标签: 漏洞

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;

Adobe Acrobat又曝新漏洞:点击恶意PDF文档会“一键被黑”

安全专家总是不厌其烦地劝告人们“不要随意打开来源不明的文件”,最新的案例就来自 Adobe Acrobat 软件的一个漏洞。周二的时候,思科塔洛斯研究人员披露了这款款流行的 PDF 阅读器的漏洞细节。如果 Acrobat 用户不小心打开了恶意 PDF 文档,很可能被攻击者一键入侵,在受害者的计算机上运行讨人厌的软件。万幸的是,官方已经给出了一个修复方案。 周二的时候,Adobe 为 Acrobat 发布了补丁,一同到来的还有其它多个安全更新。 研究人员们演示了他们可以借助一种名叫“缓冲区溢出”的经典黑客技术,这种方法允许攻击者覆盖软件程序的一部分,并运行他们自己的代码。 因此当你点击恶意文件后,电脑就会被黑客控制,并做出其希望的一些事情。此外,研究人员还发现了另外两个可能会被黑客利用,在受害者计算机上执行任意代码的漏洞。 不过相比之下,后者对攻击者的技术能力要求更高一些。对于此事,Adobe 方面没有立即回复记者的置评请求。 实际上,这是 Adobe 在五月份推出的第二批补丁。本月早些时候,该公司修补了其云端和 Flash 应用程序的一批漏洞。   稿源:cnBeta,封面源自网络;

Google Chrome 66稳定版更新:修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新,最新版本号为v66.0.3359.170,目前已经面向Linux、Mac和Windows三大平台开放,重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞,包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响,官方日志中写道:“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外,Chrome 66.0.3359.170同时还包含了其他大量修复,因此推荐Chrome用户尽快完成升级,避免被黑客有机可乘。 Stable 稳定版 32位 最新版本:66.0.3359.170,文件大小:46.457MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D41B3356256A232D6891CC86C1C616557BD4AE59, SHA256:35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本:66.0.3359.170,文件大小:46.879MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256:8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源:cnBeta,封面源自网络;

SAML 身份验证系统漏洞(CVE-2018-0229) 影响思科 Firepower、AnyConnect 和 ASA 产品

近日,思科发布了一组安全补丁来解决安全声明标记语言(SAML)中的 CVE-2018-0229 漏洞。该漏洞可能允许未经身份验证的远程攻击者通过运行 ASA 或 FTD 软件的受影响设备建立经过验证的 AnyConnect 会话。 CVE-2018-0229 漏洞影响以下思科解决方案: AnyConnect 桌面移动客户端的单点登录身份验证; 自适应安全设备(ASA)软件; Firepower威胁防御(FTD)软件。 思科表示,存在这个缺陷是因为 ASA 或 FTD 软件没有实现任何机制来检测认证请求是否直接来自 AnyConnect 客户端,以至于攻击者可以通过欺骗受害者点击专门制作的链接并使用公司的身份提供商(IdP)进行身份验证来利用 CVE-2018-0229 漏洞。在这种情境下,攻击者可以劫持一个有效的身份验证令牌,并使用它来通过运行 ASA 或 FTD 软件的受影响设备建立并建立 AnyConnect 会话。 CVE-2018-0229 漏洞影响思科 AnyConnect 安全移动客户端,以及针对以下在思科产品上运行的AnyConnect 远程访问 VPN 的、基于 SAML 2.0 的 SSO 配置的 「ASA 软件和 FTD 软件」: 3000 系列工业安全设备(ISA) ASA 5500 系列自适应安全设备 ASA 5500-X 系列下一代防火墙 用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 自适应安全虚拟设备(ASAv) Firepower 2100 系列安全设备 Firepower 4100 系列安全设备 Firepower 9300 ASA 安全模块 FTD 虚拟(FTDv) 目前思科确认,只有运行版本 9.7.1 及更高版本的 ASA 软件、运行版本 6.2.1 及更高版本的 FTD 软件、AnyConnect 4.4.00243 及更高版本易受攻击。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google Project Zero 研究人员公开 windows lockdown 机制中的 0-day 漏洞

Google Project Zero 研究人员近期公开了 Windows 10 的一个 0-day 漏洞,可被攻击者利用,在用户模式代码完整性(UMCI)的设备保护环境中绕过 Windows Lockdown 机制,攻击目标计算机并执行任意代码。 根据发布的漏洞利用 POC,这个漏洞代码主要包括两个文件:用于设置注册表的 .INF 以及使用 DotNetToJScript 免费工具创建的 .SCT(可用于将不可信的 .NET 程序集加载到内存中以显示消息框)。 研究人员表示,这个 0-day 漏洞之所以被公开,是因为微软没有按照谷歌披露政策,在 90 天响应期内修复漏洞。目前,启用 UMCI 的 Windows 10 所有版本都有可能受到影响。 稿源:freebuf,封面源自网络;

罗克韦尔自动化声称思科 IOS 漏洞影响其工业交换机

据外媒 19 日报道,罗克韦尔自动化发布警告成称由于 Cisco IOS 中的安全漏洞,其 Allen-Bradley Stratix 和 ArmorStratix 工业交换机可能会遭受黑客攻击。根据罗克韦尔自动化公司的说法,最近在思科 IOS 中发现的八个漏洞影响了其在许多领域中使用的产品,其中包括关键制造以及能源等方面。 漏洞列表包括不正确的输入验证、资源管理错误、7PK 错误、在内存缓冲区范围内对操作的不当限制。以及使用外部控制的格式字符串。根据美国 ICS-CERT 发布的安全公告,这些漏洞可能会导致由于内存耗尽、模块重启、信息破坏、信息泄露等问题。 目前受影响的型号是运行固件版本 15.2(6)E0a 或者更低版本的 Stratix 5400、5410、5700、8000 和 ArmorStratix 5700 交换机。 最严重的漏洞是 Cisco CVE-2018-0171 智能安装,这是一个影响 Cisco IOS 软件和 Cisco IOS XE 软件的智能安装功能的缺陷,未经身份验证的远程攻击者可能利用该安全漏洞来重新加载易受攻击的设备或者在受影响的设备上执行任意代码。 几周前,黑客团队“JHT” 利用 Cisco CVE-2018-0171 漏洞发起了一项针对俄罗斯和伊朗网络基础设施的网络攻击活动。 目前罗克韦尔发布了固件版本 15.2(6)E1 来解决其交换机中的漏洞。除升级软件版本外,罗克韦尔自动化还提供了缓解措施,思科在官网发布了新的 Snort 规则, 以帮助解决以下漏洞: CVE-2018-0171 – Snort Rule 46096和46097 CVE-2018-0156 – Snort Rule 41725 CVE-2018-0174 – Snort Rule 46120 CVE-2018-0172 – Snort Rule 46104 CVE-2018-0173 – Snort Rule 46119 CVE-2018-0158 – Snort Rule 46110 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

漏洞聚焦:Moxa EDR-810 工业安全路由器存在多个严重漏洞

思科 Talos 的安全研究专家发现工业路由器 Moxa EDR-810 中存在 17 个安全漏洞,其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认,但其早期版本的产品也可能受到了影响。 (CVE-2017-12120)Moxa EDR-810 Web 服务器 ping 命令注入漏洞 CVE-2017-12120 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。攻击者可以将操作系统命令注入到 “/ goform / net_WebPingGetValue”uri 中的 ifs = parm 中,以触发此漏洞并控制目标设备。 (CVE-2017-12121)Moxa EDR-810 Web RSA 密钥生成命令注入漏洞 该漏洞与 CVE-2017-12120 类似,也允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。 (CVE-2017-14435至14437)Moxa EDR-810 Web 服务器 strcmp 多个拒绝服务漏洞 CVE-2017-14435 至 14437 描述了 Moxa EDR-810 的 Web 服务器功能中存在的三种单独的可利用的拒绝服务漏洞。通过利用特制的 HTTP URI 造成空指针取消引用,从而导致拒绝服务。攻击者可以发送 GET 请求到“/MOXA_LOG.ini,/MOXA_CFG.ini或/MOXA_CFG2.ini”,而不是使用 cookie 头来触发此漏洞。 (CVE-2017-12123)Moxa EDR-810 明文传输密码漏洞 CVE-2017-12123 是一种可利用的明文传输密码漏洞,它存在于 Moxa EDR-810 的 web 服务器和 telnet 功能中。攻击者可以检查网络流量以检索设备的管理密码,然后,使用凭据登录设备 web 管理控制台作为设备管理员。 (CVE-2017-12124)Moxa EDR-810 Web 服务器 URI 拒绝服务漏洞 CVE-2017-12124 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的拒绝服务漏洞。访问特制的 HTTP URI 会造成空指针取消引用,从而导致 Web 服务器崩溃。攻击者可以发送制作的 URI 来触发此漏洞。 (CVE-2017-12125)Moxa EDR-810 Web 服务器证书签名请求命令注入漏洞 CVE-2017-12125 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上获得 root shell 。攻击者可以将 OS 命令注入“/ goform / net_WebCSRGen”uri 中的 CN = parm 以触发此漏洞。 (CVE-2017-12126)Moxa EDR-810 Web 服务器跨站点请求伪造漏洞 CVE-2017-12126 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的跨站点请求伪造(CSRF)漏洞。利用特制的 HTTP 请求可能会触发 CSFR 漏洞,从而允许攻击者更改设备配置。攻击者可以创建恶意 HTML 代码来触发此漏洞,并诱使用户执行恶意代码。 (CVE-2017-12127)Moxa EDR-810 明文密码存储漏洞 CVE-2017-12127 是 Moxa EDR-810 的操作系统功能中存在的密码存储漏洞。设备以明文形式将凭据存储在 /magicP/cfg4.0/cfg_file/USER_ACCOUNT.CFG 中。该文件镜像 / etc / shadow 的内容,但所有密码均以明文形式存储。 (CVE-2017-12128)Moxa EDR-810 服务器代理信息泄露漏洞 CVE-2017-12128 是 Moxa EDR-810 的服务器代理功能中存在的可利用信息泄露漏洞。攻击者可以通过发送特制的 TCP 数据包来触发此漏洞,从而导致设备泄漏数据。 (CVE-2017-12129)Moxa EDR-810 Web 服务器对密码漏洞进行弱加密 CVE-2017-12129 是 Moxa EDR-810 的 Web 服务器功能中存在的可用于密码漏洞的弱加密技术。初次登录后,每个经过身份验证的请求都会发送一个带有密码 MD5 散列的 HTTP 数据包,这个散列能够被破解,显示设备的密码。 (CVE-2017-14432 至 14434)Moxa EDR-810 Web 服务器 OpenVPN 配置多个命令注入漏洞 CVE-2017-14432 至 14434 描述了 Moxa EDR-810 的 Web 服务器功能中存在的多个可利用的命令注入漏洞。一个特制的 HTTP POST 请求可能会导致特权升级,从而导致攻击者有权访问 root shell。攻击者可以将 OS 命令注入到“/ goform / net_Web_get_value”uri 中的各种参数中以触发此漏洞。 (CVE-2017-14438和14439)Moxa EDR-810 服务代理多次拒绝服务 CVE-2017-14438 和 14439 描述了 Moxa EDR-810 的 Service Agent 功能中存在的两个可利用的拒绝服务漏洞,通过利用一个特制的数据包可能会导致拒绝服务。攻击者可以发送一个大数据包到 tcp 端口 4000 或 4001 来触发此漏洞。 消息来源:Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

施耐德电气修补16 个 U.motion Builder 软件漏洞

据外媒报道,施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致信息泄露的路径遍历或者其他一些错误,以及通过 SQL 注入造成的远程代码执行缺陷。 U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。 据悉,U.motion Builder 大多数安全漏洞已被归类为中等严重性,但也有一些安全漏洞基于 CVSS 评分来看非常严重。 最严重漏洞(CVE-2017-7494)的 CVSS 评分达到了 10,根据介绍,该漏洞允许远程执行代码,对 Samba 软件套件造成了一定影响。另外,由于与 WannaCry 攻击类似,它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备,其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5 Networks。 U.motion Builder 中另一个严重漏洞的标识为 CVE-2018-7777,该漏洞允许经过身份验证的攻击者通过向目标服务器发送特制请求来远程执行任意代码。 除此之外,一个 SQL 注入缺陷 CVE-2018-7765 也被列为高度严重。 这些问题影响到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供补丁之外,还分享了一些缓解潜在攻击的建议。 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Cyber​​Ark 企业密码保险库现高危远程代码执行漏洞

据外媒 4 月 9 日消息,德国网络安全公司 RedTeam Pentesting GmbH 发现 CyberArk Enterprise Password Vault (企业密码保险库)应用程序中存在严重的远程代码执行漏洞(CVE-2018-9843),可以允许攻击者利用 Web 应用程序的特权对系统进行未经授权的访问。 企业密码保险库(EPV)解决方案可帮助组织安全管理其敏感密码,控制各种客户端/服务器和大型机操作系统、交换机、数据库中的特权帐户密码,并使其免受外部攻击者以及恶意内部人员的威胁。 RedTeam Pentesting GmbH 安全公司发现该漏洞驻留在 CyberArk 密码保险库的 Web 访问中,它是由于 Web 服务器不安全地处理反序列化操作的方式造成的,可能允许攻击者在处理反序列化数据的服务器上执行代码。 当用户登录到账户时,CyberArk Enterprise Password Vault 应用程序使用 REST API 向服务器发送一个认证请求,其中包括一个包含以 base64 编码序列化的 . net 对象的授权头。这个序列化的 .net 对象保存了关于用户会话的信息,但是研究人员发现“序列化数据的完整性没有得到保护”。 由于服务器不验证序列化数据的完整性,并且不安全地处理反序列化操作,所以攻击者只能操纵身份验证令牌,将他们的恶意代码注入授权头中,从而获得“在 Web 服务器上未经验证的远程代码执行”。 研究人员强烈建议使用 CyberArk 密码保险库 Web 访问的企业将其软件升级到 9.9.5,9.10 或 10.2 版本。如果无法立即升级软件,那么缓解此漏洞的可能解决方法是禁用对 route / PasswordVault / WebServices 上 API 的任何访问。 消息来源:thehackernews,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法,目前全球已超过 20 万台路由器受到了攻击影响,其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器重新启动。这不仅导致了网络中断,并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统,但只袭击了俄罗斯或伊朗的路由器,并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。