首页 > 安全钻研 > 安全传递 > 安全简讯

《维他命》逐日安全简讯20190117

颁布功夫 2019-01-17

1、机票预约系统Amadeus严沉缝隙，影响全球141家航空公司

以色列安全钻研员Noam Rotem发现机票预约系统Amadeus存在一个严沉的安全缝隙，可导致用户信息泄露和账户更改。Rotem在以色列航空公司ELAL预约机票时发现了这一问题，在预约航班后，搭客会收到PNR号码和用于查看预约信息的链接。Rotem发现通过将该链接上的RULE_SOURCE_1_ID参数批改为其它人的PNR号码即可查看他人的预约信息，攻击者还可利用这些信息接见ELAL门户网站并更改受害者的账户信息，蕴含兑换里程、更改邮件地址和电话号码等。由于Amadeus开发的机票预约系统被全球至少141家航空公司使用（蕴含美国结合航空公司、德国汉莎航空公司和加拿大航空公司等），因而该缝隙可能影响了数亿搭客。目前Amadeus已经建复了该问题。

原文链接：

https://thehackernews.com/2019/01/airlines-flight-hacking.html

2、OVH、Dreamhost等五大托管服务商存在多个安全缝隙

安全钻研人员Paulos Yibelo发现全球五大托管服务商（Bluehost、Dreamhost、HostGator、OVH和iPage）存在多个安全缝隙，使得它们的客户和托管的网站面对黑客攻击的风险。这些服务商或许托管了700万个网站。Yibelo共发现了约12个缝隙，蕴含CORS配置不当导致的信息泄露、账户收受、中央人攻击、XSS、API配置谬误和CSP绕过等。Yibelo向这些服务商汇报了他的调查了局，目前除了OVH尚未进行回应之表，其它服务商已经建复了缝隙。

原文链接：

https://thehackernews.com/2019/01/web-hosting-server-security.html

3、钻研团队披露楼宇自动化系统BAS中的6个0day

ForeScout钻研团队发现楼宇自动化系统（BAS）中的6个0day。这些缝隙存在于BAS的PLC和网关和谈等组件中，缝隙领域蕴含XSS、蹊径遍历、肆意文件删除和身份验证绕过，攻击者可利用这些缝隙窃取敏感信息、接见或删除关键文件和执行恶意操作等。钻研人员通过Shodan和Censys发现了超过9000个易受攻击的设备，此表还有超过1万个IP摄像机易受攻击。BAS系统不仅用于住宅和贸易构筑中，还存在于医院、机场、学堂和数据中心等。建议用户尽快装置建复补丁。

原文链接：

https://www.bleepingcomputer.com/news/security/zero-day-vulnerabilities-leave-smart-buildings-open-to-cyber-attacks/

4、碉堡之夜多个缝隙可允许攻击者收受玩家账户

Check Point钻研人员发现Fortnite（碉堡之夜）中的多个安全缝隙，其中一个缝隙可导致远程攻击者齐全收受玩家的账号。凭据钻研人员的说法，缝隙的领域蕴含SQL注入、XSS、WAF绕过以及账户收受。钻研人员称Epic Games子域上的xss和恶意沉定向问题允许攻击者通过糊弄用户点击恶意链接来窃取用户的身份验证令牌。Fortnite在全球占有8000万玩家，这些用户都可能受到影响。Epic Games已在2018年12月中旬建复了这些缝隙。

原文链接：

https://thehackernews.com/2019/01/fortnite-account-hacked.html

5、VoIP服务商VOIPO意表泄露从前四年的客户数据

钻研人员Justin Paine通过Shodan发现一个可公开接见的ElasticSearch数据库，该数据库属于VoIP服务商VOIPO，其中蕴含了该公司从前四年的客户数据。凭据Paine的说法，该数据库蕴含可追忆至2017年7月的670万条通话纪录、可追忆至2015年12月的600万条短信/彩信日志以及100万条蕴含内部系统API KEY的日志。钻研人员于1月8日向VOIPO传递了这一发现，该公司在统一天将数据库进行了脱机�；�。

原文链接：

https://thehackernews.com/2019/01/voip-service-database-hacking.html

6、Magecart Group 12通过供给链攻击习染277个电子商务网站

GA黄金甲·(中国区)官方网站

凭据RiskIQ和趋向科技的汇报，一个新的Magecart犯罪团伙（Magecart Group 12）通过供给链攻击成功习染了近277个电子商务网站。遭到Magecart Group 12攻击的是法国在线告白公司Adverline提供的JavaScript库。欧洲数百个电子商务网站都利用Adverline的服务来展示告白。在接到通知后，Adverline马上从其JavaScript库中删除了恶意代码。钻研人员在汇报中还颁布了与Magecart Group 12有关的IoC。

原文链接：

https://thehackernews.com/2019/01/magecart-hacking-credit-cards.html

申明：本资讯由GA黄金甲维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

《维他命》逐日安全简讯20190117

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线