Outlaw回归

发布时间 2019-06-14

1、Evernote Chrome插件XSS漏洞,波及约460万用户

 
安全厂商Guardio发现Evernote的Chrome插件(Evernote Web Clipper)中存在一个严重的XSS漏洞,可允许攻击者访问用户在第三方服务中的敏感信息。由于Evernote广受欢迎,该漏洞可能波及约460万用户。该漏洞(CVE-2019-12592)属于插件中的编码逻辑错误,可绕过浏览器的同源策略,使得攻击者访问第三方服务的敏感用户信息,包括身份验证信息、财务信息、社交媒体聊天信息、电子邮件信息等。建议用户更新至7.11.1及更高版本。

原文链接:https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/

2、思科发布IOS XEApp更新,修复Web UI中的CSRF漏洞

 
Cisco IOS XEAppWeb UI中的漏洞(CVE-2019-1904)可允许未经身份验证的远程攻击者进行跨站请求伪造(CSRF)攻击。该漏洞源于受影响设备上的Web UI的CSRF保护不足,攻击者可通过欺骗用户访问恶意链接来利用此漏洞,成功利用此漏洞可允许攻击者以用户的权限级别实行任意操作。如果用户具有管理权限,则攻击者可以更改配置、实行命令或重新加载受影响的设备。该漏洞的CVSS评分为8.8分,建议用户尽快安装修复补丁。

原文链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf

3、WAGO工业交换机多个漏洞,包括硬编码的后门账户

 
SEC Consult研究人员发现德国WAGO企业制造的工业交换机存在多个漏洞。这些漏洞影响了WAGO 852-303、852-1305和852-1505系列交换机,该企业已分别发布固件版本1.2.2.S0、1.1.6.S0和1.1.5.S0进行了修复。其中最严重的漏洞是硬编码后门账户漏洞(CVE-2019-12550),一个具有root权限的默认账户的凭据存储在文件中,并且具有弱密码,攻击者可利用该账户通过Telnet或SSH连接到受影响的交换机。

原文链接:https://www.securityweek.com/critical-vulnerabilities-found-wago-industrial-switches

4、Evite确认近1000万客户数据被盗,已在暗网出售

 
电子邀请函平台Evite确认在2019年2月22日遭黑客入侵,近1000万用户数据泄露并在暗网市场上出售。Evite表示未经授权的第三方获得了一个非活动数据存储文件的访问权限,该存储文件包含2013年之前的Evite用户账户信息,例如姓名、用户名、电子邮件地址、密码、出生日期和电话号码,但不包括财务信息和社会安全号码。这些数据被臭名昭著的黑客Gnosticplayers在暗网市场Dream Market上出售。

原文链接:https://cyware.com/news/evite-confirms-that-its-customer-data-was-stolen-and-put-up-for-sale-in-the-dark-web-998a1462

5、黑客团伙Outlaw回归,利用僵尸网络分发Perl后门和Monero矿工

 
趋势科技发现黑客组织Outlaw卷土重来,利用僵尸网络分发门罗币矿工。该攻击活动主要针对中国,其分发的恶意矿工捆绑了一个基于Perl的后门组件和一个SSH后门,这两个组件都与以前的Outlaw攻击有关。通过分析shell脚本组件和处于未实行状态的休眠恶意文件,研究人员认为Outlaw攻击仍处于测试阶段,其目的是进一步开发大型恶意App和僵尸网络。

原文链接:https://www.zdnet.com/article/outlaw-hackers-return-with-cryptocurrency-mining-bot/

6、FormBook新样本增强混淆及持久性机制,通过dropper分发

 
Cyberbit研究人员发现FormBook恶意App的新样本包含新的dropper。FormBook是一个浏览器表单窃取及键盘记录木马,自2016年在黑客论坛上出现以来一直在积极开发中。研究人员称该新样本增强了系统持久性和混淆机制以逃避检测,新的dropper不仅会解压缩恶意App,还会创建两个恶意进程:mshta.exe和另一个dropper (Rhododendrons8.exe)。研究人员尚未将该新样本与任何攻击活动关联起来。

原文链接:https://threatpost.com/new-formbook-dropper-harbors-persistence/145614/