​本週安全資訊

23 Apr. 2020

• Webkinz兒童遊戲網站泄露2300萬用戶信息
• iOS漏洞曝光，允許黑客執行任意代碼發動遠程攻擊
• IP電話漏洞曝光，允許黑客發動遠程攻擊

一、信息泄露

1.Webkinz兒童遊戲網站泄露2300萬用戶信息

據外媒報道，研究人員近日披露，加拿大玩具公司Ganz管理的在線兒童遊戲網站泄露近2300萬用戶信息。據悉，黑客通過SQL注入漏洞訪問遊戲數據庫獲取相關信息，包括用戶名、密碼及父母電子郵箱地址等。截至目前，Webkinz已修補黑客進入其系統的入口點，並刪除非活動狀態賬戶，以免泄露更多信息。

圖片來源：Pexels

二、網絡攻擊

1.GitHub用戶遭遇網絡釣魚攻擊

據外媒報道，黑客對GitHub用戶發動網絡釣魚攻擊，竊取賬戶權限。據悉，此次釣魚攻擊活動被稱作Sawfish，黑客通過發送釣魚郵件，引導用戶點擊郵件中嵌入的非正式GitHub登錄鏈接竊取用戶登錄憑證及其他重要信息。此次釣魚攻擊涉及的域名爲git-hub.co、githb.co、glthub.net、glthubs.com和corp-github.com。專家建議用戶立即重置密碼、恢復 two-factor recovery codes、檢查個人訪問令牌、採取額外步驟檢查和保護賬戶安全。

2.黑客攻擊Lendf.me貸款平臺，竊取2500萬美元加密貨幣

據外媒報道，研究人員近日披露，黑客對Lendf.me貸款平臺發動攻擊，竊取超過2500萬美元加密貨幣。據悉，黑客通過將不同區塊鏈技術的漏洞和合法功能鏈接在一起，組織複雜的“重入攻擊”，在原始交易被批准或拒絕前循環重複竊取資金，並對Uniswap加密貨幣交易所進行了類似攻擊。截至目前，兩個受影響網站已關閉，以防止遭受進一步攻擊。此外，由於在攻擊過程中泄露了IP地址，黑客已退還竊取資金。

圖片來源：Pexels

3.迷宮集團對新澤西州Cognizant發動勒索軟件攻擊

據外媒報道，研究人員近日披露，迷宮集團對新澤西州Cognizant公司發動勒索軟件攻擊，破壞其內部系統，導致運營陷入混亂，中斷部分客戶服務。截至目前，該公司已向客戶提供損害指數（IOC）和其他具有防禦性的技術，建議客戶應加強網絡防禦和警惕。

三、漏洞曝光

1.IP電話漏洞曝光，允許黑客發動遠程攻擊

據外媒報道，研究人員近日披露，IP電話中存在嚴重漏洞，被追蹤爲CVE-2020-3161，允許未經身份驗證的黑客通過root特權執行任意代碼、發動遠程攻擊，臺式IP電話7811、7821、7841、7861，會議IP電話8831及無線IP電話8821、8821-EX受到影響。截至目前，思科已發佈免費更新軟件，建議用戶立即更新，以免受到攻擊。

圖片來源：Pexels

2.OpenSSL中存在嚴重漏洞，允許黑客發動DoS攻擊

據外媒報道，研究人員近日披露，OpenSSL中存在嚴重漏洞，被追蹤爲CVE-2020-1967，允許黑客發動DOS攻擊，導致服務器或客戶端應用程序崩潰。版本OpenSSL1.1.1d、1.1.1e和1.1.1f受影響，舊版本1.0.2和1.1.0未受影響。截至目前，該公司已發佈修復版本1.1.1g，並建議用戶立即更新，以免受到攻擊。

3.Microsoft Exchange漏洞曝光，超35萬臺服務器受影響

據外媒報道，研究人員近日披露，Microsoft Exchange服務器存在嚴重漏洞，允許黑客遠程執行代碼，發動網絡攻擊。據悉，該漏洞被追蹤爲CVE-2020-0688，允許黑客通過掃描互聯網易受攻擊的Exchange郵件服務器，向目標系統發送概念驗證漏洞和Metasploit模塊，進而發動攻擊，超35萬臺服務器受影響。截至目前，該公司已發佈補丁程序，並建議用戶立即更新，以免受到攻擊。

圖片來源：Pexels

4.iOS漏洞曝光，允許黑客執行任意代碼發動遠程攻擊

據外媒報道，網絡安全公司ZecOps近日披露，IPhone電子郵件存在新的iOS漏洞，允許黑客通過MobileMail（iOS 12）或郵件（iOS 13）的上下文執行任意代碼，發動遠程攻擊，修改並刪除電子郵件，進而竊取用戶敏感信息。截至目前，蘋果公司已發佈修復版本iOS 13.4.5 beta，並建議用戶立即更新，以免受到攻擊。