【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒

  • A+
所属分类:安全新闻

【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒

安全帮®每日资讯

深信服SSL VPN命令注入漏洞

深信服SSL VPN使具有Internet连接的设备能够与Web浏览器建立安全的远程访问VPN连接。12月30日,深信服官方发布SSL VPN命令注入漏洞的风险通告,该漏洞暂无编号 ,漏洞等级:严重,漏洞评分:9.8。深信服SSL VPN产品的某接口中url参数存在注入漏洞,攻击者可利用该漏洞获取SSL VPN设备的控制权限。建议相关用户及时将深信服 SSL VPN 升级到最新版本。

参考来源:

https://nosec.org/home/detail/4632.html


新型Golang蠕虫在服务器上投放XMRig Miner病毒

12月初,一种新的用Golang编写的蠕虫被发现,该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。该蠕虫试图在网络中传播,以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器,可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务:密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中,该蠕虫还尝试利用WebLogic的最新漏洞:CVE-2020-14882。

参考来源:

http://hackernews.cc/archives/34459


越南遭复杂供应链攻击 若处理不当或致损失数十亿美元

一群神秘的黑客通过在越南一个官方的政府软件数字签名工具包植入恶意代码,对越南私营企业和政府机构发起了一场复杂的供应链攻击。直到目前,攻击的安全威胁在范围和严重性上都有所扩大。如果信息安全处理不当,可能会有损失数百万甚至数十亿美元的风险。安全公司ESET发现了本次攻击,并称,攻击的目标是越南政府认证机构(VGCA)。

参考来源:

https://www.cnbeta.com/articles/tech/1072075.htm


中国信通院发布《区块链白皮书(2020年)》

12月22日,“2020可信区块链峰会”在京举行。会上,中国信通院副总工程师史德年发布中国信通院《区块链白皮书(2020年)》。白皮书在此前两年版本基础上,跟踪国内外区块链发展最新动态,梳理区块链技术和产业图谱,全景呈现国内外区块链技术产业动态和发展趋势,探究区块链联盟生态治理模式,剖析面临的挑战,提出了下一步发展的相关建议。

参考来源:

https://www.secrss.com/articles/28414


日本川崎重工披露安全漏洞

近日,日本川崎重工披露了一项安全漏洞,该公司发现多个海外办事处未授权访问日本公司服务器,该安全漏洞可能导致其海外办事处的信息被盗。自发现该漏洞以来,川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前,还未发现泄露信息的证据。除此之外,国防承包商Pasco、神户制铁和三菱电机等日本知名企业在今年也受到了类似的网络攻击。

参考来源:

http://hackernews.cc/archives/34436


货运巨头Forward Air遭到新型勒索软件Hades的攻击

北美货运市场的SaaS数据提供商FreightWaves报告说,Forward Air遭受了一次网络攻击,迫使他们断开所有网络连接以防止攻击蔓延。 据FreightWaves称,攻击已经导致业务中断,因为要求从海关放行货物的文件存储在关闭的系统中,无法获得。此时,Forward Air的网站已关闭,只是显示了一条关于“IT安全事件”的消息,并且该网站在恢复受影响的系统时已关闭。

参考来源:

https://www.4hou.com/posts/22kN


Google Docs存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。

参考来源:

http://hackernews.cc/archives/34430



本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒

本文始发于微信公众号(安全帮):【12.31】安全帮®每日资讯:深信服SSL VPN命令注入漏洞;新型Golang蠕虫在服务器上投放XMRig Miner病毒

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: