奔驰、大众、斯柯达中招!蓝牙漏洞可一键操控车载系统
HackerNews 编译,转载请注明出处: 影响OpenSynergy旗下BlueSDK蓝牙协议栈、被统称为PerfektBlue的四个漏洞,可被利用来实现远程代码执行(RCE),并可能允许攻击者访问梅赛德斯-奔驰(Mercedes-Benz AG)、大众(Volkswagen)和斯柯达(Skoda)等多家汽车厂商车辆的关键部件。 OpenSynergy于去年(2024年)6月确认了这些漏洞,并在9月向客户发布了补丁,但许多汽车制造商尚未推送修复固件更新。至少有一家大型整车厂(OEM)直到最近才知晓这些安全风险。 这些安全问题可被串联组合成一种被研究人员称为PerfektBlue攻击的漏洞利用链,攻击者可通过无线方式(OTA)发起攻击,该攻击“最多只需用户点击一次”。 尽管OpenSynergy的BlueSDK在汽车行业被广泛使用,但来自其他行业的供应商也在使用它。 PerfektBlue攻击 专注于汽车安全的公司PCA Cyber Security的渗透测试团队发现了这些PerfektBlue漏洞,并于2024年5月报告给了OpenSynergy。该团队是Pwn2Own Automotive黑客大赛的常客,自去年以来已在汽车系统中发现了超过50个漏洞。 据他们称,PerfektBlue攻击影响了“汽车及其他行业中数百万台设备”。 由于无法获取源代码,发现BlueSDK中的漏洞是通过分析该软件产品的编译版二进制文件实现的。 这些漏洞严重性从低危到高危不等(如下所列),可通过信息娱乐系统(IVI)访问汽车内部。 CVE-2024-45434(高危) – 蓝牙配置文件中用于媒体设备远程控制的AVRCP服务存在释放后重用(UAF)漏洞 CVE-2024-45431(低危) – 对L2CAP(逻辑链路控制和适配协议)通道的远程通道标识符(CID)验证不当 CVE-2024-45433(中危) – 射频通信(RFCOMM)协议中的函数终止不正确 CVE-2024-45432(中危) – RFCOMM协议中使用了错误参数的函数调用 研究人员没有分享利用PerfektBlue漏洞的完整技术细节,但表示已与受影响设备配对的攻击者可利用它们“操控系统、提升权限并向目标产品的其他组件横向移动”。 PCA Cyber Security在大众ID.4(ICAS3系统)、梅赛德斯-奔驰(NTG6)和斯柯达Superb(MIB3)的信息娱乐主机上演示了PerfektBlue攻击,并在TCP/IP协议栈之上获得了反向shell(该协议允许网络设备间通信,例如汽车内的组件)。 研究人员称,通过在车载信息娱乐系统(IVI)上实现远程代码执行(RCE),黑客可以跟踪GPS坐标、窃听车内对话、访问手机通讯录,并可能横向渗透到车辆中更关键的子系统中。 风险与影响范围 OpenSynergy的BlueSDK在汽车行业被广泛使用,但由于定制化和重新打包流程,以及汽车嵌入式软件组件缺乏透明度,很难确定哪些厂商依赖它。 PerfektBlue主要是一种“一键式RCE”攻击,因为大多数情况下需要诱使用户允许与攻击者设备配对。然而,一些汽车制造商将信息娱乐系统配置为无需任何确认即可配对。 PCA Cyber Security透露,他们已告知大众、梅赛德斯-奔驰和斯柯达这些漏洞,并给予其足够时间应用补丁,但研究人员未收到这些厂商关于解决问题的回复。 媒体已联系这三家汽车制造商,询问其是否已推送OpenSynergy的修复程序。梅赛德斯-奔驰尚未立即提供声明,大众则表示在获悉问题后立即开始调查影响并研究解决方法。 大众发言人表示:“调查显示,在某些条件下,有可能通过蓝牙未经授权连接到车辆的信息娱乐系统。” 只有在多个条件同时满足的情况下才可能利用这些漏洞: 攻击者距离车辆最多5至7米范围内; 车辆点火开关必须打开; 信息娱乐系统必须处于配对模式,即车辆用户必须正在主动配对蓝牙设备; 车辆用户必须在屏幕上主动批准攻击者的外部蓝牙访问。 大众代表强调,即使这些条件满足且攻击者连接到了蓝牙接口,“他们必须保持在距离车辆最多5至7米的范围内”才能维持访问。 该厂商强调,在成功利用的情况下,黑客无法干扰关键车辆功能,如转向、驾驶辅助、引擎或刹车,因为它们“位于不同的控制单元上,这些单元通过自身的安全功能防止外部干扰”。 PCA Cyber Security表示,上个月他们在汽车行业确认了第四家受PerfektBlue影响的整车厂(OEM),该厂商称OpenSynergy未曾告知其这些问题。 研究人员称:“我们决定不披露这家OEM的身份,因为他们没有足够的时间做出反应。” “我们计划在2025年11月,以会议演讲的形式披露关于这家受影响OEM的详细信息以及PerfektBlue的全部技术细节。” 媒体也已联系OpenSynergy,询问PerfektBlue对其客户的影响范围以及受影响客户数量,但在发布时尚未收到回复。 消息来源: bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Serv-U 套件发现远程代码执行漏洞 SolarWinds 敦促客户尽快打补丁
SolarWinds 公司敦促客户尽快安装补丁,以修复 Serv-U 远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用,并且已经对少部分客户发起了攻击。 在本周五发布的公告中,SolarWinds 公司表示:“微软提供的相关证据表明已经有少量、针对性的客户受到影响。 尽管目前 SolarWinds 还无法预估有多少客户可能直接受到该漏洞的影响。据现有的证据,没有其他 SolarWinds 产品受到此漏洞的影响。SolarWinds 目前无法直到可能受影响客户的身份”。 该漏洞被追踪为 CVE-2021-35211,主要影响 SolarWinds 旗下的 Serv-U Managed File Transfer 和 Serv-U Secure FTP 两款产品,被远程攻击者利用之后可以指定任意代码。SolarWinds 表示:“如果环境中没有启用SSH,那么该漏洞就不存在”、 微软威胁情报中心(MSTIC)和微软进攻性安全研究团队在今年 5 月发布的 Serv-U 15.2.3 HF1 中发现的这个漏洞,并确认影响到之前发布的所有版本。 SolarWinds 已通过发布 Serv-U 15.2.3 版热修复(HF)2 解决了微软报告的安全漏洞。该公司补充道,SolarWinds 旗下的其他产品和 N-able 产品(包括 Orion Platform 和 Orion Platform 模组)均不受 CVE-2021-35211 的影响。 这家位于美国的软件公司警告说:“SolarWinds在2021年7月9日星期五发布了一个热修复程序,我们建议所有使用Serv-U的客户立即安装这个修复程序,以保护您的环境”。SolarWinds提供了更多信息,说明如何查找您的环境在微软报告的攻击中是否受到损害。 (消息及封面来源:cnBeta)
Drupal 出现第三个严重远程代码执行漏洞, Drupal 7、8 核心遭受影响
近日,Drupal 发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。 Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。 这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。 除了这两个缺陷之外,该团队上周还修补了一个中等严重的跨站脚本(XSS)漏洞。该漏洞可能导致远程攻击者发起高级攻击,例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。 根据该团队发布的新报告,新的远程代码执行漏洞(CVE-2018-7602)可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注,Drupal 敦促所有网站管理员尽快安装新的安全补丁。 如果您正在运行 7.x,请升级到 Drupal 7.59。 如果您正在运行 8.5.x,请升级到 Drupal 8.5.3。 如果您正在运行不再支持的 8.4.x 版本,则需要先将网站更新到 8.4.8 版本,然后尽快安装最新的 8.5.3 版本。 还应该注意的是,只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时,新补丁才会生效。 有关该漏洞的技术细节被命名为 Drupalgeddon3,但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂,但目前尚未发现有关该漏洞的任何攻击行为 。 SeeBug 漏洞库: Drupal core Remote Code Execution(CVE-2018-7602) Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2) 创宇盾 无需升级即可防御利用此漏洞进行的渗透攻击。 Drupal 安全公告: 《Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004》 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
LG 网络存储设备存在严重 RCE 漏洞
安全公司 VPN Mentor 的专家发现了一个影响大多数 LG NAS 设备的预认证 RCE(远程代码注入)漏洞,攻击者可利用该漏洞获取设备的最高权限。 LG 尚未针对该漏洞发布安全更新,如果你是 LG NAS 设备的用户,应避免在公网上暴露设备,并尽快使用仅允许来自授权 IP 连接的防火墙进行保护。此外,VPN Mentor 的专家还建议,用户应定期检查设备上的所有注册用户,加强排查可疑活动。 稿源:freebuf,封面源自网络;
邮件传输代理 Exim 中的 RCE 漏洞影响一半以上在线电子邮件服务器
外媒 3 月 7 日消息, 安全公司 Devcore 于近期发布公告称邮件传输代理 (MTA) Exim 中存在一个严重的远程执行代码漏洞( CVE-2018-6789),影响了一半以上的在线电子邮件服务器。 资料显示:Exim 是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于 GPL 协议开发,是一款开源软件,主要运行于类 UNIX 系统,通常该软件会与 Dovecot 或 Courier 等软件搭配使用。 截至 2017 年 3 月,运行 Exim 的互联网电子邮件服务器总数估计已超过 56 万,相当于所有在线邮件(MX)服务器的 56% 。 Devcore 介绍,该漏洞是一个 base64 解码功能中的溢出漏洞,在第一版 Exim 中就已经存在,并且其他所有版本也受到它的影响。根据研究,该漏洞可以被用来获得远程代码执行的预授权,因此目前至少会有 40 万台电子邮件服务器处于风险之中。 此外,据搜索引擎 Shodan 称,在线曝光的 Exim 服务器数量已超过 400 万,其中大部分是在美国。 为了解决这个漏洞。Exim 团队于 2 月 10 日发布了 Exim 4.90.1 版本,并敦促其用户尽快安装更新。 相关内容: CVE-2018-6789 漏洞细节 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Electron 框架现严重 RCE 漏洞影响 Windows 多个应用程序
外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron 表示目前只有 Windows 的应用程序会受到漏洞影响。 Electron 由 GitHub 团队开发,是一个基于 Node.js 和 Chromium 引擎的开源框架,允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows,MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。 本周一,Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞,并表示该漏洞只影响 Windows 应用程序, Mac 和 Linux 的应用不在影响范围内 。 据 Electron 团队介绍, 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架(如 myapp ://),并且无论协议是怎么注册的,都很可能会受到漏洞影响。( 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册) 目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本,那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加,因为这样一来,可以有效防止 Chromium 解析更多的选项。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。