分类: 漏洞事件

CISA 发出警告:美国多州使用的投票机存在软件漏洞

在发送给美国各州选举官员的一份通知中,美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞,如果不加以解决,很容易受到黑客攻击。 Jack Hanrahan/Erie Times-News CISA 表示,目前并没有证据表明有黑客利用 Dominion Voting Systems 公司的设备漏洞来篡改选举结果。该咨询是基于一位知名计算机科学家和长期诉讼案专家证人的测试,该诉讼案与前总统唐纳德·特朗普在 2020 年大选失利后推动的盗窃选举的虚假指控无关。 根据美联社获取的这份报告,其中详细介绍了 9 个漏洞,并建议采取保护措施,以防止或检测其利用。在有关选举的错误信息和虚假信息的漩涡中,CISA 似乎行走在不惊动公众和强调选举官员采取行动的边界线上。 在一份声明中,CISA 执行董事布兰登·威尔士(Brandon Wales)表示:“各州的标准选举安全程序将检测出对这些漏洞的利用,在许多情况下将完全防止这些企图。然而,该建议似乎表明各州做得还不够。它敦促迅速采取缓解措施,包括继续和加强防御性措施,以减少利用这些漏洞的风险。公告说,这些措施需要在每次选举前实施,而很明显,所有使用这些机器的州都没有这样做”。 密歇根大学计算机科学家亚历克斯-霍尔德曼(J. Alex Halderman)撰写了这份咨询报告,他长期以来一直认为,使用数字技术来记录选票是危险的,因为计算机本身容易受到黑客攻击,因此需要采取多种保障措施,但这些措施并没有得到统一的遵守。他和其他许多选举安全专家都坚持认为,使用手写纸质选票是最安全的投票方法,也是唯一可以进行有意义的选举后审计的选择。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276043.htm 封面来源于网络,如有侵权请联系删除

Terra 区块链曝出被忽视七个月的 DeFi 漏洞 致 9000 万美元资金被窃取

上周,一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞,并且得到了 BlockSec 安全分析师的证实。2021 年 10 月,DeFi 应用程序 Mirror Protocol 在旧 Terra Mirror Protocol 建立在 Terra 区块链之上,然而在 TerraUSD(UST)稳定币失去与美元的锚定之后,其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。 在经历了混乱的几周后,社区投票通过了硬分叉的 Terra 2.0 以消弭影响,而原始链则倍改名为 Terra Classic 。 区块链上遭受了 9000 万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol 允许用户使用合成资产,对科技股进行做多或做空。 本文提到的漏洞,由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链,他也是最直言不讳的反对者之一。 同时安全公司 BlockSec 通过分析特定的漏洞利用交易,证实了 FatMan 的这一发现。 可知每当有人想要在 Mirror 上做空时,其必须将包括UST、LUNA Classic(LUNC)和 mAssets 在内的抵押品锁定至少 14 天。 交易结束后,用户可解锁抵押品、并将资产释放回钱包,且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。 然而由于代码上的 Bug,报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。 于是 2021 年 10 月,某个不知名的实体发现了这一漏洞,并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。 后续的区块链记录表明,该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是,这一漏洞直到七个月后才被人曝光。 通常情况下,为透明起见,项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。 BlockSec 指出:与 ETH 和兼容区块链相比,在 Terra 上扫描相关问题的人较少,因而该漏洞才迟迟未被公众所知晓。 此外 Mirror 网站上没有可以查看协议中抵押品总量的界面,这使得在不筛选大量区块链数据的情况下,更难发现相关漏洞。 本月早些时候,大约在 UST 稳定币开始崩溃的同时,Mirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后,社区成员开始怀疑是否存在漏洞。 当然,这并不是黑客首次盯上加密货币的区块链协议。比如 2022 年 3 月,在黑客从 Ronin 侧链窃走 6 亿美元之后一周,无法提取资金的人们才意识到有糟糕的事情发生。 最后,被美国证券交易委员会(SEC)调查的 Mirror Protocol 尚未就此事发表官方评论。 The Block 向 Mirror / Terraform Labs 团队发去了置评请求,但截止发稿时,它们都未予置评。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1275465.htm 封面来源于网络,如有侵权请联系删除

微软发现 Android 预装应用受高危漏洞影响

5月27日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334690.html 封面来源于网络,如有侵权请联系删除

OAS 平台受关键 RCE 和 API 访问漏洞的影响

Bleeping Computer 网站消息,威胁分析专家披露开放自动化软件(OAS)平台存在安全漏洞,漏洞可导致设备访问、拒绝服务和远程代码执行受到严重影响。 众所周知,OAS 平台是一个广泛使用的数据连接解决方案,它将工业设备(PLC、OPC、Modbus)、SCADA 系统、物联网、网络点、自定义应用程序、自定义 API 和数据库结合在一个整体系统下。 另外,OAS 平台还是一个灵活的多功能硬件和软件连接解决方案,能够促使来自不同供应商的专有设备和应用程序之间数据传输,并将数据连接到公司特定的产品、定制软件等。 目前,包括米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart Oil and Gas、General Dynamics、AES Wind Generation等在内的一些高知名度工业实体,都在使用 OAS。 鉴于 OAS 用户众多,平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。 严重漏洞 根据思科 Talos 的一份报告显示,OAS 平台 16.00.0112 及以下版本容易受到一系列高危漏洞的影响,可能会带来破坏性的网络攻击。 其中最危险的 CVE-2022-26833 漏洞,严重性等级为 9.4(满分 10 分),主要涉及 OAS 中未经授权的访问和使用 REST API功能。 思科表示,REST API 旨在为“默认”用户提供对配置更改和数据查看的编程访问权限,但 Talos 研究人员能够通过发送一个带有空白用户名和密码的请求来进行身份验证。 未使用任何凭据进行身份验证 攻击者可以通过向易受攻击的端点,发送一系列特制的 HTTP 请求来利用该漏洞。 另外一个关键漏洞追踪为 CVE-2022-26082,评级为 9.1(满分 10 分),是 OAS 引擎 SecureTransferFiles 模块的一个文件写入漏洞。 据思科称,向有漏洞的端点发送一系列特制的网络请求可能导致任意远程代码执行。思科 Talos 表示,通过向 OAS 平台发送格式正确的配置消息,有可能将任意文件上传到底层用户允许的任何位置。 默认情况下,这些消息可以被发送到 TCP/58727,一旦成功,将由具有正常用户权限的用户 oasuser 处理。这种情况使得远程攻击者能够将新的 authorized_keys 文件上传到 oasuser 的 .ssh 目录中,从而可以通过 ssh 命令访问系统。 Cisco Talos 发现的其他高严重性漏洞(CVSS:7.5)如下: CVE-2022-27169:通过网络请求获得目录列表 CVE-2022-26077:针对账户凭证的信息泄露 CVE-2022-26026:拒绝服务和丢失数据链接 CVE-2022-26303和CVE-2022-26043:外部配置更改和创建新用户和安全组 针对上述漏洞,思科提供了一些缓解建议,主要包括禁用服务和关闭通信端口,如果用户不能立刻升级到较新版本,这些措施是个不错的选择。 当然,最好的修复方式还是升级到较新版本,上述两个关键漏洞已在 16.00.0.113 版本中得到修复,建议立刻升级到最新版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334469.html 封面来源于网络,如有侵权请联系删除

PoC 代码已公布,这个 VMware auth 高危漏洞需尽快修补

据Bleeping Computer网站5月26日消息,VMware 已在近期发布了安全更新,以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。该漏洞属于多个 VMware 产品中的一个关键身份验证绕过漏洞,能允许攻击者获得管理员权限。 随着漏洞被修补,Horizon3 安全研究人员在26日发布了针对该漏洞的概念验证 (PoC) 漏洞利用和技术分析。 研究人员表示,CVE-2022-22972是一个相对简单的主机标头漏洞,攻击者可以较为容易的开发针对此漏洞的利用。虽然Shodan 搜索引擎仅显示了有限数量的 VMware 设备受到针对此漏洞的攻击,但仍有一些医疗保健、教育行业和政府组织成为攻击目标的风险正在增加。 具有严重后果的安全漏洞 VMware曾警告:“此漏洞的后果很严重。鉴于漏洞的严重性,我们强烈建议立即采取行动。”美国网络安全和基础设施安全局 (CISA)也曾发布新的紧急指令进一步强调了此安全漏洞的严重程度,该指令命令联邦民事执行局 (FCEB) 机构紧急更新或从其网络中删除 VMware 产品。 今年4 月,VMware 修复了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外两个严重漏洞:一个远程代码执行错误 (CVE-2022-22954) 和一个root权限提升漏洞(CVE-2022-229600)。尽管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用,但攻击者已能够在这两个漏洞披露的 48 小时内部署了系统后门和植入了挖矿木马。 网络安全机构表示,CISA 预计攻击者能够迅速开发出针对这些新发布的漏洞,在相同受影响的 VMware 产品中进行利用的能力。 延伸消息:博通宣布将以610亿美元收购VMware 当地时间5月26日,无线通信巨头博通公司(Broadcom)宣布,已经就收购VMware达成了协议,收购金额达到了610亿美元,并承担VMware 80亿美元的债务。一旦收购完成,博通软件部门将更名为VMware继续运营,并将现有的基础设施和安全软件解决方案与VMware产品进行整合。CNBC称,这是仅次于微软收购动视暴雪,戴尔收购EMC之后的全球第三大科技行业并购。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334457.html 封面来源于网络,如有侵权请联系删除

支付巨头 PayPal 曝大漏洞,黑客可直接窃取用户资金

据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。 所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。 而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。 2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金。 h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受 billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。” 这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal 帐户付款。 更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。 h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。” 目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕。   转自 Freebuf,原文链接:https://www.freebuf.com/news/334074.html 封面来源于网络,如有侵权请联系删除

思科修复在野被利用的 iOS XR 漏洞

Security Affairs 网站披露,思科解决了一个影响 iOS XR 软件的中等严重性漏洞,该漏洞在野外被积极利用。 近日,思科发布安全更新,解决影响 iOS XR 软件的一个中等严重程度漏洞,该漏洞被追踪为 CVE-2022-20821 (CVSS评分:6.5),分析结果显示,威胁攻击者在野外攻击中积极利用了这一漏洞。 据悉,该漏洞存在于思科 iOS XR 软件的健康检查 RPM 中,远程攻击者可以利用该漏洞,在未经认证的情况下,访问在 NOSi 容器中运行的 Redis 实例。 从思科发布的安全公告来看,漏洞之所以存在,主要是因为健康检查 RPM 在激活时默认打开 TCP 6379 端口,这时候,攻击者可以通过连接到开放端口的 Redis 实例来利用这一漏洞。 当攻击者成功利用这一漏洞后,就可以任意写内容到 Redis 内存数据库里,写任意文件到容器文件系统中,并检索有关 Redis 数据库的信息。但是,鉴于 Redis 实例运行配置的沙盒容器,远程攻击者将无法执行远程代码或滥用思科 iOS XR 软件主机系统的完整性。 漏洞其他详情 经研究发现,该漏洞主要影响安装了健康检查 RPM,并处于活动状态的思科 8000 系列路由器。至于怎样确定设备是否存在安全漏洞,用户可以发出  run docker ps CLI  命令,如果输出返回了名称为  NOSi  的 docker 容器,则该设备存在漏洞。 漏洞解决方法如下: 选项1:禁用健康检查并明确禁用用例。 选项2:使用基础设施访问控制列表(iACLs),阻止 6379 端口。 值得一提的是,思科 PSIRT 已经意识到,部分攻击者企图在野外利用这个漏洞,强烈建议客户应用合适的解决方法,或者升级到固定的软件版本,迅速补救这个漏洞,以免造成严重后果。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333973.html 封面来源于网络,如有侵权请联系删除

苹果紧急更新修复入侵 Mac 和 Watch 的零日漏洞

近日,苹果发布了安全更新以解决一项新的零日漏洞,黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。 5月16日发布的安全报告中,苹果方面透露,公司已经意识到这个安全漏洞“可能正被积极利用”。 该漏洞是一项AppleAVD(音频和视频解码的内核扩展)中的越界写入问题,追踪代码为CVE-2022-22675,它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告,随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。 受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K(第2代)和Apple TV HD等。 虽然苹果公司披露了一些关于网络攻击的报告,但并没有发布任何关于这些攻击的额外信息。 外界推测,苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前,让安全更新覆盖尽可能多的Macs和Apple Watch设备。 虽然这个零日漏洞很可能只能被运用于针对性进攻,但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。 2022零日漏洞一览 今年1月,苹果对另外两个被在野利用的零日漏洞进行了修补,一个漏洞使攻击者能够利用内核权限执行人任意代码(追踪编号为CVE-2022-22587),另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份(追踪编号为CVE-2022-22594)。 一个月后,苹果发布了一项新的安全更新,以修补另一个零日漏洞,漏洞的追踪编号为CVE-2022-22620,被用来攻击iPhone、iPad和Macs设备,导致操作系统崩溃,并在受损的苹果设备上远程执行代码。 今年3月,英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞,追踪编码分别为CVE-2022-22674和CVE-2022-22675,后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。 这5个零日漏洞会影响iPhone(iPhone 6s及以上)、运行macOS Monterey的Mac和多种iPad型号的设备。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333384.html 封面来源于网络,如有侵权请联系删除

QNAP 修复了关键的 QVR 远程命令执行漏洞

近期,QNAP发布了几项安全公告,其中一项针对严重的安全问题,该问题允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588,严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。 根据QNAP发布的公告,该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用,此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见,当漏洞利用公开可用时,QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。 目前BleepingComputer表示已与QNAP联系,要求提供有关 CVE-2022-27588是否被积极利用的信息,并将根据公司的回应做出及时报道。 除了QVR 中的严重问题外,QNAP还解决了其他产品中的8个漏洞,严重程度介于中到高之间。 以下是修复的完整列表: CVE-2022-27588:QNAP QVR 中的严重RCE CVE-2021-38693:thttpd中的中等严重性路径遍历漏洞,影响 QTS、QuTS hero 和 QuTScloud。 CVE-2021-44055:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44056:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44057:运行 Photo Station 的 QNAP NAS 中的高危漏洞。 CVE-2021-44051:高严重性命令注入漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。 CVE-2021-44052:高严重性链接解析漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。 CVE-2021-44053:高严重性跨站点脚本 (XSS) 漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。 CVE-2021-44054:高严重性开放重定向漏洞,允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的页面。 目前,QNAP尚未提供缓解指南,因此建议您将软件更新到最新的可用版本。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332343.html 封面来源于网络,如有侵权请联系删除

DNS 曝高危漏洞,影响数百万物联网设备

近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。 通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。 目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。 Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。 研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。 Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。 如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。 最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。   转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332069.html 封面来源于网络,如有侵权请联系删除