北京安域领创科技有限司ш安域 Ӭॡ܊ ஓҹ՜ 1 1 本周漏洞通告 1.1...

北京安域领创科技有限公司


安全通告

报告周期：2019 年 8 月第五周

（2019 年 08 月 26 日-2019 年 9 月 1 日）


目录

1 本周漏洞通告 ....................................................................................................................1

1.1 漏洞一：ThinkSNS 后台存在代码执行漏洞 ........................................................ 1

1.2 漏洞二：zzzcms V1.7.1 版本存在文件上传漏洞 ................................................. 1

1.3 漏洞三：SemCms 存在 SQL 注入漏洞 ................................................................. 2

1.4 漏洞四：乐清翰珂网络建站系统 pr***-sh***.asp 文件存在 SQL 注入漏洞 ... 3

1.5 漏洞五：WordPress weblibrarian 插件跨站脚本漏洞 ........................................ 3

1.6 漏洞六：SDCMS 后台存在 SQL 注入漏洞 ........................................................... 4

1.7 漏洞七：WordPress google-analyticator 插件跨站脚本漏洞 ............................. 5

1.8 漏洞八：上海待迩信息科技有限公司建站系统 it***.php 存在 SQL 注入漏洞6

1.9 漏洞九：Alkacon OpenCms 本地文件包含漏洞 .................................................. 6

1.10 漏洞十：WordPress js-support-ticket 插件跨站请求伪造漏洞 ...................... 7

1.11 漏洞十一：PHPEMS 存在弱口令漏洞 ............................................................. 8

1.12 漏洞十二：shuipfcms 存在 xss 漏洞 ................................................................ 9

1.13 漏洞十三：烽火众智 Eyeshot 系列网络视频监控平台存在 SQL 注入漏洞 .. 9

1.14 漏洞十四：昆山优网科技网站管理系统存在文件上传漏洞 ...................... 10

2 本周病毒木马通告 .................................................. 12

2.1 本周流行病毒木马统计 ...................................................................................... 12

2.1.1 新型勒索病毒 NEMTY 来袭，GandCrab 真的消亡了吗？ .................... 12

3 安全事件通告 ......................................................... 19

3.1 本周国内外安全事件通告 .................................................................................. 19

3.1.1 开发者移除 11 个 Ruby 库中 18 个带有后门的版本....................... 19


3.1.2 所有 Instagram 用户都存在新型钓鱼网络威胁 ................................... 20

3.1.3 美国官员担心针对 2020 年选举的勒索软件攻击 ............................... 24

3.1.4 18 年的漏洞仍未彻底修复：黑客仍能几秒内破解特斯拉 Model S .. 25

3.1.5 荷兰称 Windows 10 远程收集用户数据或违反隐私法 ....................... 28

3.1.6 Facebook 天秤币发起赏金计划发现漏洞奖 1 万美元 ..................... 29

3.1.7 安全研究人员警告 WS-Discovery 协议被被用于大规模 DDoS 攻击 31

3.1.8 苹果对 Siri 隐私问题道歉：将不再保留 Siri 互动录音 ..................... 34

3.1.9 谷歌扩展安全奖励项目覆盖数据滥用和更多 Android 应用程序 .... 35

3.1.10 Project Zero 团队深入剖析了在野外被利用的 iOS 漏洞 .................... 36

3.1.11 勒索软件攻击影响了美国数百家牙科诊所 ........................................... 38

3.1.12 装有赛门铁克防病毒软件的 Windows 7 设备现可继续获得更新 ..... 40


1

1 本周漏洞通告

1.1 漏洞一：ThinkSNS 后台存在代码执行漏洞

发布时间 2019-08-23

更新时间 2019-07-17

CNVD-ID CNVD-2019-22675

漏洞危害级别高危

影响产品智士软件（北京）有限公司 ThinkSNS 4.6.0

漏洞类型代码执行漏洞

漏洞描述

智士软件（北京）有限公司致力于 SNS 在各商业领域的广

泛应用，力争成为更全面专业的软件产品与服务提供商。

ThinkSNS 后台存在代码执行漏洞，攻击者可以执行任意命

令获取服务器信息。

漏洞解决方案

厂商暂未提供修复方案，请关注厂商主页及时更新：

http://www.thinksns.com/

1.2 漏洞二：zzzcms V1.7.1 版本存在文件上传漏洞

发布时间 2019-08-24

更新时间 2019-07-17



2


影响产品 zzzcms zzzcms V1.7.1

漏洞类型文件上传漏洞

漏洞描述

zzzcms 是一款 asp 语言开发的建站系统。

zzzcms V1.7.1 版本存在文件上传漏洞，攻击者可利用该漏

洞获取网站服务器控制权。

漏洞解决方案厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://www.zzzcms.com/index.html

1.3 漏洞三：SemCms 存在 SQL 注入漏洞

发布时间 2019-08-25

更新时间 2019-07-22


漏洞危害级别中危

漏洞类型 SQL 漏洞

影响产品 SemCms SemCms V3.9

漏洞描述

SemCms 是一套开源外贸企业网站管理系统，主要用于外

贸企业。

SemCms 存在 SQL 注入漏洞。攻击者可利用漏洞获取数据

库敏感信息。

漏洞解决方案厂商尚未提供漏洞修补方案，请关注厂商主页及时更新：

http://www.sem-cms.com/


3

1.4 漏洞四：乐清翰珂网络建站系统 pr***-sh***.asp

文件存在 SQL 注入漏洞

发布时间 2019-08-26

更新时间 2019-07-22



漏洞类型乐清翰珂网络建站系统

影响产品北京超越无限信息技术有限公司建站系统

漏洞描述

乐清翰珂网络是一家从事网站建设的公司。

乐清翰珂网络建站系统 pr***-sh***.asp 文件存在 SQL 注入

漏洞。攻击者可利用漏洞获取数据库敏感信息。


http://www.yqhanke.com

1.5 漏洞五：WordPress weblibrarian 插件跨站脚本漏洞

发布时间 2019-08-26

更新时间 2019-08-27



漏洞类型跨站脚本漏洞

影响产品 WordPress weblibrarian <3.4.8.6


4

漏洞描述

WordPress 是 WordPress 基金会的一套使用 PHP 语言开发

的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设

个人博客网站。weblibrarian 是使用在其中的一个图书目录

管理系统。

WordPress weblibrarian 插件 3.4.8.6 之前版本中存在跨站脚

本漏洞。该漏洞源于 WEB 应用未能正确地对客户端数据进

行验证。攻击者可利用该漏洞执行客户端代码。

漏洞解决方案

目前厂商已经发布了升级补丁以修复此安全问题，补丁获

取链接：

https://wordpress.org/plugins/weblibrarian/#develo

pers

1.6 漏洞六：SDCMS 后台存在 SQL 注入漏洞

发布时间 2019-08-27

更新时间 2019-07-24


漏洞类型 SQL 注入漏洞


影响产品苏州烟火网络科技有限公司 SDCMS V1.8

漏洞描述

SDCMS 是烟火网络自主研发的 PHP 三网合一网站管理系

统。


5

SDCMS 后台存在 SQL 注入漏洞，攻击者可以利用漏洞获取

数据库信息。

漏洞解决方案厂商暂未提供修复方案，请关注厂商网址及时更新：

https://www.sdcms.cn/

1.7 漏洞七：WordPress google-analyticator 插件跨站脚

本漏洞

发布时间 2019-08-28

更新时间 2019-08-28



漏洞类型跨站脚本漏洞

影响产品 WordPress google-analyticator <5.2.1

漏洞描述

WordPress 是 WordPress 基金会的一套使用 PHP 语言开发

的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设

个人博客网站。google-analyticator 是使用在其中的一个用

于显示和管理 Google Analytics（网站分析或网站流量跟踪

工具）平台数据的插件。

WordPress google-analyticator 插件 5.2.1 之前版本中存在跨

站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正

确验证。攻击者可利用该漏洞执行客户端代码。

漏洞解决方案目前厂商已发布升级补丁以修复漏洞，补丁获取链接：


6

https://wordpress.org/plugins/google-analyticator/#develop

ers

1.8 漏洞八：上海待迩信息科技有限公司建站系统

it***.php 存在 SQL 注入漏洞

发布时间 2019-08-29

更新时间 2019-07-24



漏洞类型 SQL 注入漏洞

影响产品上海待迩信息科技有限公司建站系统

漏洞描述

上海待迩信息科技有限公司是一家致力于企业或创业者形

象设计与网上业务扩展服务的公司。

上海待迩信息科技有限公司建站系统 it***.php 存在 SQL

注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。


http://earthwebstudio.com/

1.9 漏洞九：Alkacon OpenCms 本地文件包含漏洞

发布时间 2019-08-29

更新时间 2019-08-29



7


漏洞类型文件包含漏洞

影响产品 Alkacon Software OpenCms 10.5.4

Alkacon Software OpenCms 10.5.5

漏洞描述

Alkacon OpenCms 是一套使用 Java 语言开发的开源内容管

理系统（CMS）。

Alkacon OpenCms 10.5.4版本和 10.5.5 版本中存在本地文件

包含漏洞，攻击者可利用该漏洞访问服务器资源。

漏洞解决方案

厂商已发布了漏洞修复程序，请及时关注更新：

https://github.com/alkacon/opencms-core/commits/branch_

10_5_x

1.10 漏洞十：WordPress js-support-ticket 插件跨站请

求伪造漏洞

发布时间 2019-08-30

更新时间 2019-08-30



漏洞类型跨站请求伪造漏洞

影响产品 WordPress js-support-ticket <2.0.6

漏洞描述

WordPress 是 WordPress 软件基金会的一套使用 PHP 语言

开发的博客平台，该平台支持在 PHP 和 MySQL 的服务器上

架设个人博客网站。


8

WordPress js-support-ticket 插件 2.0.6 之前版本中存在跨站

请求伪造漏洞，攻击者可利用该漏洞通过受影响客户端向

服务器发送非预期的请求。

漏洞解决方案厂商已发布了漏洞修复程序，请及时关注更新：

https://wordpress.org/plugins/js-support-ticket/#developers

1.11 漏洞十一：PHPEMS 存在弱口令漏洞

发布时间 2019-08-31

更新时间 2019-07-25



漏洞类型弱口令漏洞

影响产品 PHPEMS PHPEMS

漏洞描述

PHPEMS(PHP Exam Management System)在线模拟考试系统

基于 PHP+Mysql 开发，是一款开源免费的 PHP 无纸化模拟

考试系统。

PHPEMS 存在弱口令漏洞，攻击者可利用该漏洞获取敏感

信息。


http://www.phpems.net


9

1.12 漏洞十二：shuipfcms 存在 xss 漏洞

发布时间 2019-09-01

更新时间 2019-08-22



漏洞类型 xss 漏洞

影响产品 ShuipFCMS ShuipFCMS v2.0.5

漏洞描述

ShuipFCMS 是一款基于 ThinkPHP 框架为核心,采用独立分

组的方式开发的内容管理系统。

shuipfcms 存在 xss 漏洞。攻击者可利用此漏洞获取管理员

cookie。


http://www.abc3210.com/

1.13 漏洞十三：烽火众智 Eyeshot 系列网络视频监控

平台存在 SQL 注入漏洞

发布时间 2019-09-01

更新时间 2019-08-22


漏洞危害级别高

漏洞类型 SQL 注入


10

影响产品

武汉烽火众智数字技术有限责任公司烽火众智监控管理

平台

漏洞描述

Eyeshot 系列网络视频监控平台是烽火众智基于 IP 网络技

术为核心开发的大型图像远程监控、传输、存储、管理的

综合视频监控管理系统。

烽火众智 Eyeshot 系列网络视频监控平台存在 SQL 注入漏

洞。攻击者可利用此漏洞获取数据库敏感信息。


http://www.fhzz.com.cn/

1.14 漏洞十四：昆山优网科技网站管理系统存在文件

上传漏洞

发布时间 2019-09-01

更新时间 2019-08-22



漏洞类型文件上传漏洞

影响产品昆山优网信息科技有限公司建站系统 1.0

漏洞描述

昆山优网信息科技有限公司是一家以网站建设与视觉设计

开发和品牌网络营销推广为一体的网站设计公司。

昆山优网科技网站管理系统存在文件上传漏洞.攻击者可


11

利用该漏洞上传 webshell，获得服务器权限。

漏洞存在页面：admin/addfile.php


http://www.uweb168.com/


12

2 本周病毒木马通告

2.1 本周流行病毒木马统计

2.1.1 新型勒索病毒 NEMTY 来袭，GandCrab 真的消亡了吗？

病毒危险级别：

赚了 20 亿美元的 GandCrab 勒索病毒运营团队于 2019 年 6 月 1 号宣布停止更新，

之后不断有新型的勒索病毒出现，此前 Sodinokibi 勒索病毒接管了 GandCrab 的传播

渠道，然而赚了那么多的 GandCrab 勒索病毒运营团伙真的会退出吗？后面会不会换

一个勒索病毒家族，继续运营呢？

最近一两年勒索病毒主要是针对企业进行攻击，被加密勒索之后，很多企业、政府、

组织为了快速恢复业务都会选择交付赎金或找中介进行解密，不少勒索病毒运营团队这

一两年都在背后“闷声发大财”，做黑产的目的是为了快速获利，运营团队会追求利益

的最大化，勒索病毒的巨大利益已经让不少其它黑产团伙转行加入进来，这么巨大的利

益，GandCrab 的运营团伙真的会放弃这么好赚钱的机会？

近日一款新型的勒索病毒被安全研究人员曝光，如下所示：


13

国外曾有两篇介绍 GandCrab 和 Sodinokibi 两款勒索病毒背后运营团伙和故事的文

章，有兴趣的可以参考学习一下，链接：

https://krebsonsecurity.com/2019/07/whos-behind-the-gandcrab-ransomware/

https://krebsonsecurity.com/2019/07/is-revil-the-new-gandcrab-ransomware/

此新型勒索病毒加密后的文件后缀名为 NEMTY，如下所示：


14

生成的勒索提示信息文本文件名为[加密后缀]-DECRYPT.txt，内容如下所示：

查询此勒索病毒的 HASH 值，发现它在 2019 年 8 月 21 号，22 号，23 号都有被人

上传到 app.any.run 网站，如下所示：

下载到相应的样本，发现它的时间戳为 2019 年 8 月 19 号，如下所示：


15

此勒索病毒也采用混淆外壳封装，通过动态调试，可达到 OEP，即可获取勒索病毒

核心 Payload 代码，如下所示：

勒索病毒核心代码，如下所示：


16

此勒索病毒同样会避开一些地区进行文件加密，选择避开的主要地区，如下所示：

遍历磁盘目录，如果为以下目录或目录包含以下字符串，则不加密此目录下的文件，

相应的字符串，如下所示：

$RECYCLE.BIN、rsa、NTDETECT.COM、ntldr、MSDOS.SYS、IO.SYS、boot.ini

AUTOEXEC.BAT、ntuser.dat、desktop.ini、CONFIG.SYS、RECYCLER

BOOTSECT.BAK、bootmgr、programdata、appdata、windows、Microsoft

Common Files

遍历磁盘目录文件后缀名为以下后缀名，则不加密文件，相应的后缀名列表，如下

所示：

nemty、log、LOG、CAB、cab、CMD、cmd、COM、com、cpl、CPL、exe

EXE、ini、INI、dll、DLL、lnk、LNK、url、URL、ttf、TTF、DECRYPT.txt

生成勒索病毒相关信息的 JSON 文件内容，如下所示：

{"General": {"IP":"[IP]","Country":"[Country]","ComputerName":"

[ComputerName]","Username":"[Username]","OS":"Windows 7",

"isRU":false,"version":"1.0","CompID":"{[CompID]}",

"FileID":"_NEMTY_[FileID]_","UserID":"[UserID]",

"key":"PSiOB2jtlqA3RCGLwo2UAQsgt5v98yxj","pr_key":"[pr_key]}

勒索病毒会在 C:\Users\Panda 目录生成勒索病毒配置文件_NEMTY_7tVsB73_.nemty，

查看此配置为文件，内容如下所示：


17

通过 TOR 访问此勒索病毒解密网站，如下所示：

上传生成的配置文件之后，如下所示：


18

上传一个加密后的 PNG 文件，即可得到黑客的 BTC 钱包地址，如下所示：

黑客 BTC 钱包地址：

3Jn174dUWRTVBwRCnsAjfpbRLo55QXRXwn

经过分析发现，此新型勒索病毒似乎融合了之前 GandCrab 和 Sodinokibi 两款勒索病

毒的一些特点，但此勒索病毒代码结构与此前两款勒索病毒都不相同，该勒索病毒后期

会不会接管 GandCrab 和 Sodinokibi 的传播渠道，它与 GandCrab 和 Sodinokibi 两款勒索

病毒又有什么关系，以及后期会不会流行爆发，需要持续跟踪观察，请各企业做好相应

的防范措施，勒索病毒太暴利了，后面一定会有越来越多的新型勒索病毒家族和黑产运

营团队加入进来，勒索病毒的重点在于防御。


19

3 安全事件通告

3.1 本周国内外安全事件通告

3.1.1 开发者移除 11 个 Ruby 库中 18 个带有后门的版本

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意

版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码

最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。

这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。

同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击

者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。

除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能

齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。

研究人员分别统计了这些恶意版本在被移除前被下载的次数，一共被下载了三千多次，

其中 rest-client 1.6.13 被下载了一千多次：

rest-client：1.6.10（下载 176 次），1.6.11（下载 2 次），1.6.12（下载 3 次）和 1.6.13


20

（下载 1061 次）

bitcoin_vanity：4.3.3（下载 8 次）

lita_coin：0.0.3（下载 210 次）

即将推出：0.2.8（下载 211 次）

omniauth_amazon：1.0.1（下载 193 次）

cron_parser：0.1.4（下载 2 次），1.0.12（下载 3 次））和 1.0.13（下载 248 次）

coin_base：4.2.1（下载 206 次）和 4.2.2（下载 218 次）

blockchain_wallet：0.0.6（下载 201 次）和 0.0.7（下载 222 次）

awesome-bot：1.18.0（下载 232 次）

doge-coin：1.0.2（下载 213 次）

capistrano-colors：0.5.5（下载 175 次）

安全起见，建议在依赖关系树中删除这些库版本，或者升级/降级到安全版本，详情查

看：https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie

3.1.2 所有 Instagram 用户都存在新型钓鱼网络威胁

援引福布斯报道，来自 Sophos 的网络安全专家近期发现了新型网络攻击方式。虽

然要比以往攻击方式更加复杂，但可使用双因素（2FA）来获取受害者的账号信息。研

究人员警告称，黑客使用伪造的 2FA 页面让用户相信有未经授权的登录行为，并要求用

户登陆来确认他们的身份。


21

这些电子邮件所描述的内容自然是假的，但可怕的是这些页面和实际的 Instagram

登录页面非常相似。Sophos 团队表示：“尽管我们不愿意承认，但黑客在伪造技术上是

一流的。而且还采用了更令人信服的 SSL 连接。”黑客获得了该网站的 SSL 证书，该证

书添加了 HTTPS 和绿色挂锁，以确保用户认为是在访问真正的 Instagram 网站。

Sophos 团队还为用户发布了一条很棒的建议。如果您收到需要访问社交媒体的电子

邮件，请不要按照电子邮件中的链接进行操作。相反，请正常登录网站，然后按照电子

邮件中的步骤解决问题。这将确保您不会意外地将您的凭据放入钓鱼网站。

此外 Sophos 团队还建议用户不要只看是否有绿色挂锁，因为黑客非常容易得到。

用户应该注意域名信息，Facebook 和 Instagram 等大多数公司都使用顶级域名（.com）。

这可以帮助您识别网络钓鱼网站，因为它将使用不同的域。例如，黑客在这里使用的是

“.cf”，这是一个分配给中非共和国注册的域名。


22


23


24

3.1.3 美国官员担心针对 2020 年选举的勒索软件攻击

据路透社报道，美国政府计划在大约一个月内启动一项计划，该计划的重点是在

2020 年总统大选之前保护选民登记数据库和系统。这些系统在投票前被广泛用于验证

选民的资格，2016 年俄罗斯黑客试图收集信息，这些系统受到了损害。据现任和前任

美国官员称，情报官员担心，2020 年的外国黑客不仅会瞄准数据库，而且会企图操纵

或破坏这些数据。

“我们将这些系统评估为高风险，”一位美国高级官员表示。网络安全与基础设施

安全局（CISA）是美国国土安全部的一个部门，该部门官员担心数据库可能成为勒索软

件的目标。勒索软件是一种使美国各地的城市计算机网络陷入瘫痪的病毒，包括最近在

德克萨斯州，巴尔的摩和亚特兰大。

“最近的历史表明，州和县政府以及支持他们的人都是勒索软件攻击的目标，”CISA

主任 Christopher Krebs 说道。“这就是我们与选举官员及私营部门合作伙伴一起帮助保

护他们的数据库并应对可能的勒索软件攻击的原因。”

勒索软件攻击通常会锁定受感染的计算机系统，直到通常以加密货币的形式向黑客

支付赎金以便恢复数据。

根据现任和前任美国官员的说法，针对选举的反击勒索软件式网络攻击的努力与更

大的情报界指令平行，以确定在 2020 年 11 月大选中最可能的数字攻击媒介。联邦调查

局在支持国土安全倡议的一份声明中表示，“各州和市政当局必须限制有关选举制度或

行政程序的信息，并确保其网站和数据库可以被利用。”

CISA 的计划将与州选举官员联系，为这种勒索软件场景做准备。它将提供教育材料、

远程计算机渗透测试和漏洞扫描，以及有关如何防止和从勒索软件中恢复的建议列表。


25

但是，如果一个州的某个系统已经被感染，这些指导方针不会提供关于州政府是否

应该最终支付或拒绝向黑客支付赎金的建议。“我们的想法是，我们不希望各州必须处

于这种状况，”一位国土安全部官员说。“我们专注于防止它发生。”

官员表示，在过去两年中，网络罪犯和黑客组织使用勒索软件勒索受害者并制造混

乱。在 2017 年发生的一起事件中，勒索软件被用来掩盖数据删除技术，使受害计算机

完全无法使用。这次被称为“NotPetya”的攻击继续损害全球公司，包括联邦快递和马

士基等。

专家支出，这种威胁因其对投票结果的潜在影响而受到关注。“选举前未被发现的

攻击可能会篡改选民名单，造成巨大的混乱和拖延，剥夺权利，并且足够大规模可能会

影响选举的有效性，”选举技术 ESET 研究所首席技术官 John Sebes 说道。

数据库也“特别容易受到这种攻击，因为当地司法管辖区和州全年积极地添加，删

除和更改数据，”民主与技术中心的高级技术专家 Maurice Turner 说道。“如果恶意行

为者没有提供密钥，除非受害者有最近的备份，否则数据将永远丢失。”

州选举官员告诉路透社，自 2016 年以来，他们已经改善了网络防御，包括在某些

情况下，在发生攻击时为选民登记数据库准备备份。但国土安全部一位高级官员表示，

地方政府就应该多久创建备份没有共同标准。“我们必须记住，对我们民主的这种威胁

不会消失，对勒索软件攻击选民登记数据库的担忧就是一个明显的例子，”佛蒙特州州

务卿 Jim Condos 说。“我们确信威胁远未结束。”

3.1.4 18 年的漏洞仍未彻底修复：黑客仍能几秒内破解特斯拉

Model S

破解一辆特斯拉 Model S 需要多长时间？在 2018 年安全团队 COSIC 就曾演示过在短


26

短几秒内完成破解！这主要利用了特斯拉 Model S 中 PKES（无钥匙进入系统）与无线

钥匙的认证过程中存在的安全问题，从而让黑客可以在几秒内复制汽车钥匙将汽车偷

走。随后特斯拉立即做出反应解决了这个问题并转换到新的遥控车钥匙。


27

不过根据《连线》本周二发布的一篇报道称，特斯拉最新发布的车钥匙同样非常脆

弱。来自比利时大学的科研团队发现新款车钥匙中同样存在原先的漏洞，不过破解过程

需要更长的时间并且需要靠的更近才能完成。

值得庆幸的是，特斯拉再次迅速作出反应，并已推出其软件更新，这将允许用户在

几分钟内基本上将他们的表盘重新闪存在他们的汽车中。造成车钥匙问题的关键在于它

们的加密方式。于特斯拉配合的 Keyless 厂商 Pektron 公司对于这块防盗的密码不够缜密。

但 Pektron 公司却未正面回应研究团队提出的问题。特斯拉车钥匙仅使用了 40 位加密协

议，而这种协议相对容易打破。为了解决这个问题，特斯拉和 Pektron 将这些密钥转换

为 80 位加密，这应该是更具挑战性的。

特斯拉代表在一份声明中说：“虽然没有任何东西可以防止所有车辆盗窃，但特斯

拉已经部署了一些安全增强功能，例如 PIN to Drive，这使得它们更不容易发生。” PIN

to Drive 功能允许车主在驾驶汽车之前设置必须输入的 PIN 码。这与车钥匙是分开的，

不受漏洞影响，想要启动汽车之前必须要输入。

特斯拉继续说道“即使我们不知道单个客户受到报告问题的影响，并且启用 PIN to


28

Drive 已经阻止了这种情况发生，我们已经开始发布一个无线软件更新（2019.32 的一部

分）这位研究人员的研究结果让某些 Model S 车主可以在不到两分钟的时间内更新他们

车内的钥匙扣。“

拥有无钥匙系统的车辆有一个非常简单的操作。窃贼可以通过使用电子继电器系

统、钥匙干扰技术和其他黑客手段来截获这些信息，以便立即进入这些无钥匙车辆。这

种快速和无声的技术非常容易成功，这也是去年英格兰和威尔士汽车盗窃案创下 6 年来

新高的主要原因之一。

官方数据显示，2017 年上报给驾驶和车辆许可机构的被盗车辆数量增至 43308 辆，

比 2016 年增加了近 9000 辆。然而，英国国家统计局(Office for National Statistics)的犯罪

调查显示，真实数字还要更高，去年英格兰和威尔士共有 8.9 万辆汽车被盗。在某些地

区，如西米德兰兹郡，汽车盗窃率飙升了 80%。

英国保险协会(Association of British Insurers)的数据显示，今年头三个月，保险公司

的赔付额约为 1.08 亿英镑，即每天 120 万英镑。与 2018 年同期相比，这一数字增长了

22%。与此同时，活动人士和政界人士呼吁汽车公司提高安全性，尤其是针对无钥匙汽

车。

3.1.5 荷兰称 Windows 10 远程收集用户数据或违反隐私法

据路透社报道，荷兰数据保护局（DPA）今日表示，微软远程收集 Windows 10 家庭

版和专业版用户的数据，这可能违反了荷兰的隐私保护法。

事实上，DPA 早在 2017 年 10 月就曾表示，Windows 10 违反了该国的数据保护法。

在使用默认设置时，微软不断收集有关应用程序的使用记录。

DPA 今日表示，虽然微软按照要求在去年对相关设置进行了而调整。但在测试这些


29

调整后的隐私保护措施时，又发现了新的问题。

DPA 称：“测试发现，微软还远程收集用户的其他信息。因此，微软还是潜在地违

反了隐私保护法。”

DPA 还表示，已将这一发现转交给爱尔兰数据保护机构，因为微软在爱尔兰设有欧

洲总部。

微软对此表示，公司始终致力于保护用户隐私。最近几年，微软已针对个人和小企

业用户对 Windows 10 的隐私功能进行了改进。

微软说：“有机会进一步改进我们为用户提供的工具和选择，我们也很高兴。”

早在 2017 年 1 月，瑞士数据保护机构“瑞士联邦数据保护与信息委员会”曾表示，

经调查发现，Windows 10 因自动上传用户隐私信息而违反了瑞士的数据保护法。

3.1.6 Facebook 天秤币发起赏金计划发现漏洞奖 1 万美元

Facebook 和其合作伙伴正在推进他们的 Libra（天秤币）加密货币项目，并宣布他

们正与 HackerOne 合作，针对 Libra 区块链上的应用程序，推出漏洞赏金计划。尽管政

府监管机构已经要求公司暂停该项目，以便评估 Libra 的合法性和其可能对全球金融系

统带来的威胁，但 Facebook 的脚步似乎并未停止，同时又发起漏洞赏金计划以证明公

司决心承担责任的态度，好照着公司期望的样子重塑全球金融体系。


30

据悉，针对在该加密货币基金的测试网上开发的项目，任何在项目代码中发现漏洞

的安全专家，都可以获得一笔高达 1 万美元的赏金。

“在 Libra 区块链上限之前，我们推出了这个漏洞赏金计划。我们希望，世界各地

的人们可以在他们的日常金融需求中使用 Libra，因此 Libra 的基础设施必须安全可靠，”

Libra Association 的政策与通讯主管丹特·迪斯帕里特（Dante Disparte）在声明中说道，

“值得注意的是，Libra 区块链仍在测试中，仅仅是早期的代码，离最终版本还有很大差

距。我们将继续致力于打造最好的 Libra 区块链，在监管顾虑尚未解决以及必要的监管

许可未获得之前，我们不会贸然上线 Libra 区块链。”

不过，为一个商业可行性有待商榷，更不用说是否能获得必要批准的测试网络发起

漏洞赏金计划，看起来像是为时过早。多名 Libra Association 发言人曾指出，Libra 尚不

会推出。

“随着 Libra 一步步向主网发布前进，这是一个重要的环节，以向大众证明 Libra

Association 正积极地应对安全问题，”区块链基础设施服务提供商兼 Libra Foundation

的合作伙伴 Bison Trails 公司的首席技术官亚伦·亨肖说。


31

一名 Libra Association 的发言人，他们不会就 Libra 测试网络上当前正在运行的项目

数量发表评论。

3.1.7 安全研究人员警告 WS-Discovery 协议被被用于大规模

DDoS 攻击

早在今年五月，外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。

为了防止被更多别有用心者利用，研究人员只能相对克制地不披露更多细节。然而最近

一个月，滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈，频度几乎达

到了一周一次。作为一种多播协议，该协议原本用于在本地网络上“发现”通过特定协

议或接口进行通信的附近其它设备。

鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信，并且使用了

UDP 数据包，因此有时也被称作 SOAP-over-UDP 。

尽管普通人不太熟悉，但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织，

ONVIF 致力于促进网络产品互操作性的标准化接口。

其成员包括 Axis、Sony、Bosch 等业内巨头，为 ONVIF 的标准化奠定了基础。作

为即插即用互操作性的一部分，该组织从 2010 年中期开始，在标准中推荐用于设备发


32

现的 WS-Discovery 协议。

作为标准持续化工作的一部分，WS-Discovery 协议已被用到一系列产品上，涵盖 IP

摄像头、打印机、家用电器、DVR 等各种类别。

根据互联网搜索引擎 BinaryEdge 检索结果，目前有近 63 万台基于 ONVIF

WS-Discovery 发现协议的设备在线，这让它们处于极大的风险之中。

问题在于这是一个基于 UDP 的协议，意味着数据包目的地可被欺骗。攻击者能够

伪造返回 IP 地址，将 UDP 数据包发送到设备的 WS-Discovery 服务端。

当设备传递回复时，就会将数据包发送到被篡改的 IP 地址，使得攻击者能够在

WS-Discovery 设备上反弹流量，将之瞄向所需的 DDoS 攻击目标。

其次，WS-Discovery 的响应，会比初始输入大许多倍。基于这项原理的 DDoS 攻击，

会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。


33

ZDNet 指出，该协议已在世界各地的 DDoS 攻击中被观察到，放大倍数高达

300~500 。相比之下，其它基于 UDP 协议的攻击，平均也只有 10 倍。

网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件，庆幸的是，其发现

超大倍数的 WS-Discovery DDoS 攻击并非常态。

即便如此，2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概

念验证脚本，还是声称可实现 70~150 的放大倍数。

今年 5 月的时候，安全研究人员 Tucker Preston 首次公布了基于滥用


34

WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察，可知其中一些攻击

的规模超过了 350 Gbps 。

接下来几个月的攻击有所减少，但在 8 月份又再次升级。与第一波攻击不同的是，

这次的攻击要小得多，很可能是不怎么了解该协议的普通攻击者所发起的。

放大系数不超过 10，最高只冲到 40 Gbps，且只有 5000 台设备（主要是 IP 摄像

头和打印机）被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。

3.1.8 苹果对 Siri 隐私问题道歉：将不再保留 Siri 互动录音

北京时间 8 月 28 日晚间消息，苹果公司今日在官网上发表声明称，为打消用户的

顾虑，将对 Siri 进行一些更改。在默认情况下，苹果将不再保留 Siri 互动的录音。

英国《卫报》（The Guardian）上个月曾报道称，苹果的承包商每人每天要监听约

1000 条 Siri 录音，并将其发送回苹果进行研究。报道称，苹果这样做是为了让 Siri 更好

地满足用户的需求。

对于这种行为，苹果 8 月 2 日宣布，已暂停使用承包商来监听 Siri 的录音，苹果不

再需要总部位于爱尔兰的承包公司 GlobeTech 提供的服务。

今日，苹果又发表声明称，隐私是一项基本人权，苹果设计的产品和服务是为了保

护用户的个人数据。Siri 是一款开创性的智能助手，其目标是为用户提供最佳体验，但

前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想，为此我

们深表歉意。”

为此，苹果决定对 Siri 进行一些改进。首先，默认情况下，我们将不再保留 Siri 互

动的录音。我们将继续使用计算机生成的副本（transcripts ）帮助 Siri 改进。

其次，用户将可以选择主动参与来帮助改进 Siri，主要是利用用户请求的音频样本


35

进行学习。苹果希望更多的用户会选择帮助 Siri 变得更好，因为他们知道苹果尊重他们

的数据，并且有强大的隐私控制。当然，那些选择参与的用户可以随时选择退出。

第三，当用户选择加入时，只有苹果员工才能收听 Siri 互动的音频样本。我们的团

队将努力删除任何被确定为无意中触发 Siri 的记录。

3.1.9 谷歌扩展安全奖励项目覆盖数据滥用和更多 Android 应

用程序

自 2010 年推出除虫赏金项目以来，谷歌已经向安全研究人员支付了超过 1500 万

美元的奖励。今天，这家科技巨头宣布进一步拓展 Google Play 安全奖励项目（GPSRP）

的范围，以覆盖上亿的 Android 应用程序。与此同时，谷歌与 HackerOne 合作推出了

开发者数保护奖励（DDPRP）项目，适用于针对 Android 应用、OAuth 项目、以及 Chrome

扩展程序的数据滥用。

谷歌认为，除虫奖励项目是其内部安全计划的一个有力补充，能够激励个人和安全

研究机构帮助其找到缺陷并正确地披露，而不是将之在灰色市场兜售或恶意使用。

与其等到发生难以挽回的严重后果，还是掏钱奖励安全研究人员来得划算。此外，

在今天的更新发布之前，谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google

Play 的安全研究奖励。

截至目前，Google Play 安全奖励（GPSRP）项目已经向安全研究人员支付了超过 26.5

万美元的赏金。随着该项目覆盖更多热门的应用，未来谷歌有望拿出更多的预算。

同时，谷歌还在努力提升自动筛查漏洞的技术能力，为 Google Play 中的所有应用

查找类似的漏洞。如有应用开发者受到影响，可通过 Play 控制台接收到相应的通知。

据悉，谷歌的应用安全改进（ASI）项目，能够为开发者提供与漏洞及其修复方法相


36

关的信息。

今年 2 月的时候，谷歌透露 ASI 项目已帮助超过 30 万名开发者，在 Google Play

上修复了超过 100 万个应用。

至于新增的开发人员数据保护奖励（DDPRP）计划，旨在识别和减轻针对 Android 应

用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。

若研究者可体征验证明确的数据滥用，谷歌将会根据 DDPRP 的奖励方案给予一定

的报酬，因为该公司对用户数据被外使用或出售等情况尤为关切，最高可送上单笔 5 万

美元的奖金。

那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序，不仅会被

Google Play 和 Chrome 网上应用店下架，其开发者也会被限制对相应 API 的访问。

3.1.10 Project Zero 团队深入剖析了在野外被利用的 iOS 漏洞

作为谷歌旗下的一支安全研究团队，Project Zero 致力于在第一时间发现查找和报

告安全漏洞，无论是自家的产品或服务、还是来自其它企业的安全隐患。今年早些时候，

谷歌威胁分析小组（TAG）发现了一小部分黑黑客入侵的站点，证实其能够利用零日漏

洞，对使用 iPhone 的访客展开无差别攻击。


37

不慎掉入上述网站的 iPhone 用户，可能被黑客顺利地植入监控。Project Zero 团队

预计，这些网站的每周访问数量在数千人。

在深入研究后，谷歌威胁分析小组（TAG）收集到了五个独立、完整、且独特的 iPhone

漏洞利用链条，发现其影响从 iOS 10 到 iOS 12 的几乎每一个版本。

换言之，黑客利用这些零日漏洞向 iPhone 用户发起的攻击，至少已经有两年的时

间。遗憾的是，尽管根本原因并不新颖，但仍然经常被人们所忽视。

TAG 指出，他们在五个漏洞利用链条中发现了总共 14 个漏洞攻击，其中 7 个面

向 iPhone 的 Web 浏览器、五个面向内核、两个瞄向单独的沙箱转义。


38

初步分析表明，其中至少有一个仍属于零日漏洞的特权升级利用链，且在被发现时

没有打上 CVE-2019-7287 和 CVE-2019-7286 漏洞补丁。

Project Zero 团队在 2019 年 2 月 1 日向苹果报告了这些问题，并给出了 7 天的

截止日期。庆幸的是，该公司在 2 月 7 日发布了 iOS 12.1.4 修订版本。

Project Zero 团队向苹果分享了完整的细节，然后在 2 月 7 日那天将漏洞告正式

公布。几个月后，Project Zero 在一篇博客文章中展示了有关此事件的详细报告。

文章一共有好几篇，分别深入介绍了所有五个权限提升漏洞的利用链条，植入内容

的拆解（包括在研究人员自己设备上运行的演示），对命令与控制服务器的逆向解析，

以及演示成功植入后的功能 —— 比如窃取 iMessage、照片、GPS 位置时间等私人数

据。

3.1.11 勒索软件攻击影响了美国数百家牙科诊所

据外媒 Techspot 报道，一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的

网络中，并用勒索软件加载他们的系统。正如 Krebs on Security 所强调的那样，PerCSoft

是一家位于威斯康星州的数字牙科记录云管理提供商，该公司运营著名的 DDS Safe 在线

数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。


39

黑客们使用 Evil (Sodinokibi) 勒索软件攻击 PerCSof，锁定约 400 牙科诊所的文件。


40

多个消息来源报告说，PerCSoft 支付了赎金，并获得了一个解密密钥，其正在积极地分

发给受影响的牙科诊所，以帮助他们恢复他们的文件。

Krebs 表示，目前尚不清楚 PerCSoft 是否直接支付了赎金，或者资金是否由保险公

司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙，

那么人们就会放弃支付赎金，并且没有经济激励黑客继续这样做。

根据 ProPublica 的说法，提交保险索赔和支付免赔额通常比赎金赎金的全部成本要

便宜得多。不幸的是，这鼓励黑客专门针对那些他们知道拥有网络保险的公司。

3.1.12 装有赛门铁克防病毒软件的 Windows 7 设备现可继续获

得更新

在 8 月 14 日宣布的调整中，微软阻止了部分 Windows 7 和 Windows Server 2008 R2

设备安装使用 SHA-2 签名的更新。这些设备主要安装了赛门铁克（Symantec）和诺顿

（Norton）防病毒软件，由于在新版更新中不再兼容 SHA-1 签名，因此微软阻止了这些

设备进行升级。


41

微软在已知问题的描述中提及了这点：软件可能无法正确识别本次更新中所包含的文件

作为 Microsoft 签名的代码，从而使设备面临更新延迟或不完整的风险。

现在，以下更新取消了保障措施：

•KB4512514（8 月份月度汇总预览），

•KB4512486（仅限 8 月安全更新），

•KB4512506（8 月份月度汇总）。


42

赛门铁克在公告中表示解决了这个问题

赛门铁克已完成对此更新的影响以及对 Windows 7 / Windows 2008 R2 的未来更新

的评估，并确定所有现场版本的 Symantec Endpoint Protection 都不会增加误报检测的风

险。

可以安全地安装 Microsoft KB4512506 / KB4512486 和未来的更新，并在 2019 年 8

月 27 日移除了软件阻止。

适用于 Windows 7 的 2019 年 8 月更新汇总就是只通过 SHA-2 签发的，那些装有无

法处理 SHA-2 码签名支持软件的设备将会被阻止更新升级。今天微软已经确认将会阻止

安装 Symantec Antivirus 和 Norton Antivirus 防病毒产品的 PC 进行升级，因为均无法处理

SHA-2 证书。

微软表示已经暂时对那些具有不兼容版本赛门铁克软件的设备进行保护措施。赛门

铁克记录了这个问题：“在安装某些版本的 Symantec Endpoint Protection 时，只有 SHA-2

签名的更新不可见可用下载。”

北京安域领创科技有限司ш安域 Ӭॡ܊ ஓҹ՜ 1 1 本周漏洞通告 1.1...

Documents