【08.06】安全帮®每日资讯：IBM UrbanCode Deploy代码问题漏洞；Meetup漏洞允许盗用PayPal信息

安全研究员近日披露，当下流行的线上会议服务、活动网站Meetup平台存在安全漏洞，允许黑客访问数百万成员的个人信息。据悉， 黑客通过伪造跨站点脚本和跨站点请求获取管理员特权，注入恶意脚本至“讨论”页面，查看用户信息、重定向PayPal付款。该脚本对用户隐藏，黑客可将其与CSRF攻击结合使用，从而执行未经授权的命令。

参考来源：

https://3g.163.com/news/article/FJ6URN420511KPJF.html

在经过两次失败的勒索尝试后，Maze勒索软件运营商窃取并在其门户网站上发布了LG和Xerox数十GB内部数据。之前黑客声称他们从LG内部网络中窃取了50.2 GB数据和25.8 GBXerox数据。目前尚不清楚Maze团伙对哪些内部系统进行了加密，或者文件是否未经加密就被盗窃和勒索。

参考来源：

https://mp.weixin.qq.com/s/7EBm-GjVM9q9UzWBfAkZUQ

IBM UrbanCode Deploy（UCD）是美国IBM公司的一套应用自动化部署工具。该工具基于一个应用部署自动化管理信息模型，并通过远程代理技术，实现对复杂应用在不同环境下的自动化部署等。IBM UCD中存在代码问题漏洞，漏洞编号为CVE-2020-4481，危害等级为高危。远程攻击者可利用该漏洞获取敏感信息或消耗内存资源，目前厂商已发布升级补丁以修复漏洞。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-129

McAfee称，NetWalker勒索软件背后的犯罪组织自今年三月以来勒索到超过 2500万美元，实际金额可能更高。这一金额接近已知最成功的勒索软件犯罪组织，如Ryuk、Dharma 和 REvil (Sodinokibi)。NetWalker被认为最早在2019年 8月出现，其背后的犯罪组织运营了一个勒索软件即服务的入口，允许其它黑客组织构建定制版本的勒索软件。至今为止，NetWalker 最知名的受害者是密歇根州立大学。

参考来源：

https://www.solidot.org/story?sid=65143

Linux基金会宣布与多家硬件和软件厂商合作，共同成立了开源安全基金会(OpenSSF)，这项跨行业合作通过建立具有针对性的计划和最佳实践的更广泛的社区，并将领导者聚集在一起，以提升开源软件安全性。OpenSSF的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员，如GitHub、Google、IBM、摩根大通、微软、Red Hat等。

参考来源：

http://hackernews.cc/archives/31593