GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全简讯

Cisco颁布安全更新，建复多个产品中的缝隙；WooCommerce中缝隙可导致网站收受，影响上万家商店

颁布功夫 2020-08-24

1.Cisco颁布安全更新，建复多个产品中的缝隙

Cisco颁布安全更新，以建复其多个产品中的缝隙。这次安全更新中建复的较为严沉的缝隙为Treck IP仓库中的缝隙Ripple20，这些缝隙可导致远程执行代码、回绝服务（DoS）或信息泄露；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认痛处缝隙（CVE-2020-3446），可被利用以治理员权限接见NFVIS CLI；思科智能软件治理器（SSM On-Prem）本地特权升级缝隙（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发现和谈远程执行和回绝服务缝隙（CVE-2020-3506和CVE-2020-3507）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2.FBI和CISA忠告针对美国偏远地域工人的垂钓活动

美国FBI和CISA结合颁布警报，忠告目前针对美国多个行业部门的语音网络垂钓活动（Vishing）。Vishing是一种社会工程攻击，攻击者在语音呼叫期间仿照受信赖的实体，以窃取敏感信息。该机构暗示，自2020年7月中旬，网络犯罪分子发展了这一活动，旨在谋取利益。此表，攻击者还注册了用于网络垂钓的域，以克隆指标公司的内部VPN登录页面，来窃取两成分身份验证（2FA）和一次性密码（OTP）。为此，FBI和CISA提出一系列建议措施，以缓解此类攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/us-govt-warns-remote-workers-of-ongoing-vishing-campaign/

3.WooCommerce中缝隙可导致网站收受，影响上万家商店

WebARX发现WordPress插件WooCommerce中缝隙可导致网站收受，影响上万家商店。凭据分析员对缝隙的分析，发现它们是由不足随机数令牌和授权查抄导致的，若是成功利用这些缝隙，则未经身份验证的攻击者能够检索所有效户和优惠券代码的列表，并在网站的页眉、页脚或治理页面注入XSS，以触发远程执行代码缝隙。此表，黑客还能够利用JavaScript键盘纪录法式注入登录表单，以收受治理怨厥户。目前，该插件在从前7天内已被下载了超过12000次。

原文链接：

https://www.bleepingcomputer.com/news/security/wordpress-woocommerce-stores-under-attack-patch-now/

4.Diebold Nixdorf建复可被用于存款伪造攻击的缝隙

ATM造作商Diebold Nixdorf和NCR颁布了软件更新，建复可被用于存款伪造攻击的缝隙。这次建复的缝隙被追踪为CVE-2020-9062和CVE-2020-10124，别离影响了运行Wincor Probase软件的Diebold Nixdorf ProCash 2100xe USB ATM和运行APTRA XFS软件的NCR SelfServ ATM。这些缝隙可被黑客利用以批改其银行卡上的存款金额，并在银行发现账户余额异常之前进行诓骗性取款。这些缝隙源于ATM现金存放箱和主机之间发送的新闻短缺加密和身份验证环节，目前Diebold和NCR均已颁布软件更新，以�；は纸鸫婵钅？橛胫骰涞耐ㄑ�。

原文链接：

https://securityaffairs.co/wordpress/107421/hacking/diebold-nixdorf-ncr-deposit-forgery.html

5.Spikey攻击可利用信号处置软件克隆物理钥匙

新加坡国立大学的钻研人员发现一种针对物理锁的新攻击战术Spikey，可利用信号处置软件克隆物理钥匙。此类攻击能够利用智能手机的麦克风捕获钥匙插入或拔出时的金属点击声，并用信号处置软件进行破译，以揣度钥匙的状态，最终能够用3D打印技术克隆出物理钥匙。钻研人员暗示将来还可能通过恶意软件习染受害者的智能手机或智能腕表，以此纪录声音并提议攻击。

原文链接：

https://latesthackingnews.com/2020/08/21/spikey-attack-can-duplicate-physical-keys-by-listening-to-click-sounds/

6.英国Myerscough大学遭到DoS攻击导致系统脱机

英国Myerscough大学在颁布考试成就确当天遭到DoS攻击，导致系统脱机。该大学暗示，DoS攻击严沉粉碎了其所有IT基础设施，导致系统处于脱机状态，学生无法接见门户网站GCSE和查问考试了局。此表，学堂员工也只能通过社交媒体工具联系，并且在服务器复原之前只能手动向所有学生发送其成就的电子邮件。该学堂的讲话人暗示，目前并没有学生的数据遭到泄露，而本地警方也在对此事发展调查。

原文链接：

https://www.bbc.com/news/uk-england-lancashire-53822246

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】