HackerOne的员工窃取漏洞报告并出售给受影响客户
发布时间 2022-07-051、HackerOne的员工窃取漏洞报告并出售给受影响客户
据媒体7月2日报道,HackerOne的一名员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其泄露给受影响的客户以牟取经济利益。经过调查,该员工是为众多客户项目分类漏洞披露的工作人员之一,自4月4日至6月23日以来访问了该平台,已经联系了7个客户。他使用了名称"rzlr",以及威胁和恐吓性的语言与客户交互,已成功收到赏金。6月30日,HackerOne解雇了这名员工。
https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/
2、Google发布安全更新,修复Chrome中已被利用的0 day
7月4日,Google发布为Windows用户发布Chrome 103.0.5060.114,修复了2022年Chrome中的第4个0 day。该漏洞是WebRTC(Web实时通信)组件中基于堆的缓冲区溢出漏洞(CVE-2022-2294),由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用,但并未公开关于攻击的技术细节等信息。此外,此次更新还修复了V8中的类型混淆漏洞(CVE-2022-2295)。
https://securityaffairs.co/wordpress/132863/hacking/4th-chrome-zero-day.html
3、研究人员披露Zoho产品中漏洞CVE-2022-28219的细节
媒体7月1日报道,研究人员披露了Zoho ManageEngine ADAudit Plus工具中漏洞(CVE-2022-28219)的技术细节和概念验证漏洞利用代码。该漏洞CVSS评分为9.8,可被未经身份验证的攻击者利用来远程执行代码并破坏Active Directory帐户。该漏洞包括3个问题:不受信任的Java反序列化、路径遍历和盲XML外部实体(XXE)注入。Zoho在3月底的ADAudit Plus build 7060中修复了这一漏洞。
https://www.bleepingcomputer.com/news/security/zoho-manageengine-adaudit-plus-bug-gets-public-rce-exploit/
4、ReversingLabs发布关于AstraLocker 2.0的分析报告
媒体7月1日称,ReversingLabs发布了关于勒索软件AstraLocker 2.0的分析报告。研究人员表示,它主要进行快速攻击,可直接从电子邮件附件中投放payload。攻击者使用的诱饵是Word文档,隐藏了带有勒索软件payload的OLE 对象,嵌入的可执行文件使用文件名“WordDocumentDOC.exe”,并使用“smash-n-grab”策略。另一个特殊之处是使用了SafeEngine Shielder v2.4.0.0来打包可执行文件,这是一个过时的打包程序,几乎不可能进行逆向工程。
https://blog.malwarebytes.com/ransomware/2022/07/astralocker-2-0-ransomware-isnt-going-to-give-you-your-files-back/
5、日本移动运营商KDDI突发中断,3915万个用户通信受阻
媒体7月3日称,日本三大移动运营商之一的KDDI Corp.突发中断,多达3915万个用户的通信受阻。这场中断始于上周六凌晨1点35分左右,影响了包括银行业务、天气数据、货运和包裹递送系统以及联网汽车服务在内的多个领域。KDDI表示,其语音呼叫系统的故障引发了流量集中,导致通信受限,KDDI社长已出面鞠躬致歉。截至上周日上午11点左右,KDDI西日本服务区的修复工作已经完成,日本东部恢复服务的工作于周日晚上结束。
https://www.japantimes.co.jp/news/2022/07/03/business/tech/kddi-au-system-outage/
6、Google指出2022上半年被利用的漏洞中一半与旧漏洞有关
据7月3日报道,Google Project Zero研究人员发布一份报告,称在2022上半年,攻击中利用的漏洞中至少有一半与未正确修复的旧漏洞有关。报告指出,截至2022年6月15日,已检测到18个0 day被披露并在野利用。当分析这些漏洞时,发现至少9个是先前修复的漏洞的变种。例如,最近发现的Windows漏洞Follina(CVE-2022-30190),是MSHTML零日漏洞(CVE-2021-40444)的变种。
https://securityaffairs.co/wordpress/132813/security/h1-2022-zero-day-variants-previous-flaws.html
京公网安备11010802024551号