英特尔修复了几个 CPU 系列配置中的漏洞，漏洞能让攻击者更改芯片的 SPI 闪存。联想部署了英特尔补丁：“系统固件设备（SPI 闪存）的配置可能让攻击者阻止 BIOS / UEFI 更新，或选择性地擦除或损坏部分固件。” 联想工程师说：“这很可能会导致一些故障，但在极少数情况下可能导致任意代码执行。”英特尔在 4 月 3 日发布针对此漏洞的补丁（CVE-2017-5703）。该漏洞在 CVSSv3 上得到了10分中的7.9分。英特尔表示在内部发现了这个问题。 稿源：freebuf，封面源自网络；

近日， ICS-CERT 发布安全报告称西门子 SIPROTEC 4，SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利用来攻击变电站和其他供电设施。当这些漏洞被成功利用时，攻击者能够通过上传修改后的设备配置来覆盖访问授权密码或者捕获某些可能包含授权密码的网络流量，从而可能导致电力设备保护功能中断或客户缩减。 据悉，这些漏洞是由 Positive Technologies 的安全专家发现的。Positive Technologies 的技术专家检测到西门子在电力系统保护方面（用于控制和保护电力变电站或水力发电站等电力供应设备）存在高风险漏洞。以下为漏洞的具体情况： ① CVE-2018-4840，并被评为高严重级别，可被远程和未经身份验证的攻击者利用来修改设备配置并覆盖访问密码。 ② CVE-2018-4839 是一个中等严重性问题，允许本地或网络攻击者通过拦截网络流量或从目标设备获取数据来恢复访问授权密码。Positive Technologies 表示，该密码可用于获得对继电器的完整访问权限。 CVE-2018-4840 和 CVE-2018-4839 均影响 SIPROTEC 4 和 SIPROTEC 紧凑型保护继电器使用的 EN100 以太网模块和 DIGSI 4 操作和配置软件。 ③ 第三个高严重性漏洞存在于继电器的 Web 界面中的高严重性漏洞，被追踪为 CVE-2018-4838。该漏洞允许入侵者远程上传包含已知漏洞的过时固件版本，并在目标系统上执行代码。目前使用 EN100 模块的 Reyrolle 、SIPROTEC 4、SIPROTEC Compact 设备受到该漏洞影响。 针对以上漏洞，西门子表示已经发布了安全补丁和缓解措施来抵抗对变电站构成的严重威胁。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，网络安全公司 Bastille 发布的安全公告称， ATI Systems 的紧急警报系统中暴露了一个名为 SirenJack 的远程劫持漏洞，攻击者可以通过无线电频率（RF）来利用该漏洞激活、触发错误警报，以制造混乱和恐慌。 Bastille 的研究人员认为 SirenJack 缺陷实际上是由于 ATI 从控制站向警报器传输信号的方式引起的，因为其研究人员发现 ATI Systems 用于控制警报器的无线电协议并不安全，其激活命令直接以明文形式发送，而没有采用加密。在这种情况下，恶意人士可以找到分配好的无线电频率，制作恶意激活消息，然后将其通过自己的无限电发送，以便启动系统。Bastille 称完成这些步骤所需要的设备仅仅是一台电脑和一台价值 30 美元的手持式收音机。 ATI Systems 的产品遍布北美和全球各地城市，军事设施、大学和工业基地（包括石油和核能）的都是其重要客户。目前 Bastille 仅在旧金山和其他两个地点证实了 SirenJack 漏洞 ，但并不明确还有哪些其他 ATI 系统受到影响。Bastille 敦促所有客户与 ATI Systems 合作，以了解他们的系统是否受到影响，并立即采取补救措施。 SirenJack 的潜在影响是什么？ 正常情况下，紧急警报系统仅在合法威胁（通常是天气或与安全有关的威胁）时才启动，而虚假警报引起了公众的广泛关注，导致公众对这些系统降低了信任，特别是在 2017 年达拉斯警报事件之后（全市范围内超过 150 个龙卷风警报系统启动 90 分钟以上）。 Bastille 完整分析报告： 《SirenJack》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

四月的第二个星期二，微软通过自家 Windows Update 更新通道，为 AMD CPU 带来了增强的 Spectre（幽灵）漏洞防御能力。这一轮的系统级修补，主要针对幽灵 2 号变种（CVE-2017-5715），其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器，本次更新揭示了对间接分支预测壁垒（IBPB）的接管控制。 根据 AMD 最新的安全白皮书，运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施： 尽管此前其 CPU 支持其它控制分值预测器行为的方法（一个指向间接分支限制预测的特殊比特位 / 简称 IBRS）、以及作为对处理器上兄弟线程的响应（一个指向单线程间接分值预测器的比特位 / 简称 STIBP），但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。 当然，光是下载系统操作系统更新，还不足以保护受影响的系统。AMD 表示，产品用户请检查 OEM 或主板制造商网站来获得更新，以减缓漏洞带来的影响。 我们可以借助这种方式来完成对 Ryzen 平台的完整修补，快速的基准测试表示，其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。 需要指出的是，本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新，后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户，仍需等待 OEM 或主板厂商发布固件更新。 稿源：cnBeta，封面源自网络；

据外媒报道，施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞，其中包括那些被评为严重和高危的漏洞，例如可能导致信息泄露的路径遍历或者其他一些错误，以及通过 SQL 注入造成的远程代码执行缺陷。 U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。 据悉，U.motion Builder 大多数安全漏洞已被归类为中等严重性，但也有一些安全漏洞基于 CVSS 评分来看非常严重。 最严重漏洞（CVE-2017-7494）的 CVSS 评分达到了 10，根据介绍，该漏洞允许远程执行代码，对 Samba 软件套件造成了一定影响。另外，由于与 WannaCry 攻击类似，它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备，其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5 Networks。 U.motion Builder 中另一个严重漏洞的标识为 CVE-2018-7777，该漏洞允许经过身份验证的攻击者通过向目标服务器发送特制请求来远程执行任意代码。 除此之外，一个 SQL 注入缺陷 CVE-2018-7765 也被列为高度严重。 这些问题影响到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供补丁之外，还分享了一些缓解潜在攻击的建议。 消息来源：securityweek，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 4 月 9 日消息，德国网络安全公司 RedTeam Pentesting GmbH 发现 CyberArk Enterprise Password Vault （企业密码保险库）应用程序中存在严重的远程代码执行漏洞（CVE-2018-9843），可以允许攻击者利用 Web 应用程序的特权对系统进行未经授权的访问。 企业密码保险库（EPV）解决方案可帮助组织安全管理其敏感密码，控制各种客户端/服务器和大型机操作系统、交换机、数据库中的特权帐户密码，并使其免受外部攻击者以及恶意内部人员的威胁。 RedTeam Pentesting GmbH 安全公司发现该漏洞驻留在 CyberArk 密码保险库的 Web 访问中，它是由于 Web 服务器不安全地处理反序列化操作的方式造成的，可能允许攻击者在处理反序列化数据的服务器上执行代码。 当用户登录到账户时，CyberArk Enterprise Password Vault 应用程序使用 REST API 向服务器发送一个认证请求，其中包括一个包含以 base64 编码序列化的 . net 对象的授权头。这个序列化的 .net 对象保存了关于用户会话的信息，但是研究人员发现“序列化数据的完整性没有得到保护”。 由于服务器不验证序列化数据的完整性，并且不安全地处理反序列化操作，所以攻击者只能操纵身份验证令牌，将他们的恶意代码注入授权头中，从而获得“在 Web 服务器上未经验证的远程代码执行”。 研究人员强烈建议使用 CyberArk 密码保险库 Web 访问的企业将其软件升级到 9.9.5,9.10 或 10.2 版本。如果无法立即升级软件，那么缓解此漏洞的可能解决方法是禁用对 route / PasswordVault / WebServices 上 API 的任何访问。 消息来源：thehackernews，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞，黑客可利用这个漏洞探测到计算机中的文件（包括 root 用户的机密文件）。这个漏洞标识为 CVE-2018-0492，不会实造成远程攻击，但是这是一个特权提升（EoP）漏洞，可被攻击者利用获取到 root 级别的访问权限，完全访问系统并发起恶意攻击。 如果黑客利用这个 beep 包获取了特定文件，就能进一步采取措施，将 beep 包作为启动平台，执行其他命令。目前，新版的 Debian 和 Ubuntu 中已经修复了这个漏洞。 稿源：freebuf，封面源自网络；

Auth0 是最大的身份即服务平台之一，近日被爆出存在严重身份验证绕过漏洞，该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型，每天管理 4,200 万次登录，并为 2000 多家企业客户管理每月登录数十亿次。 2017 年 9 月，来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞，并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造（CSRF / XSRF）攻击触发 CVE-2018-6874 漏洞，对 Auth0 身份验证的应用程序绕过登录身份验证。 稿源：freebuf，封面源自网络；

据外媒报道，一个名为“ JHT ”的黑客组织在上周五利用 Cisco（思科） CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施，例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法，目前全球已超过 20 万台路由器受到了攻击影响，其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后，路由器的配置文件 startup-config 被覆盖，路由器重新启动。这不仅导致了网络中断，并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统，但只袭击了俄罗斯或伊朗的路由器，并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源：bleepingcomputer，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 4 月 6 日消息，思科发布安全公告称其智能安装（SMI）协议遭到滥用，数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端（也称为集成分支客户端（IBC））的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备，在设备上加载新的 IOS 映像，以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法，他们发现试图检测设备的互联网扫描量大幅增加，因为这些设备在完成安装后，其智能安装功能仍处于启用状态，并且没有适当的安全控制，以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS，IOS XE 或智能安装功能本身中的漏洞，而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”，其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底，思科修补了其 IOS 软件中的 30 多个漏洞，包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的，攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装（SMI）协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现，有 168,000 个系统在线暴露。 思科安全公告： 《Cisco Smart Install Protocol Misuse》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。