首页 > 安全钻研 > 安全传递 > 安全简讯

《维他命》逐日安全简讯20181225

颁布功夫 2018-12-25

1、维基解密披录国大使馆购物清单，文件数量超过1.6万份

12月21日维基解密披露1.6万份文件，这些文件是美国大使馆的购物清单。凭据这些文件，美国驻多国大使馆都曾采办间谍设备。例如2018年8月，美国驻萨尔瓦多使馆颁布一份采购需要，其中蕴含94件间谍设备，蕴含能装置在汽陈凤的夜视摄像头以及假装在钢笔、打火机、衬衫纽扣、眼镜等日常用品中的摄像头。美国驻乌克兰使馆则采购了灌音机和荫蔽无线电设备等。

原文链接：

https://shoppinglist.wikileaks.org/

2、缝隙利用工具包Underminer在12月推出改进版本

Malwarebytes Labs发现缝隙利用工具包Underminer在12月份推出了改进的版本。在2018年秋季，Underminer重要利用IE中的缝隙（CVE-2018-8174）和Flash Player中的缝隙（CVE-2018-4878）。但在12月份，钻研人员以为新版本的Underminer实现了最近的Flash Player缝隙利用（CVE-2018-15982）。其最终payload的打包和执行的方式仍是Underminer独有的，其payload为Hidden Bee。

原文链接：

https://blog.malwarebytes.com/threat-analysis/2018/12/underminer-exploit-kit-improves-latest-iteration/

3、英国当局推出国度网络安全技术初步战术征集定见稿

英国当局推出国度网络安全技术初步战术的征集定见稿，这一初步战术的指标是解决更宽泛的网络安全能力差距。汇报中对网络安全技术进行了明确界说，并将在2019年颁布齐全的网络安全知识系统（CyBoK）。初步战术还将成立一个新的、独立的英国网络安全委员会，该委员会将掌管造订涵盖分歧专业的框架，奠定网络安全专业的结构基础。当局还将持续支持发展行业主导的培训生态系统。

原文链接：

https://www.gov.uk/government/publications/cyber-security-skills-strategy/initial-national-cyber-security-skills-strategy-increasing-the-uks-cyber-security-capability-a-call-for-views-executive-summary

4、钻研团队披露华为路由器中的信息泄露缝隙

NewSky Security披露华为路由器中的一个信息泄露缝隙，该缝隙（CVE-2018-7900）使得攻击路由器的过程越发简化。攻击者能够利用该缝隙判断路由器是否拥有默认痛处，而无需衔接到设备。该缝隙的道理是路由器面板的登录页面的html源码中蕴含一个特定的变量，该变量的特定值揭示了路由器是否拥有默认密码，因而攻击者能够在ZoomEye/Shodan上隐式地获取拥有默认密码的设备列表。在接到汇报后，华为已经建复了该缝隙。

原文链接：

https://blog.newskysecurity.com/information-disclosure-vulnerability-cve-2018-7900-makes-it-easy-for-attackers-to-find-huawei-3e7039b6f44f

5、施耐德电气建复EVLink电动汽车充电站中的多个安全缝隙

施耐德电气暗示其EVLink电动汽车充电站的Parking落地式单元（v3.2.0-12_v1及更早版本）存在三个安全缝隙，蕴含硬编码痛处缝隙（CVE-2018-7800）、代码注入缝隙（CVE-2018-7801）和SQL注入缝隙（CVE-2018-7802）。EVLink通常用于办公室、酒店和超市等处所，该公司已经为这些缝隙提供了建复补丁。本月早些时辰卡巴斯基尝试室披露ChargePoint Home的充电桩存在多个缝隙，钻研人员还指出EV通讯和谈、EV支付系统和后端通讯的安全性都易受攻击。

原文链接：

https://threatpost.com/critical-bug-patched-in-schneider-electric-vehicle-charging-station/140370/

6、Akamai颁布新垂钓战术钻研汇报，沉点关注游戏、社交及中奖

凭据Akamai的新垂钓战术钻研汇报，盛行的“三个问题”在线幼考试被发现是一个大型的网络垂钓诳骗活动。该垂钓活动仿照了四个行业（蕴含航空、零售、娱乐和食品）的78个品牌，例如迪士尼乐园、Dunkin'Donuts和Target等。该圈套通常承诺考试之后赐与嘉奖，但现实上会要求用户在接受奖品之前提供幼我信息，并在社交媒体上传布链接。Akamai的汇报还关注了游戏、社交及中奖等垂钓战术。

原文链接：

https://www.akamai.com/us/en/multimedia/documents/report/a-new-era-in-phishing-research-paper.pdf

申明：本资讯由GA黄金甲维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

《维他命》逐日安全简讯20181225

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线