Aggregator

CVE-2024-1387 | thehappymonster Happy Addons for Elementor Plugin up to 3.10.4 on WordPress duplicate_thing authorization (ID 3064385)(link is external)

Vuldb Updates
4 months 1 week ago
A vulnerability was found in thehappymonster Happy Addons for Elementor Plugin up to 3.10.4 on WordPress. It has been declared as problematic. Affected by this vulnerability is the function duplicate_thing. The manipulation leads to missing authorization. This vulnerability is known as CVE-2024-1387. The attack can be launched remotely. There is no exploit available.
vuldb.com

卡西欧称勒索软件攻击事件致 8500 人数据泄露(link is external)

HackerNews
4 months 1 week ago
HackerNews 编译,转载请注明出处: 日本电子产品制造商卡西欧表示,2024年10月发生的勒索软件事件导致约8500人的个人信息被泄露。 受影响人员主要为卡西欧员工和商业合作伙伴,但泄露数据中还包括一小部分客户个人信息。 此次网络攻击发生在10月5日,勒索软件团伙利用钓鱼战术攻破了公司网络,导致IT系统瘫痪。 10月10日,地下勒索软件团伙声称对此次攻击负责,并威胁称,除非支付赎金,否则将披露机密文件、财务文件、项目信息及员工数据。 不久后,卡西欧确认地下团伙已窃取员工、合作伙伴和客户的个人数据,但当时未透露受影响人数。 随着调查结束,卡西欧现已公布数据泄露范围的全部细节。 公司最新公告列出以下泄露数据: 员工(6456人):姓名、员工编号、电子邮件地址、所属部门、性别、出生日期、家庭信息、地址、电话号码、纳税人识别号及总部系统账户信息。 商业合作伙伴(1931人):姓名、电子邮件地址、电话号码、公司名称、公司地址及部分人的身份证件信息。 客户(91人):需要送货及安装的商品的送货地址、姓名、电话号码、购买日期及产品名称。 其他泄露数据:包括发票、合同及会议材料等在内的内部文件。 一旦确定受影响人员,卡西欧将向他们发送关于此次事件的个性化通知。 尽管一些员工收到疑似与勒索软件事件及敏感数据泄露相关的垃圾邮件,但公司表示,截至目前,他们、合作伙伴及客户均未遭受二次损害。 卡西欧特别指出,客户数据或信用卡信息未遭地下勒索软件团伙泄露,因为存储客户信息的数据库未受此次事件影响。 这家日本公司还明确表示,他们未与网络犯罪分子进行谈判。 卡西欧解释说:“在与执法机构、外部律师和安全专家协商后,卡西欧未对实施非法访问的勒索软件团伙提出的任何无理要求作出回应。” 至于受影响的服务,卡西欧表示,尽管部分服务尚未恢复,但大部分已恢复正常运行状态。 与此同时,虽然卡西欧的CASIO ID和ClassPad.net平台未被标记为勒索软件攻击的影响对象,但这两个服务在2024年10月也遭遇了另一起泄露事件。   消息来源:The Hacker News, 编译:zhongx;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

研究人员发现 Illumina iSeq 100 DNA 测序仪存在重大安全漏洞(link is external)

HackerNews
4 months 1 week ago
HackerNews 编译,转载请注明出处: 网络安全研究人员发现,Illumina iSeq 100 DNA测序仪的固件存在安全漏洞。若该漏洞被成功利用,攻击者便可在易受攻击的设备上使其瘫痪或植入持久性恶意软件。 Eclypsium在向The Hacker News分享的一份报告中指出:“Illumina iSeq 100采用了非常过时的BIOS固件实现方式,使用了CSM(兼容性支持模式),且未启用安全启动或标准固件写保护。” “这将使系统上的攻击者能够覆盖系统固件,从而导致设备瘫痪或安装固件植入物,以实现攻击者的持续存在。” 尽管统一可扩展固件接口(UEFI)是基本输入输出系统(BIOS)的现代替代品,但这家固件安全公司表示,iSeq 100启动的是BIOS的旧版本(B480AM12 – 2018年4月12日),该版本存在已知漏洞。 值得注意的是,该设备还缺少指示硬件可以读取和写入固件位置的保护措施,从而允许攻击者修改设备固件。同时,安全启动也未启用,因此恶意更改固件的行为将不会被检测到。 DNA测序仪 Eclypsium指出,不建议新型高价值资产支持CSM,因为CSM主要用于无法升级且需要保持兼容性的旧设备。在负责任地披露漏洞后,Illumina已发布修复程序。 在假设的攻击场景中,攻击者可以瞄准未打补丁的Illumina设备,提升权限,并向固件写入任意代码。 这并不是Illumina的DNA基因测序仪首次披露严重漏洞。2023年4月,一个关键安全漏洞(CVE-2023-1968,CVSS评分:10.0)可能使攻击者能够窃听网络流量并远程传输任意命令。 “能够在iSeq 100上覆盖固件将使攻击者能够轻松禁用设备,在勒索软件攻击的背景下造成重大破坏。这不仅会使高价值设备停止服务,而且通过手动重新刷新固件来恢复设备也需要付出相当大的努力,”Eclypsium表示。 “在勒索软件或网络攻击的背景下,这可能会显著提高风险。测序仪对于检测遗传疾病、癌症、识别耐药细菌以及疫苗生产至关重要。因此,除了勒索软件行为者的传统财务动机外,这些设备还可能成为具有地缘政治动机的国家行为者的理想目标。”   消息来源:The Hacker News, 编译:zhongx;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad