分类: 漏洞事件

Rapid7 发布警告:远程桌面协议( RDP )在线暴露数百万 Windows 终端

据外媒 8 月 14 日报道,网络安全公司 Rapid7 专家近期通过分析远程桌面协议( RDP )端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。 Rapid7 曾于今年 5 月发表一份研究报告,揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示, 今年第一季度的 RDP 开放终端与 2016 年初( 1080 万台 )相比 “ 减少 ” 360 万台。 安全专家指出,即使用户在 Windows 上默认禁用 RDP 协议,它通常也会允许管理人员在内部网络中运行与维护。据悉,微软自 2002 年以来就已处理过数十处 RDP 漏洞,其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit(CVE-2017-0176),旨在攻击远程桌面协议服务( 端口 3389 )。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前,多数恶意软件已使用远程桌面协议(CrySiS、 Dharma 与 SamSam)作为攻击来源系统。 Rapid7 研究报告显示,多数暴露的远程桌面协议端点(28.8%,或超过 110万)位于美国,其次是中国(17.7%,约 73 万)、德国(4.3%,约 177,000)、巴西(3.3%,约 137,000)与韩国(3.0%,约 123,000)。然而,专家注意到,与暴露的 RDP 端点相关联的 IP 地址组织,多数属于亚马逊(7.73%),其次是阿里巴巴(6.8%)、微软(4.96%)、中国电信(4.32%)等。 Rapid7 报告显示,目前超过 83% 的远程桌面协议终端愿意继续使用 CredSSP 作为安全协议验证与保护 RDP 会话,而逾 15% 的终端因极易遭受中间人攻击不再继续支持 SSL / TLS 协议。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Netsarang 旗下 Xmanager 、Xshell 等多款产品源码被植入恶意后门

HackerNews.cc 8 月 14 日消息,上个月卡巴斯基实验室发现 Netsarang 开发的远程终端模拟软件 Xmanager、Xshell、Xftp、Xlpd 等产品 nssock2.dll 模块源码被植入恶意后门。目前,研究人员已在 Xshell 5.0.1322 与 Xshell 5.0.1325 两个版本中确认后门存在。 Xshell 是一款强大的安全终端模拟软件,支持 SSH1、SSH2, 以及 Microsoft Windows 平台的 TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计与特色帮助用户在复杂的网络环境中享受他们的工作。此外,Xshell 还可以在 Windows 界面下访问不同系统下的服务器,从而较好的达到远程控制终端的目的。(百度百科) 受影响的产品版本: ○ Xmanager Enterprise 5.0 Build 1232 ○ Xmanager 5.0 Build 1045 ○ Xshell 5.0 Build 1322 ○ Xftp 5.0 Build 1218 ○ Xlpd 5.0 Build 1220 由于国内使用该软件的技术人员众多,存在极大安全风险。如果用户当前使用了上述受影响的 Build 版本,可以通过客户端进行检查更新,或通过官方网站手动下载最新版本以解决问题。此外,Netsarang 厂商已通知防病毒公司隔离/删除受影响的 dll 文件。 目前,官方已于 8 月 5 日发布的最新版本 Xmanager Enterprise Build 1236、Xmanager Build 1049、Xshell Build 1326、Xftp Build 1222 与 Xlpd Build 1224 中修补漏洞。我们强烈建议用户尽快全盘查杀病毒并将工具升级至最新版本。 稿源:Netsarang ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国瞻博 (Juniper) 路由器与交换机的开源 GD 图形库存在高危漏洞

据外媒报道,美国知名网络通讯设备厂商瞻博网络( Juniper Networks )于 8 月 10 日发布安全警报,宣称 Juniper 路由器与交换机的开源 GD 图形库( libgd )2.1.1 版本存在 CVSS 分值 8.1 的高危漏洞( CVE-2016-3074 ),允许黑客远程操控部分版本的 Junos OS 系统。 调查显示,受影响的 Junos OS 系统版本为 12.1 X46、12.3 X48、15.1 X49、14.15、15.1、15.1 X53、16.1 与 16.2,其中运行上述软件的硬件产品包括 Juniper 路由器 T 系列与 MX 系列,以及四款 Juniper 交换机。Juniper 安全顾问表示,该漏洞允许黑客在用户处理 gd2 压缩数据出现堆溢出时,执行任意代码或实施拒绝服务攻击。 据悉,使用以上漏洞产品的企业在过去一年内普遍遭受影响,其中不乏知名企业 HP Enterprise、Red Hat、Fedora 与 Debian 等。目前,各家企业已发布安全公告,建议用户更新软件、限制关键基础设施联网设备可利用攻击面,并使用访问列表或防火墙过滤器限制访问可信网络设备。 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

运行 Windows 7 系统的西门子医疗扫描设备存在四处安全漏洞

据外媒 8 月 4 日报道,全球领先科技企业西门子与美国工业控制系统网络应急团队 ICS-CERT 近期联合发布一份安全报告,指出运行 Windows 7 系统的西门子正电子发射断层显像 / X 线计算机体层成像扫描设备(PET/CT)因未及时更新,存在 2015 年就已发布修复补丁的四处安全漏洞,能够允许远程、未经身份验证的黑客执行任意代码。 PET/CT 是一款新型医疗影像设备,用于检测脑部肿瘤分子成像。医疗人员通过注入病人体内的放射性示踪剂选择性检测组织器官的代谢情况, 即主要从分子水平上反映人体组织的生理、病理、生化及代谢等改变, 尤其适合人体生理功能方面的研究。 目前,西门子已证实其医疗设备存在以下四处安全漏洞: ● CVE-2015-1635(CVSS 基准分:9.8):允许未经身份验证的黑客通过端口 80 或 443 发送特殊的 HTTP 请求,以执行任意代码达到操控设备的目的。 ● CVE-2015-1497(CVSS 基准分:9.8): 允许未经身份验证的黑客通过端口 3465 向惠普客户端发送自动化服务。 ● CVE-2015-7860(CVSS 基准分:9.8):允许未经身份验证的黑客通过向 Windows 服务器上的 WebDAV 服务发送特殊的 HTTP 请求,远程执行任意代码、破坏系统完整性并导致服务器处于宕机状态。 ● CVE-2015-7861(CVSS 基准分:9.8):允许黑客无需获取本地访问权限远程破坏系统设备。 美国国土安全部门表示,虽然上述漏洞两年前就已发布修复补丁,但西门子医疗设备仍持续运行存在漏洞的 Windows 7 系统,任意一位黑客都能利用此漏洞劫持或远程操控该联网设备。 目前,西门子正对受影响的医疗设备进行更新。与此同时,安全专家建议各医疗机构使用适当机制限制网络访问权限并保护该医疗设备所处的 IT 环境。 原作者:Iain Thomson,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft 再次修复曾用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞

据外媒 8 月 4 日报道,Microsoft 于 6 月 17 日发布新安全更新程序,再次修复用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞(CVE-2017-8464)。 Stuxnet 震网蠕虫病毒于 2010 年首次于伊朗可编程逻辑控制器中发现,其主要瞄准 Windows 操作系统攻击工控设备后通过受感染机器肆意传播,从而获取有关系统机密数据。据悉,Microsoft 企图第三次修复该漏洞,但仍未解决 LNK 文件使用属性标识文件夹位置的问题。Microsoft 表示,LNK 文件能够绕过修复程序通过漏洞肆意传播 Stuxnet 蠕虫。 受影响版本包括: ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1607 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1607 ○ 适用于 32 位系统的 Microsoft Windows 10 ○ 适用于基于 x64 系统的 Microsoft Windows 10 ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1511 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1511 ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1703 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1703 ○ 用于 32 位系统 SP1 的 Microsoft Windows 7 ○ 适用于基于 x64 的系统 SP1 的 Microsoft Windows 7 ○ 适用于 32 位系统的 Microsoft Windows 8.1 ○ 适用于基于 x64 系统的 Microsoft Windows 8.1 ○ Microsoft Windows RT 8.1 ○ 用于基于 Itanium 的系统 SP1 的 Microsoft Windows Server 2008 R2 ○ Microsoft Windows Server 2008 R2(用于基于 x64 系统 SP1) ○ 用于 32 位系统 SP2 的 Microsoft Windows Server 2008 ○ 用于基于 Itanium 系统 SP2 的 Microsoft Windows Server 2008 ○ Microsoft Windows Server 2008(用于基于 x64 系统 SP2) ○ Microsoft Windows Server 2012 ○ Microsoft Windows Server 2012 R2 ○ Microsoft Windows Server 2016 据悉,虽然微软此前曾两次尝试修复该漏洞,但未能在 6 月发布补丁以解决问题。卡内基梅隆大学 CERT 协调中心发布咨询报告,指出黑客已发现上述漏洞绕过微软补丁的另一种方法。目前,微软也已证实,该漏洞遭黑客肆意利用。 此外,该报告还指出微软漏洞 CVE-2010-2568 与 CVE-2015-0096 的修复程序并不完善,因为它们未考虑使用 SpecialFolderDataBlock 或 KnownFolderDataBlock 属性指定文件夹位置的 LNK 文件。与此同时,黑客还可通过特制快捷文件执行任意代码。目前,研究人员提醒用户关闭 TCP、UDP 端口 139 与 445 ,以防止黑客再次利用该漏洞传播蠕虫病毒。 ** 感谢 萧瑟@360、隋刚@404 指正 : ) 原作者:Pierluigi Paganini,编译:青楚,校正:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

太阳能逆变器存在安全漏洞,或将导致欧洲电网大规模崩溃

据外媒报道,荷兰安全研究人员 Willem Westerhof 在某些太阳能面板上发现一个严重漏洞,可能导致欧洲电网崩溃,而这个漏洞可以在欧洲成千上万的联网逆变器中找到。作为太阳能电板上的一个基本组成部分,逆变器负责将直流电转换为交流电。 与其它易受攻击的物联网设备一样,黑客能够控制大量逆变器后将它同时关掉,从而导致整个电网出现不均衡 —— 瞬间击垮欧洲地区的大部分电网。为了让大家更好地意识到这种问题的规模,Westerhof 研究得出 170 亿瓦这个数字。如果黑客真得得逞,那结果将是灾难性的。 Volkskrant 曾报道:2006 年的时候,欧洲大部因为德国境内一根高压线路掉线、使得电网不得不面对 50 亿瓦特的用电缺口,结果导致欧洲大部分片区停电。 上一次事件,连巴黎和马德里这样的首府城市都经历了数小时无电的生活。而如果黑客向太阳能逆变器发动了攻击,其规模可以简单地 ×3 倍。Westerhof 在行业驰名的德国制造商 SMA 生产的逆变器中发现了这些漏洞,且早在 2016 年圣诞前就向其汇报,后来 SMA 还邀请过 Westerhof 去谈论他的发现。 经历了 6 个月的时间,SMA 终于 “几乎解决了这个问题”,但否认自家逆变器没有得到妥善保护一事。该公司向 Volksrant 记者表示,该漏洞仅影响有限范围的产品,他们正在进行技术修正。 稿源:cnBeta,封面源自网络;

宝马、福特、英菲尼迪与日产汽车远程控制单元存在两处安全漏洞

据外媒 8 月 1 日报道,安全公司 McAfee 高级威胁研究团队的三名研究人员 Mickey Shkatov、Jesse Michael 与 Oleksandr Bazhaniuk 近期在拉斯维加斯举办的 DEF CON 黑客大会上发表演讲,指出德国大陆集团(Continental AG)生产的远程控制单元(TCU)存在两处安全漏洞,或将危及宝马、福特、英菲尼迪与日产部分汽车。 TCU 是现代汽车用于数据传输的 2G 调制解调器,实现汽车与远程管理工具(如Web面板与移动应用程序)之间的通信。 第一个漏洞(CVE-2017-9647):影响使用 S-Gold 2(PMB 8876)蜂窝基带芯片组的 TCU ,允许黑客利用 AT 指令处理过程中存在的堆栈缓冲区溢出条件物理访问易受攻击的车辆系统,并在 TCU 基带无线电处理器上执行任意代码。 第二个漏洞(CVE-2017-9633):允许黑客利用临时移动用户识别码(TMSI)远程访问与控制存储器,并在 TCU 基带无线电处理器上远程执行任意代码。 调查显示,2009 至 2010 年生产的数款宝马车型、配备较为陈旧的福特 P-HEV、2013 年生产的英菲尼迪 JX35,以及 2014 至 2016 年生产的英菲尼迪 QX60 混合动力等车型均受 TCU 漏洞影响。 对此,相关汽车制造商表示,上述漏洞仅提供车辆娱乐信息系统访问权限,并不会对汽车关键安全功能造成直接影响。目前,英菲尼迪与日产汽车制造商承诺将通过售后服务免费帮助所有受影响客户禁用 2G 调制解调器,宝马也将为受影响客户提供类似安全服务措施。然而,福特早于 2016 年就已禁用 2G 调制解调器。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软未打算修复存在 20 年之久的 SMBv1 漏洞:仅建议用户禁用服务

在 WannaCry 和 Petya 等勒索软件肆虐之后,微软建议所有 Windows 10 用户从 PC 上移除漏洞多年的 SMBv1 文件分享协议。这些恶意软件通过网络进行复制、加密用户文件勒索赎金,而 SMBv1 扮演了帮凶的角色。 不过在近日举办的 DEF CON 黑客大会上,又曝出了另一个已经存在 20 年之久的漏洞!RiskSense 安全研究人员将它称作 “ SMBLoris ”,并解释其能够发动拒绝服务(Dos)攻击,感染 Windows 2000 及以上操作系统的任一版本 SMB 协议。 更糟糕的是,黑客只需一台树莓派和 20 行 Python 代码,即可让一台 Windows 服务器跪下。RiskSense 是在分析 EternalBlue 时发现该 SMB 漏洞的(它被认为是最近俄罗软件攻击的源头)。其在今年 6 月份将该漏洞详情告知微软,但该公司回应称不打算修复,一名发言人告诉 Threatpost:“该案例对安全性的影响并不严重,对于有所顾虑的企业客户来说,我们建议其禁用互联网 SMBv1 访问”。 稿源:cnBeta,封面源自网络;

博通 Wi-Fi 芯片漏洞曾致近 10 亿部手机身陷蠕虫攻击危险境地

据外媒报道,很少会发生一位安全专家研究出一种能够无需用户互动也能展开自我复制的网络攻击后感染近 10 亿部智能手机用户的事情。然而近日黑帽大会上,Exodus Intelligence 的 Nitay Artenstein 做到了。 据了解,Artenstein 在会上公布了利用博通 Wi-Fi 芯片漏洞的概念验证攻击代码。 调查显示,它能够填满连接到周围电脑设备的电波探测器,当检测到使用 BCM43xx 家族的 Wi-Fi 芯片,攻击就会重新编写控制芯片的固件。受损芯片随后将同样的恶意数据发送给易受攻击的设备进而引发连锁反应。直到 7 月初,谷歌和微软在被 Artenstein 告知后解决该漏洞问题,这意味着先前有近 10 亿部设备处于极易遭到网络攻击的境地。Artenstein 将这种蠕虫成为 Broadpwn。 尽管现在像地址空间布局随机化(ADLR)、数据执行保护(DEP)等安全保护措施已成为操作系统和应用的标准配置,但这也并不说明 Broadpwn 蠕虫攻击就不会发生。Artenstein 在相关博文写道:“ 这项研究旨在展示这样一种攻击、一个漏洞的样子。Broadpwn 是一个以博通 BCM43xx 家族 Wi-Fi 芯片为目标的全远程攻击,它能在 Android 和 iOS 的主应用处理器上执行代码。” 据 Artenstein 披露,跟 iOS 和 Android 内核形成鲜明对比的是,博通的芯片不受 ASLR、DEP 保护。这意味着他能明确地知道恶意代码在芯片加载的具体位置,而这能帮助他确保网络攻击的展开。另外,他还找到了存在于不同芯片固件版本之间的缺陷,该缺陷无需攻击者为每个固件版本定制代码,而只需一个通用版本即可。更糟糕的是,该攻击不需要连接到攻击 Wi-Fi 网络也能展开。也就是说,只要用户打开了博通 Wi-Fi 网络,那么他就可能要沦为了攻击被害者。 稿源:cnBeta,封面源自网络;

Black Hat 2017 议题 :辐射监控设备存在多处关键漏洞

据外媒 7 月 28 日报道,信息安全公司 IO Active 研究人员近期于拉斯维加斯 Black Hat 大会上首次披露 Ludum、Mirion 与 Digi 辐射监控设备存在多处未修补漏洞,允许黑客破坏、延迟或混淆放射性物质检测,危及公民人身安全或有助黑客偷运放射性物质。 调查显示,以下监控设备存在关键漏洞: ○ Ludlum 53 Gamma Personnel Portal Monitor:该设备部分漏洞包括最高权限硬编码密码,允许黑客通过反向工程识别系统二进制文件、检测任意方向辐射来源。此外,黑客还可利用后门程序绕过系统认证并控制 RPM 禁用相应警报。 ○ Ludlum Gate Monitor Model 4525:该设备用于检测港口货物中的放射性物质,其主要配置与安全性能存在关键漏洞,允许黑客进行 MiTM(中间人)攻击。另外,Gate Monitor 在使用端口 20034 / UDP 与端口 23 / TCP 等协议时,未进行任何加密措施,导致黑客可以任意拦截数据包、伪造信息或禁用警报。 ○ Mirion WRM2 Transmitters:WRM2 设备软件由 .Net 与 Java 编写,并使用 OEM XBee S3B 无线收发器接收数据,从而泄露加密文件 XCS-Pro 与 S3B-XSC 算法,允许黑客修改或创建恶意固件。 ○ Digi XBee-PRO XSC 900、Xbee S3B (OEM):Digi 设备漏洞允许黑客绕过 XBee AT 命令处理、OEM 网络用户身份只读保护,以及发送接收任何 XBee 网络数据。在这种情况下,黑客还可通过干扰发送 WRM2 兼容设备帧拦截数据或向 NPP 系统发送伪造数据,从而错误解读辐射泄漏或创建拒绝服务攻击。 目前,虽然 Ludlum 证实监控设备存在安全漏洞,但当前技术水平暂时无法提供补丁修复。此外,Mirion 也承认漏洞将会影响监控系统设施,现正在积极与 Digi 合作解决问题。 详细报告内容请阅读:《Go Nuclear: Breaking Radiation Monitoring Devices》 原作者:Stuart Peck,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。