首页 > 安全钻研 > 安全传递 > 安全简讯

美国国度尺度与技术钻研院颁布隐衷框架初稿；Verizon Wireless缝隙导致约200万客户的合同泄露

颁布功夫 2019-09-11

1.美国国度尺度与技术钻研院颁布隐衷框架初稿

GA黄金甲·(中国区)官方网站

美国国度尺度与技术钻研院（NIST）颁布了一个隐衷框架初稿，旨在通过企业风险治理援试祗业改善幼我隐衷。NIST暗示，隐衷框架旨在通过三个事项援试祗业�；び孜乙裕和ü诜窈筒分兄С致返戮霾呃闯闪⒖突爬�；推广合规使命;以及推进与客户和监管机构就隐衷实际进行沟通。该政策遵循网络安全框架的结构，由主题、概况和执行层组成。主题部门旨在推进关于隐衷�；ぴ擞徒沽司值亩曰�，而概况部门则推动满足组织使命和隐衷价值的活动和了局的优先秩序。执行层则对组织处置隐衷风险流程的充分性进行沟通和决策提供支持。

原文链接：

https://www.executivegov.com/2019/09/nist-issues-preliminary-draft-of-privacy-framework/

2.Verizon Wireless缝隙导致约200万客户的合同泄露

GA黄金甲·(中国区)官方网站

英国安全钻研员Daley Bee发现Verizon Wireless系统的一个子域存在不安全的直接对象引用（IDOR）缝隙，可能被黑客利用来获取200万客户合同。该子域名是telestore.verizonwireless.com，似乎被公司员工用来接见内部PoS工具和查看客户信息。进一步分析发现了一个指向PDF体式的Verizon客户合同的URL，钻研人员通过批改GET参数值可接见约200万个合同，其中蕴含姓名、地址、电话号码、设备型号和序列号以及客户署名等内容。Verizon证实了这一缝隙，并在接到通知的一个月后建复了该问题。

原文链接：

https://www.securityweek.com/vulnerabilities-exposed-2-million-verizon-customer-contracts

3.Stealth Falcon新后门利用Windows BITS服务窃取数据

GA黄金甲·(中国区)官方网站

ESET钻研人员发现APT组织Stealth Falcon的新后门滥用Windows BITS服务来暗藏其与号令和节造（C＆C）服务器的通讯流量。Windows BITS是微软向全球用户发送Windows更新的默认系统，钻研人员以为该后门这样做是为了绕过防火墙，由于企业以为BITS流量很可能蕴含软件更新而偏差于忽略它。ESET将该后门定名为Win32/StealthFalcon，它允许攻击者在受习染的系统高低载和运行其它恶意代码或窃取数据发送到远程服务器。该后门似乎是2015年创建的，使用了与2016年Citizen Lab汇报中详述的Powershell后门一样的C＆C域名。ESET没有泄漏新后门的攻击情况或指标。

原文链接：

https://securityaffairs.co/wordpress/91019/apt/stealth-falcon-backdoor-bits.html

4.ZDI披露Red Lion公司HMI产品中的多个安全缝隙

GA黄金甲·(中国区)官方网站

钻研人员在美国Red Lion公司造作的人机界面（HMI）编程软件中发现多个安全缝隙。Red Lion是Spectris的子公司，凭据美国CISA的信息，Red Lion的产品在全球领域内使用，重要用于关键造作领域。趋向科技钻研人员发现Red Lion的Crimson编程软件，出格是3.0及之前版本和3.112.00之前的3.1版本存在四个缝隙，蕴含CVE-2019-10996、CVE-2019-10978、CVE-2019-10984和CVE-2019-10990。其中最严沉的一个缝隙允许攻击者通过诱使指标用户打开恶意CD3文件，在当前过程的高低文中远程执行肆意代码。另一个缝隙与硬编码的痛处有关。Red Lion颁布了Crimson 3.1版本3112.00以建补缝隙，但奉告客户它不筹算颁布Crimson 3.0的更新。

原文链接：

https://www.securityweek.com/several-vulnerabilities-found-red-lion-hmi-software

5.思科Talos披露NETGEAR无线路由器中的DoS缝隙

GA黄金甲·(中国区)官方网站

思科Talos发现NETGEAR N300系列无线路由器蕴含两个回绝服务缝隙。未经身份验证的攻击者能够通过向路由器的分歧职能发送恶意SOAP和HTTP要求来利用这些缝隙，从而导致其齐全崩溃。第一个缝隙是CVE-2019-5054，存在于HTTP服务器的会话处置职能中，发送到身份验证页面的空User-Agent字符串HTTP要求可能导致空指针解引用，从而导致HTTP服务崩溃。第二个缝隙CVE-2019-5055存在于主机接见点守护法式（hostapd）中，发送到<WFAWLANConfig：1＃PutMessage>服务的无效序列SOAP要求可能导致空指针解引用，从而导致hostapd服务崩溃。Talos确认N300 WNR2000v5路由器（固件版本V1.0.0.70）受到影响。

原文链接：

https://blog.talosintelligence.com/2019/09/vuln-spotlight-Netgear-N300-routers-DoS-sept-2019.html

6.微软颁布9月安全更新，建复两个0day

GA黄金甲·(中国区)官方网站

微软在9月的Windows安全更新中建复了80个缝隙，其中蕴含17个严沉缝隙。有两个缝隙是0day，在微软颁布补丁之前它们已在野表被利用。这两个缝隙别离是Windows通用日志文件系统（CLFS）驱动法式中的EoP（CVE-2019-1214）和影响ws2ifsl.sys（Winsock）服务的EoP（CVE-2019-1215），微软没有披露缝隙在野表利用的更多细节。本月微软也建复了远程桌面和谈中的两个缝隙，蕴含CVE-2019-1290和CVE-2019-1291。齐全缝隙列表请参考以下链接。

原文链接：

https://www.zdnet.com/article/microsoft-patches-two-zero-days-in-massive-september-2019-patch-tuesday/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

美国国度尺度与技术钻研院颁布隐衷框架初稿；Verizon Wireless缝隙导致约200万客户的合同泄露

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

美国国度尺度与技术钻研院颁布隐衷框架初稿；Verizon Wireless缝隙导致约200万客户的合同泄露

7*24幼时服务热线

美国国度尺度与技术钻研院颁布隐衷框架初稿；Verizon Wireless缝隙导致约200万客户的合同泄露