一项针对 OvrC 云平台的安全分析发现了 10 个漏洞，这些漏洞可以串联起来，允许潜在攻击者在联网设备上远程执行代码。 Claroty 研究人员 Uri Katz 在一份技术报告中说：“成功利用这些漏洞的攻击者可以访问、控制和破坏 OvrC 支持的设备；其中一些设备包括智能电源、摄像头、路由器、家庭自动化系统等。” Snap One公司的OvrC（发音为 “oversee”）被宣传为一个 “革命性的支持平台”，能让业主和企业远程管理、配置网络上的物联网设备并排除故障。据其网站介绍，OvrC 解决方案已部署在 50 多万个终端用户地点。 根据美国网络安全和基础设施安全局（CISA）发布的协调公告，成功利用已发现的漏洞可使攻击者 “冒充并声称拥有设备，执行任意代码，并披露受影响设备的信息。” 已发现的这些漏洞会影响 OvrC Pro 和 OvrC Connect，该公司已于 2023 年 5 月发布了其中 8 个漏洞的修复程序，并于 2024 年 11 月 12 日发布了剩余 2 个漏洞的修复程序。 “我们发现的这些问题很多都是由于忽视了设备到云的接口而引起的，”卡茨说。“在许多这样的案例中，核心问题是由于弱标识符或类似的错误，物联网设备被交叉认领的能力。这些问题包括弱访问控制、身份验证绕过、输入验证失败、硬编码凭证和远程代码执行缺陷等。” 因此，远程攻击者可以利用这些漏洞绕过防火墙，在未经授权的情况下访问基于云的管理界面。更糟糕的是，这些访问权限随后可能被用于枚举和配置设备、劫持设备、提升权限，甚至运行任意代码。 最严重的漏洞列举如下 CVE-2023-28649 （CVSS v4 得分：9.2），允许攻击者假冒集线器并劫持设备 CVE-2023-31241（CVSS v4 分值：9.2），允许攻击者绕过序列号要求，认领任意未认领设备 CVE-2023-28386 （CVSS v4 评分：9.2），允许攻击者上传任意固件更新，导致代码执行 CVE-2024-50381（CVSS v4 分值：9.1），允许攻击者冒充集线器，任意取消认领设备，随后利用其他缺陷认领设备 “随着每天上线的设备越来越多，云管理成为配置和访问服务的主要手段，制造商和云服务提供商比以往任何时候都更需要确保这些设备和连接的安全，”Katz 说。“负面结果可能会影响连接到 OvrC 云的联网电源、商业路由器、家庭自动化系统等。 Nozomi Networks 在披露上述信息的同时，还详细介绍了影响 EmbedThis GoAhead 的三个安全漏洞，EmbedThis GoAhead 是嵌入式和物联网设备中使用的小型 Web 服务器，在特定条件下可能导致拒绝服务（DoS）。这些漏洞（CVE-2024-3184、CVE-2024-3186 和 CVE-2024-3187）已在 GoAhead 6.0.1 版本中得到修补。 最近几个月，江森自控的 exacqVision Web 服务也发现了多个安全漏洞，这些漏洞可被结合起来，控制连接到该应用程序的监控摄像头的视频流并窃取凭证。       转自安全客，原文链接：https://www.anquanke.com/post/id/301819 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）扩充了其已知漏洞（KEV）目录，突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品，对处理敏感数据或暴露于公共网络的系统构成重大风险。 1. CVE-2024-43451 (CVSS 6.5)： NTLM 哈希值泄露漏洞 该漏洞因其触发简单而特别令人担忧。据微软称，与恶意文件的最小交互（如单击或右键单击操作）可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据，攻击者可以通过它验证被攻击用户的身份，从而访问敏感资源。 2. CVE-2024-49039 (CVSS 8.8)： Windows 任务调度程序权限提升漏洞 由 Google 的威胁分析小组发现，此漏洞允许攻击者执行特制的应用程序，将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能，从而在未经授权的情况下访问原本受保护的资源。 3. CVE-2021-41277 (CVSS 10)： Metabase GeoJSON API 本地文件包含漏洞 Metabase 是一个广泛使用的开源商业智能平台，它隐藏着一个关键漏洞，允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露，突出表明了及时进行软件更新和安全配置实践的重要性。 4. CVE-2014-2120： Cisco ASA WebVPN 跨站脚本漏洞 该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中，攻击者可利用该漏洞注入恶意脚本，从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性，以及解决所有系统漏洞（无论其使用年限长短）的必要性。 5. CVE-2021-26086 (CVSS 5.3)： Atlassian Jira 服务器和数据中心路径遍历漏洞 Atlassian Jira Server and Data Center 存在此漏洞，攻击者可利用路径遍历漏洞，在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性，以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。 减轻威胁 CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞，这是对各行业组织优先进行漏洞管理的重要提醒。     转自安全客，原文链接：https://www.anquanke.com/post/id/301822 封面来源于网络，如有侵权请联系删除  

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

据报道，名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中，利用了Windows 的内核缺陷。 趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出：“该组织采用了复杂的策略，包括部署后门，利用微软 Exchange 服务器窃取凭证，以及利用 CVE-2024-30088 等漏洞进行权限升级。” 该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者，它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm（前身为 EUROPIUM）和 Helix Kitten。 该攻击链需要部署一种从未有过记录的植入程序，它具有通过本地微软 Exchange服务器泄露凭据的功能，这是对手过去采用的一种屡试不爽的战术，同时还将最近披露的漏洞纳入其漏洞库。 微软于 2024 年 6 月修补了 CVE-2024-30088，该漏洞涉及 Windows 内核中的权限升级问题，假定攻击者能够赢得竞赛条件，则可利用该漏洞获得 SYSTEM 权限。 最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器，先丢弃一个网络外壳，而后丢弃ngrok远程管理工具，以保持持久性并转移到网络中的其他端点。 这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道，该后门负责通过Exchange服务器以附件的形式，将收集的数据传输到攻击者控制的电子邮件地址。 OilRig 在最新一组攻击中使用了一种值得注意的技术，即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll)，以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。 研究人员表示：“恶意行为者在实施密码过滤器导出功能时，非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密，然后才被外泄。 值得注意的是，早在 2022 年 12 月就有人发现 psgfilter.dll 的使用，与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。 研究人员指出，他们最近的活动表明：“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点，这样这些实体就可以被武器化，对其他目标发动攻击。”   消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新，以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680，CVSS 得分为 9.8，允许攻击者在用户系统上执行任意代码。 图片来源：安全客 “东部时间周二上午 8 点左右，我们收到反病毒公司 ESET 的警告，他们提醒我们在野外发现了一个 Firefox 漏洞。”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现，正是这样的合作让网络对每个人来说都更加安全。” 该漏洞存在于动画时间轴组件中，它是 Firefox Web Animations API 中的一个机制，用于控制和同步网页上的动画。更具体地说，它是一个 “释放后使用”（use-after-free）漏洞，这是一种内存损坏漏洞，当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样，攻击者就可以注入恶意代码并控制受影响的系统。 Mozilla 解释说：“ESET 发送给我们的样本包含一个完整的漏洞利用链，允许在用户计算机上远程执行代码。在收到样本的一个小时内，我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队，对该漏洞进行逆向工程，迫使它触发有效载荷，并了解它是如何工作的。” 尽管没有提前通知，而且漏洞利用非常复杂，但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性，以及立即更新到最新版本火狐浏览器的重要性。 修补版本包括： Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。 令人担忧的是，Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过，有关这些攻击的性质和攻击者身份的详细信息仍然很少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300781 封面来源于网络，如有侵权请联系删除

比特币协议的流行替代实施方案 btcd 中的一个关键漏洞可能会让恶意行为者以最小的代价创建比特币区块链的硬分叉。 该漏洞被追踪为 CVE-2024-38365，CVSS 得分为 7.4，源于 btcd 验证传统比特币交易签名的方式中的一个错误。该缺陷于 2014 年引入，偏离了原始比特币代码库中定义的共识规则，可能导致创建的有效交易被易受攻击的 btcd 节点拒绝。 问题出在 btcd 对 removeOpcodeByData 函数的实现上，该函数负责在签名验证过程中重建签名信息。与比特币核心中的FindAndDelete函数不同，removeOpcodeByData只从脚本中删除与签名完全匹配的数据，而removeOpcodeByData则删除任何包含签名的数据推送，甚至包括额外的填充数据。 这种差异允许攻击者制作特殊脚本来利用这种行为。通过在数据推送中嵌入签名和额外数据，他们可以创建在比特币核心节点看来有效的交易，但却被易受攻击的 btcd 节点拒绝。 这个漏洞的影响非常大，因为攻击者可以利用它迫使易受攻击的 Btcd 节点进入分叉链，从而导致网络不稳定和交易处理问题。 “攻击者可以创建一个标准交易，其中 FindAndDelete 不会返回匹配结果，但 removeOpCodeByData 却会返回匹配结果，从而使 btcd 获得不同的 sighash，导致链分裂。重要的是，任何比特币用户都可以远程利用这个漏洞，而且不需要任何哈希能力。” CVE-2024-38365 漏洞由研究人员 Niklas 和 Antoine 发现并报告。btcd 开发团队已在 0.24.2 版本中解决了该问题。我们强烈建议所有用户将他们的 btcd 节点更新到最新版本，以防止潜在的漏洞利用。     转自安全客，原文链接：https://www.anquanke.com/post/id/300807 封面来源于网络，如有侵权请联系删除

微软的2024年10月补丁周二交付了一系列重要的安全更新，解决了其生态系统中的121个漏洞。这包括三个关键漏洞和114个标记为重要的漏洞，跨越了微软的服务和软件的广泛。 遭受攻击的零日漏洞 本月的补丁包括修复两个已经在野外发现的被积极利用的零日漏洞。其中最令人担忧的漏洞之一是CVE-2024-43573，这是一个Windows MSHTML 平台中的欺骗漏洞。MSHTML，虽然经常与现已退役的Internet Explorer相关联，但仍然会影响遗留系统。虽然微软没有分享详细的利用细节，美国网络安全和基础设施安全局（CISA）已经标记了这个漏洞，敦促用户在2024年10月29日之前修补它。 另一个零日，CVE-2024-43572，是微软管理控制台（MMC）中的远程代码执行（RCE）漏洞。MMC是系统管理员广泛使用的工具，使得此漏洞在企业环境中具有高度的危险性。利用漏洞可以让攻击者获得对Windows系统的未经授权控制权，进一步突出了快速打补丁的重要性。 另外三个公开披露但在攻击中未被利用的零日漏洞是: CVE-2024-43583:Winlogon特权漏洞的提升。攻击者可能利用此漏洞获得对操作系统的SYSTEM级访问权限。 CVE-2024-6197:开源Curl远程代码执行漏洞。成功利用此漏洞需要客户端连接到恶意服务器，这可能允许攻击者在客户端上获得代码执行。 CVE-2024-20659 – Windows Hyper-V安全特性绕过漏洞。攻击者必须先获得对受限网络的访问权限，然后再执行攻击。成功利用此漏洞可能允许攻击者破坏虚拟机管理器和内核。 关键漏洞 除了零天，微软已经解决了三个关键的漏洞，可以允许远程代码执行或特权升级，如果不打补丁。 CVE-2024-43468（CVSS 9.8）：微软配置管理器（ConfigMgr）远程代码执行漏洞。未经身份验证的攻击者可能利用此漏洞在服务器或数据库上执行命令。 CVE-2024-43582:远程桌面协议（RDP）服务器中的一个严重缺陷可能允许攻击者发送恶意数据包，导致在具有与RPC服务相同权限的服务器上执行远程代码。 CVE-2024-43488: Visual Studio Code的Arduino扩展存在一个远程代码执行漏洞，使得攻击者能够绕过关键的身份验证检查。利用此漏洞可以在Arduino扩展中远程执行代码，从而危及用户的开发环境。 Windows核心组件中的漏洞 本月修复的几个漏洞针对的是系统安全不可或缺的关键Windows组件: CVE-2024-43502:一个Windows内核特权提升漏洞，可能允许攻击者在受影响的系统上获得最高级别的访问权限。 CVE-2024-43560:另一个影响Windows存储端口驱动程序的权限升级问题，提供了潜在的SYSTEM级访问。 微软Office和OpenSSH漏洞 10月的更新还解决了Microsoft Office和OpenSSH for Windows中的显著漏洞： UTE-2024-43609：Microsoft Office中的欺骗漏洞可能会在基于Web的攻击中被利用。攻击者可能会在网站上托管恶意文件，或诱骗用户通过电子邮件打开该文件，从而导致潜在的严重后果。 CVE-2024-43581和CVE－2024－43615号文件所列的Microsoft的OpenSSH for Windows的实现中的这些漏洞都是至关重要的，允许远程代码执行时被利用。使用OpenSSH的Windows服务器的管理员应优先考虑这些补丁。 从Windows打印假脱机程序组件到Visual Studio和远程桌面服务，本月的修补程序针对的漏洞几乎跨越微软的每一个主要产品。这包括欺骗、拒绝服务、特权提升和远程代码执行缺陷。值得注意的是，本月早些时候，微软解决了Microsoft Edge（基于铬）中的三个漏洞。 CISA 已将本月修补的零日漏洞 CVE-2024-43573 和 CVE-2024-43572 纳入其已知被利用漏洞目录，强调了立即修补的重要性。CISA建议用户在2024年10月29日之前修补所有零日漏洞和关键漏洞，以避免成为主动的受害者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300639 封面来源于网络，如有侵权请联系删除

因供应商未能按时删除用户数据并泄露，AT&T遭监管处罚超9000万元，并实施安全改进计划。 安全内参9月19日消息，美国联邦通信委员会（FCC）与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元（约合人民币9181万元）的和解协议。该事件源自AT&T的一家第三方云服务供应商。 供应商未能按时删除数据并泄露，FCC要求甲方严格落实审查责任 此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议，一家未具名的公司，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。 AT&T与该供应商之间签署的合同中，明确规定了对这些数据进行保护和处理的要求。2016年至2020年间，经过多次审查和评估，表明该供应商遵循了数据删除政策。 然而，在2023年1月的泄露事件中，本应在2017年或2018年删除的数据被盗。FCC最终认定，AT&T对这一失误负有不可推卸的最终责任。 9月17日，在华盛顿召开的全球年度数据隐私会议上，FCC执法局局长Loyaan Egal指出，这份和解协议提醒企业，FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。 他表示：“当我们调查美国境内企业的数据泄露事件时，若涉及到供应商，我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据？你们能否有效追踪这些第三方所使用的数据？” AT&T推进数据泄露响应工作，并将实施改进计划 根据和解协议，AT&T于2023年1月6日向该供应商通报了数据泄露事件，并于同年2月7日通过在线报告表格向政府报告了此次事件。被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息，以及针对约8.9万名受影响客户的1%的费率计划名称。 除了支付1300万美元的罚款外，AT&T还与政府达成了一项同意令，承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计，以及制定一项“全面的”信息安全计划，以更好地保护敏感的客户数据。 此外，该协议要求AT&T加强对其第三方供应商生态系统的监管。具体措施包括限制对敏感客户数据的访问权限、改进对与供应商共享信息的追踪方式、严格执行数据处理要求，以及加强对供应商在其系统和网络中采用的数据保护政策和措施的监督。 在接受外媒CyberScoop采访时，AT&T发言人Alexander Byers表示，该公司从2023年3月开始通知客户此次数据泄露事件，且被盗的数据并不包括信用卡信息、社会安全号码或账户密码。 Byers在一份电子邮件声明中称：“尽管我们的系统并未在此次事件中遭到攻破，我们仍着手改进内部客户信息管理方式，并对供应商的数据管理实践实施了新的要求。” 尽管此次和解结束了FCC对2023年1月供应商云端泄露事件的调查，但FCC仍在继续调查另一宗规模更大的AT&T数据泄露事件。该事件于2023年7月曝光，黑客通过攻击第三方云平台Snowflake，窃取了几乎所有客户长达六个月的电话和短信记录。   转自安全内参，原文链接：https://www.secrss.com/articles/70402 封面来源于网络，如有侵权请联系删除

近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥，容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中，一项涉及设备制造行业安全启动（Secure Boot）保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的要广泛得多，受影响的设备涵盖了ATM机、POS机、甚至投票机等多个领域。 这一问题源自于过去十年间，数百种设备型号中使用了非生产环境的测试平台密钥，这些密钥在其根证书中标注了“DO NOT TRUST”（请勿信任）等警示语，此类密钥原本应仅用于测试环境，但设备制造商却将其应用于生产系统。 平台密钥作为加密的“信任根”锚定了硬件设备与其运行的固件之间的信任关系，确保安全启动机制正常运行。然而，由于大量用于测试安全启动主密钥的私钥被泄漏，极大地削弱了这一安全机制的有效性。研究发现，2022年甚至有人将一部分私钥在GitHub上公开发布。这些信息为攻击者提供了必要条件，能够通过植入“根工具包”（Rootkits）等恶意软件，破坏设备的UEFI（统一可扩展固件接口）安全启动保护。 500多种设备存在隐患 此次供应链安全事件被Binarly命名为“PKfail”（CVE-2024-8105），意指平台密钥（Platform Key）失效。此次失败展示了供应链复杂性已超出用户当前的风险管理能力，特别是在涉及第三方供应商时。不过，研究人员指出，这一风险完全可以通过“安全设计理念”进行规避和缓解。 根据Binarly的最新报告，受此问题影响的设备型号远超此前的认知。Binarly的研究工具在过去几个月中收集到了10095个固件样本，其中791个（约占8%）包含了非生产密钥。 受PKfail影响的固件数量 最初，Binarly识别出了大约513种设备型号使用了测试密钥，目前一数字已增长至972种。此外，最早报告的215个受影响型号中，有490个型号使用了在GitHub上公开的密钥。研究人员还发现了四个新的测试密钥，使得总数达到了约20个。 此前发现的密钥均来自AMI，这是一家为设备制造商提供UEFI固件开发工具包的主要供应商之一。自7月以来，Binarly还发现了AMI的其他两大竞争对手Insyde和Phoenix的密钥同样存在问题。 更多的受影响设备还包括： Hardkernel的odroid-h2、odroid-h3和odroid-h4 Beelink Mini 12 Pro Minisforum HX99G Binarly进一步指出，受影响的设备不仅限于桌面电脑和笔记本电脑，还包括大量医疗设备、游戏机、企业级服务器、ATM机、销售终端设备，甚至包括投票机！由于目前尚无修复方案，研究人员基于保密协议未披露具体的设备型号。Binarly发布了“PKfail扫描仪”，供应商可以自行上传固件映像查看是否使用了测试密钥。 此次事件表明，安全启动作为一种设备预启动阶段的加密保护机制，尽管被广泛应用于政府承包商和企业环境中，但其安全性依然存在隐患，其供应链管理中存在重大漏洞。   转自安全内参，原文链接：https://www.secrss.com/articles/70379 封面来源于网络，如有侵权请联系删除