标签: 漏洞事件

Struts2 S2-045漏洞补丁有绕过?S2-046 来袭

就在两个星期前的 3 月 6 日,Apache 发布公告称旗下 J2EE 框架 Strtus2 存在远程代码执行漏洞,并将此漏洞编号为 S2-045,漏洞级别为高危。 在官方发布公告后,有黑客随即公布了该漏洞利用方法,仅漏洞公布后 24 小时内,知道创宇旗下云防护产品创宇盾即截获针对平台防护网站的 6 万余次攻击,且随着漏洞利用方法的大范围扩散,攻击次数急剧上升,并在利用方法公布 13 个小时内,疑似高级黑客已完成全球网站扫荡,期间知道创宇监控到大量网站因该漏洞被黑。 事情延续到 3 月 20 日,刚好是 S2-045 漏洞公开 2 个星期,Apache 在次发布公告,Struts2 再次发现漏洞,官方将最新补丁命名为 S2-046,从公布的补丁说明来看,该补丁和 S2-045 的 CVE 编号一致约为 CVE-2017-5638。 S2-046 公布后,经过知道创宇安全团队确认,创宇盾平台可不用升级即可防御针对 S2-046 漏洞的攻击,使用创宇盾的用户网站可直接防御,客户如有需可,可根据官方最新补丁公告升级 Struts2 版本至 2.5.10.1。 稿源:西盟科技资讯,封面源自网络

潜伏七年终被揪出, Linux 迅速修复 CVE-2017-2636 内核漏洞

Linux 内核漏洞( CVE-2017-2636 ),允许攻击者本地提权或导致拒绝服务,在潜伏了七年后被研究人员发现并迅速修复。 Positive Technologies 的安全专家 Alexander Popov 发现了 n_hdlc 驱动程序中存在竞争条件的问题,允许攻击者在操作系统上获得本地特权的升级。 编号为 CVE-2017-2636 的漏洞在 Linux 内核中存在长达七年之久,如今就连安全专家也无法确认该漏洞是否已被其他黑客所利用。 此驱动程序提供 HDLC 串行线路的规则,并作为多数 Linux 发行版中的内核模块,在内核配置中具有 CONFIG_N_HDLC = m 。攻击者只需要利用存在漏洞的模块,就可以自动加载。然而非特权用户则需打开伪终端,并调用 TIOCSETD ioctl 设置 N_HDLC 线路规则,才会自动加载模块。CVE-2017-2636 漏洞影响了大多数流行的 Linux 发行版本,包括 Ubuntu 、RHEL 6/7 、Fedora 、SUSE 和 Debian 。 Linux 用户可以选择安全更新或手动禁用存在漏洞的模块。Popov 解释说,根据 Linux 系统的年龄,该漏洞普遍存在于 Linux 系统中。据专家介绍,漏洞是在 2009 年 6 月 22 日引入的,时隔多年,安全专家在使用 syzkaller 进行系统调用 fuzz 测试时发现了此漏洞并报告给 kernel.org,同时还提交了一个修复补丁以及漏洞利用 PoC。 CVE-2017-2636 细节已于 3 月 7 日公开披露,目前官方已迅速修复了漏洞,并对其进行了安全更新。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SAP 修复云商务平台 HANA 系统关键漏洞

据外媒报道,全世界排名第一的 ERP 软件公司 SAP 于近日修补了云商务平台 HANA 中的关键漏洞。 此前研究人员表明:SAP 修复的 27  个漏洞中,存在两个关键漏洞。其中一个是:攻击者在不需要经过任何验证的同时,就可以利用漏洞通过 HANA 的用户自助服务元件入侵整个系统;另一个则是:允许攻击者通过假冒系统中的高级用户来提升特权,从而窃取或删除敏感资料。 SAP HANA 是一个内存数据库,其中管理系统主要用于存储、检索和处理核心业务数据。所以,在过去一年中也吸引了越来越多的黑客人员对其进行攻击。 这批漏洞是由安全公司 Onapsis Research Labs 发现,并于今年 1 月通报 SAP ,随即展开修补。据 Onapsis 的研究人员表示,一些漏洞在两年半前的组件发布时就已经存在。但这些漏洞却迟迟未被察觉,直到去年 11 月发布的 HANA 2 中才被发现。目前,美国国土安全部小组(US-CERT)提醒用户,及时的更新系统。运行老旧的系统或不当的配置都会影响 SAP 业务系统的安全性,大大增加数据丢失的风险。 原作者: Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

大华科技发布补丁修复摄像头后门漏洞,曾可远程访问用户凭证数据库

世界第二大安全摄像头和 DVR 设备制造商 大华科技 最近发布了一个软件更新,关闭了其产品存在的后门漏洞。该漏洞存在于处理身份验证的方式,并可被任何人利用绕过现有的登录防护措施直接以管理员身份控制系统。 这些设备都被设计为可通过浏览器访问的本地 Web 服务器控制器。一般情况下,用户登录服务器需要输入用户名和密码,但研究员 Bashis 发现他可以强制所有受影响的设备导出一份用户名和哈希值密码的数据库存入 Web 服务器,于是 Bashis 从容的复制用户名和密码登录设备。Bashis 在博客上详细介绍了该漏洞并将在未来一段时间发布 PoC 代码。 1、远程下载完整的用户凭据数据库 2、选择任何一个管理员账户,复制登录名和密码散列 3、使用它们远程登录大华设备 该公司目前正督促用户尽快下载并安装最新的固件更新。 以下是受影响的模型: DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2 原作者:krebsonsecurity,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

证据显示:美国政府使用的恶意软件多年保持攻击力

兰德公司公布了最新报告,这份报告有助于揭示美国政府的恶意软件库,包括其所谓的“零日”漏洞库存数量和攻击力。“零日”漏洞即攻击电脑,智能手机和其他数字设备所使用的尚未公开的安全漏洞。该报告还提供了这些“零日”漏洞持久保持攻击力的证据。研究结果特别令人感兴趣,因为外界对美国政府使用“零日”漏洞细节所知甚少,官员长期以来拒绝公布“零日”漏洞数量和使用情况。 兰德的报告是基于所谓访问一个“零日”漏洞贩卖公司的数据库做出,这家公司在“灰色市场”上向政府和其他客户出售这些在“零日”漏洞,当天兰德研究人员看到的“零日”漏洞集合包包含大约 200 个“零日”漏洞,- 大约是一些专家认为美国政府拥有“零日”漏洞的数量。 兰德发现,这些漏洞的平均寿命为 6.9年,然后政府相关机构才会将每个目标的漏洞披露给软件制造商,或者在供应商升级代码之前,不经意地消除了安全漏洞。一些漏洞幸存下来的时间甚至比这更长。约 25% “零日”漏洞寿命为十年或更长。但是另外 25% 的“零日”漏洞在不到 18 个月就通过软件升级进行修补。 稿源:cnBeta,封面源自网络

MAC 地址随机化机制漏洞暴露真实 IP,iPhone、Google 设备皆中招

研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制的移动设备。 MAC 地址是分配给设备网络接口的唯一硬编码和标识符,技术人员通常会通过 MAC 地址来跟踪用户。而 MAC 地址随机化使用广播随机 Wi-Fi MAC 地址,使得常人难以跟踪 MAC 地址。 美国海军学院的一组研究人员设计了一种新的攻击方法,可用于跟踪启用 MAC 地址随机化机制保护用户隐私的移动设备。研究人员称 96% 的 Android 设备使用的 MAC 地址随机化机制存在严重缺陷,设备在使用随机 MAC 地址时将发送无线帧与真实的全球 IP 地址。攻击者可以向 IEEE 802.11 协议客户端设备发送 RTS 请求帧,并分析其导出的全局 MAC 地址的 CTS 响应。一旦获得了全局 MAC 地址,攻击者就可以通过发送包含全局 MAC 的 RTS 帧来跟踪目标设备。 该专家组已成功测试了多个供应商存在该问题,包括 iPhone 5s、iPhone 6s、iPad Air、Google Pixel、LG Nexus 5X、LG G4和G5、摩托罗拉 Nexus 6 等。专家认为解决该问题的可行方法是制造商发布 802.11 芯片固件补丁升级。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络

WordPress 4.7.3 修复六处安全问题,但 CSRF 漏洞仍未修复

WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题,其中包括三个跨站点脚本( XSS )漏洞,但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表: 1、通过媒体文件元数据( media file metadata )的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称(引起的 XSS 跨站脚本攻击。 6、跨站请求伪造(CSRF)导致的滥用服务器资源。 但 2016 年 7 月发现的一个 CSRF 漏洞仍未修复,该漏洞允许攻击者窃取 FTP 和 SSH 登录凭据。安全专家 Cengiz Han Sahin 解释说这个漏洞可能有很大的影响,但是漏洞利用的概率很低。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Slack 应用存在漏洞允许黑客窃取访问令牌劫持账户

漏洞赏金猎人 Frans Rosen 发现社交应用 Slack 存在一个漏洞,可被攻击者利用窃取访问令牌并接管账户。该漏洞存在于应用与互联网浏览器传输数据的方式。Rosen 于上周五报告了这一漏洞,5 个小时后官方便修复了漏洞并付给 Rosen 3000 美元的漏洞赏金。 Slack 利用 postMessage 技术可安全地实现跨域传递信息,但同样也存在一个重大隐患:它不会核查不同域传递过来的信息。Rosen 通过创建一个可劫持程序的恶意页面,并利用该漏洞重新连接受害者的 Slack WebSocket 到自己的 WebSocket 页面上,从而窃取私人 Slack 令牌。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中国制 GSM 语音网关存在 Root 权限后门

近日,网络安全公司 Trustwave 发布了一份报告,称在一家名为 DBL Technology(得伯乐科技)的中国公司生产的 GoIP GSM 语音网关中发现了一个隐藏后门(…due to a vendor backdoor…)。该后门存在于设备的 Telnet 服务中,黑客可利用其身份验证机制上的漏洞获取具有 root 权限的 shell。事实上,这也不是国产设备第一次被发现留有后门,如之前我们报道过的锐嘉科与上海广升。 DBL Technology(得伯乐科技有限公司)是一家位于深圳的通讯设备生产商,主要产品包括 GSM 语音网关,IP 电话网关,企业级软交换等,多用于电话公司及 VoIP 服务商。 具体来讲,该系列网关在产品文档里向用户提供了两个可用于 Telnet 登录的帐号:“ctlcmd” 与 “limitsh”。这两个帐号提供有限的权限,且可由用户自行更改密码。然而这次的问题出在第三个帐号:“dblamd” 身上。据 Trustwave 分析,该帐号未被列入产品文档,可能仅用于测试阶段。“dbladm”具有 root 级别的权限,并应用了“挑战-响应”(challenge-response)身份验证技术。该验证方式会在用户申请登录后发送一个字符串(即 challenge 信息),然后用户根据自己的密钥或算法加密 challenge 信息再返还给服务器进行验证(即 response)。 但 Trustwave 的安全研究团队表示,该机制较容易被破解利用。负责向用户发送challenge 的代码就位于设备 ROM 中的 “sbin/login” 下,通过对这些代码的逆向分析,安全人员发现只要有 challenge 的值,黑客就可以计算出对应的 MD5 哈希值,做出 response,完成登录。而 challenge 完全可以通过一些自动脚本获取。一旦完成以上步骤,黑客就会拥有对设备的完全控制,可以监听流量,或利用其发起 DDoS 一类的攻击。 代码拆解后得到的结果 Trustwave 在去年 10 月 13 日向厂商报告了此问题,随后厂商在 12 月 22 日发布了固件更新版本。但是经过查证,更新后的设备依然存在同样的问题,只不过机制稍微复杂了一些。Trustwave 在报告中如此评论: “似乎 DBL Tek 的工程师并没有认识到问题的关键在于该认证机制上存在的缺陷,而不是它是否容易被逆向的问题。” 据称,目前受到影响的网关版本为:GoIP 1,4,8,16和32(Trustwave 开始只测试了 8 通道的 GoIP GSM 网关,但由于该系列其他型号具有同样的认证算法,据推测可能也受到影响。) 系列回顾 2016 年 2 月,Pen Test Partners 的研究人员发现中国厂商 MVPower生产的 DVR 中存在类似的隐藏后门; 同一周,Risk Based Security 发现中国厂商 RaySharp 生产的 DVR 中存在同样问题; 2013 年 11 月,浙江大华 DVR 设备被曝后门与认证绕过问题; 安卓设备方面,去年秋天上海 Adups Technology(广升信息技术有限公司)和 Ragentek Group(锐嘉科)安卓组件中的后门; 转载稿源:FreeBuf ,参考来源:bleepingcomputer,译者:FB 小编 cxt