Drupal 修复严重的站点接管漏洞; 微软向1万名国家黑客受害者发出通知;Libra 不受立法机构信任
编译:奇安信代码卫士团队
微软称去年有1万名受害者遭国家黑客组织攻击
微软表示,在过去的一年中已经通知了近1万名国家黑客攻击的受害者。微软表示,多数攻击来自伊朗、朝鲜和俄罗斯,具体而言这些国家黑客组织是伊朗 Holmium 和 Mercury组织、朝鲜 Thallium 组织以及俄罗斯 Yttrium 和 Strontium 组织。这些国家黑客组织有些是新面孔有些是老面孔。比如,伊朗 Holium 组织即是 APT33,而俄罗斯 Strontium 组织即是 APT 28。
微软表示,在近1万起攻击活动中,其中约84%的攻击针对的是企业客户,只有16%针对的是家庭客户及其个人邮件账户。另外,微软表示还检测到了针对参与选举的政治机构的攻击。这些数据源自微软提供的免费安全服务 AccountGuard 技术,该技术应用于26个国家。另外,谷歌还打算开源加密的安全选举机器软件包 ElectionGuard。
70%的保加利亚公民个人和金融信息遭泄露
保加利亚遭受史上最严重的数据泄露事件,500万成人公民的个人信息和金融信息遭暴露,而其总人口为700万人。保加利亚当地媒体报道称,本周早些时候,未具名黑客向它们发送了11GB 大小的被盗数据,其中包括纳税人的个人可识别号码、地址以及金融数据。保加利亚国家税务局表示被盗数据源自该国的税务报告服务,此前该攻击者越权访问了税务数据库中3%的信息。据悉该黑客是一名俄罗斯人,只发布了110个被攻陷数据库中的57个,被攻陷的数据库大小总计21GB。目前一名20岁的网络安全专家“白帽”黑客嫌疑人 ChristianBoykov被捕。如被定罪,他将获刑8年。该事件将导致保加利亚国家税务局面临2000万欧元或4%年营收的罚款。目前被盗数据已出现在地下黑市。
美国立法机构表达对 Facebook Libra 加密货币的不信任
周三,美国立法机构在众议院金融服务委员会听证会上表达了对 Facebook 推出加密货币计划的普遍不信任,表示Facebook 试图金融服务的举动令人不安,原因在于该公司在过去“未能保护客户数据的私密性”,比如之前发生的剑桥分析公司丑闻事件、Equifax 数据泄露事件等。美国立法机构表示,在推出 Libra (天秤币)之前应该清理过去的历史问题,而且应该非常透明。另外立法机构还提到天秤币的预期收入和运营成本问题,但 Facebook 代表并没有正面回答,只是说明了如何推出该货币以及可允许社会经济地位低下的人群可向海外付款。另外,Facebook 公司也未在这个长达6小时的听证会上说明天秤币的结构。立法机构认为Facebook 不应发行货币,因为这是一种国家政府行为。
Drupal修复严重的站点接管漏洞
Drupal CMS 团队发布安全更新,解决该 CMS 核心组件中一个严重的访问绕过漏洞,它可导致攻击者接管受影响站点。受影响的 CMS 数量有限,它仅影响 Drupal 8.7.4 版本,而Drupal 8.7.3及之前版本、Drupal 8.6.x及之前版本和 Drupal 7.x 版本并不受影响。Drupal 团队表示,“在 Drupal 8.7.4版本中,当启用实验性 Workspaces 模块时会创建访问绕过条件。”该团队发布Drupal 8.7.5版本修复了该漏洞 CVE-2019-6342。
Drupal 开发团队表示,修复方案仅适用于运行 update.php 的受影响网站。受影响网站需要手动更新至 Drupal 8.7.5。幸运的是,该漏洞的利用代码并未出现。另外,团队还发布了缓解措施,最简单的办法是禁用 Workspaces 模块。Drupal 是继 Wordpress和 Joomla 之后的第三大最流行的 CMS。
原文链接
https://www.bleepingcomputer.com/news/security/drupal-patches-critical-bug-that-lets-hackers-take-over-sites/
https://www.zdnet.com/article/us-lawmakers-say-they-are-troubled-by-facebooks-libra-due-to-pattern-of-failing-to-keep-consumer-data-private/
https://thehackernews.com/2019/07/bulgaria-nra-data-breach.html
https://www.zdnet.com/article/bulgarias-hacked-database-is-now-available-on-hacking-forums/
https://www.zdnet.com/article/microsoft-notified-10000-victims-of-nation-state-attacks/
https://threatpost.com/google-triples-bug-bounty-payouts/146539/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。