分类: 漏洞事件

Joomla! LDAP 协议注入漏洞可使管理员登录凭证在线暴露(已修复)

据外媒 9 月 21 日报道,网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞(CVE-2017-14596),致使管理员登录凭证在线暴露。目前,受影响版本包括 Joomla! 1.5 — 3.7.5。 调查显示,当用户使用轻量级目录访问协议(LDAP)身份验证时,该漏洞将会影响 Joomla! 安装。此外,Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而,研究人员却发现,当启用 LDAP 认证插件时,攻击者可以尝试从登录页面逐个猜测管理员凭证,从而劫持账号信息。一旦成功登录,攻击者将接管 Joomla! 后台页面,并上传自定义插件,以获取 Web 服务器远程执行代码的扩展。 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο Joomla! 于本周发布补丁修复程序,建议用户升级至最新版本 Joomla! 3.8。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员已找到利用英特尔 Management Engine 漏洞的最新方法

网络安全公司 Positive Technologies 研究人员将于 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 漏洞的利用。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心、内存、系统时钟、内部总线、保留的受保护内存、有自己的操作系统和程序、能访问系统主内存和网络。 ME 能完全访问和控制 PC,能启动和关闭电脑、读取打开的文件、检查所有运行的程序、跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的 “上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。 此外,研究人员还在 Intel ME v11+ 上发现了一处漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。 稿源:solidot奇客,封面源自网络;

美国证券交易委员会(SEC)电脑系统发现严重漏洞,或被黑客利用从事内幕交易

据路透社近期获得的一份机密周报显示,截至 2017 年 1 月 23 日,美国国土安全部在美国证券交易委员会(以下简称 “ SEC ” )的电脑里发现了五个 “ 紧急 ” 的网络安全漏洞。这份报告引发了有关 2016 年一次网络攻击事件的最新问题,当时 SEC 的企业文件申报系统 “ EDGAR ” 被黑。 SEC 主席 Jay Clayton 在本周三披露信息称,该委员会在 2017 年 8 月得知黑客可能利用 2016 年的事件从事了非法内幕交易。美国国土安全部公布的这份 1 月检测报告显示,在上述事件发生时,SEC 的电脑里存在第四 “ 紧急 ” 的安全漏洞。目前还不清楚该部发现的这个漏洞是否与 SEC 披露的网络攻击事件之间存在直接联系。不过,该报告显示,尽管 SEC 称其在 2016 年黑客事件发生以后 “ 迅速 ” 打了补丁以修复其前述软件漏洞,但该委员会的电脑系统里还是存在多处漏洞。 此次黑客事件已在整个美国金融行业引发冲击,而征信巨头 Equifax 近期又刚刚披露,黑客已窃取逾 1.43 亿名美国人数据。SEC 发言人尚未就此置评。此外,美国国土安全部在对 SEC 的 114 台电脑和设备进行扫描后发现上述 “ 紧急 ” 漏洞,但尚不清楚这些漏洞是否仍可带来威胁。 在前奥巴马政府时期,这种扫描是每周进行一次的。曾在奥巴马当政期间担任联邦政府首席信息官、现在运营着自己的网络安全咨询公司的 Tony Scott 称:“ 我绝对认为应对任何像那样的紧急漏洞马上采取行动 ”。他还补充道:“ 这是 Equifax 被黑事件的根源。一个紧急漏洞在如此之长的时间里没被打上补丁,从而令黑客有机可乘。” 稿源:cnBeta,封面源自网络;

终端应用程序 iTerm2 可通过 DNS 请求泄露用户敏感信息

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iTerm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 URL,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 DNS 请求确定域名是否真实存在。随后,iTerm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ DNS 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。 9 月 19 日,HackerNews.cc 得到消息,荷兰开发人员 Peter van Dijk 指出,iTerm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次,iTerm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iTerm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者:Catalin Cimpanu,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全警告:黑客可利用拦截短信验证黑进比特币钱包

Positive Technologies 近期刊登了一段安全研究人员示范的攻击演示视频,即演示了黑客如何利用 ss7 信令漏洞拦截短信验证,并黑进比特币钱包的全部过程。 在视频中,攻击目标为一所利用短信二步验证保护的交易所 Coinbase,而目标账户也采用 Gmail 的二步验证注册,从而使研究人员成功控制了目标账号的比特币钱包。然而,与其说是利用 Coinbase 交易所的缺陷,不如说是传统的数据网络存在验证缺陷。目前,安全研究人员希望各大比特币交易所和比特币钱包用户引起注意。 稿源:cnBeta,封面源自网络;

Apache Http Options 请求方法存在安全漏洞,可致内存信息泄漏

HackerNews.cc  9 月 18 日消息,安全研究人员 HannoBöck 于近期发现 Apache HTTP OPTIONS 请求方法存在一处安全漏洞( CVE-2017-9798 ),允许攻击者在网站管理员尝试使用无效的 HTTP 方法进行 “Limit” 指令请求时,远程窃取服务器内存信息。目前,官方认定漏洞危险等级为【中危】。 影响范围: ο Apache HTTP 软件 2.2.34/2.4.27 之前版本 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο 各发行版本厂商陆续发布更新,建议运行 Apache Web 服务器的用户升级至最新版本。 更多详细内容: ο 原文详细报告《Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory》 原作者:HannoBöck,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球虚拟化软件企业 VMware 修复产品多处漏洞

据外媒报道,网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞,允许攻击者在获取用户低等特权时执行任意代码。近期,VMware 研究人员在线发布漏洞补丁修复程序。 调查显示,上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关,其编号为 CVE-2017-4924( CVSS 分值为 6.2)。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器,而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前,OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。 研究人员发布的第二处漏洞(CVE-2017-4925)被列为中等危害,其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是,具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。 第三处漏洞(CVE-2017-4926)也被列为中等危害,允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 JavaScript 代码。不过,研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。 原作者:Eduard Kovacs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软零日漏洞( CVE-2017-8759 )已被利用于传播恶意软件 FinSpy

据外媒 9 月 13 日报道,网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞( CVE-2017-8759 ),允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据,以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示,资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy,其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备,以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。目前,研究人员尚不清楚有多少用户已被攻击,也不了解此次攻击活动是否与俄罗斯政府有关。不过,好在作为微软每月安全更新的一部分,研究人员已发布漏洞修复补丁。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蓝牙协议被曝 8 处零日漏洞,逾 53 亿物联网设备易遭 BlueBorne 攻击

HackerNews.cc 9 月 12 日消息,网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux,甚至使用短距离无线通信技术的物联网设备。目前,这些漏洞影响逾 53 亿受害系统,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow ( 6.x )或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备,以及商业与面向消费者的 Linux 平台( Tizen OS )、BlueZ 与 3.3-rc1 系统。 据悉,安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) Ο Android 蓝牙网络封装协议(BNEP)服务中存在远程执行代码漏洞(CVE-2017-0781) Ο Android BNEP 个人区域网络(PAN)配置文件中存在远程执行代码漏洞(CVE-2017-0782) Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-0783) Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-8628) Ο Apple 低功耗音频协议存在远程执行代码漏洞(CVE Pending) 然而,安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”,允许攻击者完全接管支持蓝牙的设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害者进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围内。 另外,Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现,他的团队成功创建了一个僵尸网络,并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示,即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击,因为很难同时满足条件:所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前,Google 与 Microsoft 已经为其客户提供了安全补丁,而运行最新版本的移动操作系统(即 10.x)的 Apple iOS 设备也是安全的。不过,Android 用户还需等待其设备厂商发布修复补丁。在此期间,研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时将蓝牙关闭。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

友讯 D-Link 850L 无线路由器 10 处零日漏洞被露

HackerNews.cc  9 月 11 日消息,安全研究人员 Pierre Kim 近期发现台湾网络设备制造厂商生产的 D-Link 850L AC1200 双频 Gigabit 无线路由器(A、B 两个版本)存在十处零日漏洞,允许攻击者在拦截流量、上传恶意固件并获取 root 权限时远程劫持与控制受影响网络,致使所有连接设备遭受黑客攻击。目前 10 处漏洞均未被修复。 据悉,虽然 Pierre Kim 于去年发现并报告 D-Link-932B LTE 路由器存在多处高危漏洞,但并未引起公司重视。随后,类似事件于今年 2 月再次发生,研究人员发现 D-Link 产品存在 9 处安全漏洞。不过,公司仍未作出任何响应。因此,Pierre Kim 此次发现漏洞后选择公开具体细节并呼吁 D-Link 能够妥善解决此类问题。以下是 Pierre Kim 发现的 10 处零日漏洞列表,主要影响 D-Link 850L  Rev A 与 B 版本路由器: Ο 缺少适当固件保护:由于不存在固件镜像保护,因此攻击者可以向路由器上传新恶意固件。D-Link 850L Rev A 的固件完全没有保护,而 D-Link 850L RevB 的固件虽然受到保护,但使用硬编码密码。 Ο 跨站点脚本(XSS) 漏洞:D-Link 850L  A 路由器的 LAN 与 WAN 极易遭受 XSS 攻击,即允许攻击者使用经身份验证的用户账号窃取敏感数据。 Ο 检索管理员密码:D-Link 850L RevB 的 LAN 与 WAN 也很脆弱,允许攻击者检索管理员密码并使用 MyDLink 云协议将用户路由器系统添加至攻击者帐户,以便获取访问权限。 Ο 云协议薄弱:该漏洞将会影响 D-Link 850L RevA 与 RevB 版本路由器。MyDLink 协议利用未加密 TCP 通道,或将影响路由器与 MyDLink 帐户之间的通信协议。 Ο 后门访问:D-Link 850L RevB 路由器通过 Alphanetworks 进行后门访问,允许攻击者在路由器上获取 root shell。 Ο 在固件中使用硬编码专用密钥:D-Link 850L RevA 与 RevB 两者的固件中使用硬编码专用密钥,从而允许攻击者在获取后执行中间人(MitM)攻击。 Ο 未进行身份验证检查:允许攻击者通过非认证的 HTTP 请求更改 D-Link 850L RevA 路由器的 DNS 设置,将流量转发至服务器并控制路由器系统。 Ο 文件权限与凭证存储在明文中:D-Link 850L RevA 与 RevB 的本地文件权限与凭证允许攻击者公开访问。此外,路由器以明文形式存储用户凭据。 Ο 预认证 RCE 作为 root:在 D-Link 850L RevB 路由器上运行的内部 DHCP 客户端容易受到命令注入攻击,允许攻击者在受影响设备上获得 root 访问权限。 Ο 拒绝服务(DoS)漏洞:允许攻击者通过 LAN 远程操控 D-Link 850L RevA 与 RevB 后台程序。 对此,研究员 Kim 建议用户切断与受影响 D-Link 路由器的所有连接,以免发生上述攻击操作。此外,美国联邦贸易委员会(FTC)于今年早些时候就已起诉该公司,并指出 D-Link 产品存在安全问题,从而导致数千用户极易遭受黑客攻击。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。