今天是 7 月 17 日星期一，今天的安全早報主要內容有：維基解密CIA利用 Highrise 惡意程序攔截安卓設備短信并重定向至CIA的服務器；黑客利用自動化掃描未安裝完成的WordPress進行攻擊；永恒之藍掃描器發現了50000臺能被攻擊的主機；卡巴斯基實驗室專為ATM等嵌入式系統設置的安全軟件被曝漏洞；域名注冊商Gandi承認超過750個域名遭到劫持。

維基解密再更新：CIA攔截安卓設備短信
維基解密又在Vault 7項目中發布了一款CIA黑客工具。這款名叫HighRise的工具是一款能夠將手機短信進行截獲轉發到遠程web服務器的Android應用。HighRise支持的Android版本從4.0到4.3，但是文檔是2013年12月的，很有可能在后來的4年的時間里工具有更新的版本支持現在的Android系統。HighRise并非為社工攻擊，而是需要CIA特工把軟件安裝到目標設備，然后啟動一次讓工具能夠駐足手機。

詳情
黑客利用自動化掃描未安裝完成的WordPress進行攻擊

Wordfence安全公司的專家稱，他們觀察到一種新型的Web攻擊，針對未安裝完成的WordPress。這些站點都是用戶上傳了WordPress CMS，但沒有完成安裝過程的站點。
這些網站對外部連接保持開放狀態，任何人都可以訪問其安裝面板，并以用戶身份完成安裝。從5月底到6月中旬，一名攻擊者對這些未安裝完成的WordPress站點進行了大規模的掃描。這名黑客連接到這些未安裝完成的WordPress網站，輸入自己的數據庫密碼完成安裝過程。然后，攻擊者將使用他新創建的管理員帳戶連接到該站點，并在主題或插件文件編輯器中插入惡意代碼，從而有效地接管受害者的服務器。專家將這些攻擊命名為“WPSetup攻擊”，并建議用戶在他們的WordPress文件上傳到他們的服務器之后，千萬記得完成WordPress安裝過程。
來源：BleepingComputer
永恒之藍掃描器發現了50000臺能被攻擊的主機

一款名為Eternal Blues的工具幫助大家掃描全球范圍內存在永恒之藍漏洞的主機，現在開發者公布了應用的一系列統計數據。開發者Elad Erez稱，Eternal Blues在過去的兩周發現了超過5萬臺易感染的主機。這款工具只負責進行掃描，因此有些用戶用它入侵主機，有些則用它進行安全檢查。用戶用它掃描了超過800萬個IP地址，大部分地址屬于法國、俄羅斯、德國、美國和烏克蘭。其中53.82%的主機仍然開啟了SMBv1協議，而非更安全的v2或v3協議。
不過大部分的這些主機已經打上了MS17-010補丁。而1/9的主機能被攻擊，大約是5萬臺主機，占被掃描主機的11%。最容易被攻擊的國家是法國、俄羅斯和烏克蘭。
來源：SecurityAffairs
卡巴斯基實驗室ATM專用安全軟件被曝漏洞

卡巴斯基實驗室為ATM和其他嵌入式操作系統提供的安全軟件中包含漏洞，黑客可以利用漏洞繞過反病毒防御機制。
Positive科技研究員Georgy Zaytsev在對ATM進行安全審計時發現卡巴斯基嵌入式系統安全1.1和1.2版本中的應用程序啟動控制組件存在漏洞。漏洞利用的過程包括對卡巴斯基軟件重載，使它無法處理文件驗證請求的程度。這樣惡意軟件可以繞過用作病毒防護的白名單控件。不過要讓ATM機吐錢，黑客依然要配合其他方法。卡巴斯基的發言人說，黑客要做的工作還有很多，比如在利用漏洞之前黑客必須找到方法在ATM上注入和運行惡意可執行文件，還要繞過所有現有的保護組件，然后在系統上運行軟件。
如果你的工作涉及ATM和卡巴斯基，請確保你的ATM已經打上了KB13520高危補丁，這個更新是6月底推送的。
來源：The Register
域名注冊商Gandi承認超過750個域名遭到劫持

一位未知人士登陸了公司的技術服務商，然后連接到了超過27個頂級域名，包括.asia, .au, .ch, .jp和.se。利用這種方法，攻擊者更改了751個域名所使用的域名服務器，把他們定向到病毒網站。事件發生4小時后Gandi才意識到問題，考慮到更新DNS時的延時，域名劫持大約持續了8到11小時。諷刺的是，劫持的網站之一是瑞士信息安全公司SCRT，它還寫了一篇關于網站被劫持的博文。
上周.io頂級域名也被劫持了，研究人員發現4個io域名服務器域名是可以被注冊的。