今天是 7 月 18 日星期二，今天份的安全报主要内容有：AlphaBay Market 被执法机关查封，疑似运营者被捕后自杀身亡;谷歌将替换短信验证码登录方案，改用手机弹窗提示请求登录;Kerberos 本周修复了一个长达20年的漏洞;思科修复 IOS 和 IOS XE 的 SNMP 子系统中 9 个严重 RCE 漏洞;WPSetup 来袭，专门攻击未完成 WordPress 安装的站点;威胁情报公司 Flashpoint 获得 2800 万美元 C 轮融资;思科再度出手，将收购网络安全和威胁检测服务公司 Observable Networks。
 

　　下面来看具体内容：

　　【国际资讯】

　　Alphabay 被执法机关查封，疑似运营者被捕后自杀身亡

　　7 月 5 号，暗网最大黑市之一的 AlphaBay Market 突然无法访问，没有任何相关的说明。AlphaBay 创建于2014年，售卖毒品、枪支等多种非法商品，并打败了 Dream、Hansa 等，常年稳居黑市前列，拥有庞大的用户群，被称为“新丝绸之路”。此次无法访问突如其来，很多用户因此惴惴不安，担心被骗。据 Redditor 报道，很多人纷纷揣测管理员席卷高达 370 万比特币潜逃。

　　时隔十几天，华尔街日报发布了报道，称执法机构曾在美国、加拿大和泰国相继执行多次突袭，还逮捕了疑似 AlphaBay Market 的运营者 Alexandre Cazes，此后 AlphaBay 便无法访问。可以说，是执法机关查封了这个网站。
 

　　Cazes 本是加拿大公民，但据报道他在泰国居住达 8 年之久，还有个泰国妻子。被捕当天，Cazes 也身在泰国。同时，警方时还缴获了 4 辆兰博基尼和 3 处房产，总价约 1170 万美元。泰国当局已经于 7 月 5 日在曼谷将其拘留，并打算将 Cazes 引渡到美国。同一天，警方还在加拿大魁北克发起了两次突袭。但是，7 月 12 日(上周三)，狱警发现 Cazes 自杀身亡。泰国媒体称，Cazes 是用毛巾(浴巾?)上吊自杀的。

　　虽然 Cazes 自杀了，并没有亲口承认自己就是 AlphaBay 的管理员，但种种迹象几乎可以指明他就是 AlphaBay 的运营者：他被逮捕的当天，AlphaBay 关闭了，而且此后再也没有恢复。不过，此案当前尚未了结，执法机关仍在调查 AlphaBay 幕后是否还有其它运营者。但可以推断的是， AlphaBay 可能像 SilkRoad 一样狗带了。【来源： THN, theregister】

　　谷歌将替换短信验证码登录方案，而改用手机弹窗提示请求登录

　　从本周开始，谷歌将对其双因素认证机制进行调整。原本账户登录中，需要通过短信发送一次性验证码进行验证，调整后将改为在手机上显示弹出提示信息。之所以作此调整，是因为近期针对 SS7 信令协议的攻击增多，黑客能利用受害者手机号码接收一次性短信验证码并破解用户账户。
 

　　谷歌会邀请部分用户尝试这种新方案。用户需要准备一部接入互联网的智能手机，每次用户尝试登录谷歌账户时，谷歌都会在手机上显示提示信息，提醒用户批准登录请求。整个过程不再需要输入任何验证码，按个按钮就完成。用户设备、地理位置、登录时间等信息都会在提示信息中显示，用户在确认所有信息都正确的情况下再允许登录，这样更加安全。当然用户也可以拒绝谷歌的邀请，继续使用一次性短信验证码。

　　谷歌表示，只有使用一次性短信验证登录账户的用户才会被邀请到这次测试中，而使用安全密钥登录的用户则不会受到邀请，因为安全密钥登录事实上更加安全。测试之后，新的弹窗提示登录方案将逐步推广。

　　需要注意的是，IOS 用户则需要安装谷歌搜索 App，才能看到 2SV 双因素登录提示。【来源：bleepingcomputer 】

　　【安全漏洞】

　　Kerberos 本周修复了一个长达20年的漏洞

　　三名研究员发现了著名的 Kerberos(来源于希腊神话“三个头的狗——冥府守门狗”) 协议中的一个漏洞，并命名为”Orpheus’ Lyre(奥菲斯的竖琴)”，因为它的原理类似希腊诗人奥菲斯用竖琴催眠守门狗的过程。

　　这个 “奥菲斯的竖琴”影响的 Kerberos 版本可以追溯到 1996 年，长达 21 年之久。Kerberos 主要有三种具体实现内容：Heimdal Kerberos、微软 Kerberos 和 MIT Kerberos，其中 MIT Kerberos 版本不受此次漏洞影响。
 

　　这个漏洞利用了 Kerberos 协议中的 ticket，ticket 是网络节点间传输的消息，用来认证服务和用户。但是在网络中，并非 ticket 的所有部分都会被加密，通常 Kerberos 会检查消息中的加密部分从而进行认证。有一种方法可以强制让Kerberos 协议使用纯文本和未经加密的部分进行认证。如果黑客已经攻陷了公司网络或者有能力进行中间人攻击，他就可以截获并且修改纯文本 ticket 部分，从而绕过 Kerberos 验证，进而获取到公司的内部资源。漏洞目前还没有被利用的案例，并且黑客需要提前获得内网中的部分资源，尽管如此，这个漏洞仍然十分危险，因为攻击者可以借此扩大在内网中的权限。

　　目前，Windows、Debian、FreeBSD、Samba 均已修复这个漏洞。更多详情可参考 FreeBuf 的文章

　　【来源：BleepingComputer 】

　　思科修复IOS和IOS XE中的SNMP子系统中9个严重RCE漏洞

　　思科最近针对所有版本的 IOS 和 IOS XE 软件中的 SNMP 子系统进行了漏洞修复，共修复 9 个远程代码执行漏洞。思科是在 6 月 29 日公开这些漏洞的，当时已经提供了缓解方案。这9个漏洞编号从 CVE-2017-6736 一直到 CVE-2017-6744，目前都已经得到修复。
 

　　远程攻击者利用这些漏洞，通过 IPV4 和 IPV6 向被入侵的系统发送恶意构造的 SNMP 包就能导致任意代码执行或者导致系统重启。这些漏洞实际上是因为 SNMP 子系统的缓冲区溢出状况，所有版本的 SNMP 1,2c 和 3 都受到影响。

　　思科另外还表示配置某些MIB的设备也受影响，推荐的解决方案是禁用受影响的 MIB。【来源：SecurityAffairs】

　　ADSL-LINE-MIB

　　ALPS-MIB

　　CISCO-ADSL-DMT-LINE-MIB

　　CISCO-BSTUN-MIB

　　CISCO-MAC-AUTH-BYPASS-MIB

　　CISCO-SLB-EXT-MIB

　　CISCO-VOICE-DNIS-MIB

　　CISCO-VOICE-NUMBER-EXPANSION-MIB

　　TN3270E-RT-MIB

　　WPSetup 来袭，专门攻击未完成 WordPress 安装的站点

　　Wordfence 日前表示，最近出现了一种针对 WordPress 的最新型攻击，主要影响最新下载 WordPress 的用户。黑客可以获取被攻击者的管理员访问权限，并执行 PHP 代码。研究人员把这种攻击命名为 WPSetup，在今年5月和6月活动频繁。攻击者会扫描特定 URL：/wp-admin/setup-config.php，如果该 URL 包含安装页面，意味着受害人最近在服务器上安装了 WordPress 但尚未进行配置，攻击者也就能够完全接管网站了。
 

　　值得注意的是，除了新的 WordPress 站点，攻击者还能够接管整个主机账户和该账户的其它网站。由于 WordPress 允许管理员编辑主题和插件的代码，所以攻击者可以直接运行主题或插件编辑器并插入 PHP 代码，在下次网页刷新时直接执行代码。

　　只要攻击者获得了 WordPress 的管理员权限，就能上传包含任意PHP代码的插件，包括攻击者自己的插件。此后，就可以在被攻击者的网站上执行代码并在被攻击者主机账户目录中安装恶意软件，进而访问该账户下的所有文件和站点，甚至访问其它应用数据库。

　　SiteLock 的专家表示，很多人也许没有想到，下载了 WordPress 但没有进行安装的状况其实很常见。【来源：SecurityWeek】

　　【行业动态】

　　威胁情报公司 Flashpoint 获得 2800 万美元 C 轮融资

　　纽约一家威胁情报和研究公司 Flashpoint 最近获得了价值 2800 万美元的 C 轮融资。Flashpoint 将其业务命名为“业务风险情报”(BRI)，专注于从暗网和深网攫取情报。事实上，Flashpoint 不仅是传统网络威胁情报(如 IP 地址、域名、签名等)提供商，还收集地下情报，包括网络犯罪组织和恐怖组织及其支持者。

　　Flashpoint 表示，公司以可视化的形式为客户提供可造成潜在伤害的真实威胁信息，并提供环境帮助客户理解威胁如何影响到自身业务。
 

　　2016 年，Flashpoint 获得 1000 万美元的 B 轮融资，当时便宣称将扩大业务，从网络威胁情报分析扩展到商业风险情报分析。目前， Flashpoint 的业务已经覆盖金融、零售、保险、健康医疗、法律、媒体、能源、技术、通讯等多个领域。此次 C 融资由 Geogian Partner 领投，还包括 Greycroft Partners、Bloomberge Beta、Cisco Investments 等，将帮助 Flashpoint 公司扩展更多的威胁情报分析，并提升BRI的采用率。 【来源：secutiryweek 】

　　思科再度出手，收购网络安全和威胁检测服务公司 Observable Networks

　　7 月 13 日，思科表示将收购网络安全和威胁检测服务公司 Observable Networks ，目前尚未披露具体收购条款。

　　Observable Networks 成立于 2011 年，总部位于圣路易斯，公司估值总计约为1600万美元。该公司提供了动态网络行为监控的产品，能够帮助安全团队发现可能导致数据泄露的异常行为。这些产品通过数据分析，可以获取对于所有用户、设备、流量的整体状态认知，这不仅仅针对企业网络，同时也支持云平台，包括 AWS 和 AZure。Observable Networks 能够实现这样的功能，主要采用了云平台原生的机器学习技术，它通过对设备的行为建立模型，识别内外部安全威胁。

　　思科表示，在收购完成之后，公司会将 Observable 加入到其 Stealthwatch 公有云安全解决方案中去，而目前 Stealthwatch 正是思科主营业务。
 

　　如今，安全行业正在从以产品为中心，转向以数据及机器学习为中心。思科正是发现了这些变化，并将注意力从终端安全产品转变到了数据驱动模型、大数据、数据分析和机器学习等热点上。思科积极地探索了这些技术领域，然后将这些技术整合进他们自己的安全业务之中。近些年，思科频频出手收购安全公司：2015 年曾以 6.35 亿美元收购 OpenDNS ，以 453 万美元收购 Lancope ， 并以 2.93 亿美元收购 CloudLock。这也正是思科目前战略拓展的体现。关于此事的更详细分析可以参考 FreeBuf 的文章【来源：scmagazine 】

(责任编辑：宋编辑)