分类: 漏洞事件

ICS-CERT 发布安全警报:史密斯医疗设备 Medfusion 4000 无线注射泵存在八处安全漏洞

据外媒报道,美国工控系统网络应急响应团队 ICS-CERT 于 9 月 7 日发布安全警报,宣称史密斯医疗公司生产的 Medfusion 4000 无线注射泵存在八处安全漏洞,允许黑客在未经授权下远程访问系统、修改设备预期操作。其中,该设备最为严重的漏洞(CVE-2017-12725) CVSS 分值为 9.8,与使用硬编码的用户名与密码有关。因此,如果目标用户在该设备上默认配置,那么攻击者将会自动建立无线连接进行远程访问操作。 调查显示,受影响的注射仪器由全球卫生保健专业人员用于控制急性护理药物剂量。例如新生儿或儿科重症监护室以及手术室都将需要此注射仪器传输药物。据悉,研究人员经检测发现高危漏洞主要包括: 缓冲区溢出(CVE-2017-12718):允许黑客入侵目标系统,并在特定条件下远程执行恶意代码; 未经授权访问(CVE-2017-12720):如果该设备允许 FTP 连接,那么黑客可在未经授权下远程操控目标系统; 窃取硬编码凭证(CVE-2017-12724):允许黑客窃取目标系统 FTP 服务器的硬编码凭证; 缺乏主机证书验证(CVE-2017-12721):允许黑客瞄准目标设备开展中间人(MitM)攻击; 另外,其余漏洞均属于中等程度,即允许攻击者利用它们破坏目标设备的通信与操作模块,并使用硬编码凭证进行 telnet 认证后从配置文件中获取用户密码等敏感信息。 研究人员表示,上述八处漏洞仅影响 1.1、1.5 与 1.6 版本的固件设备。据称,史密斯正试图修复漏洞并计划于 2018 年 1 月发布最新版本 1.6.1 解决问题。与此同时,研究人员建议各医疗机构采取防御措施,包括设置静态 IP 地址、监控恶意服务器网络活动、定期创建备份等方案,直至补丁发布。 原作者:PSwati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

智能语音助手还敌不过一次小小的 “ 海豚攻击 ”?

自从人工智能成为新的风口之后,如今就变成了 “ 张口即来 ” 的时代。苹果的 Siri、Google Assistant、亚马逊的 Alexa、微软的 Cortana,甚至三星、小米和华为,都迫不及待地要上台好好比一比。 不过虽然动动嘴就能下指令让 “ 助手们 ” 帮你完成一切是挺好的,但这事却没那么简单。近期,来自浙江大学的研究团队就发现,如今市场上的热门智能语音助手都或多或少存在着一些安全漏洞,只要运用一个小小的技巧,就可以轻易地 “ 黑 ” 进去控制它们。 他们把这个小技巧命名为 “ 海豚攻击 ”(The DolphinAttack),只要将特殊的语音指令转换为类似于海豚的超声波,便可以在人类无法感知的情况下对智能语音助手下指令,实现 “ 隐形 ” 的操纵。 在测试中,研究人员不用像平时一样使用 “ Hey Siri ” 或者 “ Okay Google ” 唤醒智能语音助手,他们只要在一台智能手机上安装一个微型的话筒和扩音器,便可以采用 “ 海豚攻击 ” 对指令进行重新编码,然后就能偷偷地让你的 iPhone 拨号,让你的 MacBook 打开一个恶意网站,或者让你的亚马逊 Echo “ 敞开后门 ”。就连搭载了智能语音助手的奥迪 Q3,也能被控制着重新给自己的导航系统定位。 研究团队从理论上来说,只要了解了这个原理,稍微懂一些相关知识的人都可以完成这个 “ 攻击 ”。 在大部分情况下,这种 “ 攻击 ” 仅能在距离很近的范围内实现,因此一般对远处放置的智能语音音箱来说,要通过这种方式进行控制稍微有点难度。不过对于如今能够随身携带的各类智能手表、手机等设备来说,攻击者要想“黑”进去就比较容易了。 比如说攻击者可以在人群中使用手机播放一段人耳听不到的超声波指令,那么周边的设备就很容易被这种指令所 “ 劫持 ”,去完成攻击者所下达的命令。 根据这支来自浙大的团队近期发表的论文,如今市面上包括 Siri、Alexa、Google Assistant 等在内的主流智能语音助手,都可以捕捉到超过 20kHz 的声波。但对于人耳来说,20 kHz 却是一个临界值。 为什么这些公司宁可留着这么一个漏洞也不考虑提高一下产品的安全等级呢?这就不得不提到到产品的易用性了。 首先,为了能更好地 “ 理解 ” 用户下达的指令,这些语音助手们实际上需要尽可能多地捕捉各种语音信息——包括人耳可以接收到的声音以及人类听不到的各种音频。如果为了提高安全性而减少它们能接收的声音范围的话,这些语音助手可能就没法那么“ 智能 ” 了。 其次,很多公司为了给智能语音助手创造更多的使用场景,已经在各种设备互联中使用了超声波连接。比如说亚马逊可以自动下单的 Dash Button 和手机的连接,大概使用的音频在 18 kHz 左右。对于普通用户来说,他们基本感知不到这种被 “ 隐形化 ” 的连接声音,因此才能获得一种类似魔法般的使用体验。 正因为如此,这种 “ 用户友好型 ” 的设计和数据信息安全越来越成为一种悖论般的存在。来自非营利性机构 SimplySecure 的设计总监 Ame Elliott 表示:我认为硅谷方面在关于产品会不会被滥用还存在很多盲点,很多时候产品规划和设计并不如想象中那么完善。语音控制系统显然很难去保障安全,这方面应该提高警惕。 目前,还是有一些措施可以防范类似于 “ 海豚攻击 ” 的行为。比如说关闭 Siri 和 Google Assistant 的常开装置,这样黑客就没办法通过这种方式侵入你的手机了;而对于亚马逊和 Google Home 这样的智能音箱来说,它们本身就有可以静音的设置。 不过如今这些保护措施还是处于“用户自我防范”的状态,各大厂商们会对此采取什么防范措施,仍然是个未知数。 稿源:凤凰科技,封面源自网络;

Windows 内核 Bug 阻止安全软件识别恶意程序

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉,该 Bug 影响 PsSetLoadImageNotifyRoutine,它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名,并将恶意程序伪装成合法操作。 安全研究员称,该 bug 影响 Windows 2000 之后的所有版本,包括最近发布的 Windows 10。研究人员称,微软不认为这是一个安全问题。 稿源:cnBeta、solidot奇客,封面源自网络;

万事达卡系统存在严重缺陷,允许黑客通过无效付款手段欺骗商家支付成功

据外媒报道,依靠万事达卡互联网网关服务( MIGS )处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为安全研究人员 Yohanes Nugroho 近期在 MIGS 协议中发现了一处明显漏洞,允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。 Yohanes Nugroho 认为安全系统的验证协议存在严重缺陷,而万事达卡(Mastercard)似乎完全忽视了这一问题。Yohanes Nugroho 解释说:“这可以说是一个 MIGS 客户端错误,但是 Mastercard 选择的哈希方法允许这样做。如果 Mastercard 选择加密相关数据,这个问题是不可能发生的 ”。 根据 Nugroho 的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过 Mastercard 的系统,直接将请求转交给供应商。 正如 Yohanes Nugroho 观察到的那样,交易是否成功的数据不仅没有被 MIGS 服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达 Mastercard 的服务器,所以仍然容易受到欺骗。这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因。 稿源:cnBeta,封面源自网络;

Android Oreo 新 Bug:开 Wi-Fi 仍使用移动数据

据 Reddit 网友 Unusual_Sauce 爆料,Android Oreo 存在一处新 Bug,或将导致用户在开启 Wi-Fi 之后仍被吞噬宝贵的移动数据。不过 Google 方面已经知晓此事,现正抓紧制作修复补丁。Unusual_Sauce 表示,他在升级 Android Oreo 后发现 —— 如果同时开启 Wi-Fi 和移动数据,系统可能会无视已经连上的无线热点,而是继续只使用移动数据。 “在联系支持人员后,我被告知他们已经获悉此事,且正制作修复补丁。与此同时,我必须到家就手动关闭移动数据开关,以确保仅使用 Wi-Fi 网络”。 当然,该问题的起因是开发人员选项中的某个设置。为了方面测试,Android Oreo 最终编译版本中默认启用了“始终开启移动数据”这个功能。如果你想要预防这个 bug,也只需手动关闭此选项。 稿源:cnBeta,封面源自网络;

预警 | Apache Struts2 S2-052 又现高危远程代码执行漏洞(CVE-2017-9805)

据 HackerNews.cc 5 日消息,Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞(CVE-2017-9805),在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时,没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围: ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案: ○ 目前网络上已有 POC (未经验证)公布,请用户尽快升级 Apache Struts 版本至 2.5.13; ○  不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs: <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认,创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息: ○ 官方发布的详细内容:https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告:https://www.seebug.org/vuldb/ssvid-96420

主要移动芯片供应商的引导程序存在多处安全漏洞

据外媒报道,研究人员近期发现主要移动芯片供应商的 Android 引导程序组件存在多处安全漏洞,允许黑客在引导次序中打破信任链,从而为其打开攻击大门。 加州圣芭芭拉的计算机科学家随后开发了一款专门测试与分析引导程序的工具 BootStomp。据悉,他们选择了高通、NVIDIA、联发科和华为海思的五款产品进行测试,发现了 7 处安全漏洞,其中有一处于 2014 年就被曝光过。对于其余 6 处新漏洞,供应商已经证实其中 5 处。 此外,研究人员称,上述漏洞允许执行任意代码或执行永久性的拒绝服务攻击,其中 2 处漏洞还能被有 root 权限的攻击者利用。 稿源:solidot奇客,封面源自网络;

美国 Arris 数据机被曝存在多处漏洞,影响逾 22 万台装置

研究人员 Nomotion 于本周揭露美国通讯设备制造商 Arris 所生产的多款数据机各含不同安全漏洞,允许黑客取得完整的装置权限。 Nomotion 在 NVG589 与 NVG599 两款数据机上所发现的漏洞为固定凭证漏洞,它们的帐号是 remotessh,密码为 5SaP9I26,最近的韧体更新开启了 SSH,因而允许黑客借由 SSH 存取 cshell 客户端,检视或变更 Wi-Fi 网络的 SSID 与密码,还能修改网络设定或刷新韧体。估计约有 1.5 万台 Arris 数据机含有该漏洞。 此外,那些内建网页服务器并采用 49955 传输埠的 Arris 数据机也采用固定凭证,其帐号为 tech,密码则只要留白就能进入,也含有命令注入漏洞,允许骇客于网页服务器上执行介壳命令,相关漏洞约影响逾 22 万台装置。若事先知道某个装置的序号,则能通过基于 61001 传输埠的服务漏洞取得装置的详细资讯。若装置开启了 49152 传输埠,将让黑客利用特定的 HTTP 请求绕过装置内的防火墙并连结至该装置。 Nomotion 主要调查的是美国 AT&T 旗下 U-verse 服务所出售或租赁的 Arris 数据机,AT&T 拥有订制这些数据机韧体的权限,但有些漏洞同时出现在 Arris 数据机的标准版韧体或订制化韧体中。Nomotion 认为,很难判断这些漏洞的责任归属,也许是将这些装置提供给消费者的 AT&T,或者是数据机制造商,也可能双方都必须负责。不论如何,迄今并未侦测到针对上述漏洞的攻击行动。 稿源:iThome、Woku网,封面源自网络;

开源系统 GitLab 存在高危漏洞,用户私有令牌或遭会话劫持

据外媒 近日报道,数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼(Daniel Svartman)今年 5 月发现开源系统 GitLab 存在一处高危漏洞,能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三,GitLab 官方才确认已彻底解决这一问题。 研究人员指出,如果攻击者通过该漏洞成功破解某一帐户,那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外,攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时,由于 GitLab 使用的永久性私有会话令牌永远不会过期,因此当攻击者获取该令牌后受害账户随时可能遭受入侵。另外,值得注意的是,该令牌仅由 20 个字符组成,这使目标账户遭受暴力攻击的几率显著增加。 研究人员表示尚不清楚该漏洞已出现多久,而 GitLab 方面则澄清截止目前并没有用户遭受恶意攻击的案例。GitLab 安全主管 Brian Neel 强调:“ GitLab 现使用的私有令牌只能在与跨站点脚本或其他漏洞相结合时,才会对用户构成威胁。对此,GitLab 官方正积极采取更安全的措施以避免账户会话数据泄露 ”。 原作者:Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

通讯运营商放任 SS7 协议漏洞 20 年,致使电话短信存在安全隐患

据外媒报道,部分通讯社区成员早在多年前就知晓严重的 SS7 协议漏洞,允许追踪全球手机、拦截呼叫和文本短信,但运营商却一直没有采取行动。The Daily Beast 指出,业内人士知晓 SS7 漏洞问题已有 20 年,相关信息在 1998 年的欧洲通讯标准协会(ETSI)文档中即有披露:“ SS7 中缺乏足够的安全性,移动运营商需要保护自己不被黑客攻击。如有疏忽,可能导致网络停止或无法正常运行”。 目前,SS7 系统中的这一问题,是信息可在某种未受控的方式下被修改和注入全球 SS7 网络中。 在美国,联邦通讯委员会(FCC)一直鼓励通讯运营商自行部署安全措施,以防止针对 SS7 协议的漏洞攻击。 但批评人士指出,这种自我监管的措施相当失败,过去 20 年里的 SS7 防护进展甚微。 稿源:cnBeta,封面源自网络;