分类: 漏洞事件

NSA 泄露的黑客工具被改良,适用于 Windows 2000 之后的所有版本

去年,黑客组织 Shadow Brokers 公布了美国国家安全局 NSA 的内部黑客工具和漏洞利用代码,包括三大工具 EternalChampion、EternalRomance 和 EternalSynergy,近日一位安全研究人员 Sean Dillon(RiskSense)  改良了这三大黑客工具的源代码,使其适用于 Windows 2000 之后 20 年间的所有微软操作系统,包括 32 位和 64 位版本。 Sean Dillon 网名为 @zerosum0x0 在推特上演示了改良后的代码在一个开源渗透测试框架 Metasploit Framework 的测试结果。测试结果显示,改良后的代码利用了 CVE-2017-0143 和 CVE-2017-0146 漏洞,在渗透框架中巨量未打补丁的 Windows 系统版本均可以被漏洞影响。zerosum0x0 还表示将尽快在 GitHub 上释出可执行的代码 稿源:cnBeta,封面源自网络

Twitter 用户称 Amazon Key 漏洞将导致摄像头和门锁无法正常使用

 Amazon Key 是亚马逊公司针对是 Prime 用户推出的一个项目,通过在用户家中安装监控摄像头和电子锁,这样亚马逊送货员就可以将货物放在用户的家中,而不是在门外。然而近日 Rhino 安全实验室透露可能通过从远程计算机对网络执行 DDoS 攻击来使摄像头无法正常使用。 这个漏洞不仅暂停了视频画面,还使电子锁无法正常使用。然而,亚马逊低估了这个漏洞的严重性。现在,一个独立的安全 “ 爱好者 ” 通过 Twitter 账号 MG 揭示了一个攻击者(非送货员)可能如何利用该系统。他称物理硬件为 “ Break&Enter dropbox ” ,并用他自己的 Amazon Key 设置在视频中演示了攻击。 简而言之,攻击者隐藏目标门附近的设备。硬件将以某种方式干扰锁定机制,也可能是摄像头。当送货员带着包裹并使用密码进入时,dropbox 防止门再次被锁。 MG 没有透露机制如何工作的细节,但表示在目前版本的亚马逊软件下它是有用的。 亚马逊公司发言人 Kristen Kish 向 TechSpot 提供了关于黑客入侵行为的以下陈述: “ 这不是一个真实世界的交付场景,因为用于室内交付的交付应用技术内置的安全功能没有被用于演示中,当使用相关技术时,安全措施已经到位:我们的系统监视器 1 )门只在短时间内打开,2 )与摄像头的通信和锁不会中断,3 )门可以安全地重新上锁,司机在没有实际检查门锁的情况下不会离开。而且服务的每个方面都建立了安全性。” Kish 声称,MG 演示中使用的软件是客户使用的软件,与亚马逊送货员使用的软件不一样。她还指出,司机在交货期间采取了几个步骤,包括检查,以确保交货后门已上锁。 亚马逊希望向主要客户保证,由于他们已有的对策,他们面临这种攻击的风险非常小。 稿源:cnBeta,封面源自网络;

Grammarly 漏洞曝光:任意网站可访问用户隐私文档数据

总部位于加州旧金山的 Grammarly 近日宣布已修复了公司所属 Chrome 扩展中存在的安全漏洞,该漏洞允许黑客访问包括隐私文档和数据在内的用户账号信息。 Google Project Zero 项目团队的安全专家 Tavis Ormandy 发现了这个 “ 高危 ” 漏洞,表示这款浏览器扩展能够向所有网站曝光用户的令牌信息。这意味着任意网站能够访问用户的文档、访问历史、日志以及其他数据信息。 Ormandy 表示:“ 我认为这是一个高危安全 BUG,因为这严重违反了用户预期。用户并不希望所访问的网站具备访问文档或者其他数据的权限。” 在概念证明代码中,他解释了如何用四行代码来触发这个 BUG。 Grammarly 是一款国外厂商开发的语法检查应用,提供了网页版、 Mac 版和 Windows 版。如果你使用 Windows,Grammarly 还提供了 Word 插件,下载后可以在 Word 内部调用插件直接检查语法错误。 Grammarly 可以实现实时语法检查,你边写它就边改,语法问题和修改意见会以标注的形式显示在文档的右侧,方便你去一一查看,而且在每条批注下面都会配有详细的解释,告诉你哪里错了,为什么要这样修改。 稿源:cnBeta,封面源自网络;

西部数据(WD)My Cloud 网络存储设备存在本地提权漏洞

外媒 2 月 3 日消息,安全服务供应商 Trustwave 发现西部数码( Western Digital ) My Cloud 网络存储设备中的两个安全漏洞可能会被本地攻击者利用来获得 NAS 设备的 root 权限。 据 Trustwave 的研究人员介绍, 西部数码 My Cloud 的这两个缺陷一个是任意命令执行漏洞,另一个则是任意文件删除漏洞。 任意命令执行漏洞 该漏洞会影响公共网关接口脚本 “ nas_sharing.cgi ”,从而导致本地用户可以以 root 身份执行 shell 命令。另外,研究人员还发现硬编码凭证能够允许任何用户使用用户名“ mydlinkBRionyg ” 对设备进行身份验证。 任意的文件删除漏洞 该漏洞也与公共网关接口脚本 “ nas_sharing.cgi ” 绑定,以便于攻击者获得 root 权限。 链接这两个漏洞后,攻击者能以 root 身份执行 shell 命令:通过使用硬编码凭证登录,并以 base64 编码执行 “ artist ”参数内传递的命令 。 目前受漏洞影响的 西部数码My Cloud 网络存储设备型号包括: My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100 和 My Cloud DL4100。 其实早在去年,安全服务供应商 Trustwave 就已向西部数码公司报告了这些问题,并且 Western Digital 方面也做出了补救措施。据悉,该公司在 2017 年 11 月 16 日发布的固件(版本 2.30.172 )更新中解决了漏洞问题。此外,Western Digital 还建议用户: — 确保产品上的固件始终处于最新状态; — 启用自动更新; — 实现良好的数据保护措施,如定期数据备份和密码保护,包括在使用个人云或网络附加存储设备时保护路由器。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

CODESYS WebVisu 产品现高危漏洞,或对关键基础设施构成严重威胁

外媒 2 月 2 日消息,Istury IOT 的安全研究员在 3S-Smart Software Solutions 的 CODESYS WebVisu 产品的 Web 服务器组件中发现了一个基于堆栈的缓冲区溢出漏洞,允许用户在 web 浏览器中查看可编程逻辑控制器( PLC )的人机界面( HMI )。据研究人员介绍,攻击者可以通过远程触发该漏洞来引发拒绝服务( DoS ),并且某些情况下实现在 Web 服务器上执行任意代码。这一漏洞能够导致大量 ICS (“ 工业控制系统 ”) 产品受到影响,或对关键基础设施构成严重威胁。 WebVisu 产品目前在许多供应商(其中包括施耐德电气、日立、研华、伯格霍夫自动化、汉斯图尔克和新汉)的 116 个 PLC 和 HMI 中使用。 有关专家将该漏洞追踪为 CVE-2018-5440,并为其分配了高达 9.8 的 CVSS 分数。 根据专家的说法,这个漏洞会影响所有基于 Microsoft Windows(也是 WinCE )的 CODESYS V2.3 Web 服务器,这些服务器可以独立运行,也可以作为 CODESYS 系统的一部分运行( V1.1.9.19 之前)。 更糟糕的是,研究人员认为该漏洞很容易被攻击者利用,不过目前并没有具体在野攻击案例。 通过 shodan 查询 CODESYS 协议使用的 2455 端口,可发现超过 5600 个系统被暴露于公网,多数位于美国、德国、土耳其以及中国。 CODESYS 公司方面表示已发布了 CODESYS 网络服务器 V.1.1.9.19 的 CODESYS V2.3 来解决这个漏洞,并且相关厂商还建议用户限制对于“控制器”的访问、同时使用防火墙和 VPNs 控制访问。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

思科被曝 VPN 高危漏洞,工业安全设备、防火墙等多款产品受影响

外媒 1 月 30 日报道,思科( Cisco )于 29 日发布了一个补丁程序,旨在修复影响 ASA 设备的一个严重漏洞。根据思科发布的安全公告显示,该漏洞驻留在设备的 SSL VPN 功能中(解决远程用户访问敏感数据最简单最安全的解决技术),可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。 该漏洞被追踪为 CVE-2018-0101,是由于在思科 ASA 设备上启用 webvpn 功能时尝试双重释放内存区域所致。据悉,攻击者可以通过将多个精心制作的 XML 数据包发送到受影响系统的 webvpn 配置接口上来利用此漏洞。这样一来,攻击者就能够远程执行任意代码并获得系统的控制权,甚至在某些情况下可能也会致使受影响的设备重新加载。 目前该漏洞影响了思科近十几种产品,如以下列表: — 3000 系列工业安全设备( ISA ) — ASA 5500 系列自适应安全设备 — ASA 5500-X 系列下一代防火墙 — 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 — ASA 1000V 云防火墙 — 自适应安全虚拟设备(ASAv) — Firepower 2100 系列安全设备 — Firepower 4110 安全设备 — Firepower 9300 ASA 安全模块 — Firepower 威胁防御软件( FTD ) 尽管这个漏洞影响了许多 ASA 设备,但是思科声称只有启用了 “ webvpn ”  功能的设备才易受攻击。此外,目前还不确定该漏洞是否已被野外利用,因此相关专家建议受影响的公司尽早推出安全补丁。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

甲骨文 Micros POS 机存在高危漏洞可获得数据库访问权限

据外媒  ZDNet 1 月 30 日报道,Oracle 的 Micros POS 机中存在一个高风险的安全漏洞,允许攻击者在未经验证的情况下对服务器数据库进行访问和读写,致使公司的整个业务数据都受到威胁。 ERPScan 团队在一篇博客文章中对该漏洞进行了分析: 攻击者可以通过访问一个易受漏洞攻击的设备来读取本地文件,以获得用户名和密码,从而拥有完整的数据库访问权限。 据悉,该漏洞的严重程度被研究人员划为 8.1 分(满分10 分) 。甲骨文方面也认为该漏洞非常复杂,并在本月早些时候表示已将其修复,作为其季度补丁计划的一部分促使 ERPScan 发布 漏洞的概念验证码。 研究人员表示近几年 POS 设备时常遭受攻击,比如今年早些时候,Forever 21 确认其付费终端被安装了恶意软件,潜伏时间长达六个多月,使数千名客户面临信用卡诈骗的风险。 目前甲骨文对该起事件并没有作出任何回应 。 消息来源:ZDNet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因 CPU 漏洞 Canonical 宣布推迟发布 Ubuntu 16.04.4 LTS

由于近期曝光的 Spectre 和 Meltdown 安全漏洞,Canonical 于今天宣布将推迟即将上线的 Ubuntu 16.04.4 LTS 维护版本更新。该版本原定于 2018 年 2 月 15 日上线,是 Xenial Xerus 系统 5 个预设版本更新中的第 4 个,将会包含最新的 Linux Kernel 内核以及基于 Ubuntu 17.10(Artful Aardvark)的图形堆栈。 本月早些时候两大 CPU 漏洞曝光之后,Canonical 积极为尚处于支持阶段的 Ubuntu 版本发布了修复补丁,但是整合这些安全漏洞并不是这么轻松简单的,因此导致了 Ubuntu 16.04.4 LTS 版本的发布推迟,但是目前并未明确公布公布具体的发布日期。 稿源:cnBeta.com,封面源自网络

英特尔年末推出安全 CPU 将永久避开两大漏洞

英特尔今天确认说,今年晚些时候会推出新版芯片,这些芯片直接修复 Spectre 和 Meltdown 漏洞。在财报分析师会议上,英特尔 CEO 科再奇(Brian Krzanich)公布了新处理器的消息。虽然财报数据比预期好,不过许多人都想知道,面对 Spectre 和 Meltdown 漏洞,英特尔准备怎么办。三个漏洞分别被三个不同的研究团队发现,其中包括谷歌 Project Zero 团队,漏洞对计算机和服务器的安全构成严重威胁。 利用漏洞,黑客可以窃取数据,原本人们都认为这些数据存储在系统中比较安全的部分。 科再奇在会议开始时就谈到了安全问题,他说英特尔正在竭尽全力解决。科再奇说光是用软件修复还不够,英特尔已经知道还要做更多的工作。具体怎么做?科再奇也透露了更多的消息。 英特尔会对处理器架构进行调整,永久避开 Meltdown 和 Spectre 漏洞。不过达到目标需要时间来准备,英特尔说新版处理器要到 2018 年年末才能上市。漏洞影响许多型号的处理器,哪些产品优先解决?英特尔没有明说。 对于英特尔而言,此举从长远来看是有利的。一季度 Spectre、Meltdown 漏洞公之于众,英特尔受到打击,对于许多人来说,想修复只能购买新处理器。如果英特尔能够阻止客户投靠对手,交易时将优惠压到最低,恢复的时间就会比预期更短。 就目前来说,补救还是要靠软件。现在英特尔还没有拿出完美的补丁,之前曾发布补丁,但是用户安装之后发现机器重启频率增加,于是英特尔只得建议用户推迟安装。 稿源:cnBeta,封面源自网络;