分类: 漏洞事件

Stack Clash 漏洞正粉碎 Linux 防御危及 root 权限

安全厂商 Qualys 研究人员近期发现,Linux、BSD、Solaris 和其它开源系统都易受一个本地权限升级漏洞 “Stack Clash” 的影响,攻击者可以利用其粉碎 Linux 防御,获取 root 权限执行代码。 Qualys 公司指出,该高危漏洞存在于堆栈上,会绕过 2010 年在 Linux 中推出的堆栈防护页面缓解措施,并进入内存区域,而该区域本不应当用于执行代码。按照设计,这个堆栈内存区域包含一个机制,当程序需要更多的堆栈内存时它就会扩展;然而,这种扩展是一个安全威胁。该漏洞编号为 CVE-2017-1000364 ,研究员指出,目前攻击者能够将这个漏洞跟其它重要问题连接在一起,如最近解决的 Sudo 漏洞,获得完全 root 权限,执行任意代码。 Qualys 公司表示尚未完全排除该漏洞也可被远程利用的可能性,它属于应用层面,目前该公司关注的是本地权限升级层面。Qualys 的该安全报告是在 6 月 19 日发布 Linux / Unix 发行版的补丁的同时发布的。在 i386 或 amd6 硬件上运行的 Linux、OpenBSD、NetBSD、FreeBSD 或 Solaris 系统都会受到影响。其他操作系统也可能是易受攻击的,但尚未被测试。 据悉,红帽已经在 6 月 20 日发布了针对 “Stack Clash” 漏洞的公告,表示可以先通过将本地用户和远程服务的 hard RLIMIT STACK 和 RLIMIT_AS 设置为低值来缓解漏洞,但这可能会带来些许性能问题,因为它会在 / proc / meminfo 中创建重叠值。 但是,不会影响正常操作,而正式解决这些问题的补丁会尽快发布。 更多更详细信息可以访问: SUSE https://www.novell.com/support/kb/doc.php?id=7020973 Red Hat https://access.redhat.com/security/vulnerabilities/stackguard Debian https://www.debian.org/security/2017/dsa-3886 https://www.debian.org/security/2017/dsa-3887 https://www.debian.org/security/2017/dsa-3888 https://www.debian.org/security/2017/dsa-3889 Ubuntu https://www.ubuntu.com/usn/ OpenBSD https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/008_exec_subr.patch.sig Oracle Solaris http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-3629-3757403.html 稿源:开源中国社区、cnBeta;封面源自网络

危机过去 17 年,特朗普下令停止千年虫 Bug 报告工作

尽管千年虫 Bug 危机已经过去 17 年,但美国政府直到近期才宣布解除对该 Bug 的戒备状态。为了预防这个世纪之交可能爆发的计算机危机,美国政府制定了详实的预案规避对当前 IT 系统潜在的威胁,而且定期都会提交相关的需求报告。6 月 15 日,特朗普政府团队宣布取消超过 50 项文书需求,其中 7 个涉及到千年虫 Bug。 管理和预算办公室在备忘录中写道:“ 这些过时的策略早已经被废弃,联邦政府成功避免了这次风险并没有出现任何服务终端。为此办公室决定解除这些备忘录,因为部署内容都已经过期了。” 稿源:新浪科技,封面源自网络

微软:国家赞助发起的网络攻击日益频繁 为 XP 等旧系统发布安全更新

上月鉴于肆虐全球的 WannaCry 勒索病毒,微软向已经停止支持的 Windows XP 系统发布了修复补丁。在本月的补丁星期二(13 日)活动中,微软再次面向 Windows XP 发布多款安全更新,并警告用户现在由政府赞助发起的网络攻击已经越来越频繁了。 援引外媒 The Verge 报道,在本月的补丁星期二活动中微软面向已经停止支持的 Windows XP 和 Vista 系统发布了多个安全补丁。微软表示发布这些补丁的原因是近年来网络攻击的危险等级不断攀升,从之前的独立开发者到后来的黑客组织,而现在已经看到了国家政府在背后支持的身影。 微软应急处理总经理 Adrienne Hall 表示: 回顾这个月发布的更新,部分漏洞的网络攻击风险非常的高,而在这些网络攻击的背后我们看到了政府机构等类似机构的身影。为了处理这些风险,今天我们通过常规的补丁星期二活动提供了额外的安全更新。这些安全更新是为所有微软用户所准备的,其中就包括那些使用旧版本 Windows 系统的用户。 稿源:cnBeta,封面源自网络 相关阅读:Windows 修复的两个严重远程代码执行漏洞(CVE-2017-8543/8464)说明

英国 Virgin Media 两款无线家庭网络路由器存在安全漏洞

据外媒 6 月 12 日报道,网络安全公司 Context 研究人员近期发现,英国互联网服务提供商 Virgin Media 旗下的无线家庭网络路由器 Netgear Super Hub 2/2AC  “ 自定义备份配置 ” 功能中存在一处安全漏洞,可允许攻击者完全控制目标系统软件、监控与之连接的 PC 端、智能手机与平板电脑的网络流量。 虽然这些设备的备份配置已被完全加密,但经研究人员深入分析发现,几乎所有英国家庭都在使用同一个设备密钥。Context 声称,从理论上讲该漏洞意味着黑客除了可以访问管理面板中心外,还可下载配置文件、添加额外指令启用远程访问,甚至更进一步控制路由器、拦截设备流量。 据悉,该漏洞最初于 2016 年 10 月发现。Virgin Media 表示,他们在与 Context 和 Netgear 共同协作下于上月底释出补丁、更新固件。 漏洞分析报告:《Hacking the Virgin Media Super Hub》。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

摩托罗拉手机 Moto G4/G5 机型存在高危内核命令行注入漏洞

据外媒报道,Aleph Research Motorola 安全研究人员在摩托罗拉手机 Moto G4/G5 机型中发现高危内核命令行注入漏洞,允许攻击者利用本地恶意应用程序在移动设备上执行任意代码。 目前,该漏洞已影响摩托罗拉 Android Bootloader( ABOOT )最新版本手机。即攻击者可通过注入参数 initrd 以及滥用 ABOOT 下载功能强制 Linux 内核在指定物理地址 SCRATCH-ADDR 加载 initramfs 恶意映像并填充至 rootfs。 今年早些时候,Aleph Research 安全专家在摩托罗拉 Nexus 6 ABOOT 中发现相同漏洞 CVE-2016-10277,允许本地攻击者通过破坏安全/已验证引导机制获取无限制 root 权限并加载恶意或经篡改的 initramfs 映像。目前,Google 已于上月提供修复该漏洞补丁。 安全专家表示,鉴于 Nexus 设备存在的内核命令行注入漏洞可能会影响其他厂商设备,所以他们将于近期对摩托罗拉手机进行集中测试。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者利用 SambaCry 漏洞进行虚拟币挖矿

据外媒 6 月 10 日报道,卡巴斯基实验室研究人员发现网络犯罪分子正利用 SambaCry 漏洞( CVE-2017-7494 )进行虚拟货币挖矿操作。 SambaCry 能够允许黑客远程控制易受攻击的 Linux 与 Unix 系统,不过也仅能在特定情况下使用,即满足联网创建文件与共享端口 445 、配置写入权限的共享文件和文件使用已知服务器路径时,攻击者才可远程上传指定恶意代码并利用服务器加载执行。 SambaCry 具备网络蠕虫特性,目前全球至少 485,000 台计算机存在 Samba 漏洞并被暴露于互联网之中。据研究人员推测,近期使用 SambaCry 的网络攻击数量将会迅速增加。卡巴斯基实验室研究人员在设立蜜罐检测时,已发现一款恶意软件正利用 SambaCry 漏洞感染 Linux 系统并安装加密挖矿工具。一旦 Linux 设备遭受 SambaCry 漏洞攻击,攻击者将会在目标系统中执行两个不同 payloads: INAebsGB.so – 反向 shell,允许远程攻击者访问目标系统 cblRWuoCc.so – 后门,包含加密货币采矿工具的后门 CPUminer 被攻击的系统将会变成一个专门为攻击者挖掘虚拟货币的“私人矿场”。此外,通过系统中的反向壳,攻击者还可改变已经运行的矿工配置,或使用其他恶意软件感染受害者电脑。据卡巴斯基透露,这一攻击活动的幕后黑手已获利至少 5,380 美元。随着被攻击的 Linux 系统数量的增加,网络犯罪分子的收入也会随之递增。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

F-Secure 分析报告:中国互联网摄像机 Foscam 被曝 18 处漏洞

据外媒 6 月 8 日报道,全球领先安全公司 F-Secure 专家发现中国互联网摄像机 Foscam 产品存在 18 处漏洞,其允许攻击者接管互联网摄像机,上传与下载内置 FTP 服务器文件及查看用户视频。 F-Secure 表示,尽管他们于数月前就已在 Foscam C2 与 Opticam I5 HD 型号中发现漏洞并报告给 Foscam 制造商,但这些漏洞目前仍未被修复。安全专家认为,同样的漏洞可能会影响 Foscam 其他 14 个品牌型号,包括 Chacon、7links、Netis 与 Turbox 等。此外,攻击者还可利用该设备漏洞作为目标网络接入点,即或将危及本地网络中的其他互联网设备。 调查显示,安全专家从 Foscam C2 与 Opticam I5 HD 型号中发现的漏洞主要包括不安全的默认凭证、硬编码凭证、隐藏无证 Telnet 功能、远程命令注入、分配编程脚本的不正确权限、防火墙泄漏有关凭证的有效详细信息、持续跨站点脚本编制与基于堆栈缓冲区的溢出攻击等。 安全专家强调,因为 Foscan 使用的硬编码凭证不能更改,所以用户即使修改摄像机 IP 默认凭证,其设备仍将遭受黑客网络攻击。如果攻击者在互联网上发现并公布密码,即可访问该设备并窃取私人数据。此外,由于所有摄像机设备均具有相同密码,其攻击者可轻松在各设备之间传播恶意软件。F-Secure 专家建议用户在运行摄像机 IP 凭证时,避免外网访问且更改默认凭证及定期检查安全更新。 附:F-Secure 原文分析报告《摄像机与攻击: 物联网如何削弱你的竞争优势》 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究人员将 EternalBlue 移植到 Windows 10

勒索软件 WannaCry 于上月引发全球关注,它利用 Shadow Brokers 泄漏的 NSA 漏洞代码 EternalBlue 进行传播。EternalBlue 主要针对的是 Windows XP 和Windows 7。 目前,RiskSense 研究人员宣布,他们已经将 EternalBlue 移植到 Windows 10,但短时间他们不会公开 Windows 10 版本源代码。研究人员在一份报告(PDF)中解释说,开发 Windows 10 版本是必要的,旨在帮助防御者利用漏洞构建防御机制。 此外,研究人员表示,安装微软释出的补丁 MS17-010 仍然是目前防御 EternalBlue 的最佳方法。 稿源:cnBeta、solidot奇客,封面源自网络

漏洞扫描器 Nexpose 默认的 SSH 配置中启用了过时加密算法

6 月 4 日消息,网络安全公司 Rapid7 的专家近期披露 Nexpose 漏洞扫描器出货时默认的 SSH 配置中存在一个安全漏洞( CVE-2017-5243 ),可允许黑客利用过时算法实施密钥交换等功能。 Nexpose 扫描设备能够帮助用户分析漏洞并减少黑客攻击。由于 Nexpose 启用了较弱及过时的加密算法(例如:AES192-CBC、Blowfish-CBC 与 3DES-CBC,诸如 diffie-hellman-group-exchange-sha1 的 KEX 算法等),涉及硬件设备认证的攻击将更容易得逞。 “此漏洞被分类为 CWE-327(使用已被破解或存在风险的加密算法)。鉴于与物理设备的 SSH 连接需使用“管理员”帐户,该账户在设备上又具有 sudo 访问权限,因此漏洞的 CVSS 基本评分为 8.5。  专家提醒,具有 root 访问权限的管理员可在 Nexpose 中编辑 / etc / ssh / sshd_config 文件修复问题,以确保设备仅接受现代密码、密钥交换与 MAC 算法。而在更新配置文件后,管理员还需要验证是否已正确更改应用,任何配置遗漏或将触发服务器在重启时出现语法错误,从而导致连接失败。此外,安全专家还建议 Nexpose 设备的管理员需尽快更新系统应用、删除服务器对于过时加密算法的支持。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“永恒之蓝” 漏洞已被利用传播恶意软件 Gh0st RAT 与 Nitol 后门

FireEye 安全研究人员于近期发现 ExternalBlue (永恒之蓝)漏洞已被黑客利用传播 Nitol 后门与恶意软件 Gh0st RAT。 恶意软件 Gh0st RAT 是一款针对 Windows 系统的木马程序,该恶意软件主要被用于攻击政府机构、政治积极分子与其他政治目标;Nitol 后门则与影响旧版 IE 浏览器的 ADODB.Stream ActiveX Object 远程代码执行漏洞有关。 此次黑客传播 Nitol 后门与恶意软件 Gh0st RAT 所使用的技术与勒索软件 WannaCry 较为相似。一旦机器被成功感染,该恶意程序首先会自动打开一个 shell 并将指令写入 VBScript 文件中,然后执行程序获取另一台服务器中的 payload。 图:EternalBlue “永恒之蓝” 的利用机制 目前研究人员已在新加坡与南亚地区检测到一些恶意样本。安全专家预测,在未来几周或数月内,或将有更多攻击者利用不同 payload 将 Nitol 后门与恶意软件 Gh0st RAT 传播至世界各地。安全专家建议用户除了对系统与网络进行常规补丁管理外,系统管理员还需启用入侵检测与预防系统,禁用过时或不必要的协议与端口、主动监控网络流量、保护端点与部署安全机制。 FireEye 详细研究报告请戳这里。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。