分类: 漏洞

注意!这 56 个漏洞已影响数千台关键基础设施环境中的工业设备

近日,一份关于一组56个漏洞的安全报告已发布,这些漏洞统称为 Icefall,会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。 据悉,Icefall是由Forescout的Vedere实验室的安全研究人员发现,它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。 在过去的几年里,受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标,这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。   漏 洞 概 述 Vedere Labs 发现的缺陷主要涉及凭证安全、固件操纵和远程代码执行,同时操纵配置和创建拒绝服务 (DoS) 状态帐户的数量较少。 Icefall漏洞的类型 (Forescout)  Forescout在其报告中指出,“许多漏洞是由于 OT 的设计不安全”,还补充说“许多身份验证方案被破坏”,这表明实施阶段的安全控制不足。 例如,研究人员指出,许多设备使用明文凭据、弱密码或损坏密码、硬编码密钥和客户端身份验证。 这些身份验证漏洞为威胁行为者实现远程代码执行 (RCE) 和 DoS 条件或安装恶意固件映像铺平了道路。通过在目标设备或其后面的设备上发出命令来直接操作操作是研究人员强调的另一个风险。   潜 在 后 果 Icefall 影响了众多工业部门使用的各种设备,使其极具吸引力,尤其是对国家支持的对手而言。Forescout 表示,一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。 为了证明他们的发现和潜在风险,研究人员使用了风力发电和天然气运输系统,显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。 (图注风力发电厂的冰瀑缺陷 (Forescout)) (天然气运输系统 (Forescout)  受影响的设备分布在世界各地。分析师使用 Shodan 扫描互联网以查找暴露的易受攻击的系统,并发现以下前六名: Honeywell Saia Burgess – 2924 台设备,遍布意大利、德国、瑞士、瑞典和法国。 Omron 控制器——西班牙、加拿大、法国、美国和匈牙利的 1305 台设备。 Phoenix Contact DDI – 意大利、德国、印度、西班牙和土耳其的 705 台设备。 ProConOS SOCOMM – 236 台设备,遍布中国、美国、德国、新加坡和香港。 霍尼韦尔趋势控制——法国、丹麦、意大利、西班牙和英国的 162 台设备。 Emerson Fanuc /PACSystems – 美国、加拿大、波兰、台湾和西班牙的 60 台设备。 值得注意的是,有 74% 的易受攻击产品系列已通过安全认证,这表明这些程序既不安全,也不够全面。   缓 解 办 法 主要的安全建议是应用供应商提供的最新固件更新。不过,目前并非所有提到的供应商都发布了 Icefall 的修复程序,也有下游供应商需要采取行动。在修复可用或可以安装之前,强烈建议系统管理员对网络进行分段并监控流量和设备活动。 使用“设计安全”的设备发现和替换易受攻击的产品以及安装物理交换机是降低妥协变化的好方法。 Forescout 通过对软件、固件和硬件组件的深入手动和自动分析发现了 Icefall 漏洞集。该公司发布了一份更详细的技术报告,描述了影响一个供应商的四个漏洞,但这些漏洞仍在披露中。 建议公司遵循每个供应商的安全建议,以了解有关每个漏洞对受影响产品的具体影响的更多详细信息。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/IkDCLnwuBX25YzM3ka34PQ 封面来源于网络,如有侵权请联系删除

微软和英特尔发布安全公告:Windows 10/11 存在 MMIO 数据漏洞

在英特尔和微软今天发布的公告中,表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O(MMIO)有关,因此被统称为“MMIO陈旧数据漏洞”(MMIO Stale Data Vulnerabilities)。威胁者在成功利用一个有漏洞的系统后,可以读取被攻击系统上的特权信息。 在其安全公告 ADV220002 中,微软描述了潜在的攻击场景: 成功利用这些漏洞的攻击者可能会跨越信任边界读取特权数据。在共享资源环境中(如存在于一些云服务配置中),这些漏洞可能允许一个虚拟机不正当地访问另一个虚拟机的信息。在独立系统的非浏览场景中,攻击者需要事先访问系统,或者能够在目标系统上运行特制的应用程序来利用这些漏洞。 这些漏洞被称为: ● CVE-2022-21123 – 共享缓冲区数据读取(SBDR) ● CVE-2022-21125 – 共享缓冲区数据采样(SBDS) ● CVE-2022-21127 – 特殊寄存器缓冲区数据采样更新(SRBDS更新) ● CVE-2022-21166 – 设备寄存器部分写入(DRPW) MMIO 使用处理器的物理内存地址空间来访问像内存组件一样响应的 I/O 设备。英特尔在其安全公告 INTEL-SA-00615 中,更详细地描述了如何利用 CPU 非核心缓冲区数据来利用该漏洞。 处理器 MMIO 陈旧数据漏洞是一类内存映射的 I/O(MMIO)漏洞,可以暴露数据。当一个处理器内核读取或写入MMIO时,交易通常是通过不可缓存或写入组合的内存类型完成的,并通过非内核进行路由,非内核是CPU中的一段逻辑,由物理处理器内核共享,并提供一些通用服务。恶意行为者可能利用非核心缓冲区和映射寄存器来泄露同一物理核心内或跨核心的不同硬件线程的信息。 [……]这些漏洞涉及的操作导致陈旧的数据被直接读入架构、软件可见的状态或从缓冲区或寄存器采样。在一些攻击场景中,陈旧的数据可能已经存在于微架构的缓冲器中。在其他攻击场景中,恶意行为者或混乱的副代码可能从微架构位置(如填充缓冲区)传播数据。 据微软称,以下Windows版本受到影响。 ● Windows 11 ● Windows 10 ● Windows 8.1 ● Windows Server 2022 ● Windows Server 2019 ● Windows Server 2016 受影响的 CPU 列表以及它们各自的缓解措施如下图   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281495.htm 封面来源于网络,如有侵权请联系删除

思科电子邮件存在安全漏洞,攻击者可利用漏洞登录其 Web 管理界面

思科于本周通知其用户修补一个严重漏洞,该漏洞可能允许攻击者绕过身份验证并登录到思科电子邮件网关设备的Web管理界面。该安全漏洞(编号为CVE-2022-20798)是在思科电子邮件安全设备(ESA)以及思科安全电子邮件和Web管理器设备的外部身份验证功能中发现的。该编号为CVE-2022-20798的漏洞是由于受影响设备使用LDAP (Lightweight Directory Access Protocol)进行外部认证时,认证检查不正确导致的。 对此,思科在回应中并表示,攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,成功的利用可能允许攻击者未经授权访问受影响设备的管理界面。该漏洞是在解决 Cisco TAC(技术援助中心)支持案例期间发现的,思科的产品安全事件响应团队 (PSIRT) 表示,目前还没有利用此安全漏洞的消息,且此漏洞仅影响配置为使用外部身份验证和LDAP作为身份验证协议的设备。不过据思科称,默认情况下外部身份验证功能是禁用的,这意味着只有具有非默认配置的设备才会受到影响。如需检查设备上是否启用了外部身份验证,请登录基于Web的管理界面,转至系统管理 > 用户,然后在“启用外部身份验证”旁边查找绿色复选框。思科还表示,此漏洞不会影响其他安全网络设备产品,比如思科网络安全设备 (WSA)。无法立即安装CVE-2022-20798安全更新的管理员也可以禁用外部经过身份验证服务器上的匿名绑定来解决此问题。 今年2月份,思科还修复了另一个安全电子邮件网关漏洞 ,该漏洞可能允许远程攻击者使用恶意制作的电子邮件使未修补的设备崩溃。同时,思科也表示不会修复影响RV110W、RV130、RV130W和RV215W SMB等即将停产的路由器关键零日漏洞,该漏洞允许攻击者以根级权限执行任意命令。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336376.html 封面来源于网络,如有侵权请联系删除

攻击者利用三年前的 Telerik 漏洞部署 Cobalt Strike

据BleepingComputer网站6月15日消息,一个被称为“Blue Mockingbird”的攻击者利用 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。 攻击者利用的漏洞是 CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达 9.8,可导致在 Telerik UI 库中远程执行 ASP.NET AJAX 的代码。 在2020年5月,Blue Mockingbird就曾使用同样的手法攻击Microsoft IIS 服务器,而此时距供应商提供安全更新已经过去了一年 ,可见该漏洞已被该攻击者反复利用,屡试不爽。 要利用 CVE-2019-18935漏洞,攻击者必须获得保护目标上Telerik UI序列化的加密密钥,这可通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 来实现。一旦获得密钥,攻击者就可以编译一个恶意 DLL,其中包含要在反序列化期间执行的代码,并在“w3wp.exe”进程的上下文中运行。 Blue Mockingbird 最近的攻击链 在由网络安全公司Sophos最近发现的这起攻击事件中,Blue Mockingbird采用了一个现成的概念验证(PoC)漏洞,能够处理加密逻辑并自动进行DLL编译,其使用的有效载荷是 Cobalt Strike 信标,这是一种隐蔽的、合法的渗透测试工具, Blue Mockingbird 以此滥用来执行编码的 PowerShell 命令。 Cobalt Strike 信标配置 为了实现持久性,攻击者通过 Active Directory 组策略对象 (GPO) 建立,它创建计划任务,该计划任务写入包含 base64 编码的 PowerShell 的新注册表项中。 该脚本使用常见的 AMSI 绕过技术来规避 Windows Defender 检测,以将 Cobalt Strike DLL 下载并加载到内存中。 第二阶段的可执行文件(’crby26td.exe’)是一个 XMRig Miner,一个标准的开源加密货币矿工,用于挖掘 Monero,这是最难追踪的加密货币之一。 Cobalt Strike 的部署为在受感染的网络内轻松横向移动、进行数据泄露、帐户接管以及部署更强大的有效负载(如勒索软件)开辟了道路。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336370.html 封面来源于网络,如有侵权请联系删除

Hertzbleed 可利用 Intel/AMD 处理器提频漏洞来窃取加密密钥

在 2017 年被影响现代 Intel、AMD 和 ARM 处理器的“幽灵”(Spectre)和“熔毁”(Meltdown)侧信道攻击漏洞给震惊之后,现又有安全研究人员曝光了利用 CPU 提频(Boost Frequencies)来窃取加密密钥的更高级漏洞 —— 它就是 Hertzbleed 。 (来自:Hertzbleed 网站) 该攻击通过监视任何加密工作负载的功率签名(power signature)侧信道漏洞而实现,与 CPU 中的其它因素一样,处理器功率会因工作负载的变化而有所调整。 但在观察到此功率信息之后,Hertzbleed 攻击者可将之转换为计时数据(timing data),进而窃取用户进程的加密密钥。 ● 目前 Intel 和 AMD 均已公布易受 Heartzbleed 漏洞攻击影响的系统,可知其影响 Intel 全系和 AMD Zen 2 / Zen 3 处理器。 ● 前者被分配了 Intel-SA-00698 和 CVE-2022-24436 这两个漏洞 ID,后者则是 CVE-2022-23823 。 原理示意(图自:Intel 网站) 更糟糕的是,攻击者无需物理访问设备、即可远程利用 Hertzbleed 漏洞。 之后两家芯片公司将提供基于微码的修补缓解措施,以防止此类漏洞被攻击者继续利用。 略为庆幸的是,英特尔声称此类攻击在实验室研究之外并不那么实用,因为据说窃取加密密钥需耗费数小时到数天。 至于漏洞补丁可能造成的 CPU 性能损失,还是取决于具体的应用场景。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281091.htm 封面来源于网络,如有侵权请联系删除

微软修复了已被黑客利用的 “Follina”Windows 零日漏洞

微软终于发布了对”Follina”的修复,这是Windows中被黑客积极利用的零日漏洞。作为微软每月发布的安全补丁的一部分,即所谓的”补丁星期二”已经发布了对这个高危漏洞的修复,这一漏洞被追踪为CVE-2022-30190。但正如网络安全公司Sophos所指出的,该修复程序并不在此次发布的补丁列表中–尽管它已经确认Follina现在已经被缓解。 “微软强烈建议客户安装这些更新,以充分保护自己免受该漏洞的影响,”微软在6月14日对其原始公告的更新中说。 Follina漏洞已被攻击者利用,在打开或预览恶意的Office文档时,通过微软诊断工具(MSDT)执行恶意的PowerShell命令,即使宏被禁用。该漏洞影响到所有仍在接受安全更新的Windows版本,包括Windows 11,并使威胁者能够查看或删除数据,安装程序,并在被攻击的系统上创建新账户。 网络安全研究人员在4月首次观察到黑客利用该漏洞攻击俄罗斯和白俄罗斯用户,企业安全公司Proofpoint上个月表示,Follina现在也被黑客组织滥用于正在进行的网络钓鱼活动中,使受害者感染Qbot银行木马,以及针对美国和欧洲政府机构的网络钓鱼攻击中。 Follina零日病毒最初于4月12日被标记给微软。然而,一位名叫Crazyman的安全研究人员在Twitter上说,微软最初将该漏洞标记为非”安全相关问题”,他被认为是首次报告该漏洞。 网络安全公司Tenable的高级研究工程师Claire Tills表示,”鉴于微软最初对该漏洞的否定以及该漏洞在公开披露后的几周内被广泛利用,在补丁星期二之前,人们对微软是否会发布补丁进行了大量猜测。”他还指出这正成为一种”令人担忧的趋势”。 “Tenable在微软的Azure Synapse Analytics中发现并披露了两个漏洞,其中一个已经打了补丁,另一个没有,”她补充说。”这两个漏洞都没有分配CVE编号,也没有记录在微软6月份的安全更新指南中”。 除了解决Follina漏洞之外,微软还修复了三个”关键的”远程代码执行(RCE)缺陷。然而,这些都还没有被积极利用。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281163.htm 封面来源于网络,如有侵权请联系删除

CISA 公布新漏洞,可以远程解锁任意门锁

专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS2 制造的产品,LenelS2 是 HVAC 巨头 Carrier 旗下的高级物理安全解决方案(即访问控制、视频监控和移动认证)提供商。 Trellix 威胁实验室的研究人员在Hardwear.io 安全培训和会议期间披露了这些漏洞, 他们分析了用于授予对特权设施的物理访问权限的工业控制系统 (ICS)。专家们专注于由 HID Mercury 制造的 Carrier LenelS2 门禁控制面板。 “分析从最低级别的硬件开始。通过使用制造商的内置端口,我们能够操纵板载组件并与设备交互。结合已知和新技术,我们能够实现对设备操作系统的 root 访问并拉取其固件以进行仿真和漏洞发现。” 阅读Trellix 发布的帖子。 Trellix 发现了8 个漏洞,其中 7 个被评为“严重”,远程攻击者可以利用这些漏洞执行任意代码、执行命令注入、信息欺骗、写入任意文件和触发拒绝服务 ( DoS) 条件。以下是研究人员发现的缺陷列表: 大多数这些漏洞可以在没有身份验证的情况下被利用,但利用需要直接连接到目标系统。 研究人员对固件和系统二进制文件进行了逆向工程,并进行了实时调试,发现了八个问题,其中六个未经身份验证,两个经过身份验证的漏洞可通过网络远程利用。 “通过将两个漏洞链接在一起,我们能够利用访问控制板并远程获得设备的根级别权限。有了这种访问级别,我们创建了一个程序,可以与合法软件一起运行并控制门。” 继续发帖。“这使我们能够解锁任何门并颠覆任何系统监控。” 专家们还开发了一个概念验证(PoC)漏洞来解锁任何门和黑客监控系统。在研究人员发布的视频 PoC 下方: Carrier 已发布产品安全 公告 ,以警告客户有关漏洞并敦促他们安装固件更新。 “通过使用我们负责任的披露程序对 HID Mercury™ 进行独立渗透测试,据报道,LenelS2 销售的访问面板包含网络安全漏洞。” 阅读咨询。“这些漏洞可能会导致正常的面板操作中断。受影响的 LenelS2 部件号包括: LNL-X2210 S2-LP-1501 LNL-X2220 S2-LP-1502 LNL-X3300 S2-LP-2500 LNL-X4420 S2-LP-4502 LNL-4420 前几代 HID Mercury 控制器不受影响。 美国网络安全和基础设施安全局 (CISA) 也发布了有关这些漏洞的公告。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/-na1AzoiBxw_oZQ_vd2-8A 封面来源于网络,如有侵权请联系删除

新的 Windows 搜索零日漏洞可被远程托管恶意软件利用

安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中,犯罪者可以配置远程Windows共享托管恶意软件,伪装成补丁或安全更新,然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而,让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告,提醒用户某个站点正在尝试访问Windows资源管理器。 在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员 Matthew Hickey 所证明的那样,将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用,用户需要打开诱饵 Word 文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在他们的系统上启动它。更糟糕的是,Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口,而无需打开文档。 安全研究人员建议对新发现的漏洞采取以下缓解措施: 1、以管理员身份运行命令提示符 2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/335311.html 封面来源于网络,如有侵权请联系删除

紫光展锐曝高危漏洞,可阻止手机联网

据快科技报道,紫光展锐芯片组基带处理器被曝存在一个高危漏洞。由于该漏洞出现在芯片层,且直接负责网络连接的网络解调器,因此,攻击者通过该漏洞向用户发送损坏的数据包,可中断或禁止目标设备的网络连接。 网络安全公司Check Point Research在对摩托罗拉Moto G20手机内的紫光展锐T700芯片上的LTE协议栈的逆向工程中,发现了该漏洞。2022年5月,该公司已经向紫光展锐提交了该漏洞的信息,紫光展锐官方也已经确定漏洞的存在,并将其划分为9.4级的严重漏洞。 同时紫光展锐也已经表示,将会立即对该漏洞进行修复;谷歌也确认了这一漏洞,并表示将会在下一个Android安全补丁中修复该漏洞。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335294.html 封面来源于网络,如有侵权请联系删除

GitLab 通过安全更新修复了帐户接管高危漏洞

据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。 这个帐户接管漏洞被追踪为 CVE-2022-1680,评分高达 9.9,影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果,黑客可以访问开发人员的项目并窃取源代码。 根据公司公告,在具有特定配置的实例上可以利用该漏洞,当组SAML SSO被配置时,SCIM 功能(仅适用于 Premium+ 订阅)可能允许 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户,然后通过 SCIM 将这些用户的电子邮件地址更改为攻击者控制的电子邮件地址,因此,在没有 2FA 的情况下,攻击者能接管这些帐户,还可以更改目标帐户的显示名称和用户名。但若目标帐户上存在双因素身份验证 (2FA) ,则可以减少其滥用的概率。 安全更新的其他7个漏洞包含对另外两个高严重性缺陷的修复,一个是 Jira 集成组件中的跨站点脚本 (XSS) 问题,被跟踪为 CVE-2022-1940;评分为为 7.7;另一个是缺少输入验证漏洞,允许在联系人列表详细信息中注入 HTML 并启用 XSS 攻击,被跟踪为 CVE-2022-1948,评分为 8.7。 其余5个漏洞分别是IP白名单绕过问题、Web端授权不当、群组成员访问不当和锁绕过问题。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335291.html 封面来源于网络,如有侵权请联系删除