分类: 漏洞事件

卡巴斯基发现软件漏洞,可在线访问全球1000多个加油站控制器

据外媒 Cnet 报道,卡巴斯基实验室的研究人员上个月发布了关于加油站漏洞的研究报告,指出从美国到印度的 1000 多个加油站可能面临网络攻击。这些问题来自能连接到互联网的加油站控制器,所有者无法更改默认密码,攻击者完全可以访问机器。 上周五,卡巴斯基实验室高级安全研究员 Ido Naor 和以色列安全研究员 Amihai Neiderman 在卡巴斯基在墨西哥坎昆举行的安全分析师峰会期间,就加油站的安全问题展开了全面分析。他们的研究表明,攻击者可以改变汽油价格,窃取记录在控制器上的信用卡信息,获取车牌号码,造成油料泄露,调整温度监控器等等。 Neiderman 解释称:“当我们获取 root 权限时,我们可以做任何我们想做的事情。”Naor 则表示,攻击者甚至不需要到当地加油站附近的任何地方。这些加油站的控制器都能连接到互联网,而且密码安全性较低,因此可以远程完成。 该在线软件来自 Orpak Systems,这家燃料管理公司于去年 5 月被北卡罗来纳州的Gilbarco Veeder-Root 公司收购 。据 Orpak 称,其软件已安装在全球超过 35000个加油站。Orpak 将其指南放在网上,展示了加油站技术的细节,包括如何访问其界面的密码和屏幕截图。这些公司没有回应置评请求。 这些漏洞突出了物联网设备背后的问题,因缺乏安全性而受到广泛批评。由于在线连接了不安全的网络摄像头和 DVR,黑客已经能够发起大规模的网络攻击。Naor 表示,但是在加油站,危险攻击的风险要高得多。在极端情况下,黑客可能会调整油箱内的压力和温度,可能导致爆炸。 Naor 和 Neiderman 表示,他们在 2017 年与供应商联系,但大多被忽视。Neiderman 称,这些漏洞很可能仍然存在。这些机器已经过时,有时甚至超过十年,软件也是如此,他补充道。 稿源:cnBeta.com,封面源自网络

思科产品中存在硬编码密码和 Java 反序列化高危漏洞

外媒 3 月 8 日消息,思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞(CVE-2018-0141)和 Java 反序列化漏洞(CVE-2018-0147)。 硬编码密码漏洞(CVE-2018-0141)是由于系统上的硬编码帐户密码造成的,可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning(PCP)软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法,但思科已经发布了补丁程序,并建议用户尽快升级到 PCP 12.1 版本,以避免出现安全问题。 影响思科安全访问控制系统(ACS)的 Java 反序列化漏洞,是由于受影响软件对用户提供的内容进行不安全的反序列化造成,可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉,该漏洞已获得 9.8 的 CSS 评分 ,被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软正在调查严重影响 Windows 安全的 CFG 绕过漏洞

上个月的时候,谷歌 Project Zero 团队曝光了与微软 Edge 浏览器和 Windows 10 操作系统相关的最新漏洞,引发了业内许多安全研究人员的注意。祸不单行的是,意大利帕多瓦大学的研究人员们,刚又曝光了严重影响 Windows 8.1 和 Windows 10 安全的“控制流防护”(CFG)设计漏洞。据悉,微软在 Windows 8.1 Update 3 中率先引入了内核级的 CFG 功能,并且一路延续至 Windows 10 操作系统。 微软将 CFG 描述为“一个高度优化的、可应对内存泄露漏洞的安全特性平台”。其旨在代码中增加间接的调用和跳转,从而阻止攻击者在任意地址执行代码。 遗憾的是,帕多瓦大学的安全研究人员,已经在其中发现了一个“使 CFG 向后兼容以提升性能”的设计缺陷。研究员之一的 Andrea Biondo 表示: 只有当被允许的目标与 16 字节对齐时,控制流的限制才是精准的。若不是,就会有一个围绕目标的 16 字节非精准地址。 通过将未对齐的目标组合在公共库中、结合编译器生成的函数布局的可预测性,我们就可以绕过控制流防护(CFG)。 研究人员将在本月召开的黑帽亚洲大会上披露漏洞的详情,期间他们还会演示绕过 64 位 Windows 10 中的 Microsoft Edge 浏览器的 CFG bypss 概念验证代码,以证明该漏洞在真实场景中的运用。 报告称,这一漏洞让超过 5 亿台计算机面临安全威胁。更糟糕的是,由于 BATE 没有特别指定,这进一步放大了它的危害性。如果受害进程加载了某些公共库,漏洞就可轻易地被利用。 安全研究人员表示,他们已经向微软通报了此事,当前该公司正在着手修复,预计会随即将发布的 Windows 10 Redstone 4 更新一同到来。 稿源:cnBeta,封面源自网络;

邮件传输代理 Exim 中的 RCE 漏洞影响一半以上在线电子邮件服务器

外媒 3 月 7 日消息, 安全公司 Devcore 于近期发布公告称邮件传输代理 (MTA) Exim 中存在一个严重的远程执行代码漏洞( CVE-2018-6789),影响了一半以上的在线电子邮件服务器。 资料显示:Exim 是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于 GPL 协议开发,是一款开源软件,主要运行于类 UNIX 系统,通常该软件会与 Dovecot 或 Courier 等软件搭配使用。 截至 2017 年 3 月,运行 Exim 的互联网电子邮件服务器总数估计已超过 56 万,相当于所有在线邮件(MX)服务器的 56% 。 Devcore 介绍,该漏洞是一个 base64 解码功能中的溢出漏洞,在第一版 Exim 中就已经存在,并且其他所有版本也受到它的影响。根据研究,该漏洞可以被用来获得远程代码执行的预授权,因此目前至少会有 40 万台电子邮件服务器处于风险之中。 此外,据搜索引擎 Shodan 称,在线曝光的 Exim 服务器数量已超过 400 万,其中大部分是在美国。 为了解决这个漏洞。Exim 团队于 2 月 10 日发布了 Exim 4.90.1 版本,并敦促其用户尽快安装更新。 相关内容: CVE-2018-6789 漏洞细节 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司发现可抵消 Memcached DDoS 反射放大攻击的缓解技术

外媒 3 月 7 日消息,网络安全公司 Corero 表示他们发现了一种能够抵消 Memcached DDoS 攻击的 “ kill switch ” —— 主要依赖于将命令发送回攻击服务器来抑制 DDoS 攻击,使含有漏洞的服务器缓存失效,以致攻击者种植的任何潜在的恶意 playload 都将变得毫无用处。另外,Corero 指出,该漏洞可能比最初认为的更为深远:除了 DDoS 反射放大攻击之外,由于 Memcached 服务器不需要身份验证,该漏洞也可被用来从本地网络或主机中窃取或修改数据,其中包括机密数据库记录、网站客户信息、电子邮件、API 数据、Hadoop 信息等。 根据 Corero 的说法,他们已经在服务器上测试这一对抗方案,结果证明 “ kill switch ”充分有效,并且不会造成附带损害。 其实 Memcached 服务器安全性欠佳并不是一个新问题,因为包括 Gevers 在内的许多安全专家在这方面早已发出警告,然而问题至今为止可能仍被忽略,随着基于 Memcached DDoS 攻击的 PoC 代码的在线发布,漏洞修复已经迫在眉睫。 消息来源:Securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Spring Data REST 存在严重漏洞,允许远程攻击者执行任意命令

据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞,能够允许远程攻击者在目标设备(该设备运行着使用 Spring Data REST 组件的应用程序)上执行任意命令。 研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似,并将其追踪为 CVE- 2017-8046。 根据 Semmle / lgtm 发布的安全公告显示,该漏洞与 Spring 表达语言(SpEL)在 Data REST 组件中的使用方式有关,而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。 目前该漏洞很容易被利用,因为 Spring Data REST 的 RESTful API 通常可公开访问,所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。 受影响的 Spring 产品和组件: Spring Data REST 组件,2.5.12,2.6.7,3.0RC3 之前的版本 Maven构件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser Spring Boot,2.0.0M4 之前的版本 当使用包含的 Spring Data REST 组件时:spring-boot-starter-data-rest Spring Data,Kay-RC3 之前的版本 据了解,Pivotal 已针对该漏洞发布了安全补丁,并敦促其用户更新他们的应用程序。 相关报告: 《 CVE-2017-8046: RCE in PATCH requests in Spring Data REST 》 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Android 三月安全补丁上线:共计修复 37 处高危漏洞

面向 Pixel 和 Nexus 设备(尚处于支持状态),在最新发布的 2018 年 3 月 Android 安全补丁中共计修复了 37 处高危漏洞,涉及多媒体框架、内核、NVIDIA 和高通等多个组件。Google 表示:“ 在这些问题中最严重的是多媒体框架中的漏洞,使用精心制作的文件能够远程执行包含特权进程的任意代码。” 目前所有支持状态的 Pixel 和 Nexus 成为了首批获得 2018 年 3 月 Android 安全补丁的设备。运行最新 Android 8.1 Oreo 移动系统的 Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel C, Nexus 6P和Nexus 5X 设备通过 OTA(Over-the-Air)方式来获取本次补丁,而且用户可以通过 Google 网站下载工厂镜像。 稿源:cnBeta,封面源自网络;

2700 万能源智能电表存在安全漏洞,英国情报机构 GCHQ 发布物联网安全预警

外媒 3 月 4 日消息,英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新型智能电表存在安全漏洞,可能会对数百万布列塔尼人(西欧法国西北部布列塔尼半岛上的居民)的物联网设备构成严重风险。 新型 SMETS 2 智能电表解决了能源公司第一代 SMETS 1 仪表的各种问题。与旧的 SMETS 1 仪表不同,能源供应商可以使用 SMETS 2 以电子方式远程接收仪表读数。 据 “ 每日电讯报 ” 报道 , GCHQ 认为智能电表存在安全隐患:攻击者能够窃取智能电表用户的个人信息,并且通过篡改账单来获取利益。一位网络安全专家表示,攻击者对智能电表的通用计量表尤为钟爱,因为如果他们能够使用相同的软件攻击每个计量器,那么潜在回报会非常高。也就是说,网络犯罪分子通过人为地增加抄表数量,使账单数额变得更高。然后,他们利用一些手段去拦截支付,并欺骗能源公司相信该支付行为是正常合法的。 除此之外,文章也透露了其他方面上智能电表可能会引起的问题。 GCHQ 警告称攻击者能够使用这些存在漏洞的设备作为 “ 特洛伊木马” 进入客户的网络。 英国政府担心某些国家的黑客开勇能源智能电表的缺陷造成电力飙升,从而损害国家电网。 安全专家也表示,BlueBorne 攻击可能会通过利用蓝牙连接来将智能电表暴露给黑客。 不过促进智能电表推出的能源公司 Robert Cheesewright 却试图淡化其设备的风险,并解释说智能电表没有直接管理与财务相关的数据,但显然这种解释未曾考虑到不同的攻击场景,例如 2014 年,安全研究人员 Javier Vazquez Vidal 和 Alberto Garcia Illera 发现西班牙数百万联网电表由于缺乏适当的安全控制而容易受到网络攻击。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

spectre 变种出现可以从英特尔 sgx 中提取数据

俄亥俄州立大学的六名科学家发现了一种新的攻击手段,名为 SgxSpectre。研究人员表示,这种攻击可以从 Intel SGX 中获取数据。 英特尔 Software Guard eXtensions(SGX)是英特尔处理器的功能,可让应用程序创建所谓的  enclaves  。 这个 enclaves 是 CPU 处理内存的硬件隔离部分,应用程序可以运行处理极其敏感细节的操作,例如加密密钥,密码,用户数据等。 在今年年初发现的 Meltdown 和 Spectre 攻击允许攻击者突破操作系统和应用程序之间的隔离以及应用程序间隔离,黑客可以从操作系统内核或其他应用程序中检索信息。但 Meltdown 和 Spectre 都无法从 SGX enclaves 获取数据。这是 SgxSpectre 的独特之处。 稿源:FreeBuf,封面源自网络;

Spectre 衍生漏洞危及英特尔 SGX 安全区

今年早些时候全面曝光的 Spectre 和 Meltdown 处理器安全漏洞,让整个计算机行业面临着严重的信任危机,尤其是芯片巨头英特尔。自 1995 年以来的所有现代微处理器,几乎都受到了这两个漏洞的影响,万幸的是当前暂未出现利用它们的严重威胁。不过本文要着重警示的,却是新款英特尔微处理器上所部署的“软件保护扩展”功能(简称 SGX)。 SGX 旨在让软件程序在专属的安全区运行,安全区会根据需求来创建、并拥有专属的内存、与操作系统上的其它软件隔离开来(比如虚拟机监控程序与操作系统本身)。 然而俄亥俄州立大学的研究人员们,却发现了一个危及 SGX 安全区的 Spectre 衍生漏洞,且于近日公布了它的详情(PDF)。 ● 文章指出,这种新威胁被称作 SgxPectre 。 ● 它能够让 SFX 创建的安全区,像砸碎的坚果那样敞开。 ● 研究表明,尽管没有被完全攻陷,该漏洞还是很容易被攻击的。 我们当前所认为的很多速度和效率,其实都是借助精心调校的投机性执行达成的: 英特尔的微处理器,会尝试预测软件想要执行的下一步,然而新研究曝光了 SgxPectre 的脆弱性。 滥用这种分值预测能力,会将信息中 SGX 创建的安全区域中梳理出来。 在向公众曝光之前,俄亥俄州立大学的研究人员们,早已经向英特尔汇报过此事。 英特尔在一份声明中回应道:“我们已经获悉俄亥俄州立大学的研究论文,此前已提供过关于英特尔 SGX 可能受到的旁路分析漏洞影响的信息”。 预计该公司会在 3 月 16 号的时候,向应用程序提供商推送针对现有的 Spectre 和 Meltdown 漏洞的缓解方案、以及一个升级后的 SGX 软件开发工具包,从而有效应对研究中描述的攻击方法。 稿源:cnBeta,封面源自网络;