标签: AWS

亚马逊修复智能家居13个漏洞:防止黑客完全控制设备

讯 北京时间10月22日早间消息,亚马逊近期修复了物联网操作系统FreeRTOS以及AWS连接模块的13个安全漏洞。这些漏洞可能导致入侵者破坏设备,泄露内存中的内容和远程运行代码,让攻击者获得设备完全的控制权。 如果没有修复,这些漏洞可能会造成严重影响。FreeRTOS,以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上,包括汽车、飞机和医疗设备。 根据FreeRTOS的开源协议,发现这些漏洞的Zimperium在漏洞披露的30天后才提供了技术细节。这将使相关厂商有机会去修复这些漏洞。 这类漏洞披露并不少见,但对亚马逊来说是相对较新的工作。一年前,即2017年11月,AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验,而目前来看亚马逊似乎通过了考验。   稿源:,稿件以及封面源自网络;

本田印度在 AWS S3 服务器上暴露 50,000 个客户的详细信息

根据Kromtech Security发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源:Freebuf,封面源自网络;

快讯 | 数以万计 Django 应用程序因配置错误泄露密码等敏感信息

近日,安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息,其中包括密码,API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架,它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的,出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“洛杉矶时报”也躺枪:网站托管恶意脚本利用访客 CPU 秘密挖掘门罗币

据外媒报道,Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现,美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件,旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法,攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站,并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是,受影响的网页是一个有关凶杀报告的页面,报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计,Coinhive 可能会影响全球四分之一的组织。当用户访问网页时, Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币,从而影响系统性能。虽然 Coinhive 是一个合法的服务,为网站管理员寻找一种可替代广告的盈利模式,但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中,而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下,脚本一般被设置为以非最高级别开采,从而消耗较少的计算能力,并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为,目前云配置错误事件频出,许多企业的攻击面也大大扩展 ,再加上没有统一的安全控制和流程保证,因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制,那么很可能将会造成惨痛的失败。 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Spectre / Meltdown 补丁或严重影响 SolarWinds 的 AWS 基础架构

外媒 1 月 15 日消息,IT 管理软件和监控工具供应商 SolarWinds 通过分析发现,Spectre / Meltdown 补丁使其亚马逊网络服务( AWS )基础设施的性能严重下降。 据悉,SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示,在亚马逊重启 SolarWinds 使用的 PV 实例后,CPU 使用率跃升至 25% 左右。 与此同时,SolarWinds 对其 EC2 HVM 实例的性能也进行了监控,发现在 Amazon 推出 Meltdown  的补丁时性能开始下降,并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示,结果并不可观,比如 Kafka 集群的数据包速率降低了 40%,而 Cassandra 的 CPU 使用率则猛增了 25%。 不过 SolarWinds 表示,目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平,但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。