去年9月份，来自 Cisco Talos 和 Morphisec 的安全专家发布了堪称噩梦般的披露：知名计算机清理工具 CCleaner 曾被黑客入侵长达一个多月了。从 CCleaner 母公司 Avast（本身也是一家安全公司）服务器下载软件更新会植入恶意软件的后门。根据初步预估，大约数百万台计算机被称之为数字供应链的攻击方式感染。本周二在旧金山举行的 RSA 安全大会上，Avast 执行副总裁兼首席技术官 Ondrej Vlcek 表示根据事后的调查分析，本次有问题 CCleaner 的版本下载量达到了 227 万次。 去年 3 月 11 日，攻击者成功入侵了 Piriform 公司（创建了 CCleaner ）的系统；同年 6 月份，Avast 收购了 Piriform；同年 9 月份，就爆发了重大的安全危机。Vlcek 表示在事件发生之后采取了快速反应，而且经过这次事件之后 Avast 吸取教训也知道如何更好的保护用户。 据悉，黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具，会在用户后台偷偷连接未授权网页，下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名，这一下载行为不会引起任何异常报警，用户也毫无察觉。 另外，黑客还会尝试窃取用户本机隐私信息。Avast 直到 9 月 12 日才发现异常，当天就发布了干净的 CCleaner v5.34 ，三天后又升级了CCleaner Cloud ，建议使用这款软件的用户赶紧升级最新版本。 稿源：cnBeta，封面源自网络

据外媒报道，相关安全专家在一些科技巨头和开源项目的软件中发现 TLS 网络安全协议存在一个 19 年之久的漏洞，能够影响全球许多软件（ 如 Facebook 和 PayPal），以至于黑客组织可以窃取机密数据，包括密码、信用卡数据和其他敏感细节等。 安全专家介绍，RSA PKCS＃1 v1.5  加密的缺陷影响了前100个网络域名中的27个服务器，黑客组织可以利用其加密或者解密通信。安全专家把这种缺陷称为 ROBOT 攻击（Bleichenbacher’s Oracle Threat）—— 一种允许使用 TLS 服务器的私钥进行 RSA 解密和签名操作的攻击技术 。 据悉，ROBOT 攻击可以让黑客组织在不恢复服务器私钥的情况下解密 RSA 密文，并且可以反复查询一个易受攻击的 TLS 堆栈实现的服务器 ，从而执行密码分析操作。这些操作可能会解密以前捕获的TLS 远程连接信息。 若想要利用 ROBOT 攻击，黑客组织者必须能够执行以下两项操作：  1、捕获客户端和受影响的 TLS 服务器之间的流量。 2、建立相当数量的 TLS 到易受攻击的服务器的连接。实际的连接数量因实现特定的漏洞而有所不同，大约范围在数十万到数百万。 幸运的是，ROBOT 攻击仅影响排名前一百万网站中的 2.8％ ，这么小的数值是因为受影响的库主要用于昂贵的商业产品，而这些产品常被用于加强对热门网站的安全控制。（ XML Encryption、 PKCS#11 interfaces、 Javascript Object Signing 和 Encryption (JOSE)、 以及 Cryptographic Message Syntax / S/MIME.也存在类似的问题。 ) 资料显示，早在 1998 年，安全专家 Daniel Bleichenbacher 就发现，SSL 服务器给 PKCS＃11.5 填充的错误信息提供了一个能够自主选择的密文攻击，此攻击与 RSA 加密一起使用时会彻底破坏 TLS 的机密性。所以即使现在攻击出现了一些细微变化，但仍然可以用于如今互联网上的许多 HTTPS 主机。其原因主要是因为当时制定的缓解策略不够，许多软件供应商没有提供正确的保护措施。以至于时隔多年，相关研究人员还在研究应对 ROBOT 攻击的有效措施。安全专家称， ROBOT 攻击在当时未得到根本解决的主要原因是由于协议设计者在 1999 年决定使用一种不安全的技术，而不是像 Bleichenbacher 在 1998 年推荐的那样使用安全的技术。 为了进一步确认 ROBOT 攻击 ，安全专家通过使用 facebook.com 的 HTTPS 证书的私钥签名信息息来展示其攻击实际的效果。 根据科技巨头的说法，Facebook 在其易受攻击的服务器上使用 OpenSSL 补丁版本，而这个问题是由公司定制补丁导致的。 幸好 Facebook 在  ROBOT 攻击文件披露之前修补了服务器，否则黑客组织可以访问目标的网络流量，并且利用 KRACK 攻击来获取 Wi-Fi 连接的位置。由此可见，ROBOT 攻击的影响非常严重，黑客组织可以窃取机密的数据（包括密码、信用卡数据和其他敏感细节。） 目前，一些供应商已经修复此缺陷，下面的列表包括已经可用的补丁： F5 BIG-IP SSL vulnerability CVE-2017-6168 Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382 Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427 Cisco ACE End-of-Sale and End-of-Life CVE-2017-17428 Bouncy Castle Fix in 1.59 beta 9, Patch / Commit CVE-2017-13098 Erlang OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7 CVE-2017-1000385 WolfSSL Github PR / patch CVE-2017-13099 MatrixSSL Changes in 3.8.3 CVE-2016-6883 Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081   据相关人士透露，安全专家已经发布一个 Python工具，用于扫描易受攻击的主机，以便用户可以检查自己的 HTTPS 服务器是否受到 ROBOT 攻击。安全专家表示，对于旧漏洞，现有 TLS 实现的测试还不够充分。随着时间的推移，TLS 标准对 Bleichenbacher 攻击的对策变得越来越复杂。 只要在旧的TLS版本上保留 RSA 加密兼容密码套件，这些攻击仍然是一个问题。所以为了确保 Bleichenbacher 攻击最终得到解决，安全专家建议弃用 TLS 中的 RSA 加密密钥交换和 PKCS＃1 v1.5 标准。 消息来源： SecurityAffairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 12 月 4 日消息，安全研究人员近期发现 RSA Authentication SDK （软件工具开发包）中存在两处关键漏洞 CVE-2017-14377、CVE-2017-14378，能够允许攻击者绕过身份验证机制后远程执行未授权操作。 第一处漏洞 CVE-2017-14377（CVSS v3 基础评分：10）：允许攻击者通过发送一份精心设计的数据包触发漏洞后绕过用户身份验证，并可在未经授权下远程访问目标系统重要资源。不过，仅当 Apache Web Server 的 RSA 身份验证代理程序配置为 TCP 协议与 RSA Authentication Manager 服务器进行通信时才会存在此漏洞现象。使用默认配置的 UDP 协议并不易遭受黑客攻击。 受影响版本： Ο RSA Authentication Agent for Web: Apache Web Server version 8.0 Ο RSA Authentication Agent for Web: Apache Web Server version 8.0.1 prior to Build 618 第二处漏洞 CVE-2017-14378（CVSS v3 基础评分：10）：允许攻击者通过该漏洞绕过身份验证。据悉，该漏洞主要存在于 RSA Auth Agent SDK C 版本，这意味着使用 SDK 开发的其他系统都普遍受到该漏洞影响。但是，该漏洞并不会影响 SDK  Java 版本。 受影响版本： Ο EMC RSA Authentication Agent SDK for C 8.6 Ο EMC RSA Authentication Agent API for C 8.5 解决方法： RSA 建议所有受影响客户尽早升级至安全版本 更多阅读： RSA Authentication SDK 漏洞详细报告: Ο http://seclists.org/fulldisclosure/2017/Nov/46 Ο http://seclists.org/fulldisclosure/2017/Nov/48 RSA Authentication SDK 漏洞补丁网址: Ο https://community.rsa.com/docs/DOC-40601#agents Ο https://community.rsa.com/community/products/securid/authentication-agent-web-apache 消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。