npm删除恶意App包;超过4.3万台Squid服务器易受攻击;Bitdefender修复提权漏洞

发布时间 2019-08-23

1.波特兰公立学校因BEC诈骗损失290万美金



俄勒冈州波特兰公立学校遭BEC诈骗290万美金,目前全部损失已被追回。根据该学区业务与运营副总监Claire Hertz的描述,当学校在星期五发现这笔欺诈交易时,立即遵循互联网犯罪程序通知了FBI和教育委员会,并开始调查交易的方式及原因。银行和FBI在这笔资金离开欺诈者的账户之前冻结了资金。该学校正在审查所有的支付程序和内部控制流程,并对财务人员进行安全培训。


   原文链接:

https://www.bleepingcomputer.com/news/security/portland-public-schools-recovers-29-million-lost-in-bec-scam/


2.攻击德州地方政府的黑客勒索250万美金赎金



上周德克萨斯州多个地方政府遭到勒索App攻击,根据信息资源部(DIR)披露的新细节,受影响的地方政府数量为22个,并且有证据表明攻击者是通过管理服务提供商(MSP)来实施攻击的。该部门并未披露受攻击的市镇名称,但有两个市确认遭到了攻击,一个是博格市,另一个是Keene市。Keen市长Gary Heinrich表示攻击者勒索250万美金的赎金来换取解密密钥。


  原文链接:

https://www.bleepingcomputer.com/news/security/hackers-want-25-million-ransom-for-texas-ransomware-attacks/


3.npm存储库删除可窃取登录密码的恶意App包



在接到ReversingLabs研究员Tomislav Pericin的报告后,npm从其存储库中删除了恶意App包bb-builder。该App包在Windows操作系统上部署了一个可实行文件,将敏感信息发送到远程服务器。npm建议道:“存储在该计算机上的所有机密和密钥应马上转移至其它计算机”。Pericin称bb-builder已经被添加到npm长达一年的时间,它的每次更新都添加了新的功能,例如将凭据提交给编辑的Web服务器、更改被盗数据的存储位置、修复错误以及在数据发送到远程计算机后删除它。bb-builder的每周下载量很少,最活跃的时期是6月19日至25日,当时的下载量达最高点78次。

  

原文链接:

https://www.bleepingcomputer.com/news/security/npm-pulls-malicious-package-that-stole-login-passwords/


4.超过4.3万台未修补Squid服务器易受攻击



Squid 4.0.23到4.7存在一个堆缓冲区溢出漏洞,该漏洞可导致代码实行和拒绝服务攻击。该漏洞被标识为CVE-2019-12527,其CVSS得分为8.8分。Squid开发团队在7月9日发布新版本4.8修复了该漏洞,尽管该漏洞已在7月份被修复,但Shodan上仍可发现31576个运行版本4.7的Squid服务器,总共有超过4.3万台未修补的服务器易受攻击。


  原文链接:

https://www.bleepingcomputer.com/news/security/unpatched-squid-servers-exposed-to-dos-code-execution-attacks/


5.Bitdefender修复其免费杀毒App中的提权漏洞



Bitdefender修复了免费杀毒App2020中的提权漏洞。该漏洞被标识为CVE-2019-15295,起因是从受信任位置加载DLL时缺乏验证。SafeBreach Labs的Peleg Hadar表示,Bitdefender的安全服务(vsserv.exe)和更新服务(updatesrv.exe)是以具有SYSTEM权限的已签名进程启动的,它们试图从PATH环境变量中加载DLL文件('RestartWatchDog.dll')。其中一个位置是c:/python27,因此攻击者可通过自己的DLL利用Bitdefender的签名进程进行提权。


  原文链接:

https://www.bleepingcomputer.com/news/security/bitdefender-fixes-privilege-escalation-bug-in-free-antivirus-2020/


6.PokerTracker官网被植入信用卡信息窃取脚本



Poker Tracker官网遭到入侵并被植入了Magecart脚本,该脚本专用于窃取客户的支付信息。Malwarebytes于8月8日检测到了这一攻击活动,研究人员调查后发现恶意脚本是从ajaxclick[.]com获取的,此外,PokerTracker子域名pt4.pokertracker.com也被感染。感染的原因或许是PokerTracker.com使用了过时的App版本:Drupal 6.3.x,最新版本为8.6.17。


  原文链接:

https://www.bleepingcomputer.com/news/security/pokertrackercom-hacked-to-inject-payment-card-stealing-script/