BUF早餐铺 | 900万台国产视频监控设备被指存在漏洞；Gallmaker网络犯罪集团崛起；关于微软多个安全...

各位 Buffer 早上好，今天是2018 年 10 月 12日星期五，农历九月初四。今天的早餐铺内容有：900万台杭州雄迈科技生产的视频监控设备被曝DVR漏洞；Gallmaker网络犯罪集团崛起，主要对象为东欧和中东的政府和军​​事组织；国家漏洞库CNNVD：关于微软多个安全漏洞的通报；暗网黑市管理员在参加世界胡子锦标赛前落网，获刑20年；美参议员要求FTC对谷歌隐瞒Google+安全漏洞行为展开调查。

900万台杭州雄迈科技生产的视频监控设备被曝DVR漏洞

安全研究人员发现的漏洞包括默认管理员密码（即无密码，初始设置没有强制设置密码）、“默认”帐户的不安全凭据、多个未加密信道、薄弱的更新机制和未签名的固件等。

研究人员表示帮助用户连接到公司“XMEye P2P Cloud”并与设备进行交互操作的ID很容易通过设备的MAC地址获得，而且与云服务器提供商建立的链路（默认情况下已启用）没有加密，这些服务器的地理位置等信息暂时没有想请提供。最关键的是，设备的P2P云功能可以绕过防火墙并允许远程连接到专用网络，这也是之前成为Mirai僵尸网络重灾区的原因之一。[来源： helpnetsecurity ]

Gallmaker网络犯罪集团崛起，主要对象为东欧和中东的政府和军​​事组织

赛门铁克是第一个发现该网络犯罪集团的机构。在本周发布的一份报告中，安全供应商将Gallmaker定性为针对东欧和中东的政府和军​​事机构的有组织团伙，目标涵盖东欧国家的数个海外大使馆和中东的国防承包商。赛门铁克高级威胁情报分析师表示，Gallmaker使用包含政治和外交主题的恶意文件来诱骗受害者点击，表明这是一个以间谍活动为动机的团伙。

根据赛门铁克的说法，Gallmaker应该是从2017年12月开始活动，能够追踪到的最近一次行动发生在2018年6月。该团伙的有趣之处在于行动时根本不使用恶意软件，只用一些正常的 工具 和协议，例如来自渗透测试、数据存档、压缩等技术领域的软件，因此难以被检测和察觉。[来源： darkreading ]

国家漏洞库CNNVD：关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，包括MS XML 远程执行代码漏洞（CNNVD-201810-294、CVE-2018-8494）、Windows Hyper-V 远程执行代码漏洞（CNNVD-201810-327、CVE-2018-8490）等多个漏洞。成功利用上述安全漏洞的攻击者，可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。[来源： 安全内参 ]

暗网黑市管理员在参加世界胡子锦标赛前落网，获刑20年

在美国缉毒局（DEA）、联邦调查局（FBI）和国税局（IRS）的联合行动中，参加“大胡子比赛”法国公民 Gal Vallerius 终于落网。由美国司法部公共事务办公室的新闻稿可知，Vallerius 是大型暗网市场之一的 Dream Market 的管理员和高级主持者。据悉，Dream Market 的暗网里的上线时间，在 2013 年 11 月前后。

该市场易于匿名获得非法的物资和服务，买卖双方需要通过比特币或其它加密货币进行交易。在一开始，Oxymonster 主要做些氧可酮（OxyContin）和利他林（Ritalin）的买卖。但不久后，他就被暗网市场的创始人雇佣为高级主持者和管理员，从而在 Dream Market 的日常非法交易中扮演了一个重要的角色 —— 染指通过加密货币进行的毒品交易和洗钱，以及非法产品和服务的交换。[来源： cnbeta ]

美参议员要求FTC对谷歌隐瞒Google+安全漏洞行为展开调查

据外媒报道，谷歌可能要为其Google+引发的安全恐慌面临一项来自美国联邦贸易委员会(FTC)的调查。据悉，Google+近日被曝出让一些第三方软件开发者拥有访问用户私人信息的权限。不过调查将不会针对漏洞本身，而是谷歌隐瞒的行为。今年3月，谷歌修复了这一安全漏洞但却决定不对外公布。

谷歌认为，在没有发现数据遭到滥用的证据也无法准确确认受漏洞影响的人之前，他们选择不向公众发出警告是正确的做法。另外，谷歌表示将永久关闭面向个人Google+社交平台。而谷歌的一份内部备忘录显示，谷歌之所以没有披露此事则是因为它不想招致监控部门的审查。[来源： cnbeta ]

*Freddy 编译整理，转载请注明来自 FreeBuf.COM