世界各地的农民已经转向拖拉机黑客，以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 “循环 “和iPhone的越狱一样，这使得农民可以修改和修理对他们工作至关重要的昂贵设备。 周六在拉斯维加斯举行的DefCon安全会议上，被称为Sick Codes的黑客展示了针对约翰迪尔公司拖拉机的新越狱方法，他可以通过触摸屏控制多种型号的拖拉机。这一发现凸显了维修权运动的安全影响。Sick Codes发现的拖拉机漏洞并不是一个远程攻击，但所涉及的漏洞代表了设备中的基本不安全因素，可能会被恶意行为者利用或可能与其他漏洞串联。 正如2021年JBS肉类公司的勒索软件攻击等事件所显示的那样，确保农业产业和食品供应链的安全至关重要。但与此同时，像Sick Codes发现的那些漏洞有助于农民用自己的设备做他们需要做的事情。居住在亚洲的澳大利亚人Sick Codes在2021年 DefCon上发表了关于拖拉机应用编程接口和操作系统错误的演讲。在他公开了他的研究后，包括约翰迪尔在内的拖拉机公司开始修复一些缺陷。 Sick Codes表示，虽然他主要关注的是世界粮食安全和脆弱的农用设备带来的风险，但他也认为让农民完全控制自己的设备具有重要价值。在美国，关于一个人购买的设备的”维修权”的争论持续了多年之后，这一运动似乎已经达到了一个转折点。白宫去年发布了一项行政命令，指示联邦贸易委员会加大执法力度，处理因外部维修而使保修失效等做法。这一点，再加上纽约州通过了自己的维修权法和创造性的活动家压力，为这一运动带来了前所未有的动力。 面对越来越大的压力，约翰迪尔公司在3月份宣布，它将向设备所有者提供更多的维修软件。该公司当时还表示，它将在明年发布一个”增强型客户解决方案”，这样客户和机械师就可以自己下载和应用迪尔设备的官方软件更新，而不是由约翰迪尔单方面远程应用补丁或强迫农民将产品送到授权经销商处。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304725.htm 封面来源于网络，如有侵权请联系删除

前段时间，宝马宣布将为今后的新车推出远程付费升级服务，包括座椅加热、自适应巡航等功能，客户可以在需要的时候，暂时或者永久付费开通某些功能。韩国和英国等市场，已经上线了部分服务，英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备，或每月花35英镑(42美元)激活主动巡航控制设备。 而这也引起了不少消费者的不满，他们觉得自己花钱买的车，凭什么关闭功能而要额外支付费用才允许使用，有些功能我不想用的话，也就不想让它出现在自己车上。 据报道，近日，国外一些改装厂和黑客就向宝马订阅制提出宣战，黑客表示他们将攻克宝马的付费订阅系统，让用户免费使用该功能。 黑客表示：“我们一直在倾听客户的意见，并想方设法提供。只要有客户付费使用过，宝马激活该功能，我们就能攻破它；相反的，如果宝马没有激活该功能，我们可以用第三方应用或硬件来改造它，实现该功能。” 此外，在美国市场，宝马对于黑客或者改装厂破解的固件还必须保修，要不然会触犯FTC消费者保护法，因为这些功能都是已经存在了，用户只是启动它而已。 中国市场暂时只有模拟声浪和远程温控两个订阅，但这意味着宝马已经在中国市场尝试订阅制，未来，国内黑客是否会对宝马的订阅制“动手”，还需拭目以待。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304555.htm 封面来源于网络，如有侵权请联系删除

Cameo 联合创始人 Steven Galanis 表示，因苹果 iCloud 账户（Apple ID）遭黑客入侵，其于本周六损失了包括“无聊猿”（BAYC）在内的多个“非同质化代币”（NFT）、以及价值超 7 万美元的其它加密货币 —— 总损失超过了 20 万美元。 由 Steven Galanis 分享的账单记录可知，其于今年 1 月以 31.9 万美元的价格购入 BAYC NFT，结果上周末被黑客以 13 万美元的低价给迅速抛售。 除了 NFT，他的损失还包括 Yuga Labs 即将推出的 BAYC 元宇宙游戏里的一些土地（Otherdeed land NFT）、价值 6.9 万美元的 APE Coin、以及近 4000 美元的 ETH 。 至于 Steven Galanis 联合创立的 Cameo，其允许网友购买来自数千位名人的定制视频内容，比如 Caitlyn Jenner、Lindsay Lohan 和 Ice T 。 该应用程在 COVID 大流行初年很受欢迎，并于 2020 年创造了超 1 亿美元的营收 —— 然而今年 5 月，该公司还是在大环境遇冷的情况下，削减了 25% 的雇员。 虽然 Steven Galanis 没有披露除苹果 iCloud 账户被黑客入侵之外的更多细节，但近年来针对名人的此类攻击并不是头一遭。 此外今年 4 月，人们发现在 iPhone 上使用 MetaMask 钱包的话，后台会自动将密码助记词，备份到关联的 iCloud 账户中。 那样在入侵了某人的 iCloud 账户后，也意味着能够随意访问这些内容，进而完全掌控受害者的加密钱包账户。（4 月一男子因此损失价值超 65 万美元的 NFT 和加密代币） 一位区块链调查人员当时在 Twitter 上写道：“在某人被窃取多达 65 万美元的加密资产之后，此类事件也将很快发生在更多人身上”。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1301987.htm 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一种名为”黑暗公用事业”的新服务，它为网络犯罪分子提供了一种简单而廉价的方式，为其恶意行动建立一个指挥和控制（C2）中心。Dark Utilities服务为威胁者提供了一个支持Windows、Linux和基于Python的恶意程序载荷的平台。 C2服务器指的是攻击者在外部控制其恶意软件的方式，发送命令、配置和新的有效载荷，并接收从被攻击系统收集的数据。 “黑暗公用事业”的运作是一种”C2即服务”（C2-as-a-Service），它对外宣称可以提供可靠、匿名的C2基础设施和所有必要的附加功能，起价仅为9.99欧元。 思科Talos的一份报告称，该服务有大约3000名活跃用户，这将为运营商带来大约3万欧元的收入。 Dark Utilities在2022年初出现，在Tor网络和透明网络上提供全面的C2能力，并在IPFS – 一个用于存储和共享数据的分散的网络系统中托管恶意软件载荷。 所提供的恶意软件一条龙服务还支持多种架构，而且这一运营商似乎正计划扩大该列表，以提供一套更大的可能成为目标的设备选项。 思科Talos研究人员说，选择操作系统会产生一个命令字符串，”威胁者通常会将其嵌入PowerShell或Bash脚本中，以方便在受害者机器上检索和执行恶意载荷”。 所选的载荷还通过在Windows上创建一个注册表键，或在Linux上创建一个Crontab条目或一个Systemd服务，在目标系统上建立了持久存在。 根据研究人员的说法，客户的管理面板带有多种模块，用于各种类型的攻击，包括分布式拒绝服务（DDoS）和加密劫持。 由于数以万计的威胁者已经订阅，而且价格低廉，Dark Utilities可能会吸引更多不太熟练的对手。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1301527.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： DrayTek公司已发现多达29种不同型号的路由器受到一个新的关键、未经身份验证的远程代码执行漏洞的影响，如果成功利用该漏洞，可能导致设备完全受损，并未经授权访问更广泛的网络。 Trellix研究员Philippe Laulheret说：“如果设备的管理界面面向互联网，则可以在没有用户交互的情况下进行攻击。在默认设备配置下，也可以从局域网内执行一键攻击。” 根据CVE-2022-32548，该漏洞在CVSS评分系统上的严重等级为10.0，因为它能够让攻击者完全控制路由器。 其核心缺陷是Web管理界面（“/cgi-bin/wlogin.cgi”）中存在缓冲区溢出漏洞，黑客可以通过提供特制的输入来将其武器化。 据称，这家台湾制造商生产的20多万台设备在互联网上暴露了易受攻击的服务，不需要用户交互即可被利用。 破坏Vigor 3910等网络设备不仅会使网络容易受到恶意操作，如凭证和知识产权盗窃、僵尸网络活动或勒索软件攻击，还会导致拒绝服务（DoS）情况。 一个多月前，华硕、思科、DrayTek和NETGEAR的路由器受到了针对北美和欧洲网络的新型恶意软件ZuoRAT的攻击。 虽然到目前为止还没有迹象表明该漏洞在野外被利用，但建议尽快应用固件补丁，以防范潜在威胁。 Laulheret指出：“边缘设备，如Vigor 3910路由器，位于内部和外部网络之间的边界上，因此，他们是网络犯罪分子和黑客的首要目标。远程破坏边缘设备可能会导致企业内部网络完全受损。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Kotaku报道，近日，NBA洛杉矶湖人队老板珍妮·巴斯的推特账户被黑客盗取，并在其推特账号上发布有关于PS5的骗局广告。黑客在盗取珍妮·巴斯的账户后，用其账号发文称，作为全球知名球队的拥有者，她将为了慈善事业，把自己手中的三台PS5进行义卖。 珍妮·巴斯在推特上有43万的粉丝，有些人发现了这条推文端倪，其并未明确的说明合作慈善机构的具体信息，提供的汇款账户也存在异常。珍妮·巴斯在发现账户被盗后，通过湖人队的官方账号说明了此事。目前她已经重新登陆账号，并删除了这条诈骗推文。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300329.htm 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，大华摄像头被曝存在“开放式网络视频接口论坛（ONVIF）”标准实施的安全漏洞，编号CVE-2022-30563（CVSS 评分：7.4），黑客可通过该漏洞嗅探未加密的ONVIF交互，允许攻击者通过重放凭据来破坏摄像机。 2022年6月28日，大华已经发布了漏洞补丁修复了这一漏洞，受影响的产品型号如下： 大华ASI7XXX：v1.000.0000009.0.R.220620之前的版本 大华IPC-HDBW2XXX：v2.820.0000000.48.R.220614之前的版本 大华IPC-HX2XXX：v2.820.0000000.48.R.220614之前的版本 资料显示，ONVIF（开放式网络视频接口论坛）是一个全球性的开放式行业论坛，专注于基于网络IP安防产品（如网络摄像头连接到网络录像机，网络摄像头连接到监控软件，及门禁系统）的全球标准的制定。ONVIF创建了一个视频监控和其他物理安全领域的IP产品如何进行相互通信的标准，解决了各个厂家产品不能相互兼容的问题。 安全专家在报告中指出，安全漏洞存在于“WS-UsernameToken”身份验证机制中，允许攻击者通过重放凭据来破坏摄像机。这意味着一旦黑客成功利用该漏洞，那么就可以秘密添加恶意管理员帐户，以最高权限获得对受影响设备的无限制访问，包括实时观看和重放摄像头视频。 具体攻击方式是，黑客捕获一个通过 WS-UsernameToken 模式进行身份验证的未加密 ONVIF 请求，然后使用该请求发送具有相同身份验证数据的伪造请求，以诱骗设备创建管理员帐户。 本次披露是在Reolink、ThroughTek、Annke和Axis设备中发现类似缺陷之后进行的，强调了物联网安全摄像头系统由于部署在关键基础设施中而带来的潜在风险。 安全专家表示，不少攻击者对于入侵IP摄像机感兴趣，以此收集有关目标公司设备或生产过程的情报。这些情报可以让攻击者对目标公司发起网络攻击前进行充分侦查，而获取的目标环境信息越多，黑客就越容易制定攻击方式，甚至在物理上破坏关键基础设施的生产过程。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340694.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 名为Adrastea的黑客称已经入侵了这家跨国导弹制造商MBDA。 MBDA是由法国、英国和意大利的主要导弹系统公司（Aérospatiale-Matra、BAE Systems和Finmeccanica（现为Leonardo））合并而成的欧洲跨国导弹开发商和制造商。MBDA这个名字来源于导弹公司名称的首字母缩写：Matra、BAe Dynamics和Alenia。 Adrastea表示，他们发现了公司基础设施中的关键漏洞，并窃取了60 GB的机密数据。 攻击者称，被盗数据包括该公司参与军事项目、商业活动、合同协议以及与其他公司通信的员工信息。 “你好！我们是‘Adrastea’ —— 一个由网络安全领域的独立专家和研究人员组成的团队。我们发现您的网络基础设施中存在严重漏洞，并获得了对公司文件和机密数据的访问权限。目前，下载的数据量约为60 GB。”该组织在一个流行的黑客论坛上发布的adv中写道。“下载的数据包含贵公司员工的保密信息，这些员工参与了MBDA封闭军事项目（PLANCTON、CRONOS、CA SIRIUS、EMADS、MCDS、B1NT等）的开发。以及有关贵公司为欧盟国防部的利益而进行的商业活动（防空、导弹系统和海岸保护系统的设计文件、图纸、演示文稿、视频和照片（3D）材料、合同协议以及与Rampii Carlo、Netcomgroup、Rafael、Thales、ST Electronics等其他公司的通信）。” 作为黑客入侵的证据，Adrastea分享了一个受密码保护的链接存档，其中包含与项目和通信相关的内部文件。 目前尚不清楚这些黑客是否只入侵了该公司的一个国家部门，他们没有透露有关攻击的详细信息。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 近日， 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 上述漏洞在今年1月被网络安全平台Hackerone用户zhirinovskiy发现，并向Twitter作了报告。 在此漏洞下，即便用户在隐私设置中隐藏了电话号码、电子邮件、账号ID的情况下，攻击者依然可以获取到这些信息。通常来说，该漏洞存在于安卓用户使用授权Twitter的过程中。 其后，Twitter工作人员表示，将会进一步调查并努力修复该漏洞，并向用户zhirinovskiy提供了5040美元的奖金。 不过，7月21日，RestorePrivacy注意到，一位新用户在黑客论坛上出售Twitter数据库，其称有540万用户的数据，涵盖了一些知名人士、公司机构、以及普通用户的账户信息。 RestorePrivacy下载了样本数据库进行验证和分析发现，受害者来自世界各地，这些被泄露的数据包括公开的个人资料信息以及与Twitter账号绑定的电子邮件、电话号码。同时，经过验证，样本中的数据可以与现实世界中的人相匹配。对此，Twitter回应称，他们正在核查此事。 实际上，这并非Twitter首次发生数据泄露事件。 2019年1月，Twitter披露了其修复的一个安全漏洞，而在此前四年多的时间里，该漏洞使得许多用户的私人推文被泄露。2020年 12月，因Twitter在此数据泄露事件中未能及时通知和充分记录违规行为，爱尔兰数据保护委员会（DPC）对其开出了45万欧元的罚单。 转自 安全内参，原文链接：https://www.secrss.com/articles/45016 封面来源于网络，如有侵权请联系删除

近期，一份研究报告显示，攻击者在新漏洞公开披露后 15 分钟内，就会扫描到有漏洞的端点，留给系统管理员修补已披露的安全漏洞时间比以往想象的还要少。 根据 Palo Alto 2022 年 Unit 42 事件响应报告，部分黑客一直在监视软件供应商是否会发布漏洞披露公告，以便可以利用这些漏洞对公司网络进行初始访问或远程代码执行。 2022 年攻击面管理威胁报告发现，攻击者通常是在 CVE 漏洞公布 15 分钟内开始扫描漏洞。 值得一提的是，由于对扫描漏洞的要求并不高，低技能的攻击者也可以在互联网上扫描易受攻击的端点，并在暗网市场上出售。之后几小时内，就会出现第一次主动的利用尝试，往往会击中了一些未来得及打补丁的系统。 Unit 42 事件响应报告以 CVE-2022-1388 为例，该漏洞披露于 2022 年 5 月 4 日，根据 Unit 42 的说法，在 CVE 公布后 10 个小时内，他们已经记录了 2552 次扫描和利用尝试。 不难看出，修补漏洞是系统维护者和恶意攻击者之间的时间竞赛，每一方的延误幅度都随着时间的推移而减少。 2022 年利用最多的漏洞 根据 Palo Alto收集的数据，2022 年上半年，网络访问中被利用最多的漏洞是 “ProxyShell ”利用链，占总记录利用事件的 55%。ProxyShell 是通过将 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 链接在一起利用。 Log4Shell 排名第二，占总记录利用事件的 14%，SonicWall 的各种 CVE 占了 7%，ProxyLogon 占 5%，Zoho ManageEngine ADSelfService Plus 的 RCE 在 3% 的案例中被利用。 2022 年上半年利用最多的漏洞(Unit 42) 从这些统计数字可以看出，利用量中绝大部分是由半旧的漏洞而不是最新披露的漏洞。发生这种情况有多种原因，包括攻击面的大小、利用的复杂性和实际影响等。 可以观察到更有价值的和保护得更好的系统，其管理员会迅速应用安全更新，因为这些系统往往会成为漏洞披露后，网络攻击的重要目标。 同样值得注意的是，报告显示，利用软件漏洞进行初始网络破坏的方法约占所用方法的三分之一，在 37% 的情况下，网络钓鱼是实现初始访问的首选手段。在 15% 的案例中，黑客入侵网络的方式是暴力破解或使用泄露的凭据。最后，对特权员工使用社工攻击或贿赂内部人员占了 10% 。 2022 年上半年，攻击者如何实现初始访问 目前，系统管理员、网络管理员和安全专业人员在努力应对最新的安全威胁和操作系统问题时已经承受了巨大压力，攻击者如此快速针对其设备只会增加额外的压力。因此，如果可能的话，通过使用 VPN 等技术，尽量让设备远离互联网。 通过限制对服务器的访问，管理员不仅可以降低漏洞利用的风险，还可以在漏洞成为内部目标之前应用安全更新。 不幸的是，一些服务必须公开，这就要求管理员通过访问列表尽可能地加强安全，只暴露必要的端口和服务，并尽可能快地应用更新，虽然快速应用关键更新可能会导致停机，但这远比遭受全面网络攻击好得多。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340287.html 封面来源于网络，如有侵权请联系删除