分类: 漏洞事件

蓝牙协议被曝 8 处零日漏洞,逾 53 亿物联网设备易遭 BlueBorne 攻击

HackerNews.cc 9 月 12 日消息,网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux,甚至使用短距离无线通信技术的物联网设备。目前,这些漏洞影响逾 53 亿受害系统,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow ( 6.x )或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备,以及商业与面向消费者的 Linux 平台( Tizen OS )、BlueZ 与 3.3-rc1 系统。 据悉,安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) Ο Android 蓝牙网络封装协议(BNEP)服务中存在远程执行代码漏洞(CVE-2017-0781) Ο Android BNEP 个人区域网络(PAN)配置文件中存在远程执行代码漏洞(CVE-2017-0782) Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-0783) Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-8628) Ο Apple 低功耗音频协议存在远程执行代码漏洞(CVE Pending) 然而,安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”,允许攻击者完全接管支持蓝牙的设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害者进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围内。 另外,Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现,他的团队成功创建了一个僵尸网络,并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示,即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击,因为很难同时满足条件:所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前,Google 与 Microsoft 已经为其客户提供了安全补丁,而运行最新版本的移动操作系统(即 10.x)的 Apple iOS 设备也是安全的。不过,Android 用户还需等待其设备厂商发布修复补丁。在此期间,研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时将蓝牙关闭。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

友讯 D-Link 850L 无线路由器 10 处零日漏洞被露

HackerNews.cc  9 月 11 日消息,安全研究人员 Pierre Kim 近期发现台湾网络设备制造厂商生产的 D-Link 850L AC1200 双频 Gigabit 无线路由器(A、B 两个版本)存在十处零日漏洞,允许攻击者在拦截流量、上传恶意固件并获取 root 权限时远程劫持与控制受影响网络,致使所有连接设备遭受黑客攻击。目前 10 处漏洞均未被修复。 据悉,虽然 Pierre Kim 于去年发现并报告 D-Link-932B LTE 路由器存在多处高危漏洞,但并未引起公司重视。随后,类似事件于今年 2 月再次发生,研究人员发现 D-Link 产品存在 9 处安全漏洞。不过,公司仍未作出任何响应。因此,Pierre Kim 此次发现漏洞后选择公开具体细节并呼吁 D-Link 能够妥善解决此类问题。以下是 Pierre Kim 发现的 10 处零日漏洞列表,主要影响 D-Link 850L  Rev A 与 B 版本路由器: Ο 缺少适当固件保护:由于不存在固件镜像保护,因此攻击者可以向路由器上传新恶意固件。D-Link 850L Rev A 的固件完全没有保护,而 D-Link 850L RevB 的固件虽然受到保护,但使用硬编码密码。 Ο 跨站点脚本(XSS) 漏洞:D-Link 850L  A 路由器的 LAN 与 WAN 极易遭受 XSS 攻击,即允许攻击者使用经身份验证的用户账号窃取敏感数据。 Ο 检索管理员密码:D-Link 850L RevB 的 LAN 与 WAN 也很脆弱,允许攻击者检索管理员密码并使用 MyDLink 云协议将用户路由器系统添加至攻击者帐户,以便获取访问权限。 Ο 云协议薄弱:该漏洞将会影响 D-Link 850L RevA 与 RevB 版本路由器。MyDLink 协议利用未加密 TCP 通道,或将影响路由器与 MyDLink 帐户之间的通信协议。 Ο 后门访问:D-Link 850L RevB 路由器通过 Alphanetworks 进行后门访问,允许攻击者在路由器上获取 root shell。 Ο 在固件中使用硬编码专用密钥:D-Link 850L RevA 与 RevB 两者的固件中使用硬编码专用密钥,从而允许攻击者在获取后执行中间人(MitM)攻击。 Ο 未进行身份验证检查:允许攻击者通过非认证的 HTTP 请求更改 D-Link 850L RevA 路由器的 DNS 设置,将流量转发至服务器并控制路由器系统。 Ο 文件权限与凭证存储在明文中:D-Link 850L RevA 与 RevB 的本地文件权限与凭证允许攻击者公开访问。此外,路由器以明文形式存储用户凭据。 Ο 预认证 RCE 作为 root:在 D-Link 850L RevB 路由器上运行的内部 DHCP 客户端容易受到命令注入攻击,允许攻击者在受影响设备上获得 root 访问权限。 Ο 拒绝服务(DoS)漏洞:允许攻击者通过 LAN 远程操控 D-Link 850L RevA 与 RevB 后台程序。 对此,研究员 Kim 建议用户切断与受影响 D-Link 路由器的所有连接,以免发生上述攻击操作。此外,美国联邦贸易委员会(FTC)于今年早些时候就已起诉该公司,并指出 D-Link 产品存在安全问题,从而导致数千用户极易遭受黑客攻击。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ICS-CERT 发布安全警报:史密斯医疗设备 Medfusion 4000 无线注射泵存在八处安全漏洞

据外媒报道,美国工控系统网络应急响应团队 ICS-CERT 于 9 月 7 日发布安全警报,宣称史密斯医疗公司生产的 Medfusion 4000 无线注射泵存在八处安全漏洞,允许黑客在未经授权下远程访问系统、修改设备预期操作。其中,该设备最为严重的漏洞(CVE-2017-12725) CVSS 分值为 9.8,与使用硬编码的用户名与密码有关。因此,如果目标用户在该设备上默认配置,那么攻击者将会自动建立无线连接进行远程访问操作。 调查显示,受影响的注射仪器由全球卫生保健专业人员用于控制急性护理药物剂量。例如新生儿或儿科重症监护室以及手术室都将需要此注射仪器传输药物。据悉,研究人员经检测发现高危漏洞主要包括: 缓冲区溢出(CVE-2017-12718):允许黑客入侵目标系统,并在特定条件下远程执行恶意代码; 未经授权访问(CVE-2017-12720):如果该设备允许 FTP 连接,那么黑客可在未经授权下远程操控目标系统; 窃取硬编码凭证(CVE-2017-12724):允许黑客窃取目标系统 FTP 服务器的硬编码凭证; 缺乏主机证书验证(CVE-2017-12721):允许黑客瞄准目标设备开展中间人(MitM)攻击; 另外,其余漏洞均属于中等程度,即允许攻击者利用它们破坏目标设备的通信与操作模块,并使用硬编码凭证进行 telnet 认证后从配置文件中获取用户密码等敏感信息。 研究人员表示,上述八处漏洞仅影响 1.1、1.5 与 1.6 版本的固件设备。据称,史密斯正试图修复漏洞并计划于 2018 年 1 月发布最新版本 1.6.1 解决问题。与此同时,研究人员建议各医疗机构采取防御措施,包括设置静态 IP 地址、监控恶意服务器网络活动、定期创建备份等方案,直至补丁发布。 原作者:PSwati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

智能语音助手还敌不过一次小小的 “ 海豚攻击 ”?

自从人工智能成为新的风口之后,如今就变成了 “ 张口即来 ” 的时代。苹果的 Siri、Google Assistant、亚马逊的 Alexa、微软的 Cortana,甚至三星、小米和华为,都迫不及待地要上台好好比一比。 不过虽然动动嘴就能下指令让 “ 助手们 ” 帮你完成一切是挺好的,但这事却没那么简单。近期,来自浙江大学的研究团队就发现,如今市场上的热门智能语音助手都或多或少存在着一些安全漏洞,只要运用一个小小的技巧,就可以轻易地 “ 黑 ” 进去控制它们。 他们把这个小技巧命名为 “ 海豚攻击 ”(The DolphinAttack),只要将特殊的语音指令转换为类似于海豚的超声波,便可以在人类无法感知的情况下对智能语音助手下指令,实现 “ 隐形 ” 的操纵。 在测试中,研究人员不用像平时一样使用 “ Hey Siri ” 或者 “ Okay Google ” 唤醒智能语音助手,他们只要在一台智能手机上安装一个微型的话筒和扩音器,便可以采用 “ 海豚攻击 ” 对指令进行重新编码,然后就能偷偷地让你的 iPhone 拨号,让你的 MacBook 打开一个恶意网站,或者让你的亚马逊 Echo “ 敞开后门 ”。就连搭载了智能语音助手的奥迪 Q3,也能被控制着重新给自己的导航系统定位。 研究团队从理论上来说,只要了解了这个原理,稍微懂一些相关知识的人都可以完成这个 “ 攻击 ”。 在大部分情况下,这种 “ 攻击 ” 仅能在距离很近的范围内实现,因此一般对远处放置的智能语音音箱来说,要通过这种方式进行控制稍微有点难度。不过对于如今能够随身携带的各类智能手表、手机等设备来说,攻击者要想“黑”进去就比较容易了。 比如说攻击者可以在人群中使用手机播放一段人耳听不到的超声波指令,那么周边的设备就很容易被这种指令所 “ 劫持 ”,去完成攻击者所下达的命令。 根据这支来自浙大的团队近期发表的论文,如今市面上包括 Siri、Alexa、Google Assistant 等在内的主流智能语音助手,都可以捕捉到超过 20kHz 的声波。但对于人耳来说,20 kHz 却是一个临界值。 为什么这些公司宁可留着这么一个漏洞也不考虑提高一下产品的安全等级呢?这就不得不提到到产品的易用性了。 首先,为了能更好地 “ 理解 ” 用户下达的指令,这些语音助手们实际上需要尽可能多地捕捉各种语音信息——包括人耳可以接收到的声音以及人类听不到的各种音频。如果为了提高安全性而减少它们能接收的声音范围的话,这些语音助手可能就没法那么“ 智能 ” 了。 其次,很多公司为了给智能语音助手创造更多的使用场景,已经在各种设备互联中使用了超声波连接。比如说亚马逊可以自动下单的 Dash Button 和手机的连接,大概使用的音频在 18 kHz 左右。对于普通用户来说,他们基本感知不到这种被 “ 隐形化 ” 的连接声音,因此才能获得一种类似魔法般的使用体验。 正因为如此,这种 “ 用户友好型 ” 的设计和数据信息安全越来越成为一种悖论般的存在。来自非营利性机构 SimplySecure 的设计总监 Ame Elliott 表示:我认为硅谷方面在关于产品会不会被滥用还存在很多盲点,很多时候产品规划和设计并不如想象中那么完善。语音控制系统显然很难去保障安全,这方面应该提高警惕。 目前,还是有一些措施可以防范类似于 “ 海豚攻击 ” 的行为。比如说关闭 Siri 和 Google Assistant 的常开装置,这样黑客就没办法通过这种方式侵入你的手机了;而对于亚马逊和 Google Home 这样的智能音箱来说,它们本身就有可以静音的设置。 不过如今这些保护措施还是处于“用户自我防范”的状态,各大厂商们会对此采取什么防范措施,仍然是个未知数。 稿源:凤凰科技,封面源自网络;

Windows 内核 Bug 阻止安全软件识别恶意程序

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉,该 Bug 影响 PsSetLoadImageNotifyRoutine,它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名,并将恶意程序伪装成合法操作。 安全研究员称,该 bug 影响 Windows 2000 之后的所有版本,包括最近发布的 Windows 10。研究人员称,微软不认为这是一个安全问题。 稿源:cnBeta、solidot奇客,封面源自网络;

万事达卡系统存在严重缺陷,允许黑客通过无效付款手段欺骗商家支付成功

据外媒报道,依靠万事达卡互联网网关服务( MIGS )处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为安全研究人员 Yohanes Nugroho 近期在 MIGS 协议中发现了一处明显漏洞,允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。 Yohanes Nugroho 认为安全系统的验证协议存在严重缺陷,而万事达卡(Mastercard)似乎完全忽视了这一问题。Yohanes Nugroho 解释说:“这可以说是一个 MIGS 客户端错误,但是 Mastercard 选择的哈希方法允许这样做。如果 Mastercard 选择加密相关数据,这个问题是不可能发生的 ”。 根据 Nugroho 的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过 Mastercard 的系统,直接将请求转交给供应商。 正如 Yohanes Nugroho 观察到的那样,交易是否成功的数据不仅没有被 MIGS 服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达 Mastercard 的服务器,所以仍然容易受到欺骗。这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因。 稿源:cnBeta,封面源自网络;

Android Oreo 新 Bug:开 Wi-Fi 仍使用移动数据

据 Reddit 网友 Unusual_Sauce 爆料,Android Oreo 存在一处新 Bug,或将导致用户在开启 Wi-Fi 之后仍被吞噬宝贵的移动数据。不过 Google 方面已经知晓此事,现正抓紧制作修复补丁。Unusual_Sauce 表示,他在升级 Android Oreo 后发现 —— 如果同时开启 Wi-Fi 和移动数据,系统可能会无视已经连上的无线热点,而是继续只使用移动数据。 “在联系支持人员后,我被告知他们已经获悉此事,且正制作修复补丁。与此同时,我必须到家就手动关闭移动数据开关,以确保仅使用 Wi-Fi 网络”。 当然,该问题的起因是开发人员选项中的某个设置。为了方面测试,Android Oreo 最终编译版本中默认启用了“始终开启移动数据”这个功能。如果你想要预防这个 bug,也只需手动关闭此选项。 稿源:cnBeta,封面源自网络;

预警 | Apache Struts2 S2-052 又现高危远程代码执行漏洞(CVE-2017-9805)

据 HackerNews.cc 5 日消息,Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞(CVE-2017-9805),在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时,没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围: ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案: ○ 目前网络上已有 POC (未经验证)公布,请用户尽快升级 Apache Struts 版本至 2.5.13; ○  不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs: <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认,创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息: ○ 官方发布的详细内容:https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告:https://www.seebug.org/vuldb/ssvid-96420

主要移动芯片供应商的引导程序存在多处安全漏洞

据外媒报道,研究人员近期发现主要移动芯片供应商的 Android 引导程序组件存在多处安全漏洞,允许黑客在引导次序中打破信任链,从而为其打开攻击大门。 加州圣芭芭拉的计算机科学家随后开发了一款专门测试与分析引导程序的工具 BootStomp。据悉,他们选择了高通、NVIDIA、联发科和华为海思的五款产品进行测试,发现了 7 处安全漏洞,其中有一处于 2014 年就被曝光过。对于其余 6 处新漏洞,供应商已经证实其中 5 处。 此外,研究人员称,上述漏洞允许执行任意代码或执行永久性的拒绝服务攻击,其中 2 处漏洞还能被有 root 权限的攻击者利用。 稿源:solidot奇客,封面源自网络;

美国 Arris 数据机被曝存在多处漏洞,影响逾 22 万台装置

研究人员 Nomotion 于本周揭露美国通讯设备制造商 Arris 所生产的多款数据机各含不同安全漏洞,允许黑客取得完整的装置权限。 Nomotion 在 NVG589 与 NVG599 两款数据机上所发现的漏洞为固定凭证漏洞,它们的帐号是 remotessh,密码为 5SaP9I26,最近的韧体更新开启了 SSH,因而允许黑客借由 SSH 存取 cshell 客户端,检视或变更 Wi-Fi 网络的 SSID 与密码,还能修改网络设定或刷新韧体。估计约有 1.5 万台 Arris 数据机含有该漏洞。 此外,那些内建网页服务器并采用 49955 传输埠的 Arris 数据机也采用固定凭证,其帐号为 tech,密码则只要留白就能进入,也含有命令注入漏洞,允许骇客于网页服务器上执行介壳命令,相关漏洞约影响逾 22 万台装置。若事先知道某个装置的序号,则能通过基于 61001 传输埠的服务漏洞取得装置的详细资讯。若装置开启了 49152 传输埠,将让黑客利用特定的 HTTP 请求绕过装置内的防火墙并连结至该装置。 Nomotion 主要调查的是美国 AT&T 旗下 U-verse 服务所出售或租赁的 Arris 数据机,AT&T 拥有订制这些数据机韧体的权限,但有些漏洞同时出现在 Arris 数据机的标准版韧体或订制化韧体中。Nomotion 认为,很难判断这些漏洞的责任归属,也许是将这些装置提供给消费者的 AT&T,或者是数据机制造商,也可能双方都必须负责。不论如何,迄今并未侦测到针对上述漏洞的攻击行动。 稿源:iThome、Woku网,封面源自网络;