分类: 漏洞事件

万事达卡系统存在严重缺陷,允许黑客通过无效付款手段欺骗商家支付成功

据外媒报道,依靠万事达卡互联网网关服务( MIGS )处理在线支付的供应商,应在每次交易发货之前对每个交易进行双重检查,因为安全研究人员 Yohanes Nugroho 近期在 MIGS 协议中发现了一处明显漏洞,允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。 Yohanes Nugroho 认为安全系统的验证协议存在严重缺陷,而万事达卡(Mastercard)似乎完全忽视了这一问题。Yohanes Nugroho 解释说:“这可以说是一个 MIGS 客户端错误,但是 Mastercard 选择的哈希方法允许这样做。如果 Mastercard 选择加密相关数据,这个问题是不可能发生的 ”。 根据 Nugroho 的调查结果,狡猾的攻击者可以利用这个缺点,在第三方中间支付服务中注入无效值,以便绕过 Mastercard 的系统,直接将请求转交给供应商。 正如 Yohanes Nugroho 观察到的那样,交易是否成功的数据不仅没有被 MIGS 服务器进行验证,而且甚至没有到达商家服务器端,这些请求仅在客户端进行检查。由于这些数据永远不会到达 Mastercard 的服务器,所以仍然容易受到欺骗。这意味着,如果成功,黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易,但大多数商家在批准请求之前很少检查其银行帐户,这正是为什么这个漏洞是如此令人担忧的原因。 稿源:cnBeta,封面源自网络;

Android Oreo 新 Bug:开 Wi-Fi 仍使用移动数据

据 Reddit 网友 Unusual_Sauce 爆料,Android Oreo 存在一处新 Bug,或将导致用户在开启 Wi-Fi 之后仍被吞噬宝贵的移动数据。不过 Google 方面已经知晓此事,现正抓紧制作修复补丁。Unusual_Sauce 表示,他在升级 Android Oreo 后发现 —— 如果同时开启 Wi-Fi 和移动数据,系统可能会无视已经连上的无线热点,而是继续只使用移动数据。 “在联系支持人员后,我被告知他们已经获悉此事,且正制作修复补丁。与此同时,我必须到家就手动关闭移动数据开关,以确保仅使用 Wi-Fi 网络”。 当然,该问题的起因是开发人员选项中的某个设置。为了方面测试,Android Oreo 最终编译版本中默认启用了“始终开启移动数据”这个功能。如果你想要预防这个 bug,也只需手动关闭此选项。 稿源:cnBeta,封面源自网络;

预警 | Apache Struts2 S2-052 又现高危远程代码执行漏洞(CVE-2017-9805)

据 HackerNews.cc 5 日消息,Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞(CVE-2017-9805),在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时,没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围: ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案: ○ 目前网络上已有 POC (未经验证)公布,请用户尽快升级 Apache Struts 版本至 2.5.13; ○  不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs: <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认,创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息: ○ 官方发布的详细内容:https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告:https://www.seebug.org/vuldb/ssvid-96420

主要移动芯片供应商的引导程序存在多处安全漏洞

据外媒报道,研究人员近期发现主要移动芯片供应商的 Android 引导程序组件存在多处安全漏洞,允许黑客在引导次序中打破信任链,从而为其打开攻击大门。 加州圣芭芭拉的计算机科学家随后开发了一款专门测试与分析引导程序的工具 BootStomp。据悉,他们选择了高通、NVIDIA、联发科和华为海思的五款产品进行测试,发现了 7 处安全漏洞,其中有一处于 2014 年就被曝光过。对于其余 6 处新漏洞,供应商已经证实其中 5 处。 此外,研究人员称,上述漏洞允许执行任意代码或执行永久性的拒绝服务攻击,其中 2 处漏洞还能被有 root 权限的攻击者利用。 稿源:solidot奇客,封面源自网络;

美国 Arris 数据机被曝存在多处漏洞,影响逾 22 万台装置

研究人员 Nomotion 于本周揭露美国通讯设备制造商 Arris 所生产的多款数据机各含不同安全漏洞,允许黑客取得完整的装置权限。 Nomotion 在 NVG589 与 NVG599 两款数据机上所发现的漏洞为固定凭证漏洞,它们的帐号是 remotessh,密码为 5SaP9I26,最近的韧体更新开启了 SSH,因而允许黑客借由 SSH 存取 cshell 客户端,检视或变更 Wi-Fi 网络的 SSID 与密码,还能修改网络设定或刷新韧体。估计约有 1.5 万台 Arris 数据机含有该漏洞。 此外,那些内建网页服务器并采用 49955 传输埠的 Arris 数据机也采用固定凭证,其帐号为 tech,密码则只要留白就能进入,也含有命令注入漏洞,允许骇客于网页服务器上执行介壳命令,相关漏洞约影响逾 22 万台装置。若事先知道某个装置的序号,则能通过基于 61001 传输埠的服务漏洞取得装置的详细资讯。若装置开启了 49152 传输埠,将让黑客利用特定的 HTTP 请求绕过装置内的防火墙并连结至该装置。 Nomotion 主要调查的是美国 AT&T 旗下 U-verse 服务所出售或租赁的 Arris 数据机,AT&T 拥有订制这些数据机韧体的权限,但有些漏洞同时出现在 Arris 数据机的标准版韧体或订制化韧体中。Nomotion 认为,很难判断这些漏洞的责任归属,也许是将这些装置提供给消费者的 AT&T,或者是数据机制造商,也可能双方都必须负责。不论如何,迄今并未侦测到针对上述漏洞的攻击行动。 稿源:iThome、Woku网,封面源自网络;

开源系统 GitLab 存在高危漏洞,用户私有令牌或遭会话劫持

据外媒 近日报道,数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼(Daniel Svartman)今年 5 月发现开源系统 GitLab 存在一处高危漏洞,能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三,GitLab 官方才确认已彻底解决这一问题。 研究人员指出,如果攻击者通过该漏洞成功破解某一帐户,那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外,攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时,由于 GitLab 使用的永久性私有会话令牌永远不会过期,因此当攻击者获取该令牌后受害账户随时可能遭受入侵。另外,值得注意的是,该令牌仅由 20 个字符组成,这使目标账户遭受暴力攻击的几率显著增加。 研究人员表示尚不清楚该漏洞已出现多久,而 GitLab 方面则澄清截止目前并没有用户遭受恶意攻击的案例。GitLab 安全主管 Brian Neel 强调:“ GitLab 现使用的私有令牌只能在与跨站点脚本或其他漏洞相结合时,才会对用户构成威胁。对此,GitLab 官方正积极采取更安全的措施以避免账户会话数据泄露 ”。 原作者:Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

通讯运营商放任 SS7 协议漏洞 20 年,致使电话短信存在安全隐患

据外媒报道,部分通讯社区成员早在多年前就知晓严重的 SS7 协议漏洞,允许追踪全球手机、拦截呼叫和文本短信,但运营商却一直没有采取行动。The Daily Beast 指出,业内人士知晓 SS7 漏洞问题已有 20 年,相关信息在 1998 年的欧洲通讯标准协会(ETSI)文档中即有披露:“ SS7 中缺乏足够的安全性,移动运营商需要保护自己不被黑客攻击。如有疏忽,可能导致网络停止或无法正常运行”。 目前,SS7 系统中的这一问题,是信息可在某种未受控的方式下被修改和注入全球 SS7 网络中。 在美国,联邦通讯委员会(FCC)一直鼓励通讯运营商自行部署安全措施,以防止针对 SS7 协议的漏洞攻击。 但批评人士指出,这种自我监管的措施相当失败,过去 20 年里的 SS7 防护进展甚微。 稿源:cnBeta,封面源自网络;

美国 FDA 宣称:Abbott 近一半心脏起搏器极易遭黑客攻击

据外媒报道,美国食品与药物管理局( FDA )于近期发布消息,声称 Abbott 公司生产的 100 万个心脏起搏器有近一半极易遭到黑客攻击。调查显示,由于这些设备通常被植入到皮肤下面并通过电线进入心脏以保持正常跳动,因此他们必须要尽快展开软件更新以保障设备安全可靠。目前,受影响的设备包括了 Accent、Anthem、Accent MRI、Accent ST、Assurity、Allure。 不过万幸的是,Abbott 心脏起搏器的更新只需要 3 分钟左右就能完成,至于是否已经有心脏起搏器遭到攻击,FDA 并未回应,它只是在通知中指出,随着医疗设备对无线技术使用的不断增长,这些设备很有可能会给使用者带来风险,但与此同时它也能带来更加安全、更加有效、更加方便、更加及时的医疗服务。 稿源:cnBeta,封面源自网络;

Intel 处理器现安全漏洞:可被黑客用作后门攻击

据外媒 8 月 29 日报道,莫斯科安全机构 Positive Technologies (以下简称 PT)研究人员近期发现 Intel Management Engine 11 存在 “ 死亡按钮 ”,允许黑客用作后门攻击。 Management Engine(管理引擎)由微控制器组成,与平台控制器中枢芯片协同使用,是 Intel 的一个固件接口,用于处理器与外围设备的通讯传输。 安全专家此前曾警告英特尔管理引擎存在漏洞风险,即攻击者可以利用 Intel ME 漏洞(CVE-2017-5689),在受影响的系统上建立后门并对其进行全方位控制。调查显示,该漏洞影响了 Intel  ME 技术(如主动管理技术 AMT、小型企业技术 SBT 与英特尔标准可管理性 ISM),允许黑客远程接管易受攻击的目标系统。目前,官方尚未发布漏洞修复补丁。 研究人员表示,一款名为 ME Cleaner 的黑客工具,虽然可以绕过 Intel ME 引擎,但无法彻底禁用芯片级别。另外,PT 于本周一发表声明,宣称美国国家安全局的高保障平台 HAP 可以通过修改配置文件封堵漏洞。然而, Intel 并不建议该做法,因为这种根据特定需求开发的工具缺少足够的安全评估时间。 本文根据 securityaffairs.co 与 凤凰科技 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Zimperium 研究人员在线发布 iOS 核心漏洞概念验证攻击程序

据外媒报道,安全研究人员于今年三月发现苹果 iOS 系统的 AVE 驱动模块存在多处安全漏洞,允许攻击者在进行提权并造成闪存损坏后完全控制 iOS 移动设备。调查显示,该漏洞仅适用于所有 64 位 iOS 10.3.1 版本。随后,网络安全公司 Zimperium 研究人员 Adam Donenfeld 于近期在 iOS 10.3.2 中对此漏洞进行修复后在线发布 iOS 核心漏洞概念验证( PoC )攻击程序 ziVA。 调查显示,该程序集成并利用 iOS 系统中的七处漏洞展开攻击,最终可以通过漏洞进行提权并直接控制整个设备,其漏洞分别包括: CVE-2017-6979、CVE-2017-6989、CVE-2017-6994、CVE-2017-6995、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 与 CVE-2017-6999。 概念验证程序的发布仅仅意味着 iOS 越狱开发团队可以借助上述漏洞针对 iOS 10.3.1 及早期版本开发越狱工具。目前,研究人员建议用户尽快升级到 iOS 最新版本以确保设备安全。 ziVA 概念验证程序地址及相关说明:https://blog.zimperium.com/ziva-video-audio-ios-kernel-exploit/ 本文根据 securityaffairs.co 与 蓝点网 内容翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。