第九期 全球一周安全情报

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。1、MyCloud被发现特权提升漏洞研究人员发现了西部数据MyCloud平台中的一个特权提升漏洞CVE-2018-17153，攻击者可利用该漏洞通过HTTP请求获得对设备的管理级访问权限，从而运行命令、访问存储的数据、修改/复制数据以及擦除NAS。对MyCloud设备的身份验证过程会生成绑定到用户IP地址的服务器端会话。

一年多前，就有研究人员提出这个漏洞，但该公司拒绝承认或解决该问题。研究人员表示黑客很可能利用西部数据的产品漏洞进行勒索活动，并建议使用NAS设备的用户启用自动更新并且不要直接将设备暴露在互联网上。

悬镜安全｜第九期全球一周安全情报（9.17-9.23）

原文链接：https://www.zdnet.com/article/expandable-ads-can-be-entry-points-for-site-hacks/4、Nuuo软件爆出0day漏洞研究人员发现使用Nuuo软件的安全摄像头和监控设备中存在的零日漏洞CVE-2018-1149。Nuuo可信视频管理软件的提供商，为运输，银行、政府和住宅区等行业的监控系统提供一系列视频解决方案。

攻击者可以利用该漏洞远程执行软件中的代码，查看和篡改视频监控录制和发送，还可以窃取数据，包括凭据、IP地址、端口使用以及连接的监控设备的品牌和型号。研究人员表示该漏洞可能影响全球数十万个基于网络的摄像头和设备，Nuuo固件版本3.9.0及更早版本容易受到攻击。