【安全帮】TCL部分阿尔卡特手机被发现预装了恶意程序

央行：今年年底前金融服务机构网站应支持 IPv6 连接访问 1月10日，央行、银保监会和证监会联合发布了关于金融行业贯彻《推进互联网协议第六版（IPv6）规模部署行动计划》的实施意见。《意见》提出，到2019年底，金融服务机构门户网站支持IPv6连接访问。到2010年底，金融服务机构面向公众服务的互联网应用系统支持IPv6连接访问，并具备与IPv6改造前同等的业务连续性保障能力。到2021年期，做好金融行业面向公众服务的互联网应用系统IPv6改造基础上，持续推进IPv6规模部署，逐步构建高效率、广普及、全覆盖、智能化的下一代互联网。

参考来源：

https://www.thepaper.cn/newsDetail_forward_2837743

研究称 DNS 劫持攻击规模惊人 研究人员对劫持域名的 DNS 攻击发出了警告，称攻击规模史无前例。攻击者首先设法窃取目标 DNS 服务商管理面板的登录凭证，然后修改目标域名的 IP 地址，将其指向攻击者控制的服务器。攻击者之后再利用 Let’s Encrypt 自动生成合法证书。当用户访问目标域名，他们会先访问攻击者的服务器然后再重定向到合法服务器，整个过程用户唯一的感觉可能就是延迟略微增加。攻击者之后能收集到用户名和密码，而终端用户对此几乎一无所知。研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名，认为攻击者可能与伊朗有关联。

参考来源：

https://www.solidot.org/story?sid=59282

2018 Web 应用漏洞数量比 2017 增加了 21 ％ Imperva 1月10日发布了“ 2018 Web 应用漏洞现状”报告。数据显示，2018 年发现的 Web 应用新漏洞共 17,142 个，比 2017 年增加了 21％ ，相比 2016 年增加了 159％ 。其中有超过一半的漏洞可被黑客公开利用，有超过 1/3 的漏洞暂时还没有可用的解决方案。CMS 方面，WordPress 的漏洞数量持续增加。Drupal 虽然数量低于 WordPress ，但造成的影响更大，被用于大规模攻击。此外，物联网、弱验证，以及 PHP 相关的漏洞数量有所下降。

参考来源：

https://www.cnbeta.com/articles/tech/807463.htm

ThinkPHP5 再爆任意代码执行漏洞 继去年12月10日爆出任意代码执行漏洞后，创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前，已发现境外黑客对国内政府、企业等网站进行探测，请相关单位企业做好防御应急工作。ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。由于 ThinkPHP 框架对控制器名没有进行足够严格的检测，导致在没有开启强制路由的情况下，攻击者可以在服务端执行任意恶意代码。

参考来源：

http://hackernews.cc/archives/24709

随着美国政府关闭，许多 TLS 证书到期让网站无法访问 到目前为止，美国政府关闭已经看到国家公园和政府部门无人值守，1月12日是数十万联邦工人不会收到薪水的第一个发薪日。关闭的另一个副作用是许多政府网站因其TLS证书已过期而处于脱机状态，并且没有人可以续订它们。网站受影响的机构包括美国航空航天局，美国司法部和上诉法院。据Netcraft称，总共有大约80个或更多的TLS证书已经过期，这使得许多站点无法被公众访问。具有过期TLS证书但未实施HSTS的政府网站在用户的浏览器中显示HTTPS错误，但可以绕过此错误以通过HTTP访问该站点。

参考来源：

https://www.cnbeta.com/articles/tech/807811.htm

TCL 部分阿尔卡特手机被发现预装了恶意程序 TCL 制造的部分阿尔卡特手机被发现预装了恶意版天气应用。TCL 拥有阿尔卡特、黑莓和 Palm 等知名品牌。它在阿尔卡特手机上预装了自己开发的天气应用 Weather Forecast-World Weather Accurate Radar，该应用也通过 Google 应用商店提供给其他用户。但在去年的某个时候，设备上预装的和 Play Store 里提供的应用都感染了恶意程序，恶意程序如何进入应用目前还不得而知。移动安全公司 Upstream 发布报告称，应用会收集用户数据并将数据发送到中国的一台服务器。收集的数据包括了地理位置、电子邮件地址和 IMEI 码。

参考来源：

https://www.cnbeta.com/articles/tech/807701.htm

黑客正利用零宽空格绕过 MS Office 365 防护措施 安全研究人员警告称，网络犯罪分子和邮件诈骗者正在利用一种简单技术绕过微软 Office 365 的安全功能，包括旨在保护用户免受恶意软件和钓鱼攻击的 Safe Links。Safe Links 被 Office365 集成到高阶威胁防护 (ATP) 解决方案中，它可通过微软所有的安全 URL 替换收件箱中的所有 URL 来运作。因此，每当用户点击邮件中的某个链接时，Safe Links 首先会将链接发送到微软所有的域名中，以检查原始链接中是否含有可疑内容。如果微软的安全扫描器检测到任何恶意元素，它向用户发出警告信息，如未发现则将用户重定向至原始链接。然而，云安全公司 Avanan 的研究人员披露了攻击者如何使用零宽空格 (ZWSPs) 绕过 Office 365 的URL 名誉检测和 Safe Links URL 防护功能。

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4661

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。