维基解密CIA拦截安卓短信；永恒之蓝扫描器发现大量漏洞主机；域名商Gandi大量域名遭劫持

今天是 7 月 17 日星期一，今天的安全早报主要内容有：维基解密CIA利用 Highrise 恶意程序拦截安卓设备短信并重定向至CIA的服务器；黑客利用自动化扫描未安装完成的WordPress进行攻击；永恒之蓝扫描器发现了50000台能被攻击的主机；卡巴斯基实验室专为ATM等嵌入式系统设置的安全软件被曝漏洞；域名注册商Gandi承认超过750个域名遭到劫持。

维基解密再更新：CIA拦截安卓设备短信
维基解密又在Vault 7项目中发布了一款CIA黑客工具。这款名叫HighRise的工具是一款能够将手机短信进行截获转发到远程web服务器的Android应用。HighRise支持的Android版本从4.0到4.3，但是文档是2013年12月的，很有可能在后来的4年的时间里工具有更新的版本支持现在的Android系统。HighRise并非为社工攻击，而是需要CIA特工把软件安装到目标设备，然后启动一次让工具能够驻足手机。

详情
黑客利用自动化扫描未安装完成的WordPress进行攻击

Wordfence安全公司的专家称，他们观察到一种新型的Web攻击，针对未安装完成的WordPress。这些站点都是用户上传了WordPress CMS，但没有完成安装过程的站点。
这些网站对外部连接保持开放状态，任何人都可以访问其安装面板，并以用户身份完成安装。从5月底到6月中旬，一名攻击者对这些未安装完成的WordPress站点进行了大规模的扫描。这名黑客连接到这些未安装完成的WordPress网站，输入自己的数据库密码完成安装过程。然后，攻击者将使用他新创建的管理员帐户连接到该站点，并在主题或插件文件编辑器中插入恶意代码，从而有效地接管受害者的服务器。专家将这些攻击命名为“WPSetup攻击”，并建议用户在他们的WordPress文件上传到他们的服务器之后，千万记得完成WordPress安装过程。
来源：BleepingComputer
永恒之蓝扫描器发现了50000台能被攻击的主机

一款名为Eternal Blues的工具帮助大家扫描全球范围内存在永恒之蓝漏洞的主机，现在开发者公布了应用的一系列统计数据。开发者Elad Erez称，Eternal Blues在过去的两周发现了超过5万台易感染的主机。这款工具只负责进行扫描，因此有些用户用它入侵主机，有些则用它进行安全检查。用户用它扫描了超过800万个IP地址，大部分地址属于法国、俄罗斯、德国、美国和乌克兰。其中53.82%的主机仍然开启了SMBv1协议，而非更安全的v2或v3协议。
不过大部分的这些主机已经打上了MS17-010补丁。而1/9的主机能被攻击，大约是5万台主机，占被扫描主机的11%。最容易被攻击的国家是法国、俄罗斯和乌克兰。
来源：SecurityAffairs
卡巴斯基实验室ATM专用安全软件被曝漏洞

卡巴斯基实验室为ATM和其他嵌入式操作系统提供的安全软件中包含漏洞，黑客可以利用漏洞绕过反病毒防御机制。
Positive科技研究员Georgy Zaytsev在对ATM进行安全审计时发现卡巴斯基嵌入式系统安全1.1和1.2版本中的应用程序启动控制组件存在漏洞。漏洞利用的过程包括对卡巴斯基软件重载，使它无法处理文件验证请求的程度。这样恶意软件可以绕过用作病毒防护的白名单控件。不过要让ATM机吐钱，黑客依然要配合其他方法。卡巴斯基的发言人说，黑客要做的工作还有很多，比如在利用漏洞之前黑客必须找到方法在ATM上注入和运行恶意可执行文件，还要绕过所有现有的保护组件，然后在系统上运行软件。
如果你的工作涉及ATM和卡巴斯基，请确保你的ATM已经打上了KB13520高危补丁，这个更新是6月底推送的。
来源：The Register
域名注册商Gandi承认超过750个域名遭到劫持

一位未知人士登陆了公司的技术服务商，然后连接到了超过27个顶级域名，包括.asia, .au, .ch, .jp和.se。利用这种方法，攻击者更改了751个域名所使用的域名服务器，把他们定向到病毒网站。事件发生4小时后Gandi才意识到问题，考虑到更新DNS时的延时，域名劫持大约持续了8到11小时。讽刺的是，劫持的网站之一是瑞士信息安全公司SCRT，它还写了一篇关于网站被劫持的博文。
上周.io顶级域名也被劫持了，研究人员发现4个io域名服务器域名是可以被注册的。