HackerOne的员工窃取漏洞报告并出售给受影响客户;Google发布安全更新,修复Chrome中已被利用的0 day

admin 2022年7月5日22:30:46评论27 views字数 3353阅读11分10秒阅读模式

每日头条


1、HackerOne的员工窃取漏洞报告并出售给受影响客户

      据媒体7月2日报道,HackerOne的一名员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其泄露给受影响的客户以牟取经济利益。经过调查,该员工是为众多客户项目分类漏洞披露的工作人员之一,自4月4日至6月23日以来访问了该平台,已经联系了7个客户。他使用了名称"rzlr",以及威胁和恐吓性的语言与客户交互,已成功收到赏金。6月30日,HackerOne解雇了这名员工。

https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/


2、Google发布安全更新,修复Chrome中已被利用的0 day

      7月4日,Google发布为Windows用户发布Chrome 103.0.5060.114,修复了2022年Chrome中的第4个0 day。该漏洞是WebRTC(Web实时通信)组件中基于堆的缓冲区溢出漏洞(CVE-2022-2294),由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用,但并未公开关于攻击的技术细节等信息。此外,此次更新还修复了V8中的类型混淆漏洞(CVE-2022-2295)。

https://securityaffairs.co/wordpress/132863/hacking/4th-chrome-zero-day.html


3、研究人员披露Zoho产品中漏洞CVE-2022-28219的细节

      媒体7月1日报道,研究人员披露了Zoho ManageEngine ADAudit Plus工具中漏洞(CVE-2022-28219)的技术细节和概念验证漏洞利用代码。该漏洞CVSS评分为9.8,可被未经身份验证的攻击者利用来远程执行代码并破坏Active Directory帐户。该漏洞包括3个问题:不受信任的Java反序列化、路径遍历和盲XML外部实体(XXE)注入。Zoho在3月底的ADAudit Plus build 7060中修复了这一漏洞。

https://www.bleepingcomputer.com/news/security/zoho-manageengine-adaudit-plus-bug-gets-public-rce-exploit/


4、ReversingLabs发布关于AstraLocker 2.0的分析报告

      媒体7月1日称,ReversingLabs发布了关于勒索软件AstraLocker 2.0的分析报告。研究人员表示,它主要进行快速攻击,可直接从电子邮件附件中投放payload。攻击者使用的诱饵是Word文档,隐藏了带有勒索软件payload的OLE 对象,嵌入的可执行文件使用文件名“WordDocumentDOC.exe”,并使用“smash-n-grab”策略。另一个特殊之处是使用了SafeEngine Shielder v2.4.0.0来打包可执行文件,这是一个过时的打包程序,几乎不可能进行逆向工程。

https://blog.malwarebytes.com/ransomware/2022/07/astralocker-2-0-ransomware-isnt-going-to-give-you-your-files-back/


5、日本移动运营商KDDI突发中断,3915万个用户通信受阻

      媒体7月3日称,日本三大移动运营商之一的KDDI Corp.突发中断,多达3915万个用户的通信受阻。这场中断始于上周六凌晨1点35分左右,影响了包括银行业务、天气数据、货运和包裹递送系统以及联网汽车服务在内的多个领域。KDDI表示,其语音呼叫系统的故障引发了流量集中,导致通信受限,KDDI社长已出面鞠躬致歉。截至上周日上午11点左右,KDDI西日本服务区的修复工作已经完成,日本东部恢复服务的工作于周日晚上结束。

https://www.japantimes.co.jp/news/2022/07/03/business/tech/kddi-au-system-outage/


6、Google指出2022上半年被利用的漏洞中一半与旧漏洞有关

      据7月3日报道,Google Project Zero研究人员发布一份报告,称在2022上半年,攻击中利用的漏洞中至少有一半与未正确修复的旧漏洞有关。报告指出,截至2022年6月15日,已检测到18个0 day被披露并在野利用。当分析这些漏洞时,发现至少9个是先前修复的漏洞的变种。例如,最近发现的Windows漏洞Follina(CVE-2022-30190),是MSHTML零日漏洞(CVE-2021-40444)的变种。

https://securityaffairs.co/wordpress/132813/security/h1-2022-zero-day-variants-previous-flaws.html



安全工具


spraycharles

      低速密码喷洒工具,旨在长时间间隔喷洒。

https://github.com/Tw1sm/spraycharles


chain-bench

      开源工具,用于根据新的CIS软件供应链基准审核软件供应链堆栈的安全合规性。

https://github.com/aquasecurity/chain-bench/


Naabu

      用Go编写的端口扫描工具,可以快速可靠的枚举主机的有效端口。

https://github.com/projectdiscovery/naabu



安全分析


卡巴斯基推出名为TinyCheck的开源跟踪软件检测工具

https://www.bleepingcomputer.com/news/security/free-smartphone-stalkerware-detection-tool-gets-dedicated-hub/


谷歌改进其密码管理器以提高所有平台的安全性

https://thehackernews.com/2022/07/google-improves-its-password-manager-to.html


Windows Server 2012 将于 2023 年 10 月终止支持

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-2012-reaches-end-of-support-in-october-2023/


谷歌阻止了黑客雇佣组织使用的数十个域

https://www.bleepingcomputer.com/news/security/google-blocked-dozens-of-domains-used-by-hack-for-hire-groups/


抵御勒索软件攻击的指南

https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/


CISA建议机构修复在野外被利用的Windows LSA漏洞

https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-windows-lsa-bug-exploited-in-the-wild/


信息窃取恶意软件XFiles 

https://www.bleepingcomputer.com/news/security/xfiles-info-stealing-malware-adds-support-for-follina-delivery/


HackerOne的员工窃取漏洞报告并出售给受影响客户;Google发布安全更新,修复Chrome中已被利用的0 day


推荐阅读:

Google发布紧急更新修复Chrome中已被利用的漏洞

Zoho修复Desktop Central中的身份验证绕过漏洞








原文始发于微信公众号(维他命安全):HackerOne的员工窃取漏洞报告并出售给受影响客户;Google发布安全更新,修复Chrome中已被利用的0 day

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日22:30:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackerOne的员工窃取漏洞报告并出售给受影响客户;Google发布安全更新,修复Chrome中已被利用的0 dayhttps://cn-sec.com/archives/1158727.html

发表评论

匿名网友 填写信息