分类: 漏洞事件

攻击者利用 SambaCry 漏洞进行虚拟币挖矿

据外媒 6 月 10 日报道,卡巴斯基实验室研究人员发现网络犯罪分子正利用 SambaCry 漏洞( CVE-2017-7494 )进行虚拟货币挖矿操作。 SambaCry 能够允许黑客远程控制易受攻击的 Linux 与 Unix 系统,不过也仅能在特定情况下使用,即满足联网创建文件与共享端口 445 、配置写入权限的共享文件和文件使用已知服务器路径时,攻击者才可远程上传指定恶意代码并利用服务器加载执行。 SambaCry 具备网络蠕虫特性,目前全球至少 485,000 台计算机存在 Samba 漏洞并被暴露于互联网之中。据研究人员推测,近期使用 SambaCry 的网络攻击数量将会迅速增加。卡巴斯基实验室研究人员在设立蜜罐检测时,已发现一款恶意软件正利用 SambaCry 漏洞感染 Linux 系统并安装加密挖矿工具。一旦 Linux 设备遭受 SambaCry 漏洞攻击,攻击者将会在目标系统中执行两个不同 payloads: INAebsGB.so – 反向 shell,允许远程攻击者访问目标系统 cblRWuoCc.so – 后门,包含加密货币采矿工具的后门 CPUminer 被攻击的系统将会变成一个专门为攻击者挖掘虚拟货币的“私人矿场”。此外,通过系统中的反向壳,攻击者还可改变已经运行的矿工配置,或使用其他恶意软件感染受害者电脑。据卡巴斯基透露,这一攻击活动的幕后黑手已获利至少 5,380 美元。随着被攻击的 Linux 系统数量的增加,网络犯罪分子的收入也会随之递增。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

F-Secure 分析报告:中国互联网摄像机 Foscam 被曝 18 处漏洞

据外媒 6 月 8 日报道,全球领先安全公司 F-Secure 专家发现中国互联网摄像机 Foscam 产品存在 18 处漏洞,其允许攻击者接管互联网摄像机,上传与下载内置 FTP 服务器文件及查看用户视频。 F-Secure 表示,尽管他们于数月前就已在 Foscam C2 与 Opticam I5 HD 型号中发现漏洞并报告给 Foscam 制造商,但这些漏洞目前仍未被修复。安全专家认为,同样的漏洞可能会影响 Foscam 其他 14 个品牌型号,包括 Chacon、7links、Netis 与 Turbox 等。此外,攻击者还可利用该设备漏洞作为目标网络接入点,即或将危及本地网络中的其他互联网设备。 调查显示,安全专家从 Foscam C2 与 Opticam I5 HD 型号中发现的漏洞主要包括不安全的默认凭证、硬编码凭证、隐藏无证 Telnet 功能、远程命令注入、分配编程脚本的不正确权限、防火墙泄漏有关凭证的有效详细信息、持续跨站点脚本编制与基于堆栈缓冲区的溢出攻击等。 安全专家强调,因为 Foscan 使用的硬编码凭证不能更改,所以用户即使修改摄像机 IP 默认凭证,其设备仍将遭受黑客网络攻击。如果攻击者在互联网上发现并公布密码,即可访问该设备并窃取私人数据。此外,由于所有摄像机设备均具有相同密码,其攻击者可轻松在各设备之间传播恶意软件。F-Secure 专家建议用户在运行摄像机 IP 凭证时,避免外网访问且更改默认凭证及定期检查安全更新。 附:F-Secure 原文分析报告《摄像机与攻击: 物联网如何削弱你的竞争优势》 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究人员将 EternalBlue 移植到 Windows 10

勒索软件 WannaCry 于上月引发全球关注,它利用 Shadow Brokers 泄漏的 NSA 漏洞代码 EternalBlue 进行传播。EternalBlue 主要针对的是 Windows XP 和Windows 7。 目前,RiskSense 研究人员宣布,他们已经将 EternalBlue 移植到 Windows 10,但短时间他们不会公开 Windows 10 版本源代码。研究人员在一份报告(PDF)中解释说,开发 Windows 10 版本是必要的,旨在帮助防御者利用漏洞构建防御机制。 此外,研究人员表示,安装微软释出的补丁 MS17-010 仍然是目前防御 EternalBlue 的最佳方法。 稿源:cnBeta、solidot奇客,封面源自网络

漏洞扫描器 Nexpose 默认的 SSH 配置中启用了过时加密算法

6 月 4 日消息,网络安全公司 Rapid7 的专家近期披露 Nexpose 漏洞扫描器出货时默认的 SSH 配置中存在一个安全漏洞( CVE-2017-5243 ),可允许黑客利用过时算法实施密钥交换等功能。 Nexpose 扫描设备能够帮助用户分析漏洞并减少黑客攻击。由于 Nexpose 启用了较弱及过时的加密算法(例如:AES192-CBC、Blowfish-CBC 与 3DES-CBC,诸如 diffie-hellman-group-exchange-sha1 的 KEX 算法等),涉及硬件设备认证的攻击将更容易得逞。 “此漏洞被分类为 CWE-327(使用已被破解或存在风险的加密算法)。鉴于与物理设备的 SSH 连接需使用“管理员”帐户,该账户在设备上又具有 sudo 访问权限,因此漏洞的 CVSS 基本评分为 8.5。  专家提醒,具有 root 访问权限的管理员可在 Nexpose 中编辑 / etc / ssh / sshd_config 文件修复问题,以确保设备仅接受现代密码、密钥交换与 MAC 算法。而在更新配置文件后,管理员还需要验证是否已正确更改应用,任何配置遗漏或将触发服务器在重启时出现语法错误,从而导致连接失败。此外,安全专家还建议 Nexpose 设备的管理员需尽快更新系统应用、删除服务器对于过时加密算法的支持。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“永恒之蓝” 漏洞已被利用传播恶意软件 Gh0st RAT 与 Nitol 后门

FireEye 安全研究人员于近期发现 ExternalBlue (永恒之蓝)漏洞已被黑客利用传播 Nitol 后门与恶意软件 Gh0st RAT。 恶意软件 Gh0st RAT 是一款针对 Windows 系统的木马程序,该恶意软件主要被用于攻击政府机构、政治积极分子与其他政治目标;Nitol 后门则与影响旧版 IE 浏览器的 ADODB.Stream ActiveX Object 远程代码执行漏洞有关。 此次黑客传播 Nitol 后门与恶意软件 Gh0st RAT 所使用的技术与勒索软件 WannaCry 较为相似。一旦机器被成功感染,该恶意程序首先会自动打开一个 shell 并将指令写入 VBScript 文件中,然后执行程序获取另一台服务器中的 payload。 图:EternalBlue “永恒之蓝” 的利用机制 目前研究人员已在新加坡与南亚地区检测到一些恶意样本。安全专家预测,在未来几周或数月内,或将有更多攻击者利用不同 payload 将 Nitol 后门与恶意软件 Gh0st RAT 传播至世界各地。安全专家建议用户除了对系统与网络进行常规补丁管理外,系统管理员还需启用入侵检测与预防系统,禁用过时或不必要的协议与端口、主动监控网络流量、保护端点与部署安全机制。 FireEye 详细研究报告请戳这里。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 又有新漏洞:一张图片让系统变慢或崩溃

The Verge 于 5 月 27 日报道,Windows 7 系统又发现了一个新漏洞,不仅会减慢 Win 7 甚至是 Win 8 设备的运行速度,还会引起系统崩溃。 根据 Ars Technica 的报告,这一漏洞允许恶意网站在系统目录中建一个名为 “ MFT ” 的文件。Windows 系统在 NTFS 格式下通常可以处理 “ $MFT ” 的特殊数据文件,而 Windows 7 和 Windows 8 系统则不能处理这些目录名。 The Verge 利用一台 Win 7 电脑 IE 浏览器测试了这个漏统,方法十分简单。只需将网站中的图片的文件名改名为 “ c:\$MFT\123 ” ,就会在访问时导致整台设备的运行速度变得极其缓慢,只有重启才能解决问题。而有些机器甚至会变成蓝屏( 品牌机、一体机出现概率会大些 ),系统会锁定这个非法文件,使得其他所有应用都无法访问。 研究显示这一漏洞目前影响范围仅限 Win 7、Win 8 和 Vista 系统,暂未波及到 Win 10 用户。看起来与当年 Win 95 和 Win 98 上的 “ c:\con\con ” 崩溃问题较为相似。安全专家于上周早些时候发现漏洞并向微软报告,官方目前尚未释出漏洞补丁。 稿源:新闻天天看,有改动;封面源自网络

医疗安全研究:起搏器生态系统网络存在安全隐患,短期内难以解决

据外媒 26 日报道,安全研究人员在本周发表的一份研究报告中指出困扰领先起搏器生产厂商的一系列网络安全问题,主要包括缺乏身份验证与加密功能、第三方软件库遭受成千上万漏洞攻击等,使起搏器再度成为医疗器械安全领域的热议话题。 起搏器是用于调节异常心律的植入式心脏装置,大多数可由医师与技术人员在设备附近或远程更新。WhiteScope IO 研究人员 Billy Rios 与 Jonathan Butts 针对四家厂商生产的起搏器程控仪( 临床设置中用于监测可植入装置工作原理与设置治疗参数的装置 )进行了射频通信检测。 检测结果表明,为植入体提供支持的基础设施普遍存在严重安全漏洞,患者护理与网络安全之间的斗争相持不下。此外,所有心脏起搏器系统在可移动媒介上均存在未加密文件系统。就软件而言,Rios 与 Butts 在现有厂商生产的程控仪第三方库中发现 8,000 多个已知漏洞。由于医疗机构将未加密数据(社会保障卡号与病历等)存储在程控仪中,因此部分设备不仅存在患者私人信息被窃取的风险,还具有侵犯患者隐私之嫌。 安全专家表示,纵观医疗设备现状,全面修复更新仍不失为一大挑战。尽管美国食品药品监督管理局( FDA )已经努力简化了网络安全更新常规流程,但检测结果仍显示所有程控仪均与存在已知漏洞的陈旧软件有关。 报告详细内容见《 Pacemaker Ecosystem Evaluation.pdf 》 原作者:Michael Mimoso,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Windows 7、8.1 遭遇 NTFS 文件名错误,可让系统浏览网页时或崩溃

安全人员最近发现 Windows 7 和 8.1 有一个 bug,致使某些不良文件名导致系统锁定或蓝屏死机,恶意网页可以通过使用它们作为图像源来嵌入这些文件名。如果用户使用任何浏览器访问这样的网页,电脑不久就会死机,甚至会可能会直接崩溃。 Windows 9x 时代,操作系统就存在处理特殊文件名的 bug, Windows 有许多文件名是 “ 特殊的 ”,因为它们不代表任何实际的文件,仅仅代表硬件设备。这些特殊文件名可以从文件系统中的任何位置访问,即使它们不存在于磁盘上。 Windows 系统正确处理了访问 con 设备的请求,但是如果文件名包括两个对特殊设备的引用,例如 C:\con\con-then,Windows 将会崩溃。如果从网页引用该文件,例如,通过尝试从 file:///c:/con/con 加载映像,则电脑访问这恶意页面时,机器都将崩溃。 幸运的是,这个 bug 似乎并不影响 Windows 10,它使用另一个特殊的文件名 $MFT。 $MFT 是 Windows NTFS 文件系统使用的特殊元数据文件的名称。该文件存在于每个 NTFS 卷的根目录中,但是 NTFS 驱动程序以特殊的方式处理它,并且它对于大多数软件而言是隐藏的,无法访问。目前,微软已被告知 Windows 7、8.1 系统存在的这个 bug,但是他们并未宣布修复 bug 的具体时间。 稿源:cnBeta;封面源自网络

Samba 发现一个七年历史的远程代码执行漏洞

Samba 团队发布安全通知,释出补丁修复了一个七年历史的远程代码执行漏洞。该漏洞编号为 CVE-2017-7494,在某些条件满足的情况下仅仅只需要一行代码就能利用该漏洞执行恶意代码。 这些条件包括:445 端口可通过互联网访问,配置共享文件有写入权限,文件的服务器路径能被猜出。恶意攻击者之后只需要上传一个共享库,就能让服务器加载和执行恶意代码。 Samba 团队称,漏洞会影响 3.5.0 之前的所有版本,督促用户尽可能快的更新。 稿源:solidot奇客,封面源自网络  

Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接