Rockwell Automation的PLC存在身份验证绕过漏洞;印度Zee5再次数据泄露,涉及900万用户的PII

发布时间 2021-03-01

1.Rockwell Automation的PLC存在身份验证绕过漏洞


1.jpg


研究人员发现Rockwell Automation的可编程逻辑控制器(PLC)中存在身份验证绕过漏洞。该漏洞被追踪为CVE-2021-22681,CVSS评分为10,其存在于Logix DesignerApp中,是由于验证控制器通信的私有密钥保护不足导致的。未经身份验证的远程攻击者可利用该漏洞绕过验证机制来连接Logix控制器。此外,利用此漏洞和第三方工具还能更改控制器的配置和应用程序代码。


原文链接:

https://securityaffairs.co/wordpress/115085/ics-scada/rockwell-automation-software-flaw.html


2.亚马逊 Alexa中存在可绕过审核流程的漏洞


2.jpg


研究团队在网络和分布式系统安全研讨会(NDSS)上提出 Alexa中存在可绕过审核流程的漏洞。黑客可利用该漏洞以任意开发者的名义发布恶意应用,甚至在审核通过后更改后端代码,来窃取用户的敏感信息,例如电话号码和地址。研究人员说明这是因为亚马逊不采用任何自动化的方法来检测恶意App,而依赖于人工审核则容易出现人为错误。


原文链接:

https://thehackernews.com/2021/02/alert-malicious-amazon-alexa-skills-can.html


3.印度Zee5再次数据泄露,涉及900万用户的PII


3.jpg


研究人员Rajshekhar Rajaharia发现Zee5再次发生数据泄露事件,涉及900万用户的PII。Zee5是印度OTT平台,拥有超过1.5亿用户。此次事件泄露了超过900万用户的个人数据,包括用户的名字、电子邮件地址、出生日期、电话号码、用户名以及上次更新时间的记录时间戳。这是Zee5第二次发布有关数据泄露的资讯,第一次发生去年5月份,曾泄露了上千个用户的用户名和纯文本密码。


原文链接:

https://techdator.net/zee5-data-breach-pii-of-9-million-zee5-users-allegedly-leaked-online/


4.近期的AOL邮件钓鱼活动针对中老年人窃取凭据


4.jpg


BleepingComputer警告近期的AOL邮件钓鱼活动针对中老年人窃取凭据。当大多数人使用Gmail、Outlook或其他现代免费邮件服务时,许多老年人仍在使用AOL。而此次钓鱼活动主要针对这一群人,以邮箱将在3天内关闭为主题,诱使用户在钓鱼页面登录帐户来进行验证,窃取其凭据。此外,相比于针对其他服务(例如Gmail)的活动,此次攻击更容易通过AOL的电子邮件过滤器。


原文链接:

https://www.bleepingcomputer.com/news/security/beware-aol-phishing-email-states-your-account-will-be-closed/


5.FortiGuard Labs发布2020年威胁态势的回顾报告


5.jpg


FortiGuard Labs发布了2020年威胁态势的回顾报告。报告指出,针对物联网(IoT)设备(例如家庭娱乐系统、家庭路由器和连接的安全设备)的攻击成为主要威胁;供应链攻击成为焦点,SolarWinds攻击事件将该问题推向了新高度;勒索App活动在2020年下半年增加了七倍,主要目标行业包括医疗保健、专业服务企业、消费者服务企业、公共部门和金融服务企业。 


原文链接:

https://www.fortinet.com/blog/industry-trends/fortiguard-labs-global-threat-landscape-report-2021


6.Dragos发布2020年ICS网络安全的回顾报告


6.jpg


Dragos发布了2020年ICS网络安全的回顾报告,针对ICS/OT的网络威胁、漏洞、评估和事件响应进行了分析。2020年有703个ICS/OT漏洞,比2019年增加了29%。研究人员发现了四个主要针对能源和制造业的新ICS团伙,分别是KAMACITE、STIBNITE、TALONITE和VANADINITE。报告还提出了增强ICS环境安全性建议,包括增加OT网络的可见性、确定重要性及优先级、增强事件响应能力、网络隔离验证和安全证书管理等。


原文链接:

https://www.dragos.com/year-in-review/