首页 > 清静研究 > 清静转达 > 清静简讯

美国众议院通过《包管能源基础设施法案》；TP-Link修复部分Archer路由器中的身份验证绕过误差

宣布时间 2019-12-17

1.美国众议院通过《包管能源基础设施法案》

尊龙凯时·(中国区)人生就是搏!

随着2020年《国防授权法》（NDAA）的通过，美国众议院也通过了《包管能源基础设施法案》。该法案将在美国能源部国家实验室内建设一个为期两年的试点妄想，其目的是发明能源部分实体机构中的清静误差和隔离要害的电网系统。评估的手艺和标准包括模拟和非数字控制系统、专用控制系统和物理控制计划。该法案还要求建设一个事情组，其使命是剖析国家实验室提出的解决计划，并制订一项�；つ茉赐墓艺铰�。

原文链接：

https://www.securityweek.com/bill-protect-us-energy-grid-cyberattacks-passes-ndaa

2.Facebook约2.9万员工的人为数据被盗

尊龙凯时·(中国区)人生就是搏!

凭证彭博社的报道，上个月犯法分子从Facebook一名员工的汽车中偷窃了多个硬盘，其中存储了约2.9万现任和前任Facebook雇员的人为数据。该事务爆发在11月17日，Facebook在三天后意识到数据泄露，但直到上周五才最先通知受影响的员工。被盗的硬盘没有加密，其中包括的员工信息包括银行账号和社会清静码后四位等。该事务没有影响Facebook用户的信息。出于审慎思量，Facebook讲话人体现将为受影响的员工提供免费的身份偷窃和信用监控服务。

原文链接：

https://thehill.com/policy/cybersecurity/474503-payroll-data-of-thousands-of-current-former-facebook-employees-stolen

3.南非Conor公司泄露100多万移动用户的浏览纪录

尊龙凯时·(中国区)人生就是搏!

vpnMentor发明南非ICT公司Conor Solutions的数据库可果真会见且没有加密，导致凌驾100万移动用户的私人浏览数据和小我私家识别信息泄露。数据库中包括的信息包括索引名称、MSISDN（手机号码）、IP地点、毗连或会见网站的一连时间、每个会话传输的数据量、会见过的网站的完整URL等。这些数据涵盖了非洲和南美国家（包括南非）的众多移动ISP客户数据，数据总巨细凌驾890GB，纪录条数凌驾凌驾100万条。vpnMentor于11月12日首次发明该数据库，并向Conor报告了该问题。Conor随后关闭了会见权限，但未向vpnMentor提供声明。

原文链接：

https://mybroadband.co.za/news/security/332188-private-browsing-history-of-south-african-mobile-users-exposed.html

4.僵尸网络Momentum DDoS攻击运动的剖析报告

尊龙凯时·(中国区)人生就是搏!

趋势科技宣布关于僵尸网络Momentum新攻击运动的剖析报告。Momentum主要针对Linux装备，可攻击多种CPU架构，例如ARM、MIPS、英特尔、摩托罗拉68020等。该恶意软件的主要目的是安排后门并接受下令向给定目的提倡DoS攻击。Momentum分发的后门包括Mirai、Kaiten和Bashlite变种。研究职员剖析的特定样本主要分发Mirai后门。别的，Momentum通过使用种种路由器和Web服务上的误差来撒播。

原文链接：

https://blog.trendmicro.com/trendlabs-security-intelligence/ddos-attacks-and-iot-exploits-new-activity-from-momentum-botnet/

5.施耐德修复Modicon及EcoStruxure中的多个误差

施耐德电气通知客户称已经为某些Modicon控制器和几种EcoStruxure产品中的误差提供了补丁。凭证施耐德的说法，Modicon M580、M340、Quantum和Premium控制器受到三个拒绝服务（DoS）误差（CVE-2019-6857、CVE-2019-6856和CVE-2018-7794）的影响。这三个误差均是由“对异常情形的不准确检查”导致的，具有网络会见权限的攻击者可以通过Modbus TCP使用这些误差。别的，施耐德电气还修复了三款EcoStruxure产品中的清静误差，包括Power SCADA Operation电源监视和控制软件中的缓冲区溢出误差（CVE-2019-13537）、ClearSCADA中的文件权限不准确误差和EcoStruxure Control Expert编程软件中的身份验证绕过误差。

原文链接：

https://www.securityweek.com/schneider-electric-patches-vulnerabilities-modicon-ecostruxure-products

6.TP-Link修复部分Archer路由器中的身份验证绕过误差

尊龙凯时·(中国区)人生就是搏!

TP-Link修复部分Archer路由器中的清静误差（CVE-2019-7405），该误差使得攻击者可以无需治理员密码即可接受装备。攻击者可通过发送字符串长度凌驾允许的字节数的HTTP请求，使得用户密码被替换为空值，从而获得路由器的admin权限。该攻击还会使正当用户被锁定，并且无法通过用户界面登录Web服务（密码被清空而用户并不知情）。受影响的产品型号包括Archer C5 V4、Archer MR200v4、Archer MR6400v4和Archer MR400v3路由器，建议用户尽快装置补丁。

原文链接：

https://www.bleepingcomputer.com/news/security/tp-link-router-bug-lets-attackers-login-without-passwords/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

美国众议院通过《包管能源基础设施法案》；TP-Link修复部分Archer路由器中的身份验证绕过误差

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

清静研究

美国众议院通过《包管能源基础设施法案》；TP-Link修复部分Archer路由器中的身份验证绕过误差

7*24小时服务热线

美国众议院通过《包管能源基础设施法案》；TP-Link修复部分Archer路由器中的身份验证绕过误差