深信服SSL VPN命令注入漏洞
深信服 SSL VPN 使具有 Internet 连接的设备能够与 Web 浏览器建立安全的远程访问 VPN 连接。
2020年12月30日,深信服官方发布了SSL VPN 命令注入漏洞的风险通告,该漏洞暂无编号 ,漏洞等级:严重,漏洞评分:9.8。深信服SSL VPN产品的某接口中url参数存在注入漏洞,攻击者可利用该漏洞获取SSL VPN设备的控制权限。建议相关用户及时将深信服 SSL VPN 升级到最新版本。升级到SSL VPN 7.6.7以上版本或安装最新安全补丁包,用户可以利用深信服提供的漏洞查询链接进行自查:https://www.sangfor.com.cn/service/intro-eventSearch.html?p=SSL
川崎重工发生严重数据泄漏,波及全球分支机构
根据该公司的数据泄露通知,川崎重工于2020年6月11日首次发现从泰国的海外办事处日本服务器的未授权访问。在终止该访问之后,该公司在6月的随后几天内还发现了其他几起越权存取事件。川崎表示,这些非法访问来自印尼,菲律宾和美国的其他海外站点。
由于川崎处理重要的敏感信息,例如个人信息和与社会基础设施相关的信息,因此信息安全措施一直是公司的当务之急,该公司在其网站上发布的数据泄露通知说道:“所有未经授权的访问都采用了先进复杂的黑客技术,没有留下任何痕迹。”对于为何时隔半年才披露事件,川崎重工解释说,虽然事件是在6月首次发现的,但由于未经授权的访问范围涵盖了多个国内和海外办事处,因此该公司正式宣布此事件花了相当长的时间。
微软:黑客访问了我们内部源代码
源代码(运行一个软件或操作系统的基本指令集)通常是技术公司受最严格保护的机密之一,并且微软过去一直非常谨慎地保护它。新年第一天,微软博客透露,SolarWinds供应链攻击背后的黑客能够获得少量内部帐户的访问权限,并逐步升级其内部网络内部的访问权限。SolarWinds攻击背后的威胁因素可能会破坏微软内部帐户,以查看Microsoft产品的源代码。本月初,微软确认他们在其环境中检测到在SolarWinds Orion平台供应链攻击期间下载的恶意可执行文件。
在昨天发布的博客文章中,微软表示,他们没有发现证据证明生产服务或客户数据被破坏,伪造的SAML令牌被用于其域,或者其系统被用于攻击客户。但是,他们的调查发现,攻击者可能破坏了Microsoft内部帐户,并使用其中一个来查看其软件的源代码。但是,攻击者没有修改任何源代码或工程系统所需的权限。鉴于Microsoft产品无处不在,包括Office生产套件和Windows操作系统在内,无处不在,修改源代码(Microsoft表示黑客没有这样做)可能会造成灾难性的后果。但是专家说,即使能够查看代码,也可以为黑客提供洞察力,这可能会帮助他们颠覆Microsoft产品或服务。
Zyxel超级管理员帐号曝光,超10万台设备受影响
超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。
这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:Advanced Threat Protection (ATP) 系列:主要用于防火墙Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关USG FLEX 系列:主要用于混合防火墙或者 VPN 网关这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。在安装补丁之后,Eye Control 表示可以删除后门帐号--用户名为“zyfwp”,密码为“PrOw!aN_fXp”。研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。
