Rockwell Automation的PLC存在身份验证绕过漏洞；印度Zee5再次数据泄露，涉及900万用户的PII

研究人员发现Rockwell Automation的可编程逻辑控制器（PLC）中存在身份验证绕过漏洞。该漏洞被追踪为CVE-2021-22681，CVSS评分为10，其存在于Logix Designer软件中，是由于验证控制器通信的私有密钥保护不足导致的。未经身份验证的远程攻击者可利用该漏洞绕过验证机制来连接Logix控制器。此外，利用此漏洞和第三方工具还能更改控制器的配置和应用程序代码。

研究团队在网络和分布式系统安全研讨会（NDSS）上提出 Alexa中存在可绕过审核流程的漏洞。黑客可利用该漏洞以任意开发者的名义发布恶意应用，甚至在审核通过后更改后端代码，来窃取用户的敏感信息，例如电话号码和地址。研究人员解释这是因为Amazon不采用任何自动化的方法来检测恶意软件，而依赖于人工审核则容易出现人为错误。

研究人员Rajshekhar Rajaharia发现Zee5再次发生数据泄露事件，涉及900万用户的PII。Zee5是印度OTT平台，拥有超过1.5亿用户。此次事件泄露了超过900万用户的个人数据，包括用户的名字、电子邮件地址、出生日期、电话号码、用户名以及上次更新时间的记录时间戳。这是Zee5第二次发布有关数据泄露的新闻，第一次发生去年5月份，曾泄露了上千个用户的用户名和纯文本密码。

BleepingComputer警告近期的AOL邮件钓鱼活动针对中老年人窃取凭据。当大多数人使用Gmail、Outlook或其他现代免费邮件服务时，许多老年人仍在使用AOL。而此次钓鱼活动主要针对这一群人，以邮箱将在3天内关闭为主题，诱使用户在钓鱼页面登录帐户来进行验证，窃取其凭据。此外，相比于针对其他服务（例如Gmail）的活动，此次攻击更容易通过AOL的电子邮件过滤器。

FortiGuard Labs发布了2020年威胁态势的回顾报告。报告指出，针对物联网（IoT）设备（例如家庭娱乐系统、家庭路由器和连接的安全设备）的攻击成为主要威胁；供应链攻击成为焦点，SolarWinds攻击事件将该问题推向了新高度；勒索软件活动在2020年下半年增加了七倍，主要目标行业包括医疗保健、专业服务公司、消费者服务公司、公共部门和金融服务公司。 

Dragos发布了2020年ICS网络安全的回顾报告，针对ICS/OT的网络威胁、漏洞、评估和事件响应进行了分析。2020年有703个ICS/OT漏洞，比2019年增加了29％。研究人员发现了四个主要针对能源和制造业的新ICS团伙，分别是KAMACITE、STIBNITE、TALONITE和VANADINITE。报告还提出了增强ICS环境安全性建议，包括增加OT网络的可见性、确定重要性及优先级、增强事件响应能力、网络隔离验证和安全证书管理等。

维他命安全简讯

微信：VitaminSecurity