标签: 漏洞事件

“三只小猫”漏洞威胁全球数百万思科路由器

美国 Red Ballon 安全研究公司近日发布了一份报告,公布了思科产品的两个漏洞。 第一个漏洞被称为(Thrangrycat),允许攻击者通过现场可编程门阵列(FPGA)比特流操作完全绕过思科的信任锚模块(TAm)。 第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞,该漏洞允许以 root 身份执行远程代码,通过链接和远程命令注入漏洞,攻击者可以远程持续绕过思科的安全启动机制,并锁定 TAm 的所有未来软件更新。 报告称, 是由 Cisco Trust Anchor 模块中的一系列硬件设计缺陷引起的,Cisco Trust Anchor 模块(TAm,信任锚)于2013年首次商业化推出,是一种专有的硬件安全模块,用于各种思科产品,包括企业路由器,交换机和防火墙。 TAm 是专门用来验证安全开机程序的硬件装置,在系统开启时执行一连串的指令,以立即验证开机载入程序的完整性,一但侦测到任何不妥,就会通知使用者并重新开机,以防止设备执行被窜改的开机载入程序。 而 可藉由操纵 FPGA(Field Programmable Gate Array,现场可编程门阵列)的比特流(bitstream)来绕过 TAm 的保护。这是因为 TAm 原本就得依赖外部的 FPGA,在设备开机后,FPGA 会载入未加密的比特流来提供 TAm 的信任功能。 Red Balloon Security 已在去年11月知会思科,思科也在同一天发表了安全通报。 根据思科所列出的产品列表,总计超过 130 款产品受到波及。 迄今为止,除了研究人员针对思科 ASR 1001-X 设备所进行的攻击示范之外,尚未发现其它攻击行动。Red Balloon Security 也准备在8月的黑帽(Black Hat)安全会议上对此进行展示。 目前,思科正在持续发布针对该漏洞的软件更新。 题外话:研究人员表示,以取代 Thrangrycat,是为了彰显该研究并无任何语言或文化上的偏见,表情符号已是数位时代的象征,它跟数学一样都是透过语际符号来表达,而猫咪的矛盾特性恰好可用来形容该漏洞。   (稿源:开源中国,封面源自网络。)

英特尔披露四个微体系架构数据采样 (MDS) 漏洞详情

安全研究人员今日公布了一系列影响英特尔微处理器的潜在安全漏洞,其可能导致用户机器上的信息被泄露。由英特尔安全公告可知,新漏洞使得恶意进程能够从同一 CPU 核心上运行的另一个进程那里读取数据(涉及在 CPU 内核中使用的缓冲区)。因为数据不会在进程切换时被清除,恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一 CPU 内核上执行的另一个进程中读取数据。 (图自:Intel,via Softpedia) 据悉,当在内核和用户空间、主机和客户机、或两个不同的用户空间进程之间进行切换时,就有可能发生这种情况。这几个漏洞分别为: ● CVE-2018-12126:存储缓冲区数据采样(MSBDS) ● CVE-2018-12127:加载端口数据采样(MLPDS) ● CVE-2018-12130:填充缓冲区数据采样(MFBDS) ● CVE-2019-11091:对不可缓存内存的数据采样(MDSUM) 受影响产品列表(PDF) 为了修复上述影响英特尔旗下各款处理器的问题,该公司已于今日发布了专门的微代码更新。但想要顺利缓解这些潜在的威胁,仍需各个制造商进行固件的分发。 对此,我们建议所有已知的计算机操作系统(含 Windows、Linux、Mac、BSD 等)用户,均在第一时间部署安装新的固件更新。 在某些 Linux 发行版上(Canonical、Red Hat 等),用户不仅需要更新英特尔的微代码固件,还需要安装相应的 Linux 内核与 QEMU 软件包,才能充分缓解新曝光的安全漏洞的影响。 还有一些计划外的产品 英特尔表示,其已与各大操作系统厂商和设备制造商们采取了密切的合作,为保护用户受潜在的攻击而提供切实可行的解决方案。 (稿源:cnBeta,封面源自网络。)

Twitter 公开会将用户位置数据共享出去的漏洞

据外媒报道,当地时间周一下午,Twitter披露了一个漏洞,即在某些情况下,一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示,该漏洞只影响了Twitter iOS用户群的一部分,另外他们都已经得到了存在这一问题的通知。 据了解,受影响用户在iOS上拥有多个Twitter账号,并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示,它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集,即使这些账户没有选择共享位置数据。 然后,这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴,这意味着他们得到了未经授权的位置数据。Twitter指出,这些都不是精确的位置数据,因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址,也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户,Twitter向受到影响用户保证,接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示,合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的,也不清楚持续了多长时间,此外,Twitter也没有指明拥有这些数据的合作伙伴的名字,也没有解释这样一个漏洞是如何产生的,而只是表示,未能删除这些位置数据。   (稿源:cnBeta,封面源自网络。)

WhatsApp 曝出漏洞 导致以色列间谍软件入侵手机

北京时间5月14日早间消息,《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称,即使用户没有应答WhatsApp呼叫,恶意代码也可以传播。在许多情况下,这样的呼叫会从日志中清除。因此,许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称,这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示:“这次攻击具备一家私营公司的所有特征。该公司与政府合作,提供间谍软件,有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报,分享我们可以提供的信息,并与他们合作告知民间社会。” 报道称,WhatsApp还处于调查起步阶段,目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题,并于周五开始在服务器端部署修复方案。为开发用户端的补丁,WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门,作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示,“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   (稿源:新浪科技,封面源自网络。)

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GNOME Shell 内存泄露问题正在修复中,原因竟是忘记进行垃圾回收

GNOME Shell 被发现存在内存泄露的问题,现在官方开发团队已确认导致这个问题的原因 —— 忘记进行垃圾回收…… GNOME 称目前正在修复该问题。“触发垃圾回收能够将 GNOME Shell 使用的内存量减少到正常水平”  GNOME 开发者花了大约一周的时间来定位问题的根源,不过内存泄漏的原因(看起来)已经确定。 GNOME 开发者 Georges Basile Stavracas 在仔细研究他在 GitLab 上关于 bug 的测试、检查和调查结果的过程中,似乎发现了导致这个 bug 的原因,“……有些问题伴随着垃圾回收器一起出现。” Georges Basile Stavracas 表示,在他放弃寻找内存泄漏原因的所有希望之后,发现了一个非常有趣的行为,并且可以重现这个过程。他推断只有一系列相互依赖的对象的根对象被回收后,才能最终确定它的子对象/依赖对象会被标记为 GC 状态。 通过运行 GJS(GNOME 的 JavaScript 绑定) 的垃圾回收器,Stavracas 称能够减少大约 250MB 的内存使用量(GNOME Shell 在启动时的消耗)。 不过目前关于这个 bug 的补丁尚未发布,依旧处于修复中的状态。所以不能确定下个月发布的 18.04 LTS 是否包含这个 bug 的修复,如果没有,只能期待后续的更新。 而 Ubuntu 17.10 和 Ubuntu 18.04 LTS 在 Launchpad 上关于 GNOME Shell 的内存泄露问题已被标记为“关键”和“高”优先级级别,这表明 Ubuntu 对这个问题足够关心,将会及时提供修补建议。 稿源:cnBeta,封面源自网络  

研究人员发现 4G 漏洞:可窥探信息跟踪用户发送虚假警报

大学研究人员发现了一系列新的网络攻击,该网络攻击主要利用了4G LTE 网络协议中存在的漏洞,来进行监视呼叫和信息、设备脱机、跟踪用户位置并发送虚假警报等 10 种攻击。研究人员使用了一种名为 LTEInspector 的测试方法来进行实验,并在美国四大运营商网络中确认了 8 种,而受到攻击的大部分原因在于,协议信息中缺乏适当的认证,加密和重播保护。 任何人都可利用常见设备和开源 4G LTE 协议软件发起上述这些攻击。 以最为显著的中继攻击为例,它能够让攻击者冒充受害者的电话号码连接到网络,或在核心网络中追踪受害者设备的位置,从而在刑事调查期间设置虚假的不在场信息或种植假证据。 尽管目前 5G 风口正在到来,但离真正普及还需一段时间,近 2 年内 4G LTE 仍是主流,这意味着这些漏洞攻击还将持续很长时间。 稿源:cnBeta、TechWeb,封面源自网络

美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞

据外媒报道,过去十年,美国边境检查人员一直未能有效加密地验明入境人员的护照信息,原因是政府没有合适的软件。在写给美国海关与边防局(CBP)代理司长 Kevin K. McAleenan 的信中,参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息,可以轻松验证护照的真实性和完整性。 自 2007 年引进以来,所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民,也都必须持有电子护照,才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造,此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出,边防人员“缺乏验证电子护照芯片的技术能力”: 即便他们已经在大部分入境口岸部署了电子护照阅读器,CBP 依然没有必要的软件,来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名,这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是,早在 2010 年的时候,海关和边防部门就已经意识到了这个安全漏洞。 当年,政府问责办公室在一份报告(PDF)中首次点名批评了 CBP 的上级(国土安全部),指责其“在信赖数据之前,还没有实现验证数字签名所必须的全部功能”。 换言之,在国土安全部门堵住疏漏之前,边防人员只得继续依赖缺乏合理保证的系统,被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么,8 年过去了,CBP 是否已经亡羊补牢了呢?遗憾的是,该机构仍不具备在电子护照上验证机器可读数据的技术能力! 新闻炸锅之后,约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到: 如果你持有一本来自免签国家的护照,那么边防人员只会从电子芯片上读取你的照片和旅行信息,而这些数据的可信度是无法保证的。 马修·格林继续评论道: 令人谛笑皆非的是,尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的,我们却一直未能正确地使用它。 参议员们希望,有关部门可以在明年年初之前,提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时,CBP 的发言人并没有回应媒体的置评请求。 稿源:cnBeta,原文编译自:ZDNet , 来源:Wyden-Security-Letter(PDF)

NSA 泄露的黑客工具被改良,适用于 Windows 2000 之后的所有版本

去年,黑客组织 Shadow Brokers 公布了美国国家安全局 NSA 的内部黑客工具和漏洞利用代码,包括三大工具 EternalChampion、EternalRomance 和 EternalSynergy,近日一位安全研究人员 Sean Dillon(RiskSense)  改良了这三大黑客工具的源代码,使其适用于 Windows 2000 之后 20 年间的所有微软操作系统,包括 32 位和 64 位版本。 Sean Dillon 网名为 @zerosum0x0 在推特上演示了改良后的代码在一个开源渗透测试框架 Metasploit Framework 的测试结果。测试结果显示,改良后的代码利用了 CVE-2017-0143 和 CVE-2017-0146 漏洞,在渗透框架中巨量未打补丁的 Windows 系统版本均可以被漏洞影响。zerosum0x0 还表示将尽快在 GitHub 上释出可执行的代码 稿源:cnBeta,封面源自网络

ARM 安全更新:CPU 漏洞影响部分 iOS 设备、Apple TV

英特尔处理器安全漏洞事件仍在继续,英特尔 CEO 已经表示「手机等所有产品」都将受到影响。ARM 发布的最新安全更新表示部分 iPhone、iPad、iPod 和 Apple TV 可能会受影响。ARM 处理器安全更新罗列了容易受影响的处理器列表,其中包括 Cortex-A8、Cortex-A9 和 Cortex-A15。 虽然苹果自己定制 A 系列芯片,但这些都是基于 ARM 架构的。一些 A 系列芯片包含一些 Cortex-A8、-A9 和 -A15 处理器的元素,所以容易受到影响。 A4 芯片包括 Cortex-A8 处理器,被用在第一代 iPad、iPhone 4、四代 iPod Touch 和二代 Apple TV 中。A5 和 A5X 芯片包括双核 Cortex-A9 处理器。A5 用在 iPad 2、 初代 iPad mini、iPhone 4S、第三代 Apple TV 和第五代 iPod Touch。A5X 用在第三代 iPad。A6 带有 Cortex-A15 的一些元素,用在 iPhone 5 和 iPhone 5C 中。 可能会受到影响的苹果设备如下: – iPhone 4 – iPhone 4S – iPhone 5 – iPhone 5C – iPad (1st gen) – iPad 2 – iPad (3rd gen) – Apple TV (2nd gen) – Apple TV (3rd gen) – iPod Touch (4th gen) – iPod Touch (5th gen) 虽然 ARM 表示部分 iOS 设备和 Apple TV 可能会受到影响,但其表示被利用的几率很低。而且苹果也会像对待 macOS 那样即使更新补丁,只不过至于性能是否会下降目前还不是很清楚。 稿源:MacX,封面源自网络