外媒 2 月 25 日消息，Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞（ CVE-2018-6219 ~ CVE-2018-6230），其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 （Build 1111.00）及更早版本。 在这些漏洞中，最严重的是 CVE-2018-6223，可能会被本地或远程攻击者利用来获得目标设备的 root 权限，以便于执行任意命令。目前来说，该漏洞与设备注册时缺少身份验证有关。 具体细节为：管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备， 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点，以设置管理员凭据并对配置进行其他更改，比如管理员用户名和密码等。 据悉，Core Security 还发现了两个严重的跨站脚本攻击（XSS）漏洞，一个可导致命令执行的任意文件写入问题，另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外，趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体（XXE）注入等漏洞。 目前趋势科技确认，由于实施修复程序的困难，中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 23 日消息，研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击，以部署一个名为 Chaos 的后门。据悉，该后门可能会被野外攻击者用于全球范围内 Linux 服务器。 根据 GoSecure 专家的说法，Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一，该组件早在2013 年就已被使用。 由于 Chaos 后门不依赖于任何漏洞攻击，所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进，因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势，它在端口 8338 上打开了一个原始套接字，并在其上侦听命令。 GoSecure 的专家表示： “ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是，使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。” 那么要如何检查用户系统是否受到感染呢？相关专家建议以 root 身份运行 netstat –lwp 来检测。此外，由于 Chaos 不是单独出现，而是至少有一个具有远程代码执行能力的 IRC Bot，因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装，并提供一组新的凭据。 详细分析报告： 《 Chaos：被盗后门再次崛起 》 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织 fail0verflow 此前发布了推文及图片，利用漏洞黑客组织成功在任天堂 Switch 上运行了 Linux GUI 系统。并且声称，任天堂不能通过未来的固件补丁来修复该漏洞。在本周早些时候 Twitter 上发布的一篇文章中，fail0verflow 表示，任天堂 Switch 出现了一个 bug ，无法通过固件更新修复，这利用了 NvidiaTegra X1 芯片上系统的启动 ROM 漏洞。 现在，黑客组织又放出了一段视频演示利用此漏洞，Switch 能够完整地加载运行 Linux GUI 桌面，加载 KDE Plasma 环境等，而在视频中包括多点触摸手势（缩放）、Wi-Fi 网络加载等硬件驱动功能似乎都能良好地运行在 Linux 桌面中，并且运行了一段 60 帧率的 OpenGL 演示，不过蓝牙和 JoyCon 支持功能并未透露是否支持。 稿源：cnBeta，封面源自网络；

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明，攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出，RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器，攻击者就可以将已知的漏洞部署在易受攻击的服务器上，然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示，他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞： ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行（CVE-2013-0156） ◍ PHP php-cgi 查询字符串参数代码执行（CVE-2012-1823；CVE-2012-2311； CVE-2012-2335；CVE -2012-2336；CVE-2013-4878） ◍ 微软 IIS ASP 脚本的源代码泄露（CVE-2005-2678 ） 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中，Check Point 根据从 honeypot 服务器收集的数据，在 Linux 系统上分解了 RubyMiner 的感染例程，并从中认识到攻击者在某些方面的创造力： ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示，目前攻击者瞄准了 Windows IIS 服务器，但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ，Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞， Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言，近几个月来传播加密货币挖掘恶意软件的尝试有所增加，尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件（也是 Monero ）之外，2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期，已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中，研究人员发现攻击者试图使用最近的漏洞攻击，因为会有更多易感染的机器。但奇怪的是，RubyMiner 攻击者却使用非常古老的漏洞，并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露，RubyMiner 攻击者可能是故意寻找被遗弃的机器，比如被遗忘的个人电脑和带有旧操作系统的服务器 ，感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址，Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右，攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞，其幕后团队可能会赚取更多的钱。例如，一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 14 日信息，MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru，旨在针对基于 ARC 的系统。据悉，Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到，再加上目前 Linux 物联网的威胁形势迅速变化，因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备，从而导致毁灭性的影响。 ARC （Argonaut RISC Core）嵌入式处理器是一系列由 ARC International 设计的32 位 CPU，其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月，MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ，时隔不到两年， unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru，其影响程度极为深远，因为 ARC 嵌入式处理器已经被 200 多个组织授权，并且每年出货量达到 15 亿，这意味着可能暴露的设备数量是非常巨大的。此外，除了攻击 ARC，其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ，MalwareDustdie 团队分析了 Okiru 与 Satori 变体（另一种僵尸网络）的不同之处： 1、配置不同，Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密，而 Satori 并不分割这两个部分，也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证)，而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能（通过随机 UDP），而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中，感染跟进的命令有点不同，也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码，Satori 完全不使用这些漏洞 。 5、Satori （见反编码的 VT 注释部分）是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件，与 Okiru 相比其编码方面存在不同 （请参阅反转代码在 VT 注释中）。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据北京时间 1 月 3 日早间消息，由于英特尔处理器存在一个底层设计缺陷，迫使 Linux 和 Windows 内核需要展开重大的重新设计，以便消除芯片层面的安全漏洞。程序员都在正在加紧检修开源 Linux 内核的虚拟内存系统。 与此同时，微软也可能在下周二的补丁中发布对 Windows 系统展开必要调整：这些改版已经在去年 11 月和 12 月提供给 Windows Insider 的测试者。 关键问题在于，Linux 和 Windows 系统的更新会对英特尔的产品性能产生冲击。虽然具体影响有待确定，但预计速度会放慢 5% 至 30%，具体要取决于任务类型和处理器模式。英特尔最近的芯片配备了 PCID 功能，可以降低性能受到的影响。 苹果 64 位 macOS 等其他系统也需要进行类似的更新——该问题存在于英特尔的 x86 硬件之中，似乎无法通过微码升级来解决。必须要在系统层面通过软件来解决，或者购买没有设计缺陷的新处理器。 英特尔芯片的漏洞细节尚未披露，最早有望于本月初公布，可能会选在下周二的微软补丁发布日。事实上，Linux 内核补丁已经对所有人开放，但源代码的评论内容经过修改，导致人们无法详细了解问题。 稿源：cnBeta、， 稿件以及封面源自网络；

Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新，修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报，在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中，共有 18 个安全漏洞，其中包括信息泄露，提权升级和拒绝服务等问题。 通报显示，在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外，Linux 内核的 HMAC 实现、KEYS 子系统、Intel 处理器的 KVM 实现、蓝牙子系统和扩展 BPF 验证器也受到某种影响。 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器（ sysctl kernel.unprivileged_bpf_disabled = 1 ）。 有关更多详细信息，请参阅 CVE-2017-8824，CVE-2017-16538，CVE-2017-16644，CVE-2017-16995，CVE-2017-17448，CVE-2017-17449，CVE-2017-17450，CVE-2017 -17558，CVE-2017-17712，CVE-2017-17741，CVE-2017-17805，CVE-2017-17806，CVE-2017-17807，CVE-2017-17862，CVE-2017-17863，CVE-2017-17864 ，CVE-2017-1000407 和 CVE-2017-1000410。 Debian 在默认情况下禁用非特权用户命名空间，但是如果启用（通过 kernel.unprivileged_userns_clone sysctl ），那么 CVE-2017-17448 可以被任何本地用户利用，因此建议升级 linux 软件包。 建议用户立即更新系统 为了解决所有这些问题，Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本，并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。本月早些时候，Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 “ Jessie ”。如果用户想安装该版本，可以从相关渠道下载 ISO 映像。 消息来源：Softpedia，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 11 月 23 日报道，网络安全公司的研究人员于今年 9 月发现 Samba SMB1 协议存在一处 UAF 漏洞（CVE-2017-14746），允许黑客通过 SMB1 请求重新分配堆指针后不仅可以控制堆上的信息，还可通过漏洞攻击 SMB 服务器，受影响范围包括 Samba 4.0.0 以前所有版本。 Red Hat、Ubuntu、Debian 等主要的 Linux 发行版厂商近期推出了 4.7.3、4.6.11 和 4.5.15 版本的修复补丁。另外，研究人员还提供了一个解决方案，建议用户可以通过设置参数禁止访问 SMB1 服务器： ○ server min protocol = SMB2 ○ to the [global] section of your smb.conf and restart smbd. 但是，需要注意的是这可能会影响之前的用户无法连接到服务器。 对于 Samba 还存在的另一漏洞（CVE-2017-15275），目前官方也已经释出修复补丁，曾允许攻击者通过精心构造的恶意请求发送至受影响版本（ 3.6.0 以后的所有版本）的服务器，从而获取系统内存中未被清除的哈希密码或其他敏感数据。 这一漏洞导致受害系统的服务器在分配堆内存时可能会在未清除下将其先前所包含的敏感数据返回至客户端，从而使攻击者获取重要信息后通过其他方法破坏系统服务器。 HackerNews.cc 在此强烈建议使用 Samba 的用户/企业及时修复补丁或更新系统至最新版本。 更多内容： 4.7.3、4.6.11 和 4.5.15 版本补丁地址：http://www.samba.org/samba/security/ 一些已不被支持的旧版本补丁地址：https://www.samba.org/samba/patches/ 消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  9 月 28日消息，Qualys 实验室研究人员近期发现一处存在 2 年之久的  Linux 内核 安全问题已上升至高危漏洞级别（CVE-2017-1000253、CVSS 分值为 7.8），允许攻击者破坏系统内存、提升特权。据悉，该漏洞最初由 Google 安全研究人员 Michael Davidson 于 2015 年 4 月发现。不过由于当时并未重视，因此该漏洞的修复程序没有移植到 Linux 3.10.77 长期发行版中。 受影响版本： ο 所有 1708 版本之前的 CentOS 7 ο 所有 7.4 版本之前的 Red Hat Enterprise Linux 7 ο 所有版本的 CentOS 6 与 Red Hat Enterprise Linux 6 研究人员表示，该漏洞存在于 Linux 内核加载 ELF 可执行文件的方式中，并且由已构建的 PIE 应用程序触发，可造成内存无法被正常分配而导致损坏。最初，研究人员认为这只会导致内存损坏而已，但随后他们发现，具有访问 SUID 或其他特权的 PIE 二进制文件的非特权本地用户可以利用该漏洞升级受影响系统权限。 不过，研究人员表示，为了减轻此漏洞所带来的影响，用户可以将 vm.legacy_va_layout 设置为 1 来切换到旧的 mmap（内存文件映射）布局，从而禁止攻击者利用漏洞破坏系统。目前，包括 Red Hat、Debian 与 CentOS 在内的 Linux 发行版已经发布安全更新。Qualys 团队在提醒用户更新系统时也承诺发布概念验证（PoC）代码，用于敦促其他发行商及时修补程序发布安全更新。 原作者： Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Windows 10 引入的 Subsystem for Linux（WSL）功能，允许用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 研究人员近期报告了黑客利用 WSL 的新攻击方法，他们称之为 Bashware 攻击。 研究人员表示，现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程，从而为网络犯罪分子打开了新的攻击大门，即利用 WSL 提供的功能躲避检测、运行恶意代码。目前，研究人员已在现有的杀毒软件和安全产品上测试了 Bashware 攻击，发现它能够躲避所有安全产品的检测。 稿源：solidot奇客，封面源自网络；