分类: 漏洞事件

微软:国家赞助发起的网络攻击日益频繁 为 XP 等旧系统发布安全更新

上月鉴于肆虐全球的 WannaCry 勒索病毒,微软向已经停止支持的 Windows XP 系统发布了修复补丁。在本月的补丁星期二(13 日)活动中,微软再次面向 Windows XP 发布多款安全更新,并警告用户现在由政府赞助发起的网络攻击已经越来越频繁了。 援引外媒 The Verge 报道,在本月的补丁星期二活动中微软面向已经停止支持的 Windows XP 和 Vista 系统发布了多个安全补丁。微软表示发布这些补丁的原因是近年来网络攻击的危险等级不断攀升,从之前的独立开发者到后来的黑客组织,而现在已经看到了国家政府在背后支持的身影。 微软应急处理总经理 Adrienne Hall 表示: 回顾这个月发布的更新,部分漏洞的网络攻击风险非常的高,而在这些网络攻击的背后我们看到了政府机构等类似机构的身影。为了处理这些风险,今天我们通过常规的补丁星期二活动提供了额外的安全更新。这些安全更新是为所有微软用户所准备的,其中就包括那些使用旧版本 Windows 系统的用户。 稿源:cnBeta,封面源自网络 相关阅读:Windows 修复的两个严重远程代码执行漏洞(CVE-2017-8543/8464)说明

英国 Virgin Media 两款无线家庭网络路由器存在安全漏洞

据外媒 6 月 12 日报道,网络安全公司 Context 研究人员近期发现,英国互联网服务提供商 Virgin Media 旗下的无线家庭网络路由器 Netgear Super Hub 2/2AC  “ 自定义备份配置 ” 功能中存在一处安全漏洞,可允许攻击者完全控制目标系统软件、监控与之连接的 PC 端、智能手机与平板电脑的网络流量。 虽然这些设备的备份配置已被完全加密,但经研究人员深入分析发现,几乎所有英国家庭都在使用同一个设备密钥。Context 声称,从理论上讲该漏洞意味着黑客除了可以访问管理面板中心外,还可下载配置文件、添加额外指令启用远程访问,甚至更进一步控制路由器、拦截设备流量。 据悉,该漏洞最初于 2016 年 10 月发现。Virgin Media 表示,他们在与 Context 和 Netgear 共同协作下于上月底释出补丁、更新固件。 漏洞分析报告:《Hacking the Virgin Media Super Hub》。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

摩托罗拉手机 Moto G4/G5 机型存在高危内核命令行注入漏洞

据外媒报道,Aleph Research Motorola 安全研究人员在摩托罗拉手机 Moto G4/G5 机型中发现高危内核命令行注入漏洞,允许攻击者利用本地恶意应用程序在移动设备上执行任意代码。 目前,该漏洞已影响摩托罗拉 Android Bootloader( ABOOT )最新版本手机。即攻击者可通过注入参数 initrd 以及滥用 ABOOT 下载功能强制 Linux 内核在指定物理地址 SCRATCH-ADDR 加载 initramfs 恶意映像并填充至 rootfs。 今年早些时候,Aleph Research 安全专家在摩托罗拉 Nexus 6 ABOOT 中发现相同漏洞 CVE-2016-10277,允许本地攻击者通过破坏安全/已验证引导机制获取无限制 root 权限并加载恶意或经篡改的 initramfs 映像。目前,Google 已于上月提供修复该漏洞补丁。 安全专家表示,鉴于 Nexus 设备存在的内核命令行注入漏洞可能会影响其他厂商设备,所以他们将于近期对摩托罗拉手机进行集中测试。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者利用 SambaCry 漏洞进行虚拟币挖矿

据外媒 6 月 10 日报道,卡巴斯基实验室研究人员发现网络犯罪分子正利用 SambaCry 漏洞( CVE-2017-7494 )进行虚拟货币挖矿操作。 SambaCry 能够允许黑客远程控制易受攻击的 Linux 与 Unix 系统,不过也仅能在特定情况下使用,即满足联网创建文件与共享端口 445 、配置写入权限的共享文件和文件使用已知服务器路径时,攻击者才可远程上传指定恶意代码并利用服务器加载执行。 SambaCry 具备网络蠕虫特性,目前全球至少 485,000 台计算机存在 Samba 漏洞并被暴露于互联网之中。据研究人员推测,近期使用 SambaCry 的网络攻击数量将会迅速增加。卡巴斯基实验室研究人员在设立蜜罐检测时,已发现一款恶意软件正利用 SambaCry 漏洞感染 Linux 系统并安装加密挖矿工具。一旦 Linux 设备遭受 SambaCry 漏洞攻击,攻击者将会在目标系统中执行两个不同 payloads: INAebsGB.so – 反向 shell,允许远程攻击者访问目标系统 cblRWuoCc.so – 后门,包含加密货币采矿工具的后门 CPUminer 被攻击的系统将会变成一个专门为攻击者挖掘虚拟货币的“私人矿场”。此外,通过系统中的反向壳,攻击者还可改变已经运行的矿工配置,或使用其他恶意软件感染受害者电脑。据卡巴斯基透露,这一攻击活动的幕后黑手已获利至少 5,380 美元。随着被攻击的 Linux 系统数量的增加,网络犯罪分子的收入也会随之递增。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

F-Secure 分析报告:中国互联网摄像机 Foscam 被曝 18 处漏洞

据外媒 6 月 8 日报道,全球领先安全公司 F-Secure 专家发现中国互联网摄像机 Foscam 产品存在 18 处漏洞,其允许攻击者接管互联网摄像机,上传与下载内置 FTP 服务器文件及查看用户视频。 F-Secure 表示,尽管他们于数月前就已在 Foscam C2 与 Opticam I5 HD 型号中发现漏洞并报告给 Foscam 制造商,但这些漏洞目前仍未被修复。安全专家认为,同样的漏洞可能会影响 Foscam 其他 14 个品牌型号,包括 Chacon、7links、Netis 与 Turbox 等。此外,攻击者还可利用该设备漏洞作为目标网络接入点,即或将危及本地网络中的其他互联网设备。 调查显示,安全专家从 Foscam C2 与 Opticam I5 HD 型号中发现的漏洞主要包括不安全的默认凭证、硬编码凭证、隐藏无证 Telnet 功能、远程命令注入、分配编程脚本的不正确权限、防火墙泄漏有关凭证的有效详细信息、持续跨站点脚本编制与基于堆栈缓冲区的溢出攻击等。 安全专家强调,因为 Foscan 使用的硬编码凭证不能更改,所以用户即使修改摄像机 IP 默认凭证,其设备仍将遭受黑客网络攻击。如果攻击者在互联网上发现并公布密码,即可访问该设备并窃取私人数据。此外,由于所有摄像机设备均具有相同密码,其攻击者可轻松在各设备之间传播恶意软件。F-Secure 专家建议用户在运行摄像机 IP 凭证时,避免外网访问且更改默认凭证及定期检查安全更新。 附:F-Secure 原文分析报告《摄像机与攻击: 物联网如何削弱你的竞争优势》 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究人员将 EternalBlue 移植到 Windows 10

勒索软件 WannaCry 于上月引发全球关注,它利用 Shadow Brokers 泄漏的 NSA 漏洞代码 EternalBlue 进行传播。EternalBlue 主要针对的是 Windows XP 和Windows 7。 目前,RiskSense 研究人员宣布,他们已经将 EternalBlue 移植到 Windows 10,但短时间他们不会公开 Windows 10 版本源代码。研究人员在一份报告(PDF)中解释说,开发 Windows 10 版本是必要的,旨在帮助防御者利用漏洞构建防御机制。 此外,研究人员表示,安装微软释出的补丁 MS17-010 仍然是目前防御 EternalBlue 的最佳方法。 稿源:cnBeta、solidot奇客,封面源自网络

漏洞扫描器 Nexpose 默认的 SSH 配置中启用了过时加密算法

6 月 4 日消息,网络安全公司 Rapid7 的专家近期披露 Nexpose 漏洞扫描器出货时默认的 SSH 配置中存在一个安全漏洞( CVE-2017-5243 ),可允许黑客利用过时算法实施密钥交换等功能。 Nexpose 扫描设备能够帮助用户分析漏洞并减少黑客攻击。由于 Nexpose 启用了较弱及过时的加密算法(例如:AES192-CBC、Blowfish-CBC 与 3DES-CBC,诸如 diffie-hellman-group-exchange-sha1 的 KEX 算法等),涉及硬件设备认证的攻击将更容易得逞。 “此漏洞被分类为 CWE-327(使用已被破解或存在风险的加密算法)。鉴于与物理设备的 SSH 连接需使用“管理员”帐户,该账户在设备上又具有 sudo 访问权限,因此漏洞的 CVSS 基本评分为 8.5。  专家提醒,具有 root 访问权限的管理员可在 Nexpose 中编辑 / etc / ssh / sshd_config 文件修复问题,以确保设备仅接受现代密码、密钥交换与 MAC 算法。而在更新配置文件后,管理员还需要验证是否已正确更改应用,任何配置遗漏或将触发服务器在重启时出现语法错误,从而导致连接失败。此外,安全专家还建议 Nexpose 设备的管理员需尽快更新系统应用、删除服务器对于过时加密算法的支持。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“永恒之蓝” 漏洞已被利用传播恶意软件 Gh0st RAT 与 Nitol 后门

FireEye 安全研究人员于近期发现 ExternalBlue (永恒之蓝)漏洞已被黑客利用传播 Nitol 后门与恶意软件 Gh0st RAT。 恶意软件 Gh0st RAT 是一款针对 Windows 系统的木马程序,该恶意软件主要被用于攻击政府机构、政治积极分子与其他政治目标;Nitol 后门则与影响旧版 IE 浏览器的 ADODB.Stream ActiveX Object 远程代码执行漏洞有关。 此次黑客传播 Nitol 后门与恶意软件 Gh0st RAT 所使用的技术与勒索软件 WannaCry 较为相似。一旦机器被成功感染,该恶意程序首先会自动打开一个 shell 并将指令写入 VBScript 文件中,然后执行程序获取另一台服务器中的 payload。 图:EternalBlue “永恒之蓝” 的利用机制 目前研究人员已在新加坡与南亚地区检测到一些恶意样本。安全专家预测,在未来几周或数月内,或将有更多攻击者利用不同 payload 将 Nitol 后门与恶意软件 Gh0st RAT 传播至世界各地。安全专家建议用户除了对系统与网络进行常规补丁管理外,系统管理员还需启用入侵检测与预防系统,禁用过时或不必要的协议与端口、主动监控网络流量、保护端点与部署安全机制。 FireEye 详细研究报告请戳这里。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 又有新漏洞:一张图片让系统变慢或崩溃

The Verge 于 5 月 27 日报道,Windows 7 系统又发现了一个新漏洞,不仅会减慢 Win 7 甚至是 Win 8 设备的运行速度,还会引起系统崩溃。 根据 Ars Technica 的报告,这一漏洞允许恶意网站在系统目录中建一个名为 “ MFT ” 的文件。Windows 系统在 NTFS 格式下通常可以处理 “ $MFT ” 的特殊数据文件,而 Windows 7 和 Windows 8 系统则不能处理这些目录名。 The Verge 利用一台 Win 7 电脑 IE 浏览器测试了这个漏统,方法十分简单。只需将网站中的图片的文件名改名为 “ c:\$MFT\123 ” ,就会在访问时导致整台设备的运行速度变得极其缓慢,只有重启才能解决问题。而有些机器甚至会变成蓝屏( 品牌机、一体机出现概率会大些 ),系统会锁定这个非法文件,使得其他所有应用都无法访问。 研究显示这一漏洞目前影响范围仅限 Win 7、Win 8 和 Vista 系统,暂未波及到 Win 10 用户。看起来与当年 Win 95 和 Win 98 上的 “ c:\con\con ” 崩溃问题较为相似。安全专家于上周早些时候发现漏洞并向微软报告,官方目前尚未释出漏洞补丁。 稿源:新闻天天看,有改动;封面源自网络

医疗安全研究:起搏器生态系统网络存在安全隐患,短期内难以解决

据外媒 26 日报道,安全研究人员在本周发表的一份研究报告中指出困扰领先起搏器生产厂商的一系列网络安全问题,主要包括缺乏身份验证与加密功能、第三方软件库遭受成千上万漏洞攻击等,使起搏器再度成为医疗器械安全领域的热议话题。 起搏器是用于调节异常心律的植入式心脏装置,大多数可由医师与技术人员在设备附近或远程更新。WhiteScope IO 研究人员 Billy Rios 与 Jonathan Butts 针对四家厂商生产的起搏器程控仪( 临床设置中用于监测可植入装置工作原理与设置治疗参数的装置 )进行了射频通信检测。 检测结果表明,为植入体提供支持的基础设施普遍存在严重安全漏洞,患者护理与网络安全之间的斗争相持不下。此外,所有心脏起搏器系统在可移动媒介上均存在未加密文件系统。就软件而言,Rios 与 Butts 在现有厂商生产的程控仪第三方库中发现 8,000 多个已知漏洞。由于医疗机构将未加密数据(社会保障卡号与病历等)存储在程控仪中,因此部分设备不仅存在患者私人信息被窃取的风险,还具有侵犯患者隐私之嫌。 安全专家表示,纵观医疗设备现状,全面修复更新仍不失为一大挑战。尽管美国食品药品监督管理局( FDA )已经努力简化了网络安全更新常规流程,但检测结果仍显示所有程控仪均与存在已知漏洞的陈旧软件有关。 报告详细内容见《 Pacemaker Ecosystem Evaluation.pdf 》 原作者:Michael Mimoso,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接