Linux KDE 4/5存在未修复的命令注入漏洞;Smominru劫持50多万台电脑挖矿;CSA发布云计算11项威胁列表

发布时间 2019-08-08
1、Linux KDE 4/5存在未修复的命令注入漏洞,PoC已发布


安全研究员Dominik Penner披露Linux KDE中的一个尚未修复的0day,攻击者可通过诱使用户下载和解压缩恶意.desktop和.directory文件在用户的计算机上静默实行任意代码,甚至无需用户实际打开该文件。该漏洞影响了KDE版本4和5,几乎所有的Linux发行版都被波及。研究人员还发布了PoC代码以及该命令注入漏洞的演示视频。KDE社区确认了这一漏洞并向用户保证修复工作正在进行中。


原文链接:https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html


2、Binance遭到勒索,攻击者威胁发布1万名客户的KYC信息



加密货币交易所Binance遭到一名犯罪分子的敲诈勒索,该敲诈者声称已经窃取了数千名Binance客户的KYC信息(即“了解您的客户”信息),并向Binance勒索300比特币(价值近350万美金)的赎金。Binance表示该企业仍在调查这些图像的合法性,并拒绝支付赎金。该敲诈者创建了一个Telegram聊天组,并分享了400多张手持护照/身份证的人的照片,但根据Binance的说法,这些图像缺少其内部信息的数字水印,这增加了对数据真实性的怀疑。该企业表示将向提供敲诈者身份信息的人奖励25比特币(价值超过29万美金)。


原文链接:https://thehackernews.com/2019/08/binance-kyc-data-leak.html


3、星巴克数据库SQL注入漏洞暴露近100万条财务记录


安全研究员Eugene Lim于4月8日在星巴克的企业数据库中发现一个SQL注入漏洞,该漏洞导致近100万条财务记录暴露,包括税务信息、收据以及工资单数据等。研究人员通过该企业在HackerOne上的漏洞奖励计划提交了漏洞,星巴克在两天内修复了该问题。研究人员因此获得了4000美金的奖励。该漏洞报告于8月6日在HackerOne上披露。


原文链接:https://www.securityweek.com/sql-injection-vulnerability-exposed-starbucks-financial-records


4、僵尸网络Smominru劫持50多万台电脑挖矿,并窃取凭据信息



Carbon Black的TAU研究团队发现一个新的攻击活动Smominru正在通过僵尸网络挖取门罗币,并且窃取用户的访问凭据。Smominru已经成功劫持了全球超过50万台机器,TAU表示该僵尸网络至少已经活跃了两年,并且主要通过永恒之蓝传播,受害者主要位于亚太地区。研究人员将这种结合挖矿和凭据窃取的攻击称之为access mining。研究人员还发现Smominru与另一个僵尸网络MyKings存在关联。


原文链接:https://www.zdnet.com/article/new-cryptojacking-campaign-strikes-half-a-million-pcs/


5、巴基斯坦男子通过贿赂AT&T员工非法解锁200多万部手机



巴基斯坦一名男子被指控在五年的时间内通过贿赂AT&T电信企业的员工非法解锁200多万部手机以及在该企业的网络上植入恶意App。该名男子是现年34岁的巴基斯坦公民Muhammad Fahd,根据美国联邦政府的起诉书,Fahd在2012年至2017年期间向AT&T内部员工贿赂超过100万美金,以非法解锁被AT&T企业锁定的手机设备。在参与其计划的一些员工被AT&T辞退后,Fahd还向该企业内网安装恶意工具,使其能够通过AT&T计算机远程解锁手机。Fahd将面临长达20年的监禁。


原文链接:https://thehackernews.com/2019/08/sim-device-unlocking-malware.html


6、云安全联盟CSA发布针对云计算的11项最新威胁列表


云安全联盟(CSA)发布云计算威胁洞察报告,报告中列出了云计算面临的11项顶级安全问题。这是自2016年CSA发布云计算顶级威胁Top12以来的第一次重大更新。没有发生变化的威胁包括数据泄露、身份管理不善、不安全的API、账户劫持、内部威胁以及云服务被滥用或恶意使用。剩下的五个新威胁包括弱控制面、元结构与应用结构失败、配置错误和变更控制不足、缺乏云安全架构和策略以及云使用的可见性受限。


原文链接:https://www.infosecurity-magazine.com/news/cloud-security-alliance-releases/