分类: 漏洞事件

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法,目前全球已超过 20 万台路由器受到了攻击影响,其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器重新启动。这不仅导致了网络中断,并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统,但只袭击了俄罗斯或伊朗的路由器,并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

思科智能安装协议遭到滥用,数十万关键基础设施倍感压力

外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法,他们发现试图检测设备的互联网扫描量大幅增加,因为这些设备在完成安装后,其智能安装功能仍处于启用状态,并且没有适当的安全控制,以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS,IOS XE 或智能安装功能本身中的漏洞,而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”,其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底,思科修补了其 IOS 软件中的 30 多个漏洞,包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的,攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装(SMI)协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现,有 168,000 个系统在线暴露。 思科安全公告: 《Cisco Smart Install Protocol Misuse》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

macOS High Sierra 以明文存储外部 APFS 驱动密码

根据 Mac 取证专家 Sarah Edwards 的报告,新版 macOS High Sierra 再次出现 APFS(苹果文件系统)漏洞,以明文形式记录 APFS 格式化外部驱动器的密码,并将此信息存储在非易失性(磁盘上)日志文件中。 攻击者可以利用这个漏洞轻易获取加密 APFS 外部驱动(如 USB 驱动器、便携式硬盘驱动器驱动和其他外部存储介质)的密码。这个漏洞违反了所有已经确立的 Apple 开发和安全规则,根据这些规则,应用程序和实用程序应该使用 Keychain 应用程序来存储有价值的信息,并且应该明确避免以明文形式存储密码。 目前,macOS High Sierra 的 10.13 版本到 10.13.3 版本都受影响。苹果尚未发布补丁。 稿源:freebuf,封面源自网络;

GNOME Shell 内存泄露问题正在修复中,原因竟是忘记进行垃圾回收

GNOME Shell 被发现存在内存泄露的问题,现在官方开发团队已确认导致这个问题的原因 —— 忘记进行垃圾回收…… GNOME 称目前正在修复该问题。“触发垃圾回收能够将 GNOME Shell 使用的内存量减少到正常水平”  GNOME 开发者花了大约一周的时间来定位问题的根源,不过内存泄漏的原因(看起来)已经确定。 GNOME 开发者 Georges Basile Stavracas 在仔细研究他在 GitLab 上关于 bug 的测试、检查和调查结果的过程中,似乎发现了导致这个 bug 的原因,“……有些问题伴随着垃圾回收器一起出现。” Georges Basile Stavracas 表示,在他放弃寻找内存泄漏原因的所有希望之后,发现了一个非常有趣的行为,并且可以重现这个过程。他推断只有一系列相互依赖的对象的根对象被回收后,才能最终确定它的子对象/依赖对象会被标记为 GC 状态。 通过运行 GJS(GNOME 的 JavaScript 绑定) 的垃圾回收器,Stavracas 称能够减少大约 250MB 的内存使用量(GNOME Shell 在启动时的消耗)。 不过目前关于这个 bug 的补丁尚未发布,依旧处于修复中的状态。所以不能确定下个月发布的 18.04 LTS 是否包含这个 bug 的修复,如果没有,只能期待后续的更新。 而 Ubuntu 17.10 和 Ubuntu 18.04 LTS 在 Launchpad 上关于 GNOME Shell 的内存泄露问题已被标记为“关键”和“高”优先级级别,这表明 Ubuntu 对这个问题足够关心,将会及时提供修补建议。 稿源:cnBeta,封面源自网络  

罗克韦尔 Allen Bradley MicroLogix 1400 系列工控设备曝多项严重漏洞

罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统(ICS)的应用和流程,这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。 但近日, Cisco Talos 却在 PLCs 中发现了一些安全漏洞,可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。根据工业控制过程中受影响的 PLCs 来看,漏洞可能还会导致更严重的损害。 Allen-Bradley MicroLogix 1400 B 系列漏洞详情: 以太网卡格式错误的数据包拒绝服务漏洞(TALOS-2017-0440 / CVE-2017-12088) 该漏洞允许未经身份验证的攻击者发送特制数据包,从而使受影响的设备进入电源循环并进入故障状态,这种情况会导致先前存储在设备上的梯形逻辑被删除。需要注意的是,这个漏洞不是通过以太网/ IP 协议来利用的,因此使用 RSLogix 来禁用以太网/ IP 不会提供有效的缓解。 梯形图逻辑程序下载设备故障拒绝服务漏洞(TALOS-2017-0441 / CVE-2017-12089) 该漏洞允许未经身份验证的攻击者发送导致拒绝服务条件的特制数据包。该漏洞位于受影响设备的程序下载功能中,允许攻击者通过发送“ 执行命令列表 ”(CMD 0x0F,FNC 0x88)数据包而不使用“下载完成”( CMD 0x0F, FNC 0x52 )来强制设备进入故障状态( CMD 0x0F,FNC 0x52)。当出现这种情况时,设备会将此作为故障状态处理,进入非用户故障模式,从而导致设备停止正常操作并删除任何存储的逻辑。 SNMP 集处理不正确的行为顺序拒绝服务漏洞(TALOS-2017-0442 / CVE-2017-12090) 该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关,可能会允许经过身份验证的攻击者在受影响的设备上发生拒绝服务条件。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中最终命令关联的后续’snmp-set’命令,攻击者可以迫使该设备在重新启动过程中无法使用。 未经身份验证的数据/程序/功能文件访问控制漏洞不正确(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473) 该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取和写入操作,这可以用于从受影响的设备中检索敏感信息(包括设备主密码)、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。 内存模块存储程序文件写入漏洞(TALOS-2017-0444 / CVE-2017-12092) 该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改,直到设备重新启动后才能生效。随后,攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置,从而导致启用的服务发生更改。 PLC 会话通信资源池拒绝服务漏洞不足(TALOS-2017-0445 / CVE-2017-12093) 该漏洞存在于受影响设备的会话连接功能中,默认情况下,这些设备最多支持 10 个同时连接。一旦达到最大值,设备将终止最早的连接,以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包,以强制终止合法连接,并阻止对受影响设备建立额外的合法连接。 Cisco Talos 经过测试已经确认以下版本受到漏洞影响: Allen-Bradley Micrologix 1400 B系列FRN 21.003 Allen-Bradley Micrologix 1400 B系列FRN 21.002 Allen-Bradley Micrologix 1400 B系列FRN 21.0 Allen-Bradley Micrologix 1400 B系列FRN 15 由于这些设备通常用于支持关键的工业控制过程,因此建议将受影响设备升级到最新版本的固件,以便不再受到这些漏洞的影响。 消息来源:Cisco Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Intel 官方回应 CPU 漏洞:现有防护措施同样有效

就在 Intel 宣布过去五年处理器上的熔断、幽灵两大安全漏洞已经全部修复完毕之后,又有研究人员公布了一个新的漏洞,再掀波澜。据研究人员称,这个名为 BranchScope 的新漏洞已在 Intel Sandy Bridge 二代酷睿、Haswell 四代酷睿、Skylake 六代酷睿上确认存在,和幽灵漏洞第二变种类似,也是涉及 CPU 的分支预测功能,可借助定向分支预测器诱骗 CPU 访问特制数据,从而发起攻击。 现在,我们拿到了 Intel 就此漏洞的官方回应。 Intel 表示,已经与相关研究人员合作,并确认新漏洞的攻击方式和此前已知的侧信道分析(side-channel attack)漏洞相似。 Intel 预计,此前对付已知侧信道漏洞的软件防护措施,比如加密算法,对于新的漏洞攻击是同样有效的。 换言之,这次曝光的新漏洞和之前的确实很类似,防护起来也差不多,因此影响不会太大,大家可以稍稍安心了。 Intel 官方回应全文如下: 我们已经与这些研究人员展开合作,并已确认他们所描述的攻击方式与此前已知的侧信道分析漏洞类似。 我们预计,用于应对此前已知的侧信道漏洞的软件防护措施,如使用加密算法防御侧信道攻击,对于该论文所述的攻击方式同样有效。 我们相信与研究人员的密切合作是保护客户及其数据的最佳途径之一,我们对这些研究人员的工作表示赞赏。 稿源:cnBeta、快科技,封面源自网络;

GitHub 安全警告计划已检测出 400 多万个漏洞

Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库,对于私有库,只扫描依赖图。每当发现有漏洞,库管理员都可以收到消息提示,其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript,不过 Github 表示 2018 年计划支持 Python。 稿源:cnBeta、开源中国,封面源自网络;

英媒:Facebook 泄露数据目前仍未被删除

据英国媒体爆料,尽管 Cambridge Analytica 极力否认,但是该公司并没有将从 Facebook那里获取的用户数据删除,至少是没有全部删除。大量用户的信息和数据落或许已经落到了其他第三方手中。 英国媒体 Channel 4 报道,他们从“ Cambridge Analytica 的消息源处”获得了 13.6 万用户的数据。 Channel 4 表示,他们所获得的这些数据均来自 Facebook,用户大多来自科罗拉多,这些数据也曾经被 Cambridge Analytica 使用来干扰大选。更糟糕的是,现在谁也不能确定还有哪些其他人或机构依然拥有这些数据,尽管 Cambridge Analytica 一直称他们已经删除了这些利用非正当方式所获得的数据。这对于那些个人信息被盗取的用户来说显然不是一件好事。 一位名叫詹尼斯(Janice)的用户在接受 Channel 4 采访的时候表示:“ 一些不在乎社会的人操纵了我们的社会。他们关心的只是自己的生意。他们只在乎自己,根本不关心我们。他们要操纵我们,因为我们既是选民也是消费者。” 对于 Facebook CEO 马克·扎克伯格(Mark Zuckerberg)来说,这个消息足以让他更加焦头烂额。在本月 21 日的时候扎克伯格发表了一篇博文,他在这篇博文中称 Facebook 曾经要求 Cambrige Analytica 和剑桥大学的研究人员删除这些通过不当手段所获取的数据。而且对方也的确向Facebook提供了数据删除证明。 扎克伯格表示:“他们提供了与数据删除相关的证明。” 很显然,Facebook 并没有去核实证明的真实性,也没有调查 Cambrige Analytica 是否真的删除了这些用户的数据。 稿源:新浪科技,封面源自网络;

Windows 7 Meltdown 补丁被发现严重漏洞 允许任意进程读写内核内存

认为英特尔芯片的 Meltdown 漏洞是灾难?还有更严重的,那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁,它允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞,而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。 想知道你的 Windows 7 系统是否受到影响,可以从 Github 上下载 PCILeech 测试。 稿源:cnBeta、solidot,封面源自网络;

最新水坑攻击样本仍然利用朝鲜黑客的 Flash 漏洞

Morphisec 警告称,有人利用香港电信公司网站进行攻击,攻击开始使用最近的 Flash 漏洞,该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。 韩国互联网与安全局(KISA)发布警告提到 CVE-2018-4878 漏洞,并表示漏洞被朝鲜黑客利用后,Adobe 在一周内修补了漏洞。 Morphisec 指出,最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。 由于新的攻击手法没有生成文件,也没有在硬盘中留下痕迹,因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议 安全研究人员指出:“一般来说,这种先进的水坑攻击本质上是高度针对性的,应该有一个非常先进的组织在进行支持。” 隐蔽性增强 这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似,尽管他们使用了不同的 shellcode。 攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。 安全研究人员还发现,命令和控制(C&C)服务器通过 443 端口使用自定义协议与受害者进行通信。 下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译,攻击在不到一周的时间里开始。 尽管有这些先进的隐蔽功能,但这次攻击使用了基本的  Metasploit 框架组件,这些组件在攻击之前编译,并且没有混淆,这对攻击的溯源造成了困难。 Morphisec 表示,这次攻击针对几周前的 CVE-2018-4878,而攻击又来自具有国家背景的组织,这些都造成了某种似曾相识的感觉。 稿源:freebuf,封面源自网络;