标签: Linux

新的安全漏洞正影响 CentOS 和 Red Hat Linux 发行版

Qualys 研究实验室的安全团队公开了一个新的有关 Linux 内核漏洞的详细信息和概念验证(PoC)代码,该漏洞名为“Mutagen Astronomy”,追踪编号 CVE-2018-14634,目前仅影响 CentOS 和 Red Hat Enterprise Linux(RHEL)发行版。 根据 Qualys 研究人员的说法,实际的 bug 存在于 Linux kernel 的 create_elf_tables()函数中,可能会导致缓冲区溢出,从而以 root 权限执行恶意代码。 该漏洞出现在2007年7月19日(kernel commit: b6a2fea39318)和2017年7月7日(kernel commit:da029c11e6b1)之间的 Linux kernel 中。 研究人员表示:“这个问题可以通过一个已经发布一年多的补丁来缓解,但是,红帽企业 Linux 和 CentOS 没有向后推送这个补丁,因此容易受到攻击。” 在今天发布的一份声明中,红帽团队确认了这个问题:此漏洞会影响R ed Hat Enterprise Linux 6、7 和 Red Hat Enterprise MRG 2 附带的内核包,将尽快更新解决此问题。在此之前,可通过安全建议缓解问题。”   稿源:开源中国,编译自:ZDNet,封面源自网络;

Linux 内核曝 TCP 漏洞,极小流量就可以 DoS 瘫痪设备

卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。 该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“SegmentSmack”。 CERT/CC 指出,由于漏洞,新版本 Linux 内核可能被迫对每个传入的数据包进行非常消耗资源的 tcp_collapse_ofo_queue()和 tcp_prune_ofo_queue()调用,这会导致受影响的系统上 CPU 变得饱和,从而产生 DoS 条件。 远程攻击者可以以相对较小的传入网络流量带宽通过在正在进行的 TCP 会话中发送特别修改的数据包来导致 DoS。“在最糟糕的情况下,攻击者可以仅使用小于 2kpps (每秒 2000 个数据包)的攻击流量让被害主机瘫痪”,Red Hat 解释到:“四个流的攻击结果可能看起来像是四核 CPU 完全饱和,并且网络数据包处理被延迟。” CERT/CC 列出了许多可能受到影响的网络设备供应商、PC 和服务器制造商、移动供应商和操作系统制造商(具体列表),鉴于 Linux 的广泛使用,该漏洞的影响范围很大,包括从亚马逊和 Apple 到 Ubuntu 和 ZyXEL 的每个供应商。目前已确认受影响的 Red Hat 系统包括 RHEL 6 和 7、RHEL 7 for Real Time、RHEL 7 for ARM64、RHEL 7 for IBM POWER 和 RHEL Atomic Host。 Red Hat 表示,对于管理员来说,除了等待内核修复,目前还没有有效的解决方法或缓解措施。   稿源:开源中国,封面源自网络;

任天堂新主机 Switch 的 NVIDIA Tegra 芯片漏洞已公开,可加载 Linux 玩模拟器

发售首年就大获成功的任天堂新主机 Switch 采用了 NVIDIA Tegra X1 芯片,这为 Switch 迅速被破解埋下了隐患。女性黑客 Kate Temkin 宣布她利用 NVIDIA Tegra X1 芯片中的漏洞破解了 Switch 主机,而且这一漏洞存在于芯片的 Bootrom 中,设备出厂后无法通过补丁封堵。不仅仅是任天堂,所有使用该芯片的设备都将受到影响。目前 Kate Temkin 在缓冲期后正式公布了可以适用于任意系统版本的 Fusée Gelée 破解手段。 Fusée Gelée 破解利用了 Nvidia Tegra X1 芯片(版本 210)的 USB 恢复模式漏洞,该漏洞能够绕过保护芯片关键部分 bootROM,通过发送超长的控制请求导致内存溢出,从而获得直接内存访问,接下来就可以运行任意代码。破解可以利用一枚曲别针或者名为 Switchx Pro 的配件,只需要短接右手柄插槽的两个触点。 另一支团队 fail0verflow 团队也公布了另一种硬件破解手段 ShofEL2,并且演示了在 Switch 主机上运行自制 Linux 系统的概念证明。 消息来源:cnBeta,封面源自网络;

Linux 系统的 beep 包中存在竞争条件漏洞,可被黑客利用探测机密文件

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞,黑客可利用这个漏洞探测到计算机中的文件(包括 root 用户的机密文件)。这个漏洞标识为 CVE-2018-0492,不会实造成远程攻击,但是这是一个特权提升(EoP)漏洞,可被攻击者利用获取到 root 级别的访问权限,完全访问系统并发起恶意攻击。 如果黑客利用这个 beep 包获取了特定文件,就能进一步采取措施,将 beep 包作为启动平台,执行其他命令。目前,新版的 Debian 和 Ubuntu 中已经修复了这个漏洞。 稿源:freebuf,封面源自网络;

MikroTik RouterOS 中发现了可远程利用的缓冲区溢出漏洞

MikroTik 是拉脱维亚的一家供应商,生产全球许多运行基于 Linux 操作系统的电信公司的路由器。该漏洞被追踪为 CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理 NetBIOS 会话请求消息时,MikroTik RouterOS SMB 服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。” 研究人员发布了与 MikroTik 的 x86 云托管路由器配合使用的概念验证代码证明。核心首先在 2018 年 2 月 19 日向 MikroTik 报告了这个漏洞 . MozroTik 计划在 2018 年 3 月 1 日发布下一个版本的修复程序,并要求 Core 不要泄露该漏洞的细节。 即使 MikroTik 无法在 2018 年截止日期前发布修复程序,Core 仍在等待 2018 年 3 月 12 日星期一发布的新版本的发布。如果无法安装更新,MikroTik 建议禁用 SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的 APT 组织,该组织从至少 2012 年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为 Slingshot,以 妥协中东和非洲数十万受害者的系统。 研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约 100 名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT 组利用拉脱维亚网络硬件提供商 Mikrotik 使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。 攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个 DDL,当用户运行 Winbox Loader 软件(Mikrotik 路由器管理套件)时,该库将加载到目标计算机内存中。 该 DLL 文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的 Slingshot 恶意软件。目前还不清楚 Slingshot 团伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念证明可用,那么客户需要将 RouterOS 升级到版本 6.41.3 以避免问题。 稿源:东方安全,封面源自网络;

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据外媒 3 月 16 日报道,在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施: ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

趋势科技电子邮件加密网关曝多项安全漏洞,可获得 root 权限执行任意代码

外媒 2 月 25 日消息,Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞( CVE-2018-6219 ~ CVE-2018-6230),其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 (Build 1111.00)及更早版本。 在这些漏洞中,最严重的是 CVE-2018-6223,可能会被本地或远程攻击者利用来获得目标设备的 root 权限,以便于执行任意命令。目前来说,该漏洞与设备注册时缺少身份验证有关。 具体细节为:管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备, 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点,以设置管理员凭据并对配置进行其他更改,比如管理员用户名和密码等。 据悉,Core Security 还发现了两个严重的跨站脚本攻击(XSS)漏洞,一个可导致命令执行的任意文件写入问题,另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外,趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体(XXE)注入等漏洞。 目前趋势科技确认,由于实施修复程序的困难,中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织对 Linux 系统发起 SSH 暴力攻击以部署 Chaos 后门

外媒 2 月 23 日消息,研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击,以部署一个名为 Chaos 的后门。据悉,该后门可能会被野外攻击者用于全球范围内 Linux 服务器。 根据 GoSecure 专家的说法,Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一,该组件早在2013 年就已被使用。 由于 Chaos 后门不依赖于任何漏洞攻击,所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进,因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势,它在端口 8338 上打开了一个原始套接字,并在其上侦听命令。 GoSecure 的专家表示: “ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是,使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。” 那么要如何检查用户系统是否受到感染呢?相关专家建议以 root 身份运行 netstat –lwp 来检测。此外,由于 Chaos 不是单独出现,而是至少有一个具有远程代码执行能力的 IRC Bot,因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装,并提供一组新的凭据。 详细分析报告: 《 Chaos:被盗后门再次崛起 》 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织释出任天堂 Switch 主机运行完整 Linux 系统视频

黑客组织 fail0verflow 此前发布了推文及图片,利用漏洞黑客组织成功在任天堂 Switch 上运行了 Linux GUI 系统。并且声称,任天堂不能通过未来的固件补丁来修复该漏洞。在本周早些时候 Twitter 上发布的一篇文章中,fail0verflow 表示,任天堂 Switch 出现了一个 bug ,无法通过固件更新修复,这利用了 NvidiaTegra X1 芯片上系统的启动 ROM 漏洞。 现在,黑客组织又放出了一段视频演示利用此漏洞,Switch 能够完整地加载运行 Linux GUI 桌面,加载 KDE Plasma 环境等,而在视频中包括多点触摸手势(缩放)、Wi-Fi 网络加载等硬件驱动功能似乎都能良好地运行在 Linux 桌面中,并且运行了一段 60 帧率的 OpenGL 演示,不过蓝牙和 JoyCon 支持功能并未透露是否支持。 稿源:cnBeta,封面源自网络;

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。