英国国家网络安全中心(NCSC)发布漏洞披露指南;BlindSide攻击可利用CPU的推测执行功能绕过ASLR

发布时间 2020-09-16

1.英国国家网络安全中心(NCSC)发布漏洞披露指南


1.jpg


英国国家网络安全中心(NCSC)发布了漏洞披露指南,以帮助公司实施漏洞披露流程或在已经建立漏洞披露流程的情况下对其进行改进。NCSC表示,该指南并不是一个漏洞披露的规则手册,而是为更好的实施提供了必要的信息。其主要分为三个主要部分,描述了如何将外部漏洞信息定向给合适的人,以及报告需遵循关闭漏洞的框架标准。


原文链接:

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/


2.Aqua Security发布2020年Cloud Native Threat报告


2.jpg


Aqua Security跟踪并分析了2019年6月至2020年7月之间的16371起攻击,发布了2020年Cloud Native Threat报告。报告显示,今年年初针对云系统的攻击在激增,相比上一年增加了250%。在这些攻击期间,黑客试图获得对蜜罐服务器的控制权,然后下载并部署恶意容器镜像。Aqua表示,这些镜像中有95%是针对挖矿加密货币的,而其余则用于设置DDoS基础设施。


原文链接:

https://www.zdnet.com/article/vast-majority-of-cyber-attacks-on-cloud-servers-aim-to-mine-cryptocurrency/


3.BlindSide攻击可利用CPU的推测执行功能绕过ASLR


3.png


苏黎世联邦理工学院等大学的研究人员发现了新的BlindSide攻击方式,其可利用CPU的推测执行功能绕过ASLR。推测执行是现代处理器的一种提高性能的功能,BlindSide可以利用软件应用程序中的漏洞,并在推测执行域中反复利用该漏洞,反复探测内存,直到攻击者绕过ASLR。由于此攻击发生在推测执行的范围内,因此所有失败的探测都会被丢弃,并不会影响CPU或其稳定性。


原文链接:

https://www.zdnet.com/article/new-blindside-attack-uses-speculative-execution-to-bypass-aslr/


4.FBI警告针对金融机构的凭证填充攻击的数量激增


4.png


联邦调查局(FBI)警告针对金融机构的凭证填充攻击的数量激增。凭证填充是相对较新的术语,起初黑客只利用这类攻击针对在线游戏和食品订购帐户。但是随着这种策略的成功,更多黑客组织转而针对在线银行服务和加密货币交易所,旨在窃取金融资产。FBI表示,自2017年以来,其收到了近5万起针对美国金融机构的凭证填充攻击导致的帐户信息泄露事件的报告,受害者包括银行、金融服务提供商、保险公司和投资公司。


原文链接:

https://www.zdnet.com/article/fbi-says-credential-stuffing-attacks-are-behind-some-recent-bank-hacks/


5.Staples公司遭到黑客攻击,客户订单数据泄露


5.png


办公零售公司Staples发出了数据泄露通知书,声明其9月2日左右遭到了黑客攻击,导致客户订单数据泄露。该事件泄露的信息包括客户的姓名、地址、电子邮件地址、电话号码、信用卡号后四位、产品成本、交货和订购的产品。根据通知,并没有敏感数据被泄露,包括帐户凭据和完整的支付卡数据。


原文链接:

https://securityaffairs.co/wordpress/108271/data-breach/staples-data-breach.html


6.黑客入侵美国退伍军人事务部,窃取4.6万军人信息


6.png


退伍军人事务部(VA)表示,有未经授权的用户访问了由VA金融服务中心(FSC)管理的在线应用程序,获取了大约46000名退伍军人的个人信息。弗吉尼亚州表示,黑客使用社会工程攻击,并利用身份验证协议来访问FSC应用程序,然后转移了退伍军人管理局原本打算支付给医疗保健提供商用于美国退伍军人的医疗的款项。尽管官员们仍在调查这起事件,但VA认为,黑客可能还窃取了退伍军人的记录,包括社会安全号码。


原文链接:

https://www.zdnet.com/article/department-of-veteran-affairs-discloses-breach-impacting-46000-veterans/