【12.31】安全帮®每日资讯：深信服SSL VPN命令注入漏洞；新型Golang蠕虫在服务器上投放XMRig Miner病毒

admin

140350
文章

117
评论

2020年12月31日09:30:50评论201 views字数 2183阅读7分16秒阅读模式

【12.31】安全帮®每日资讯：深信服SSL VPN命令注入漏洞；新型Golang蠕虫在服务器上投放XMRig Miner病毒

安全帮®每日资讯

深信服SSL VPN命令注入漏洞

深信服SSL VPN使具有Internet连接的设备能够与Web浏览器建立安全的远程访问VPN连接。12月30日，深信服官方发布SSL VPN命令注入漏洞的风险通告，该漏洞暂无编号，漏洞等级：严重，漏洞评分：9.8。深信服SSL VPN产品的某接口中url参数存在注入漏洞，攻击者可利用该漏洞获取SSL VPN设备的控制权限。建议相关用户及时将深信服 SSL VPN 升级到最新版本。

参考来源：

https://nosec.org/home/detail/4632.html

新型Golang蠕虫在服务器上投放XMRig Miner病毒

12月初，一种新的用Golang编写的蠕虫被发现，该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。

参考来源：

http://hackernews.cc/archives/34459

越南遭复杂供应链攻击若处理不当或致损失数十亿美元

一群神秘的黑客通过在越南一个官方的政府软件数字签名工具包植入恶意代码，对越南私营企业和政府机构发起了一场复杂的供应链攻击。直到目前，攻击的安全威胁在范围和严重性上都有所扩大。如果信息安全处理不当，可能会有损失数百万甚至数十亿美元的风险。安全公司ESET发现了本次攻击，并称，攻击的目标是越南政府认证机构（VGCA）。

参考来源：

https://www.cnbeta.com/articles/tech/1072075.htm

中国信通院发布《区块链白皮书（2020年）》

12月22日，“2020可信区块链峰会”在京举行。会上，中国信通院副总工程师史德年发布中国信通院《区块链白皮书（2020年）》。白皮书在此前两年版本基础上，跟踪国内外区块链发展最新动态，梳理区块链技术和产业图谱，全景呈现国内外区块链技术产业动态和发展趋势，探究区块链联盟生态治理模式，剖析面临的挑战，提出了下一步发展的相关建议。

参考来源：

https://www.secrss.com/articles/28414

日本川崎重工披露安全漏洞

近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。除此之外，国防承包商Pasco、神户制铁和三菱电机等日本知名企业在今年也受到了类似的网络攻击。

参考来源：

http://hackernews.cc/archives/34436

货运巨头Forward Air遭到新型勒索软件Hades的攻击

北美货运市场的SaaS数据提供商FreightWaves报告说，Forward Air遭受了一次网络攻击，迫使他们断开所有网络连接以防止攻击蔓延。据FreightWaves称，攻击已经导致业务中断，因为要求从海关放行货物的文件存储在关闭的系统中，无法获得。此时，Forward Air的网站已关闭，只是显示了一条关于“IT安全事件”的消息，并且该网站在恢复受影响的系统时已关闭。

参考来源：

https://www.4hou.com/posts/22kN

Google Docs存在安全漏洞可使黑客窃取私人文档

日前，谷歌反馈工具中的存在安全漏洞，可使黑客窃取私人文档。该漏洞源于Google Docs域中缺少X-Frame-Options标头，这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。尽管此类网络攻击需要一定形式的用户交互，但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。

参考来源：

http://hackernews.cc/archives/34430