本周安全资讯

11 July 2019

Zoom漏洞曝光，允许任意网站获取Mac摄像机权限；

McAfee软件更新漏洞曝光，将导致用户无法正常登陆Windows；

Rockwell高危漏洞曝光，允许黑客获取设备根级访问权限······

一、网络攻击

1.Canonical GitHub账户遭黑客入侵，Ubuntu源代码不受影响

据外媒报道，Linux发行版Ubuntu安全团队发布声明称，Canonical GitHub账户遭黑客入侵，账户凭据被泄露，Ubuntu源代码和PII不受影响。由于黑客在入侵后创建了11个空存储库，因此研究人员推测，此次攻击事件是良性的，黑客未将恶意代码添加到Canonical项目中。截至目前，Canonical已将受感染账户删除，数据泄露程度仍在调查中。

图片来源于pixabay

二、恶意软件

1.研究人员发现新Golang恶意软件，数千Linux服务器受影响

据媒体报道，F5 Labs发布研究报告称发现新Golang恶意软件，可利用7种方法攻击Linux服务器，包括4种Web应用程序漏洞、SSH凭据枚举、Redis数据库密码枚举及SSH密钥等。研究人员表示，黑客使用cryptonight算法挖掘XMR，可能使用多个钱包降低攻击成本，其中基于F5 Labs矿工钱包的攻击盈利低于2000美元。

三、漏洞曝光

1.Zoom漏洞曝光，允许任意网站获取Mac摄像头权限

据外媒报道，研究人员披露了Zoom视频会议应用程序中的零日漏洞，该漏洞允许任意网站在安装了Zoom的Mac电脑上打开视频通话功能。据悉，即使应用被卸载，后台服务器仍能在不被干预的情况下重装Zoom。截至目前，Zoom已修复该漏洞，用户可关闭Mac电脑摄像头权限以免受影响。

图片来源于unsplash

2.McAfee软件更新漏洞曝光，将导致用户无法正常登陆Windows

据报道，McAfee ENS安全软件更新存在严重漏洞，与旧版McAfee ENS发生冲突，将导致Experian服务中断，用户将无法正常登录Windows操作系统。据悉，影响用户正常使用的软件版本为McAfee ENS10.2，受影响工作站禁用漏洞利用防护后，仍需手动修改Windows注册表方能正常登录。截至目前，McAfee已修复该漏洞。

3.GE麻醉机、呼吸机存在安全漏洞，易被黑客远程篡改

据外媒报道，研究人员发现通用电气（GE）麻醉机、呼吸机所使用的网络协议存在安全漏洞，允许黑客进行恶意篡改，关闭警报、改变记录，甚至改变麻醉机和呼吸机中吸入气体的成分。据悉，该漏洞影响GE Aestiva和GE Aespire麻醉系统的7100和7900型号。截至目前，研究人员已向GE披露了这些漏洞，GE建议用户避免将易受攻击的设备连接到医院网络。

图片来源于pixabay

4.Rockwell高危漏洞曝光，允许黑客获取设备根级访问权限

据外媒报道，自动化公司Rockwell发布声明称，其PanelView图形中端存在严重漏洞CVE-2019-10970，影响此前发布的PanelView5510人机界面（HMI），允许未经身份验证的黑客远程获取设备系统文件的根级访问权限。Rockwell建议用户将设备更新至4.003、5.002及更高版本，或限制对TCP和UDP端口2222和44818的访问以保护设备。

5.罗技存在4个硬件漏洞，可将6个不同设备连接到同一计算机

据报道，研究人员发现罗技Unigying USB接收器存在4个硬件漏洞，可将6个不同设备连接到同一计算机。据悉，这些漏洞源于罗技加密狗过时固件，允许黑客通过物理方式访问目标计算机，发动点击注入攻击获取鼠标点击记录，甚至控制操作系统。截至目前，研究人员已将这些漏洞上报罗技公司，罗技回复称将于近期修复其中2个安全漏洞。

图片来源于pixabay

6.Redis安全漏洞曝光，影响版本2.x至5.x

近日，研究人员发现Redis存在安全漏洞，Redis版本2.x至5.x均受影响。据悉，该漏洞源于Redis4.x及以上版本新增模块功能，允许黑客通过外部拓展在Redis中实现新命令。黑客可利用该漏洞引入模块，加载恶意.so文件，执行其构造的恶意代码。专家建议用户禁止外部访问Redis服务端口、禁止使用root权限启动Redis服务，并配置安全组限制可连接Redis服务器的IP以保护设备。

四、安全资讯

1.万豪或将因数据泄露事件被英国ICO处以1.24亿美元罚款

据外媒报道，连锁酒店万豪集团或将因数据泄露事件被相关部门处以1.24亿美元罚款。据悉，万豪集团于2018年发生数据泄漏事件，旗下喜达屋酒店客户预订数据库自2014年起被黑客持续入侵，约3.83亿客户数据被泄露。泄露数据包括1850万加密护照号码、525万未加密护照号码、910万加密支付卡号及当时仍有效的38.5万张支付卡号。

图片来源于pixabay