2020-05-20 15:03:26
來源:MOUU網絡
中國人民銀行:
開展金融科技應用風險專項摸排工作
近日,人民銀行下發《關于開展金融科技應用風險專項摸排工作的通知》(銀辦發〔2020〕45號)(以下簡稱“45號文”),要求各地人民銀行分支機構及相關監管機構啟動金融科技風險專項摸排工作。本次摸排工作主要范圍包括移動金融客戶端應用軟件、應用程序編程接口、信息系統等。涉及人工智能、大數據、區塊鏈、物聯網等新技術金融應用風險。
其中包括個人金融信息保護、交易安全、仿冒漏洞、技術使用安全、內控管理等5個方面風險情況,覆蓋40個摸排項,共123個摸排要點。參與機構主要為人民銀行分支機構,中國支付清算協會、中國互聯網金融協會也將參與其中。
此次摸排工作將持續5個月,分為三個階段。從2020年5月開始,10月結束,在三個階段有不同的目標任務。首先,由金融機構根據摸排列表進行逐項自評,并提交報告。針對發現的問題要建立清單管控和動態追蹤。后續由人民銀行等監管機構對自評情況進行核實,并在10月31日前形成書面報告報送總行。
《網絡安全等級保護定級指南》等
26項國家標準獲批發布
近日,國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2020年第8號),全國信息安全標準化技術委員會歸口的GB/T 20281-2020《信息安全技術 防火墻安全技術要求和測試評價方法》等26項國家標準正式發布。具體清單如下:
CNCERT:
2019年我國近4%網站被篡改,2%網站被植入后門
根據CNCERT 2020年4月份的發布的報告分析,2019年監測發現我國境內被篡改網站約18.55萬個,其中政府網站515個;被植入后門網站約8.49萬個,其中政府網站717個。
據CNNIC統計,截止2019年12月,我國網站數量為497萬個。換而言之,過去一年里,國內每100個網站里,就有約4個網站被篡改,約2個網站被植入后門。
根據數據對比發現,2019年被攻擊網站總數量增長巨大,政府網站數量增長較少,說明CNCERT可能之前對政府網站的監控覆蓋較好,去年極大強化了對國內普通網站被篡改和被植入后門的監控能力。
2019年CNCERT共監測發現我國境內被篡改網站185573個,較2018年的7049個增長較大。其中政府網站515個,較2018年的216個增長138.4%。
美國FBI和CISA披露十大常被利用漏洞
2020年5月13日,網絡安全和基礎架構安全局(CISA)和聯邦調查局(FBI)發布2016年至2019年以來最常被利用的十大安全漏洞。CISA和FBI通過國家網絡意識系統發布了AA20-133A警報,讓公共和私營部門組織更容易確定企業內部補丁的優先級。
報告提及的十大漏洞包含CVE-2017-11882,CVE-2017-0199,CVE-2017-5638,CVE-2012-0158 ,CVE-2019-0604,CVE-2017-0143,CVE-2018-4878,CVE-2017-8759,CVE-2015-1641和CVE-2018-7600。
根據美國政府的技術分析,攻擊者最經常利用Microsoft的對象鏈接和嵌入(OLE)技術中的漏洞。OLE允許文檔包含來自其他應用程序(如電子表格)的嵌入內容。在OLE之后,第二大易受攻擊的技術是Apache Struts的Web框架。
在前10個漏洞中,來自伊朗、朝鮮和俄羅斯的國家黑客中最常利用的三個漏洞是CVE-2017-11882、CVE-2017-0199和CVE-2012-0158。其中,這三個漏洞均與Microsoft的OLE技術有關。
來源:https://www.freebuf.com/news/236564.html
安 全 事 件
印度最大在線教育平臺1100萬用戶信息泄露
2020年5月5日,Unacademy是印度最大的在線教育學習平臺之一被黑客攻擊,該平臺擁有1.4萬名教師,超過一百萬個視頻課程,本次共計有近1100萬個用戶帳戶敏感數據是受到影響,數據被轉儲并在Dark Web上出售,售價2000美元,泄露的數據包括用戶ID、名稱和用戶名、加密密碼、電子郵件地址、加入日期與上次登錄時間。據悉數據泄露事件發生于2020年1月。
4400萬巴基斯坦移動用戶詳細資料遭到泄露
近日,據外媒ZDNet報道有4400萬巴基斯坦移動用戶的詳細資料遭到泄露。上個月,一名黑客試圖以210萬美元價值的比特幣出售一個包含1.15億巴基斯坦移動用戶記錄的數據包。
目前,ZDNet已經獲得其中兩個數據集的副本。我們今天首先收到了在網上發布的全部4400萬條記錄,與此同時,我們還收到了包含5500萬條用戶記錄的樣本,這些都是1.15億條數據轉儲中的一部分。根據數據集中的內容,我們可以得出結論,二者是相同的。
根據我們對泄露文件的分析,我們發現數據中包含個人身份相關信息和電話號碼相關信息,具體包括:客戶全名、家庭住址(包括城市、地區、街道名稱)、國家身份證號碼(CNIC)、手機號碼、固定電話號碼、開通服務日期。這一數據涵蓋巴基斯坦家庭用戶和當地企業的詳細資料。其中涉及的企業詳細信息,我們確定與企業官方網站上給出的公開信息和公開電話號碼相匹配。此外,ZDNet還與多個巴基斯坦用戶核實確認了泄露數據的有效性。
漏 洞 預 警
CVE-2020-1048: Windows PrintDemon 漏洞影響 96 年后的所有 Windows 版本
漏洞描述:
該漏洞存在于 Windows Print Spooler 中,Print Spooler 是打印后臺處理服務,管理所有本地和網絡打印隊列及控制所有打印工作。該服務會發送要打印的數據給 USB/ 并行端口、位于本地網絡或互聯網上的打印機的 TCP 端口、或本地文件。
PrintDemon 是一個本地權限提升漏洞。也就是說攻擊者進入 app 或 Windows 機器中,即使只有普通用戶權限,也可以通過 PowerShell 命令等方式輕易獲取系統的管理員權限。因為任意想要打印文件的 app 都可以訪問該服務,因此所有系統上運行的 app 都可以訪問。攻擊者就可以創建一個打印到文件的打印任務,比如通過操作系統或其他應用使用本地 DLL 文件。
攻擊者可以初始化一個打印操作,然后故意使 Print Spooler 服務奔潰,然后再恢復打印任務,此時打印操作就以 SYSTEM 權限運行了,可以覆寫系統中的任意文件。
攻擊者可以通過下面的簡單 PowerShell 命令來利用 CVE-2020-1048:
Add-PrinterPort -Name c:windowssystem32ualapi.dll
在未安裝補丁的系統中,運行上述命令會安裝一個永久后門,該后門即使修復后也不會消失。
還在 GitHub 上發布了 PoC 代碼,參見:
https://github.com/ionescu007/PrintDemon
風險級別: 高
影響版本:
自1996年以來發布(Windows NT 4的所有Windows系統)
修復建議:
微軟已經在 5 月的微軟補丁日發布了該漏洞的補丁,由于該漏洞非常容易被利用,研究人員建議用戶盡快安裝補丁。此外,還可以通過 PowerShell 的 Get-PrinterPorts 或復制HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionPorts 來掃描基于文件的端口,尤其是那些 .DLL 或 .EXE 擴展的文件路徑中。
SaltStack遠程命令執行漏洞(CVE-2020-11651、CVE-2020-11652)
漏洞描述:
SaltStack 是基于 Python 開發的一套C/S架構配置管理工具。國外某安全團隊披露了 SaltStack 存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。在 CVE-2020-11651 認證繞過漏洞中,攻擊者通過構造惡意請求,可以繞過 Salt Master 的驗證邏輯,調用相關未授權函數功能,從而可以造成遠程命令執行漏洞。在 CVE-2020-11652 目錄遍歷漏洞中,攻擊者通過構造惡意請求,讀取服務器上任意文件。
身份驗證繞過漏洞(CVE-2020-11651)
ClearFuncs 類在處理授權時,并未限制 _send_pub() 方法,該方法直接可以在發布隊列消息,發布的消息會通過 root 身份權限進行執行命令。
ClearFuncs 還公開了 _prep_auth_info() 方法,通過該方法可以獲取到”root key”,通過獲取到的”root key”可以在主服務上執遠程調用命令。
目錄遍歷漏洞(CVE-2020-11652)
whell 模塊中包含用于在特定目錄下讀取、寫入文件命令。函數中輸入的信息與目錄進行拼接可以繞過目錄限制。
在 salt.tokens.localfs 類中的 get_token() 方法(由 ClearFuncs 類可以通過未授權進行調用)無法刪除輸入的參數,并且作為文件名稱使用,在路徑中通過拼接”..”進行讀取目標目錄之外的文件。唯一的限制是文件必須通過 salt.payload.Serial.loads() 進行反序列化。
風險級別: 高
影響版本:
SaltStack < 2019.2.4
SaltStack < 3000.2
修復建議:
升級至安全版本及其以上,升級前建議做好快照備份措施。安全版本下載地址參考:
https://repo.saltstack.com
設置SaltStack為自動更新,及時獲取相應補丁。
將Salt Master默認監聽端口(默認4505 和 4506)設置為禁止對公網開放,或僅對可信對象開放。
Palo Alto Networks PAN-OS 安全漏洞
漏洞描述:
Palo Alto Networks PAN-OS是美國Palo Alto Networks公司的一套為其防火墻設備開發的操作系統。
Palo Alto Networks PAN-OS中的身份驗證程序和User-ID組件存在安全漏洞,該漏洞源于在驗證用戶之前無法驗證Kerberos密鑰分發中心(KDC)的完整性。攻擊者可利用該漏洞以管理員身份登錄PAN-OS。
風險級別: 高
影響版本:
PAN-OS 7.1.26之前的7.1.x版本,8.0.21之前的8.0.x版本,8.1.13之前的8.1.x版本,9.0.0.6之前的9.0.x版本。
修復建議:
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://security.paloaltonetworks.com/CVE-2020-2018
iTools 4.0存在DLL劫持漏洞
漏洞描述:
iTools 4.0是一款iPhone管理工具。
iTools 4.0存在DLL劫持漏洞,攻擊者可利用該漏洞執行惡意代碼。
風險級別: 高
影響版本:
iTools 4.0 - 4.4.4.3
修復建議:
廠商尚未提供漏洞修復方案,請關注廠商主頁更新:
http://www.itools.cn/
健康采集上報系統存在SQL注入漏洞
漏洞描述:
健康采集上報系統是一款采用PHP+mysql開發的數據管理系統。
健康采集上報系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
風險級別: 高
影響版本:
山西先啟科技有限公司 健康采集上報系統 2.0 build20200327
修復建議:
廠商尚未提供漏洞修復方案,請關注廠商主頁更新:
http://www.eptimes.cn/
