solidot新版网站常见问题,请点击这里查看。

安全: Tetrel Security 公布 OpenBMC 高危漏洞细节

Shawn the R0ck 写道:“ Tetrel Security 公开了一个 SLPD-Lite 漏洞(CVE-2024-41660)的细节,slpd-lite 是 OpenBMC 的组件之一,此漏洞因为由 OpenBMC(部分OEM厂商实现)网络安全产生了严重的影响,因为它允许攻击者在易受攻击的系统上远程执行任意代码。
OpenBMC 是一个为服务器开发标准基板管理控制器(BMC)的标准实现框架。BMC允许对服务器硬件进行远程管理,广泛部署在服务器硬件中,提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权,因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中,成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取,可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞,可以直接实现远程漏洞利用。Tetrel公开了漏洞成因,和相关技术细节,包括代码片段和漏洞的潜在利用方式。同时,还提供了有关如何确认堆损坏可能性的重现步骤,以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC(无论是否基于OpenBMC),务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成,所以不受影响。”

安全: 卡巴斯基称中国黑客攻击俄罗斯机构和企业

俄罗斯安全公司卡巴斯基的研究人员报告,中国黑客上个月被发现入侵俄罗斯政府机构和 IT 公司的计算机。它将这一行动命名为 EastWind。攻击者首先发送含有恶意外链附件的钓鱼邮件,先是通过云储存服务 Dropbox 获取指令下载恶意程序,之后改用了俄罗斯流行的社交网络 LiveJournal 和问答网站 Quora。它在目标设备上安装了远程访问木马 GrewApach、PlugY 后门、新版本的 CloudSorcerer 后门。其中 PlugY 后门此前未知,研究人员还在分析中,它被怀疑是基于 DRBControl 后门代码开发的。

安全: DDoSecrets 联合创始人是丝绸之路 2.0 的管理员

透明行动组织 Distributed of Denial of Secrets (DDoSecrets) 的一位联合创始人曾是暗网毒枭。Thomas White 是丝绸之路 2.0 的管理员,因持有儿童色情材料而被起诉,根据警方公布的聊天记录,他曾设想建立儿童色情网站以及为恋童癖开设网站,他被判入狱五年零四个月。在服刑五年之后,他公开接受采访,表达了对丝绸之路创始人 Ross Ulbricht 的同情,认为对其的刑期过于严重。 DDoSecrets 填补了 Wikileaks 的空白,是目前最大发布泄密数据的平台。它的另一位联合创始人是 Emma Best。

安全: 现代和起亚的防盗软件大幅降低了汽车被盗率

现代和起亚去年二月向数百万辆汽车提供免费软件更新,以应对 TikTok 上病毒式传播的“起亚挑战(Kia Challenge)”视频。现代和起亚汽车被盗非常容易,2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置,其它厂商同期车型该功能几乎是标配。现代及其子公司起亚释出的软件更新,将警报声长度从 30 秒延长到 1 分钟,且需要车钥匙插入点火开关才能启动汽车。在一年半之后,现代和起亚被盗率大幅下降。2020 年出到 2023 年上半年,现代和起亚车型盗窃案增加了 1000% 以上。如今根据新数据,相比未升级的同型号同年份车型,升级软件的车型整车盗窃保险索赔降低了 64%。现代公司的发言人表示,有 61% 符合条件的车型升级了软件,逾 200 万辆汽车获得了软件更新。

安全: 挤奶机器遭勒索软件攻击奶牛小牛死亡

即使奶农也避免不了遭遇网络攻击。瑞士 Hagendorn 一位奶农的计算机系统遭到了勒索软件攻击,黑客索要 1 万美元的赎金。这台计算机连接了挤奶机器,接收奶牛健康相关的重要信息。由于计算机被锁定,奶农没有收到紧急情况信息。这位奶牛有身孕,胎儿在子宫内死亡了,这一紧急情况未及时发现,等到发现时为时已晚。奶牛最终死亡。兽医费用和购买新计算机,奶农总共花掉了 6400 欧元,黑客当然也是一无所获。

安全: 新加坡学生设备数据因 Mobile Guardian 网络攻击事故被远程清除

新加坡学校发给学生使用的 iPad 和 Chromebook 设备运行了移动设备管理应用 Mobile Guardian,该应用遭到了黑客入侵,导致了一部分设备被取消注册,上面的数据被远程清除。Mobile Guardian 表示没有证据表明黑客访问了用户数据。这是该公司今年内第二次被黑客入侵。新加坡教育部表示已将 Mobile Guardian 从设备上全部移除。初步检查显示,新加坡 26 所中学约 1.3 万名学生储存在个人学习电子配备的资料遭人远程删除。截至本周三,新加坡教育部表示云端备份的信息已经全部恢复。教育部发言人表示,当局与学校密切合作,并优先恢复将在今年参加全国考试的学生的设备。教育部也增派工程师到学校,帮助受影响的学生恢复设备正常使用。当局预计在下周末前,能修复完其余受影响的设备。

安全: 黑客入侵 ISP 发动中间人攻击

通过 HTTP 更新软件容易遭到中间人攻击。Volexity 公司的安全研究员披露,黑客组织 StormBamboo aka Evasive Panda、Daggerfly 和 StormCloud 入侵一家 ISP,对目标组织发动了 DNS 中毒攻击,纂改了与 HTTP 自动软件更新相关的特定域名的 DNS 查询响应,导致软件在检查更新时安装了恶意程序而不是预期的更新。Volexity 通知了相关 ISP 阻止了中间人攻击。研究人员报告,黑客在入侵目标组织之后,安装了恶意的 Google Chrome 扩展 ReloadText,收集和窃取了浏览器 cookie 和邮件数据。

安全: Dark Angels 勒索软件组织收到了创纪录的 7500 万美元赎金

根据 Zscaler ThreatLabz 的一份报告,一家财富 50 强企业今年初向勒索软件组织 Dark Angels 支付了创纪录的 7500 万美元赎金。此前已知金额最高的赎金是保险公司 CNA 向 Evil Corp 组织支付的 4000 万美元赎金。报告没有披露是哪家公司,但根据财富 50 强和攻击时间可以推断是制药巨头 Cencora。Cencora 在今年 2 月遭到了网络攻击,但没有一个组织宣布对此负责,这可能意味着该公司已经支付了赎金,Cencora 在财富 50 强企业中排名第 10。Dark Angels 专门瞄准少数高价值的目标以获取高额赎金,而不是同时针对多家公司获取多笔金额较小的赎金。它通常一次只攻击一个大公司,运作模式与大多数勒索软件组织不相同。

安全: 黑客利用 VMware 漏洞获得完整管理权限

微软安全研究员督促 VMware ESXi hypervisor 用户立即采取行动,因为勒索软件组织正利用漏洞获得完整管理权限。ESXi 是 Type 1 hypervisor,aka 裸机 hypervisor,它本身就是操作系统,不是运行在 Windows 或 Linux 之上,相反客户操作系统则是运行在 ESXi 上,因此完整控制 ESXi 将赋予攻击者巨大的破坏能力。黑客利用的漏洞被称为 CVE-2024-37085,允许在目标服务器上获得有限系统权限的攻击者获得对 ESXi 的完全管理控制权。包括 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 在内的勒索软件组织正在利用该漏洞。微软已将该漏洞报告给了 VMware,VMware 母公司 Broadcom 已经修复了该漏洞。安全研究员发现,如果你已经属于域管理员组(domain admin),那么只需要创建一个新的域组 ESX Admins,那么任何分配给该组的用户就会自动提权为 ESXi 不受限制的管理员,无需身份验证。

安全: 盗窃者利用干扰设备干扰 Wi-Fi 安全摄像头

洛杉矶威尔郡大道(Wilshire)警局发出警告,一部分盗贼正利用干扰设备干扰 Wi-Fi 安全摄像头,在闯入室内前使摄像头停止工作。警方称这些盗贼相当专业,分工明确,有专门放哨的人,他们会从二楼闯入,抢劫珠宝和名牌皮包等高价值但体积小巧的物品。警方建议居民继续使用苹果 Air Tags 去标记汽车或钱包等贵重物品,以及与 Wi-Fi 提供商讨论如何硬接线防盗警报系统。警方还建议居民在外出度假时不要通过社交媒体广而告之。

安全: 数百款 PC 的 Secure Boot 使用了泄露的密钥

2007 年,中国研究员 icelord 在 CSDN 发表了一篇博文,介绍了 BIOS Rootkit 的一种简单实现。2011 年,被称为 Mebromi 的 BIOS Rootkit 实现走到了现实生活里。2012 年行业联盟宣布采用 Secure Boot 去抵御 BIOS 恶意程序。Secure Boot 基于 BIOS 继任者 UEFI,它使用公钥加密阻止加载任何未使用预批准数字签名签名的代码。固件安全供应商 Binarily 上周发布的报告显示,戴尔、宏碁、富士通、技嘉、惠普、英特尔、联想和超微销售的数百款 PC 使用了 2022 年泄露的测试平台密钥(PK)保护其 UEFI Secure Boot 实现。加密密钥的泄露意味着 Secure Boot 所提供的安全保护被破坏了。泄露密钥由 AMI 创建,主要提供给客户测试用,但测试密钥却不知何故进入了产品中,而且在这些公司的 PC 产品中共享。Binarly 创始人兼 CEO Alex Matrosov 指出,想象一下,一栋公寓楼所有住客都有相同的前门锁和钥匙。如果有人丢失钥匙,整栋楼都会出问题。更糟的情况是,其它建筑物也使用了相同的锁和钥匙。总共有 215 款 PC 受到影响,你可以检查下自己使用的 PC 型号是否名单中。

安全: 在 2024 年用 Windows XP 上网会发生什么

微软在 2014 年完全终止了对 Windows XP 的支持,10 年后一台没有保护的 XP 系统联网的话会发生什么?它被恶意程序入侵的速度有多快?在几小时内 Malwarebytes 观察到了八种不同的病毒/木马,一个 DNS 改变器,一个新的用户账号,他甚至还打开了 Internet Explorer。Windows XP 相比今天的主流操作系统明显缺乏安全保障,但仍然有很多人使用它。根据 Statcounter 的统计,在中国 XP 占到了所有 Windows 版本的 1.48%,如果有一亿台 Windows 机器的话,那么运行 XP 的机器仍然数以百万计。

安全: 97% 运行 CrowdStrike 的系统恢复上线

在因 CrowdStrike 问题更新导致全世界大约 850 万台 PC 蓝屏死机一周之后,该公司 CEO George Kurtz 表示 97% 运行该公司安全软件的系统恢复了上线。这意味着还有大约 25 万台 PC 受到影响。微软副总裁 John Cable 表示,有逾五千名支持工程师昼夜不停的工作帮助清理 CrowdStrike 更新导致的混乱,他表示微软考虑修改安全软件使用的内核访问权限,只要能不违反欧盟监管机构的规定。包括 CrowdStrike 在内的绝大多数安全软件都有内核访问权限,具有系统软硬件的完整访问能力,但这也意味着如果出错将会造成巨大破坏。macOS 限制了第三方内核扩展,因此 CrowdStrike 的问题没有影响到 macOS 系统。

安全: 美国指控朝鲜黑客对美国公司、政府机构和中国能源公司发动勒索软件攻击

美国司法部指控朝鲜黑客 Rim Jong Hyok 使用情报机构侦察总局(RGB)开发的恶意软件,对 8 家美国医疗机构、NASA、4 家国防行业企业以及中国的一家能源公司发动了勒索软件攻击。他的其它目标还有韩国企业。起诉书指控他通过中国洗白赎金,购买基础设施发动更多的攻击。美国司法部称,他们拦截了价值 11.4 万美元的虚拟货币,查封了其在线账号,但无法抓捕 Rim,他目前的身份和位置都未知,为获取其情报美国愿意支付 1000 万美元赏金。

安全: .Top 域名注册商江苏邦宁科技收到 ICANN 警告

.Top 全球顶级域名注册局江苏邦宁科技收到了 ICANN 的警告函,要求在 2024 年 8 月中旬前证明已经建立了一套管理钓鱼域名报告和封禁滥用域名的系统,否则将会面临取消域名出售资格。ICANN 此举是因为最新调查发现, .Top 是仅次于 .Com 的第二大钓鱼域名,ICANN 在警告信中指责邦宁科技未对 .top 域名相关的钓鱼攻击报告做出回应。根据 Interisle Consulting Group 的最新报告,在 2023 年 5 月到 2024 年 4 月之间,所有新 .top 域名中有 4% 被用于钓鱼攻击,在 276 万个 .top 域名中,去年有逾 117,000 个是钓鱼网站。

安全: 网络罪犯操纵 GitHub 平台传播恶意程序

安全公司 Check Point 的研究人员在最大代码托管平台 GitHub 上发现了一个由大约 3,000 个幽灵账户组成的秘密网络,操纵该平台推广恶意程序。研究人员发现,自 2023 年 6 月起,被称为 Stargazer Goblin 的网站罪犯利用幽灵账号给含有恶意内容的页面添加星标,创建分支和加关注的方法提高其可见度和可行度。研究人员将该网络称为 Stargazers Ghost Network,主要针对 Windows 用户,提供看起来合法的工具如免费 VPN 下载,同时传播各种勒索软件和窃取信息的恶意程序。黑客是通过 Telegram 频道和地下犯罪市场协调性的交易软件库和加星标。

安全: Telegram Android 版本发现 0day 漏洞允许将恶意文件伪装成视频

安全公司 ESET 上月初在一个黑客论坛发现有人在出售一个 Android 版本的 Telegram 漏洞,允许攻击者在 Telegram 频道、群组和聊天中发送伪装成视频的恶意文件。研究人员称该漏洞为 EvilVideo,Telegram 在本月初的 v10.14.5+ 版本中修复了该漏洞。攻击者有大约五周时间利用该 0day 漏洞,但不清楚是否被利用。EvilVideo 利用了 Telegram 自动下载媒体文件的默认设置。该设置可手动禁用,但如果用户点击共享文件的下载按钮,有效负荷仍可以安装在设备上。如果用户尝试播放,Telegram 会显示无法播放的信息,建议使用外部播放器,黑客将恶意应用伪装成外部播放器。修复后的 Telegram 能正确将恶意文件识别为应用而不是视频。

安全: 微软为受 Crowdstrike 影响的机器发布恢复工具

微软对无法自动接收 Crowdstrike 最新补丁的机器提供了一个创建可启动 U 盘的恢复工具。该恢复工具通过 USB 启动到 Windows PE 环境,访问磁盘,然后自动删除有问题的 CrowdStrike 文件,从而允许计算机正常启动。如果磁盘被 BitLocker 加密,用户需要输入 BitLocker 恢复密钥。上周五发生的 Crowdstrike 事件所产生的影响一直到周日也没有消失,根据 FlightAware.com 的数据,周日下午有逾 1200 多个进出美国的航班取消,逾 5000 个美国航班延;周六有 2136 个美国航班取消,逾 21,300 个航班延误。

安全: 中国基本未受到 Crowdstrike 事件的影响

上周五,全世界大部分地区都在应对至今 IT 史上最严重的安全事故,但有一个国家基本未受到影响:中国。原因十分简单,Crowdstrike 的安全软件在中国基本无人用。很少有中国机构会购买美国的安全软件,中国对微软的依赖程度也没有其它地区高,阿里巴巴、腾讯和华为是主要的云服务商。因此遭遇 Crowdstrike 蓝屏死机事件的主要是在华外企或组织,根据社交媒体上的信息,中国用户报告无法入住喜来登、万豪和凯悦等国际连锁酒店。网络安全专家 Josh Kennedy White 称,微软通过其本地合作伙伴世纪互联在中国开展业务,世纪互联的基础设施独立于微软在全球的基础设施。这种设置使得中国的基本服务如银行和航空免受全球干扰。

安全: 特朗普集会枪手使用三星 Android 手机,被以色列公司的新软件在 40 分钟内破解

FBI 本周早些时候宣布它成功破解了特朗普集会枪手 Thomas Matthew Crooks 的手机。彭博社最新报道披露了更多相关细节。枪手使用的三星的一款较新型的 Android 手机,FBI 首先尝试利用以色列数据情报公司 Cellebrite 的软件去绕过或识别手机密码,但未能成功。FBI 随后直接联络 Cellebrite 寻求帮助。Cellebrite 之后提供了该公司仍然在开发中的新软件。FBI 利用新的软件在 40 分钟内解锁了手机。根据媒体的最新报道,Crooks 的手机上还有拜登等人的照片,他选择特朗普作为目标可能是因为这次集会距离他最近。

上一页12345678910下一页