分类: 漏洞事件

SAML 身份验证系统漏洞(CVE-2018-0229) 影响思科 Firepower、AnyConnect 和 ASA 产品

近日,思科发布了一组安全补丁来解决安全声明标记语言(SAML)中的 CVE-2018-0229 漏洞。该漏洞可能允许未经身份验证的远程攻击者通过运行 ASA 或 FTD 软件的受影响设备建立经过验证的 AnyConnect 会话。 CVE-2018-0229 漏洞影响以下思科解决方案: AnyConnect 桌面移动客户端的单点登录身份验证; 自适应安全设备(ASA)软件; Firepower威胁防御(FTD)软件。 思科表示,存在这个缺陷是因为 ASA 或 FTD 软件没有实现任何机制来检测认证请求是否直接来自 AnyConnect 客户端,以至于攻击者可以通过欺骗受害者点击专门制作的链接并使用公司的身份提供商(IdP)进行身份验证来利用 CVE-2018-0229 漏洞。在这种情境下,攻击者可以劫持一个有效的身份验证令牌,并使用它来通过运行 ASA 或 FTD 软件的受影响设备建立并建立 AnyConnect 会话。 CVE-2018-0229 漏洞影响思科 AnyConnect 安全移动客户端,以及针对以下在思科产品上运行的AnyConnect 远程访问 VPN 的、基于 SAML 2.0 的 SSO 配置的 「ASA 软件和 FTD 软件」: 3000 系列工业安全设备(ISA) ASA 5500 系列自适应安全设备 ASA 5500-X 系列下一代防火墙 用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 自适应安全虚拟设备(ASAv) Firepower 2100 系列安全设备 Firepower 4100 系列安全设备 Firepower 9300 ASA 安全模块 FTD 虚拟(FTDv) 目前思科确认,只有运行版本 9.7.1 及更高版本的 ASA 软件、运行版本 6.2.1 及更高版本的 FTD 软件、AnyConnect 4.4.00243 及更高版本易受攻击。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google Project Zero 研究人员公开 windows lockdown 机制中的 0-day 漏洞

Google Project Zero 研究人员近期公开了 Windows 10 的一个 0-day 漏洞,可被攻击者利用,在用户模式代码完整性(UMCI)的设备保护环境中绕过 Windows Lockdown 机制,攻击目标计算机并执行任意代码。 根据发布的漏洞利用 POC,这个漏洞代码主要包括两个文件:用于设置注册表的 .INF 以及使用 DotNetToJScript 免费工具创建的 .SCT(可用于将不可信的 .NET 程序集加载到内存中以显示消息框)。 研究人员表示,这个 0-day 漏洞之所以被公开,是因为微软没有按照谷歌披露政策,在 90 天响应期内修复漏洞。目前,启用 UMCI 的 Windows 10 所有版本都有可能受到影响。 稿源:freebuf,封面源自网络;

思科发布关键补丁来解决其 WebEx 软件的远程代码执行漏洞

据外媒报道,思科近日发布了一个关键补丁来修复其 WebEx 软件中的一个严重漏洞(CVE-2018-0112),该漏洞可能被远程攻击者利用,通过武器化的 Flash 文件在目标机器上执行任意代码。目前 WebEx Business Suite 或 WebEx Meetings 的客户端和服务器版本受到该漏洞的影响,思科敦促其用户更新其软件以解决问题。 该漏洞是由于 Cisco WebEx 客户端的输入验证不足造成的。攻击者可以通过客户端的文件共享功能向与会者提供一个恶意 Flash(.swf)文件,从而利用此漏洞。目前该漏洞已获得 9.0 的 CVSS 评分,思科将其评为“严重”。 思科已经发布了修复该漏洞的软件更新,并确认尚无任何利用该漏洞的攻击案例。此外,思科补充说目前没有解决该问题的解决方法,因此建议用户将 WebEx Business Suite 软件更新至 T32.10 和 T31.23.2 版本, WebEx Meetings 客户端软件更新至 T32.10,Meetings Server 更新至 2.8 MR2。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

罗克韦尔自动化声称思科 IOS 漏洞影响其工业交换机

据外媒 19 日报道,罗克韦尔自动化发布警告成称由于 Cisco IOS 中的安全漏洞,其 Allen-Bradley Stratix 和 ArmorStratix 工业交换机可能会遭受黑客攻击。根据罗克韦尔自动化公司的说法,最近在思科 IOS 中发现的八个漏洞影响了其在许多领域中使用的产品,其中包括关键制造以及能源等方面。 漏洞列表包括不正确的输入验证、资源管理错误、7PK 错误、在内存缓冲区范围内对操作的不当限制。以及使用外部控制的格式字符串。根据美国 ICS-CERT 发布的安全公告,这些漏洞可能会导致由于内存耗尽、模块重启、信息破坏、信息泄露等问题。 目前受影响的型号是运行固件版本 15.2(6)E0a 或者更低版本的 Stratix 5400、5410、5700、8000 和 ArmorStratix 5700 交换机。 最严重的漏洞是 Cisco CVE-2018-0171 智能安装,这是一个影响 Cisco IOS 软件和 Cisco IOS XE 软件的智能安装功能的缺陷,未经身份验证的远程攻击者可能利用该安全漏洞来重新加载易受攻击的设备或者在受影响的设备上执行任意代码。 几周前,黑客团队“JHT” 利用 Cisco CVE-2018-0171 漏洞发起了一项针对俄罗斯和伊朗网络基础设施的网络攻击活动。 目前罗克韦尔发布了固件版本 15.2(6)E1 来解决其交换机中的漏洞。除升级软件版本外,罗克韦尔自动化还提供了缓解措施,思科在官网发布了新的 Snort 规则, 以帮助解决以下漏洞: CVE-2018-0171 – Snort Rule 46096和46097 CVE-2018-0156 – Snort Rule 41725 CVE-2018-0174 – Snort Rule 46120 CVE-2018-0172 – Snort Rule 46104 CVE-2018-0173 – Snort Rule 46119 CVE-2018-0158 – Snort Rule 46110 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

LG 网络存储设备存在严重 RCE 漏洞

安全公司 VPN Mentor 的专家发现了一个影响大多数 LG NAS 设备的预认证 RCE(远程代码注入)漏洞,攻击者可利用该漏洞获取设备的最高权限。 LG 尚未针对该漏洞发布安全更新,如果你是 LG NAS 设备的用户,应避免在公网上暴露设备,并尽快使用仅允许来自授权 IP 连接的防火墙进行保护。此外,VPN Mentor 的专家还建议,用户应定期检查设备上的所有注册用户,加强排查可疑活动。 稿源:freebuf,封面源自网络;

漏洞聚焦:Moxa EDR-810 工业安全路由器存在多个严重漏洞

思科 Talos 的安全研究专家发现工业路由器 Moxa EDR-810 中存在 17 个安全漏洞,其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认,但其早期版本的产品也可能受到了影响。 (CVE-2017-12120)Moxa EDR-810 Web 服务器 ping 命令注入漏洞 CVE-2017-12120 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。攻击者可以将操作系统命令注入到 “/ goform / net_WebPingGetValue”uri 中的 ifs = parm 中,以触发此漏洞并控制目标设备。 (CVE-2017-12121)Moxa EDR-810 Web RSA 密钥生成命令注入漏洞 该漏洞与 CVE-2017-12120 类似,也允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。 (CVE-2017-14435至14437)Moxa EDR-810 Web 服务器 strcmp 多个拒绝服务漏洞 CVE-2017-14435 至 14437 描述了 Moxa EDR-810 的 Web 服务器功能中存在的三种单独的可利用的拒绝服务漏洞。通过利用特制的 HTTP URI 造成空指针取消引用,从而导致拒绝服务。攻击者可以发送 GET 请求到“/MOXA_LOG.ini,/MOXA_CFG.ini或/MOXA_CFG2.ini”,而不是使用 cookie 头来触发此漏洞。 (CVE-2017-12123)Moxa EDR-810 明文传输密码漏洞 CVE-2017-12123 是一种可利用的明文传输密码漏洞,它存在于 Moxa EDR-810 的 web 服务器和 telnet 功能中。攻击者可以检查网络流量以检索设备的管理密码,然后,使用凭据登录设备 web 管理控制台作为设备管理员。 (CVE-2017-12124)Moxa EDR-810 Web 服务器 URI 拒绝服务漏洞 CVE-2017-12124 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的拒绝服务漏洞。访问特制的 HTTP URI 会造成空指针取消引用,从而导致 Web 服务器崩溃。攻击者可以发送制作的 URI 来触发此漏洞。 (CVE-2017-12125)Moxa EDR-810 Web 服务器证书签名请求命令注入漏洞 CVE-2017-12125 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上获得 root shell 。攻击者可以将 OS 命令注入“/ goform / net_WebCSRGen”uri 中的 CN = parm 以触发此漏洞。 (CVE-2017-12126)Moxa EDR-810 Web 服务器跨站点请求伪造漏洞 CVE-2017-12126 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的跨站点请求伪造(CSRF)漏洞。利用特制的 HTTP 请求可能会触发 CSFR 漏洞,从而允许攻击者更改设备配置。攻击者可以创建恶意 HTML 代码来触发此漏洞,并诱使用户执行恶意代码。 (CVE-2017-12127)Moxa EDR-810 明文密码存储漏洞 CVE-2017-12127 是 Moxa EDR-810 的操作系统功能中存在的密码存储漏洞。设备以明文形式将凭据存储在 /magicP/cfg4.0/cfg_file/USER_ACCOUNT.CFG 中。该文件镜像 / etc / shadow 的内容,但所有密码均以明文形式存储。 (CVE-2017-12128)Moxa EDR-810 服务器代理信息泄露漏洞 CVE-2017-12128 是 Moxa EDR-810 的服务器代理功能中存在的可利用信息泄露漏洞。攻击者可以通过发送特制的 TCP 数据包来触发此漏洞,从而导致设备泄漏数据。 (CVE-2017-12129)Moxa EDR-810 Web 服务器对密码漏洞进行弱加密 CVE-2017-12129 是 Moxa EDR-810 的 Web 服务器功能中存在的可用于密码漏洞的弱加密技术。初次登录后,每个经过身份验证的请求都会发送一个带有密码 MD5 散列的 HTTP 数据包,这个散列能够被破解,显示设备的密码。 (CVE-2017-14432 至 14434)Moxa EDR-810 Web 服务器 OpenVPN 配置多个命令注入漏洞 CVE-2017-14432 至 14434 描述了 Moxa EDR-810 的 Web 服务器功能中存在的多个可利用的命令注入漏洞。一个特制的 HTTP POST 请求可能会导致特权升级,从而导致攻击者有权访问 root shell。攻击者可以将 OS 命令注入到“/ goform / net_Web_get_value”uri 中的各种参数中以触发此漏洞。 (CVE-2017-14438和14439)Moxa EDR-810 服务代理多次拒绝服务 CVE-2017-14438 和 14439 描述了 Moxa EDR-810 的 Service Agent 功能中存在的两个可利用的拒绝服务漏洞,通过利用一个特制的数据包可能会导致拒绝服务。攻击者可以发送一个大数据包到 tcp 端口 4000 或 4001 来触发此漏洞。 消息来源:Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Inter SPI 闪存漏洞让攻击者能够改变或删除 BIOS / UEFI 固件

英特尔修复了几个 CPU 系列配置中的漏洞,漏洞能让攻击者更改芯片的 SPI 闪存。联想部署了英特尔补丁:“系统固件设备(SPI 闪存)的配置可能让攻击者阻止 BIOS / UEFI 更新,或选择性地擦除或损坏部分固件。” 联想工程师说:“这很可能会导致一些故障,但在极少数情况下可能导致任意代码执行。”英特尔在 4 月 3 日发布针对此漏洞的补丁(CVE-2017-5703)。该漏洞在 CVSSv3 上得到了10分中的7.9分。英特尔表示在内部发现了这个问题。 稿源:freebuf,封面源自网络;

西门子 SIPROTEC、Reyrolle 设备曝高危漏洞,或致变电站等供电设施遭受攻击

近日, ICS-CERT 发布安全报告称西门子 SIPROTEC 4,SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利用来攻击变电站和其他供电设施。当这些漏洞被成功利用时,攻击者能够通过上传修改后的设备配置来覆盖访问授权密码或者捕获某些可能包含授权密码的网络流量,从而可能导致电力设备保护功能中断或客户缩减。 据悉,这些漏洞是由 Positive Technologies 的安全专家发现的。Positive Technologies 的技术专家检测到西门子在电力系统保护方面(用于控制和保护电力变电站或水力发电站等电力供应设备)存在高风险漏洞。以下为漏洞的具体情况: ① CVE-2018-4840,并被评为高严重级别,可被远程和未经身份验证的攻击者利用来修改设备配置并覆盖访问密码。 ② CVE-2018-4839 是一个中等严重性问题,允许本地或网络攻击者通过拦截网络流量或从目标设备获取数据来恢复访问授权密码。Positive Technologies 表示,该密码可用于获得对继电器的完整访问权限。 CVE-2018-4840 和 CVE-2018-4839 均影响 SIPROTEC 4 和 SIPROTEC 紧凑型保护继电器使用的 EN100 以太网模块和 DIGSI 4 操作和配置软件。 ③ 第三个高严重性漏洞存在于继电器的 Web 界面中的高严重性漏洞,被追踪为 CVE-2018-4838。该漏洞允许入侵者远程上传包含已知漏洞的过时固件版本,并在目标系统上执行代码。目前使用 EN100 模块的 Reyrolle 、SIPROTEC 4、SIPROTEC Compact 设备受到该漏洞影响。 针对以上漏洞,西门子表示已经发布了安全补丁和缓解措施来抵抗对变电站构成的严重威胁。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

ATI Systems 警报器现「SirenJack 远程漏洞」,可通过无线电频率激活警报制造全城混乱

近日,网络安全公司 Bastille 发布的安全公告称, ATI Systems 的紧急警报系统中暴露了一个名为 SirenJack 的远程劫持漏洞,攻击者可以通过无线电频率(RF)来利用该漏洞激活、触发错误警报,以制造混乱和恐慌。 Bastille 的研究人员认为 SirenJack 缺陷实际上是由于 ATI 从控制站向警报器传输信号的方式引起的,因为其研究人员发现 ATI Systems 用于控制警报器的无线电协议并不安全,其激活命令直接以明文形式发送,而没有采用加密。在这种情况下,恶意人士可以找到分配好的无线电频率,制作恶意激活消息,然后将其通过自己的无限电发送,以便启动系统。Bastille 称完成这些步骤所需要的设备仅仅是一台电脑和一台价值 30 美元的手持式收音机。 ATI Systems 的产品遍布北美和全球各地城市,军事设施、大学和工业基地(包括石油和核能)的都是其重要客户。目前 Bastille 仅在旧金山和其他两个地点证实了 SirenJack 漏洞 ,但并不明确还有哪些其他 ATI 系统受到影响。Bastille 敦促所有客户与 ATI Systems 合作,以了解他们的系统是否受到影响,并立即采取补救措施。 SirenJack 的潜在影响是什么? 正常情况下,紧急警报系统仅在合法威胁(通常是天气或与安全有关的威胁)时才启动,而虚假警报引起了公众的广泛关注,导致公众对这些系统降低了信任,特别是在 2017 年达拉斯警报事件之后(全市范围内超过 150 个龙卷风警报系统启动 90 分钟以上)。 Bastille 完整分析报告: 《SirenJack》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修补,主要针对幽灵 2 号变种(CVE-2017-5715),其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器,本次更新揭示了对间接分支预测壁垒(IBPB)的接管控制。 根据 AMD 最新的安全白皮书,运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施: 尽管此前其 CPU 支持其它控制分值预测器行为的方法(一个指向间接分支限制预测的特殊比特位 / 简称 IBRS)、以及作为对处理器上兄弟线程的响应(一个指向单线程间接分值预测器的比特位 / 简称 STIBP),但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。 当然,光是下载系统操作系统更新,还不足以保护受影响的系统。AMD 表示,产品用户请检查 OEM 或主板制造商网站来获得更新,以减缓漏洞带来的影响。 我们可以借助这种方式来完成对 Ryzen 平台的完整修补,快速的基准测试表示,其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。 需要指出的是,本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新,后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户,仍需等待 OEM 或主板厂商发布固件更新。 稿源:cnBeta,封面源自网络;