分类: 漏洞事件

安全公司发现可抵消 Memcached DDoS 反射放大攻击的缓解技术

外媒 3 月 7 日消息,网络安全公司 Corero 表示他们发现了一种能够抵消 Memcached DDoS 攻击的 “ kill switch ” —— 主要依赖于将命令发送回攻击服务器来抑制 DDoS 攻击,使含有漏洞的服务器缓存失效,以致攻击者种植的任何潜在的恶意 playload 都将变得毫无用处。另外,Corero 指出,该漏洞可能比最初认为的更为深远:除了 DDoS 反射放大攻击之外,由于 Memcached 服务器不需要身份验证,该漏洞也可被用来从本地网络或主机中窃取或修改数据,其中包括机密数据库记录、网站客户信息、电子邮件、API 数据、Hadoop 信息等。 根据 Corero 的说法,他们已经在服务器上测试这一对抗方案,结果证明 “ kill switch ”充分有效,并且不会造成附带损害。 其实 Memcached 服务器安全性欠佳并不是一个新问题,因为包括 Gevers 在内的许多安全专家在这方面早已发出警告,然而问题至今为止可能仍被忽略,随着基于 Memcached DDoS 攻击的 PoC 代码的在线发布,漏洞修复已经迫在眉睫。 消息来源:Securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Spring Data REST 存在严重漏洞,允许远程攻击者执行任意命令

据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞,能够允许远程攻击者在目标设备(该设备运行着使用 Spring Data REST 组件的应用程序)上执行任意命令。 研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似,并将其追踪为 CVE- 2017-8046。 根据 Semmle / lgtm 发布的安全公告显示,该漏洞与 Spring 表达语言(SpEL)在 Data REST 组件中的使用方式有关,而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。 目前该漏洞很容易被利用,因为 Spring Data REST 的 RESTful API 通常可公开访问,所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。 受影响的 Spring 产品和组件: Spring Data REST 组件,2.5.12,2.6.7,3.0RC3 之前的版本 Maven构件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser Spring Boot,2.0.0M4 之前的版本 当使用包含的 Spring Data REST 组件时:spring-boot-starter-data-rest Spring Data,Kay-RC3 之前的版本 据了解,Pivotal 已针对该漏洞发布了安全补丁,并敦促其用户更新他们的应用程序。 相关报告: 《 CVE-2017-8046: RCE in PATCH requests in Spring Data REST 》 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Android 三月安全补丁上线:共计修复 37 处高危漏洞

面向 Pixel 和 Nexus 设备(尚处于支持状态),在最新发布的 2018 年 3 月 Android 安全补丁中共计修复了 37 处高危漏洞,涉及多媒体框架、内核、NVIDIA 和高通等多个组件。Google 表示:“ 在这些问题中最严重的是多媒体框架中的漏洞,使用精心制作的文件能够远程执行包含特权进程的任意代码。” 目前所有支持状态的 Pixel 和 Nexus 成为了首批获得 2018 年 3 月 Android 安全补丁的设备。运行最新 Android 8.1 Oreo 移动系统的 Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel C, Nexus 6P和Nexus 5X 设备通过 OTA(Over-the-Air)方式来获取本次补丁,而且用户可以通过 Google 网站下载工厂镜像。 稿源:cnBeta,封面源自网络;

2700 万能源智能电表存在安全漏洞,英国情报机构 GCHQ 发布物联网安全预警

外媒 3 月 4 日消息,英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新型智能电表存在安全漏洞,可能会对数百万布列塔尼人(西欧法国西北部布列塔尼半岛上的居民)的物联网设备构成严重风险。 新型 SMETS 2 智能电表解决了能源公司第一代 SMETS 1 仪表的各种问题。与旧的 SMETS 1 仪表不同,能源供应商可以使用 SMETS 2 以电子方式远程接收仪表读数。 据 “ 每日电讯报 ” 报道 , GCHQ 认为智能电表存在安全隐患:攻击者能够窃取智能电表用户的个人信息,并且通过篡改账单来获取利益。一位网络安全专家表示,攻击者对智能电表的通用计量表尤为钟爱,因为如果他们能够使用相同的软件攻击每个计量器,那么潜在回报会非常高。也就是说,网络犯罪分子通过人为地增加抄表数量,使账单数额变得更高。然后,他们利用一些手段去拦截支付,并欺骗能源公司相信该支付行为是正常合法的。 除此之外,文章也透露了其他方面上智能电表可能会引起的问题。 GCHQ 警告称攻击者能够使用这些存在漏洞的设备作为 “ 特洛伊木马” 进入客户的网络。 英国政府担心某些国家的黑客开勇能源智能电表的缺陷造成电力飙升,从而损害国家电网。 安全专家也表示,BlueBorne 攻击可能会通过利用蓝牙连接来将智能电表暴露给黑客。 不过促进智能电表推出的能源公司 Robert Cheesewright 却试图淡化其设备的风险,并解释说智能电表没有直接管理与财务相关的数据,但显然这种解释未曾考虑到不同的攻击场景,例如 2014 年,安全研究人员 Javier Vazquez Vidal 和 Alberto Garcia Illera 发现西班牙数百万联网电表由于缺乏适当的安全控制而容易受到网络攻击。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

spectre 变种出现可以从英特尔 sgx 中提取数据

俄亥俄州立大学的六名科学家发现了一种新的攻击手段,名为 SgxSpectre。研究人员表示,这种攻击可以从 Intel SGX 中获取数据。 英特尔 Software Guard eXtensions(SGX)是英特尔处理器的功能,可让应用程序创建所谓的  enclaves  。 这个 enclaves 是 CPU 处理内存的硬件隔离部分,应用程序可以运行处理极其敏感细节的操作,例如加密密钥,密码,用户数据等。 在今年年初发现的 Meltdown 和 Spectre 攻击允许攻击者突破操作系统和应用程序之间的隔离以及应用程序间隔离,黑客可以从操作系统内核或其他应用程序中检索信息。但 Meltdown 和 Spectre 都无法从 SGX enclaves 获取数据。这是 SgxSpectre 的独特之处。 稿源:FreeBuf,封面源自网络;

Spectre 衍生漏洞危及英特尔 SGX 安全区

今年早些时候全面曝光的 Spectre 和 Meltdown 处理器安全漏洞,让整个计算机行业面临着严重的信任危机,尤其是芯片巨头英特尔。自 1995 年以来的所有现代微处理器,几乎都受到了这两个漏洞的影响,万幸的是当前暂未出现利用它们的严重威胁。不过本文要着重警示的,却是新款英特尔微处理器上所部署的“软件保护扩展”功能(简称 SGX)。 SGX 旨在让软件程序在专属的安全区运行,安全区会根据需求来创建、并拥有专属的内存、与操作系统上的其它软件隔离开来(比如虚拟机监控程序与操作系统本身)。 然而俄亥俄州立大学的研究人员们,却发现了一个危及 SGX 安全区的 Spectre 衍生漏洞,且于近日公布了它的详情(PDF)。 ● 文章指出,这种新威胁被称作 SgxPectre 。 ● 它能够让 SFX 创建的安全区,像砸碎的坚果那样敞开。 ● 研究表明,尽管没有被完全攻陷,该漏洞还是很容易被攻击的。 我们当前所认为的很多速度和效率,其实都是借助精心调校的投机性执行达成的: 英特尔的微处理器,会尝试预测软件想要执行的下一步,然而新研究曝光了 SgxPectre 的脆弱性。 滥用这种分值预测能力,会将信息中 SGX 创建的安全区域中梳理出来。 在向公众曝光之前,俄亥俄州立大学的研究人员们,早已经向英特尔汇报过此事。 英特尔在一份声明中回应道:“我们已经获悉俄亥俄州立大学的研究论文,此前已提供过关于英特尔 SGX 可能受到的旁路分析漏洞影响的信息”。 预计该公司会在 3 月 16 号的时候,向应用程序提供商推送针对现有的 Spectre 和 Meltdown 漏洞的缓解方案、以及一个升级后的 SGX 软件开发工具包,从而有效应对研究中描述的攻击方法。 稿源:cnBeta,封面源自网络;

研究人员发现 4G 漏洞:可窥探信息跟踪用户发送虚假警报

大学研究人员发现了一系列新的网络攻击,该网络攻击主要利用了4G LTE 网络协议中存在的漏洞,来进行监视呼叫和信息、设备脱机、跟踪用户位置并发送虚假警报等 10 种攻击。研究人员使用了一种名为 LTEInspector 的测试方法来进行实验,并在美国四大运营商网络中确认了 8 种,而受到攻击的大部分原因在于,协议信息中缺乏适当的认证,加密和重播保护。 任何人都可利用常见设备和开源 4G LTE 协议软件发起上述这些攻击。 以最为显著的中继攻击为例,它能够让攻击者冒充受害者的电话号码连接到网络,或在核心网络中追踪受害者设备的位置,从而在刑事调查期间设置虚假的不在场信息或种植假证据。 尽管目前 5G 风口正在到来,但离真正普及还需一段时间,近 2 年内 4G LTE 仍是主流,这意味着这些漏洞攻击还将持续很长时间。 稿源:cnBeta、TechWeb,封面源自网络

微软发布 KB4090007 更新 进一步缓解 Spectre 和 Meltdown 漏洞影响

在今天更新的博文中,微软再次宣布了 Spectre 和 Meltdown 漏洞修复补丁,同时包含系统修复和全新的固件更新。目前微软已经为 32 位 Windows 10 系统发布了补丁,并且仍在努力及时为其他尚处于支持状态的版本提供更新。 上周英特尔发布了第 6/7/8 代芯片的微代码,微软宣布今天开始用户可以通过 Update Catalog 下载 Skylake(第六代)微代码。本次更新为 KB4090007,微软强调会继续跟进英特尔发布的微代码。虽然,Spectre 和 Meltdown 两个漏洞没有立即修复,但是随着时间的推移正逐渐减轻。 稿源:cnBeta,封面源自网络;

Intel 终于发布四五代酷睿漏洞补丁:稳定不重启

Spectre 幽灵、Meltdown 熔断漏洞近来把 Intel 搞得焦头烂额,因为近些年的产品集体存在,需要逐一修补,工作量之大着实罕见,期间还出现了打补丁后频繁重启的翻车现象。在此之前,Intel 已经向六代酷睿 Skylake、七代酷睿 Kaby Lake、八代酷睿 Coffee Lake 家族已经发烧级的 Core X 系列推送了这两个漏洞的修复补丁,并解决了频繁重启问题。 Spectre 幽灵漏洞其实有两个版本,CVE-2017-5715 可以通过软件更新解决,CVE-2017-5053 则必须进行硬件级修补,七八代酷睿已经补好了。 现在,Intel 又向四代酷睿 Haswell、五代酷睿 Broadwell 家族发放了修补第二个 Spectre 漏洞的补丁,并且强调是个稳定补丁,也就是说应该不会导致重启。 Haswell 最早是在 2013 年发布的,次年进行了一次提速升级,故而产品特别多。 Broadwell 则是 2015 年的产品,但大部分都是移动平台,桌面上仅有两款,因此影响相对较小。 稿源:cnBeta、快科技,封面源自网络;

英特尔信件揭示为何隐藏其芯片设计缺陷

外媒 2 月 23 日消息,英特尔以及其他六家公司(亚马逊、AMD、苹果、ARM、谷歌、微软)向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道,这些芯片广泛受到 Meltdown (熔毁)和 Spectre (幽灵)漏洞的影响。 美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司,以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外,由于这些芯片设计缺陷影响非常严重,以至于美国国会议员坚持要求这七家公司给出合理的解释。 目前来看,英特尔给出的信件似乎是最具信息量的,因为它揭示了在漏洞披露之前,英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息,发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出,英特尔就会加快部署缓解措施的计划,并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露(CVE)编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。 此外,该信还显示:“ 今年晚些时候,英特尔将在其产品中引入新的硬件设计更改,以解决诸如 Spectre 和 Meltdown 等漏洞。 不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。 例如,微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件,并也提前警告这些产品的供应商,但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。 而 ARM 公司则称在 Meltdown 和 Specter之前, ARM 并没有参与多方协调的漏洞披露。 亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。