今天是 7 月 17 日星期一，今天的安全早報(bào)主要內(nèi)容有：維基解密CIA利用 Highrise 惡意程序攔截安卓設(shè)備短信并重定向至CIA的服務(wù)器；黑客利用自動(dòng)化掃描未安裝完成的WordPress進(jìn)行攻擊；永恒之藍(lán)掃描器發(fā)現(xiàn)了50000臺能被攻擊的主機(jī)；卡巴斯基實(shí)驗(yàn)室專為ATM等嵌入式系統(tǒng)設(shè)置的安全軟件被曝漏洞；域名注冊商Gandi承認(rèn)超過750個(gè)域名遭到劫持。

維基解密再更新：CIA攔截安卓設(shè)備短信
維基解密又在Vault 7項(xiàng)目中發(fā)布了一款CIA黑客工具。這款名叫HighRise的工具是一款能夠?qū)⑹謾C(jī)短信進(jìn)行截獲轉(zhuǎn)發(fā)到遠(yuǎn)程web服務(wù)器的Android應(yīng)用。HighRise支持的Android版本從4.0到4.3，但是文檔是2013年12月的，很有可能在后來的4年的時(shí)間里工具有更新的版本支持現(xiàn)在的Android系統(tǒng)。HighRise并非為社工攻擊，而是需要CIA特工把軟件安裝到目標(biāo)設(shè)備，然后啟動(dòng)一次讓工具能夠駐足手機(jī)。

詳情
黑客利用自動(dòng)化掃描未安裝完成的WordPress進(jìn)行攻擊

Wordfence安全公司的專家稱，他們觀察到一種新型的Web攻擊，針對未安裝完成的WordPress。這些站點(diǎn)都是用戶上傳了WordPress CMS，但沒有完成安裝過程的站點(diǎn)。
這些網(wǎng)站對外部連接保持開放狀態(tài)，任何人都可以訪問其安裝面板，并以用戶身份完成安裝。從5月底到6月中旬，一名攻擊者對這些未安裝完成的WordPress站點(diǎn)進(jìn)行了大規(guī)模的掃描。這名黑客連接到這些未安裝完成的WordPress網(wǎng)站，輸入自己的數(shù)據(jù)庫密碼完成安裝過程。然后，攻擊者將使用他新創(chuàng)建的管理員帳戶連接到該站點(diǎn)，并在主題或插件文件編輯器中插入惡意代碼，從而有效地接管受害者的服務(wù)器。專家將這些攻擊命名為“WPSetup攻擊”，并建議用戶在他們的WordPress文件上傳到他們的服務(wù)器之后，千萬記得完成WordPress安裝過程。
來源：BleepingComputer
永恒之藍(lán)掃描器發(fā)現(xiàn)了50000臺能被攻擊的主機(jī)

一款名為Eternal Blues的工具幫助大家掃描全球范圍內(nèi)存在永恒之藍(lán)漏洞的主機(jī)，現(xiàn)在開發(fā)者公布了應(yīng)用的一系列統(tǒng)計(jì)數(shù)據(jù)。開發(fā)者Elad Erez稱，Eternal Blues在過去的兩周發(fā)現(xiàn)了超過5萬臺易感染的主機(jī)。這款工具只負(fù)責(zé)進(jìn)行掃描，因此有些用戶用它入侵主機(jī)，有些則用它進(jìn)行安全檢查。用戶用它掃描了超過800萬個(gè)IP地址，大部分地址屬于法國、俄羅斯、德國、美國和烏克蘭。其中53.82%的主機(jī)仍然開啟了SMBv1協(xié)議，而非更安全的v2或v3協(xié)議。
不過大部分的這些主機(jī)已經(jīng)打上了MS17-010補(bǔ)丁。而1/9的主機(jī)能被攻擊，大約是5萬臺主機(jī)，占被掃描主機(jī)的11%。最容易被攻擊的國家是法國、俄羅斯和烏克蘭。
來源：SecurityAffairs
卡巴斯基實(shí)驗(yàn)室ATM專用安全軟件被曝漏洞

卡巴斯基實(shí)驗(yàn)室為ATM和其他嵌入式操作系統(tǒng)提供的安全軟件中包含漏洞，黑客可以利用漏洞繞過反病毒防御機(jī)制。
Positive科技研究員Georgy Zaytsev在對ATM進(jìn)行安全審計(jì)時(shí)發(fā)現(xiàn)卡巴斯基嵌入式系統(tǒng)安全1.1和1.2版本中的應(yīng)用程序啟動(dòng)控制組件存在漏洞。漏洞利用的過程包括對卡巴斯基軟件重載，使它無法處理文件驗(yàn)證請求的程度。這樣惡意軟件可以繞過用作病毒防護(hù)的白名單控件。不過要讓ATM機(jī)吐錢，黑客依然要配合其他方法。卡巴斯基的發(fā)言人說，黑客要做的工作還有很多，比如在利用漏洞之前黑客必須找到方法在ATM上注入和運(yùn)行惡意可執(zhí)行文件，還要繞過所有現(xiàn)有的保護(hù)組件，然后在系統(tǒng)上運(yùn)行軟件。
如果你的工作涉及ATM和卡巴斯基，請確保你的ATM已經(jīng)打上了KB13520高危補(bǔ)丁，這個(gè)更新是6月底推送的。
來源：The Register
域名注冊商Gandi承認(rèn)超過750個(gè)域名遭到劫持

一位未知人士登陸了公司的技術(shù)服務(wù)商，然后連接到了超過27個(gè)頂級域名，包括.asia, .au, .ch, .jp和.se。利用這種方法，攻擊者更改了751個(gè)域名所使用的域名服務(wù)器，把他們定向到病毒網(wǎng)站。事件發(fā)生4小時(shí)后Gandi才意識到問題，考慮到更新DNS時(shí)的延時(shí)，域名劫持大約持續(xù)了8到11小時(shí)。諷刺的是，劫持的網(wǎng)站之一是瑞士信息安全公司SCRT，它還寫了一篇關(guān)于網(wǎng)站被劫持的博文。
上周.io頂級域名也被劫持了，研究人員發(fā)現(xiàn)4個(gè)io域名服務(wù)器域名是可以被注冊的。