安全D头条 第14期 | 11.25-11.29安全热点

投票截止日期：周五上午10点

奖励

根据票数排名获得不同金额的快车券奖励：

第一名：50元快车券

第二名：30元快车券

第三名：20元快车券

第四名-第十名：10元快车券

上周投票排名公布

第一名：P!chu-获得50元快车券

第二名：安然意境-获得30元快车券

第三名：150****4728-获得20元快车券

第四名-第十名：获得10元快车券

点击查看上周资讯链接：安全D头条 第13期 | 11.18-11.22安全热点

安全D头条

01

Jenkins多个高危安全漏洞修复提示

CVE-2019-16538漏洞主要是安全插件（Script Security Plugin）被绕过，导致任意代码执行的风险，该安全插件默认会进行安装，当插件版本低于1.68，存在漏洞的系统面临被恶意攻击者直接执行危险命令的可能，直接影响到系统的安全性。目前网上暂未有漏洞细节披露，建议及时升级安全更新补丁和参考缓解措施进行安全加固配置。

文章链接：https://www.dbsec.cn/blog/article/5424.html

投稿ID：Jenkins多个高危安全漏洞修复

投稿时间：2019-11-25

02

服务器端请求伪造暴露技术

工业和媒体组织的数据

服务器端请求伪造（SSRF）是一个web应用程序漏洞，可将攻击者的请求重定向到防火墙后面的内部网络或本地主机。SSRF对云服务构成了特殊的威胁，因为它使用了元数据API，允许应用程序访问底层云基础设施的信息，如配置、日志和凭据。尽管元数据API只能在本地访问，但SSRF漏洞使它可以从internet访问。此类型的漏洞还绕过容器沙盒保护。SSRF为内部网络侦察、横向移动甚至远程代码执行打开了大门。

文章链接:

https://unit42.paloaltonetworks.com/server-side-request-forgery-exposes-data-of-technology-industrial-and-media-organizations/

投稿ID：P!chu

投稿时间：2019-11-25

03

盘点近几年勒索病毒使用过的工具和漏洞

早前，我们从赎金角度探讨了下勒索病毒的发展演变，详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述，今天，我们回归技术，从另外一个角度，看勒索病毒为何会如此猖獗。为了很好的回答这个问题，我们同样不急于切入主题。首先，深信服安全团队基于大量真实的客户案例及大量的威胁情报信息，来盘点近几年勒索病毒使用过的工具和漏洞。

文章链接：https://www.freebuf.com/articles/system/219837.html

投稿ID：安然意境

投稿时间：2019-11-16

04

HP警告某些固态硬盘在使用

32768小时后会出现故障

惠普公司（Hewlett-Packard Enterprise，HPE）发布了一些串行连接SCSI固态驱动器的固件更新，以防止它们在实际运行32768小时时出现故障。

这些设备用于企业的多个服务器和存储产品，如HPE ProLiant、Synergy、Apollo、JBOD D3xxx、D6xxx、D8xxx、MSA、StoreVirtual 4335和StoreVirtual 3200。

异常失效时间为3年270天8小时，大大低于这些产品的正常寿命。其中一些产品的保修期可延长至5年。

文章链接：https://mp.weixin.qq.com/s/uu3fnM8OzC8JRcIiJkIX8w

投稿ID：P!chu

投稿时间：2019-11-28

05

互联网之父担心被私营企业接手的

org业务会变得利欲熏心

对于将 .org 业务出售给私营企业 Ethos Capital 一事，互联网之父 Tim Berners-Lee 直斥这样的行为太过“愚蠢”，即便 Ethos 表示自己没有提价的计划。显然，对于将数以百万计的非盈利组织使用的 .org 互联网户名交给一家逐利的私营企业去管理一事，伯纳斯-李很是担心。

文章链接：https://www.dbsec.cn/blog/article/5481.html

投稿ID：加油吧

投稿时间：2019-11-29

06

某儿童手表泄露5000多儿童信息 

还能假扮父母打电话

技术的发展，已经让上述情景走出电影荧幕，真实搬上了人们生活的舞台。11月26日，测试机构AV-TEST的物联网测试部门发布报告称，他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患，其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

文章链接：https://www.dbsec.cn/blog/article/5483.html

投稿ID：P!chu

投稿时间：2019-11-29

07

工控系统再迎大波澜

伊朗APT组织将其作为重点攻击目标

【导读】前段时间，在弗吉尼亚州阿灵顿举行的CyberwarCon会议上，有安全研究专家指出，伊朗黑客组织APT33活动及攻击目标发生变化，将攻击重点从IT网络转移到包括电力、制造和炼油厂等在内的工业控制系统。虽然还没有直接证据，但综合考虑到APT33的历史以及美伊之间持续发生的网络战争，APT33攻击目标向关键基础设施转移不得不引起我们持续性关注。

文章链接：https://mp.weixin.qq.com/s/glIjbA1xZMWODLPw9lDhAA

投稿ID：xiaobai

投稿时间：2019-11-28

08

全球IPv4地址正式耗尽 IPv6新体系正在形成

全球 IPv4 地址面临耗尽的现实已经被宣传多年，而这一天最终还是到来了。其实早在上世纪 80 年代，研究人员就已经预见到了这样的未来，且在 2012 年迎来了顶级 IPv4 地址的耗尽。今天，区域性的 IPv4 地址库存也已耗尽。

随着 2019 年 11 月 25 日 UTC + 1 15:35 欧洲网络信息中心（RIPE NCC）从可用池中进行最后的 /22 IPv4分配，全球所有 43 亿个 IPv4 地址都已分配完毕，意味着没有更多的 IPv4 地址可以分配给互联网服务提供商（ISP）和其它大型网络基础设施提供商。

文章链接：https://www.dbsec.cn/blog/article/5468.html

投稿ID：uu

投稿时间：2019-11-27

09

路易斯安那州再次勒索软件闪电战后服务器倒闭

最近，朝鲜声名狼藉的APT组织Lazarus又开始活跃起来，先是入侵印度核电站，导致其紧急关闭一座反应堆，然后又向韩国、意大利等国发送大量钓鱼邮件进行攻击，加上今年年初的数字货币交易所入侵事件，Lazarus今年可谓是很“高产”了。鉴于我国也曾在Lazarus的攻击范围之内，下面就来了解下Lazarus组织的攻击手法，以及学习如何对其进行追踪。

文章链接：https://bbs.pediy.com/thread-255801.htm

投稿ID：155***

投稿时间：2019-11-26

10

专项治理行动见成效 App

这些越线行为现在管得更严

我国手机网民常常陷入两难选择，一方面，工作、生活已对各类App形成严重依赖，另一方面，又担心个人信息被App窃取，隐私无法得到保护。日前，工业和信息化部再度出手，向各有关单位发出《关于开展App侵害用户权益专项整治工作的通知》，针对App违规收集个人信息、过度索权、频繁骚扰等行为启动新一轮监督检查和规范整治。

文章链接：https://www.dbsec.cn/blog/article/5464.html

投稿ID：Levi

投稿时间：2019-11-25