据外媒报道，施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞，其中包括那些被评为严重和高危的漏洞，例如可能导致信息泄露的路径遍历或者其他一些错误，以及通过 SQL 注入造成的远程代码执行缺陷。 U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。 据悉，U.motion Builder 大多数安全漏洞已被归类为中等严重性，但也有一些安全漏洞基于 CVSS 评分来看非常严重。 最严重漏洞（CVE-2017-7494）的 CVSS 评分达到了 10，根据介绍，该漏洞允许远程执行代码，对 Samba 软件套件造成了一定影响。另外，由于与 WannaCry 攻击类似，它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备，其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5 Networks。 U.motion Builder 中另一个严重漏洞的标识为 CVE-2018-7777，该漏洞允许经过身份验证的攻击者通过向目标服务器发送特制请求来远程执行任意代码。 除此之外，一个 SQL 注入缺陷 CVE-2018-7765 也被列为高度严重。 这些问题影响到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供补丁之外，还分享了一些缓解潜在攻击的建议。 消息来源：securityweek，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 4 月 9 日消息，德国网络安全公司 RedTeam Pentesting GmbH 发现 CyberArk Enterprise Password Vault （企业密码保险库）应用程序中存在严重的远程代码执行漏洞（CVE-2018-9843），可以允许攻击者利用 Web 应用程序的特权对系统进行未经授权的访问。 企业密码保险库（EPV）解决方案可帮助组织安全管理其敏感密码，控制各种客户端/服务器和大型机操作系统、交换机、数据库中的特权帐户密码，并使其免受外部攻击者以及恶意内部人员的威胁。 RedTeam Pentesting GmbH 安全公司发现该漏洞驻留在 CyberArk 密码保险库的 Web 访问中，它是由于 Web 服务器不安全地处理反序列化操作的方式造成的，可能允许攻击者在处理反序列化数据的服务器上执行代码。 当用户登录到账户时，CyberArk Enterprise Password Vault 应用程序使用 REST API 向服务器发送一个认证请求，其中包括一个包含以 base64 编码序列化的 . net 对象的授权头。这个序列化的 .net 对象保存了关于用户会话的信息，但是研究人员发现“序列化数据的完整性没有得到保护”。 由于服务器不验证序列化数据的完整性，并且不安全地处理反序列化操作，所以攻击者只能操纵身份验证令牌，将他们的恶意代码注入授权头中，从而获得“在 Web 服务器上未经验证的远程代码执行”。 研究人员强烈建议使用 CyberArk 密码保险库 Web 访问的企业将其软件升级到 9.9.5,9.10 或 10.2 版本。如果无法立即升级软件，那么缓解此漏洞的可能解决方法是禁用对 route / PasswordVault / WebServices 上 API 的任何访问。 消息来源：thehackernews，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，一个名为“ JHT ”的黑客组织在上周五利用 Cisco（思科） CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施，例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法，目前全球已超过 20 万台路由器受到了攻击影响，其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后，路由器的配置文件 startup-config 被覆盖，路由器重新启动。这不仅导致了网络中断，并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统，但只袭击了俄罗斯或伊朗的路由器，并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源：bleepingcomputer，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 4 月 6 日消息，思科发布安全公告称其智能安装（SMI）协议遭到滥用，数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端（也称为集成分支客户端（IBC））的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备，在设备上加载新的 IOS 映像，以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法，他们发现试图检测设备的互联网扫描量大幅增加，因为这些设备在完成安装后，其智能安装功能仍处于启用状态，并且没有适当的安全控制，以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS，IOS XE 或智能安装功能本身中的漏洞，而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”，其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底，思科修补了其 IOS 软件中的 30 多个漏洞，包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的，攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装（SMI）协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现，有 168,000 个系统在线暴露。 思科安全公告： 《Cisco Smart Install Protocol Misuse》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道，有人认为这些恶意软件可能与 123 组织（ Group 123）之间存在某种关联。在深入研究这种关联中，Talos 结合其调查报告以及 123 组织的历史背景，确定了 Android 远程管理工具（RAT）的两种变体： KevDroid 和 PubNubRAT。这两种变体具有相同的功能 ， 即窃取受感染设备上的信息（如联系人、短信和电话历史记录），并记录受害用户的电话。除此之外，两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制（C2）服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞（CVE-2015-3636），以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT（以 Windows 为目标）则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络（DSN）， 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素，还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告： 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源：talosintelligence，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

据外媒报道，在上周二黑客攻击马来西亚央行的 SWIFT 服务器后，菲律宾中央银行向当地金融机构发出警告。马来西亚央行证实，黑客通过 SWIFT 银行结算系统向目标银行发送欺诈性电汇请求，以诱骗其进行转账行为。不过据称黑客的窃取行为并没有成功，因为此次网络攻击事件没有导致任何资金流失。 尽管目前还不清楚黑客是如何访问马来西亚央行的 SWIFT 服务器的，也没有调查出黑客的具体身份。但负责监管该国 45 家商业银行的马来西亚央行表示不会因为受到网络攻击而中断其他支付和结算系统。除此之外，马来西亚央行在一份声明中称已采取了额外的安全措施来保护其利益相关者。他们通过与其他中央银行、 SWIFT 平台、以及金融机构的强有力合作，迅速采取行动阻止所有未经授权的交易。 这是继 2016 年孟加拉国央行被窃取 8100 万美元后，国家中央银行遭受黑客攻击的第二起案件。 2016 年，菲律宾央行也卷入了孟加拉银行的网络抢劫事件中。黑客从孟加拉国中央银行窃取 8100 万美元后，将钱转入了位于菲律宾马尼拉的 Rizal Commercial Banking Corp（RCBC）的多个账户中，然后用这些资金进入当地的赌场业。在此次事件中，菲律宾央行因未能防止欺诈性转移货币而被罚款 2000 万美元。 孟加拉银行副行长 Razee Hassan 认为马来西亚央行的网络攻击事件显示出 SWIFT 平台依然脆弱，因为在 SWIFT 采取了几项在全球范围内保护系统的措施后还出现了这种情况，这意味着犯罪分子可能拥有更充足的能力以及更强大的网络武器，所以对于目前来说进一步改善全球金融转移体系变得尤为重要。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息，其中包括密码，API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的，黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架，它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的，出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统（ICS）的应用和流程，这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。 但近日， Cisco Talos 却在 PLCs 中发现了一些安全漏洞，可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。根据工业控制过程中受影响的 PLCs 来看，漏洞可能还会导致更严重的损害。 Allen-Bradley MicroLogix 1400 B 系列漏洞详情： 以太网卡格式错误的数据包拒绝服务漏洞（TALOS-2017-0440 / CVE-2017-12088） 该漏洞允许未经身份验证的攻击者发送特制数据包，从而使受影响的设备进入电源循环并进入故障状态，这种情况会导致先前存储在设备上的梯形逻辑被删除。需要注意的是，这个漏洞不是通过以太网/ IP 协议来利用的，因此使用 RSLogix 来禁用以太网/ IP 不会提供有效的缓解。 梯形图逻辑程序下载设备故障拒绝服务漏洞（TALOS-2017-0441 / CVE-2017-12089） 该漏洞允许未经身份验证的攻击者发送导致拒绝服务条件的特制数据包。该漏洞位于受影响设备的程序下载功能中，允许攻击者通过发送“ 执行命令列表 ”（CMD 0x0F，FNC 0x88）数据包而不使用“下载完成”( CMD 0x0F, FNC 0x52 )来强制设备进入故障状态（ CMD 0x0F，FNC 0x52）。当出现这种情况时，设备会将此作为故障状态处理，进入非用户故障模式，从而导致设备停止正常操作并删除任何存储的逻辑。 SNMP 集处理不正确的行为顺序拒绝服务漏洞（TALOS-2017-0442 / CVE-2017-12090） 该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关，可能会允许经过身份验证的攻击者在受影响的设备上发生拒绝服务条件。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中最终命令关联的后续’snmp-set’命令，攻击者可以迫使该设备在重新启动过程中无法使用。 未经身份验证的数据/程序/功能文件访问控制漏洞不正确（TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473） 该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取和写入操作，这可以用于从受影响的设备中检索敏感信息（包括设备主密码）、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。 内存模块存储程序文件写入漏洞（TALOS-2017-0444 / CVE-2017-12092） 该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改，直到设备重新启动后才能生效。随后，攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置，从而导致启用的服务发生更改。 PLC 会话通信资源池拒绝服务漏洞不足（TALOS-2017-0445 / CVE-2017-12093） 该漏洞存在于受影响设备的会话连接功能中，默认情况下，这些设备最多支持 10 个同时连接。一旦达到最大值，设备将终止最早的连接，以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包，以强制终止合法连接，并阻止对受影响设备建立额外的合法连接。 Cisco Talos 经过测试已经确认以下版本受到漏洞影响： Allen-Bradley Micrologix 1400 B系列FRN 21.003 Allen-Bradley Micrologix 1400 B系列FRN 21.002 Allen-Bradley Micrologix 1400 B系列FRN 21.0 Allen-Bradley Micrologix 1400 B系列FRN 15 由于这些设备通常用于支持关键的工业控制过程，因此建议将受影响设备升级到最新版本的固件，以便不再受到这些漏洞的影响。 消息来源：Cisco Talos，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner，它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 （通常在 SLocker Android 勒索软件中看到的技术）。另外，由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器，这意味着一旦它开始执行挖矿进程，便会一直持续下去，直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性，这意味着它很可能会持续挖掘 Monero，直到设备资源耗尽。根据研究人员的说法，HiddenMiner 是在第三方应用商店发现的，大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似，不仅如此，HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner，发现 Monero 矿池和钱包与恶意软件连接，并获悉其中一家运营商从钱包中提取了 26 XMR（截至 2018 年 3 月26 日价值为 5,360 美元）。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序，使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出，并要求用户以设备管理员身份激活它。一旦获得许可，HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中，例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活，它将通过调用 “ setComponentEnableSetting（）”从应用程序启动器隐藏自己。需要注意的是，恶意软件会自行隐藏并自动以设备管理员权限运行，直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标（左），然后一旦授予设备管理权限就会消失（右） 除此之外，HiddenMiner 还具有反仿真功能，可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中，受害用户无法将 HiddenMiner 从设备管理员中删除，因为当用户想要停用其设备管理员权限时，恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷（不包括 Nougat 「Android 7.0」和更高版本的设备，因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。） 的确，HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言，提高网络安全意识刻不容缓：仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案： 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源：Trendmicro，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件，声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示，该公司与意大利监控公司 Hacking Team 应该具有某种联系，因为背后有与沙特政府相关的投资者支撑，目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务，许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ，Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知，Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是，Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府（例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等）出售间谍产品的监控公司。 根据 Motherboard 调查，目前Hacking Team 黑客团队仍然活跃，这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰，并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外，Private Eye 还认为 Grey Heron  可能与英国另一家同名公司（该公司由一位前英国军官管理）具有一些联系。   Gray Heron 间谍能力 在宣传册中，Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题，比如易于使用的加密技术激增。那么为了应对这些问题， Gray Heron 要如何部署其间谍软件呢？ 一般情况下，Gray Heron 是采用了多种不同的方式来部署，其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚，但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外，Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣，并且 Gray Heron 已私下证实，意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章： 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。