头条：VingCard Vision漏洞允许“万能钥匙”解锁全球酒店客房

TOP5

4月27日全球信安资讯

1

VingCard Vision漏洞允许“万能钥匙”解锁全球酒店客房

>>>>

信源：Securityaffairs

F-Secure的安全研究人员Tomi Tuominen和Timo Hirvonen发现了全球流行和广泛使用的电子锁系统中存在严重的设计漏洞，黑客可利用它解锁酒店客房房门。受漏洞影响的锁定系统是由Assa Abloy制造的VingCard Vision，目前被部署在166个不同国家的42000多个设施中。

Tomi和Timo开发了“万能钥匙”（实际上是RFID阅读器/写入器），当它靠近VingCard锁定系统，会在一分钟内尝试不同按键，并找到主密钥解锁房门。

Assa Abloy最近发布了一个安全更新来修补此漏洞。

2

西部数据MY CLOUD EX2存储设备泄漏文件

>>>>

信源：Securityaffairs

Trustwave的研究人员在1月26日发现，西部数据My Cloud EX2存储设备的默认配置允许任何未经身份验证的本地网络用户使用HTTP请求从设备获取任何文件，完全绕过所有者或管理员设置的任何权限或限制。据介绍，该问题与在设备开机时自动启动的嵌入式UPnP媒体服务器紧密相关。

Trustwave为该漏洞发布了一个Proof-of-Concept代码。

今年2月，Trustwave的研究人员还透露了西部数据中的另外两个漏洞——My Cloud 网络存储设备可能会被本地攻击者利用获得对NAS设备的根访问权限。

3

暴露的MongoDB数据库泄露加密货币用户详细信息

>>>>

信源：Bleepingcomputer

网络安全公司Kromtech的研究人员在谷歌云服务器上发现了一个MongoDB数据库，包含约6500名ICO投资者的详细信息，以及年初参与公众赏金计划并收到Bezop代币的用户信息，影响超过25000人。

Bezop是去年年底推出的一个新加密货币，目前在CoinMarketCap网站上排名第728位，当前交易价格为每个Bezop令牌0.06美元。

该数据库没有适当的身份验证系统，允许任何连接到它的人访问存储的信息。据称，泄漏的数据包含用户全名，家庭住址，电子邮件地址，加密密码，钱包信息以及扫描的护照，驾驶执照或身份证等信息。

4

世界最大的垃圾邮件僵尸网络用新技术避免检测

>>>>

信源：Bleepingcomputer

世界上最大的垃圾邮件僵尸网络Necurs目前已更新了规模，并正在利用新技术感染受害者。

Necurs会向潜在受害者发送一封包含存档文件的电子邮件，该文件将解压到一个扩展名为.URL的文件中。这是一个典型的Windows快捷方式文件，它直接将网页打开到浏览器中。该链接的最终目的地是一个用于下载并自动执行最终的有效载荷的远程脚本文件。

网络安全公司Trend Micro发现了这个最近发生的基于.URL的malspam活动，并警告说，骗子正在使用标准文件夹图标来隐藏.URL文件逃避检测。

5

13年前的配置漏洞影响大多数SAP部署

>>>>

信源：securityweek

安全公司Onapsis警告称，大多数SAP部署仍受到最初记录在2005年的安全配置漏洞的影响。

该漏洞允许远程未经身份验证的攻击者利用通过网络访问系统，获得对系统的无限制访问权限，从而威胁平台及平台上所有信息，提取数据或关闭系统。

该漏洞影响所有SAP Netweaver版本。由于SAP Netweaver是所有SAP部署的基础，全球有378000个客户受到影响。每个基于Netweaver的SAP产品的默认安全设置都存在该漏洞，即使是下一代数字商务套件S / 4HANA也受到影响。

声 明

本文内容由国外媒体发布，不代表聚锋实验室立场和观点。