一名安全人員發現,美國國防部一台伺服器遭植入挖礦軟體殭屍網路,而且時間可能長達一年半。
一名工程師Nitesh Surana一月底發現,一台與國防部有關的AWS執行個體上的Jenkins伺服器,其SSL憑證已經過驗證,使其不需密碼即可登入,任何人都可以堂而皇之存取內部資料夾。他發現,這個漏洞讓攻擊者可透過Java語言/script資料夾執行惡意遠端指令。/script是提供用戶上傳檔案,由伺服器自動讀取和執行的地方。他於是透過國防部的抓漏獎賞方案通報。
臉書留言
胡 自文
(這個頁面共進入 1 次, 今天進入 1 次)
