文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Google 安全研究人员调查了 Java 软件包库 Maven Central 中所有软件包的所有版本,以更好的理解最近曝出的 Log4j 漏洞对整个生态系统的影响。研究人员发现,截至 12 月 6 日有多达 35,863 个软件包依赖于存在 Log4j 漏洞的代码,意味着 Maven Central 库中超过 8% 的软件包至少有一个版本受到漏洞影响。就生态系统影响而言,8% 是相当巨大的数字。
Google Project Zero 安全研究人员公布了 NSO 间谍软件 Pegasus 零点击 iMessage 漏洞利用的深入分析报告,认为这是他们见过的技术最先进的漏洞利用之一。漏洞 CVE-2021-30860 被利用攻击沙特的活动人士,利用漏洞不需要用户点击链接或浏览恶意网站,苹果在 9 月的更新中修复了该漏洞。安全研究人员称,Pegasus 的第一个切入点是 iMessage,攻击者只需要 AppleID 用户名的电话号码就能启动恶意程序植入。iMessage 原生支持 GIF 图像,使用 ImageIO 库去猜测源文件的正确格式然后解析。利用伪装成 gif 图像的欺骗方法数十种图像编解码器就成为零点击 iMessage 攻击面的一部分。Pegasus 针对的是其中的 CoreGraphics PDF 解析器,在该解析器中苹果使用了来自 Xpdf 的开源 JBIG2 实现,JBIG2 是压缩黑白像素的图像编解码器。JBIG2 存在一个典型的整数溢出漏洞。虽然 JBIG2 没有脚本能力,但它能模拟任意逻辑门操作的电路,Pegasus 将 pdf 伪装成 gif,利用该漏洞溢出内存之后,使用超过 7 万个 segment 命令定义逻辑位操作,创造了一个定制的虚拟机在内存中执行指令。
HardenedVault 写道 "
Log4Shell(CVE-2021-44228)是Java日志框架log4j的一个造成业界极大影响的漏洞,该漏洞基本上分为两部分:log4j2 部分(允许通过特殊构造的可记录字符串引诱使用该组件的 Java 程序访问攻击者指定的 URI)和 Java 核心部分(允许不经检查地执行服务器响应中引用的 Java 代码),赛博堡垒分析了漏洞的成因,并且发现有些Java应用免疫此次漏洞并非部署了高级防护措施而只是简单的遵循了开源最佳实践,也针对Java的企业应用生态中“RCE不是一个bug而是一个feature”的实际情况进行了安全加固建议,另外近期不少讨论都是关于是否应该由基金会代理去修复更多的开源安全生态问题,赛博堡垒持有不同看法,OpenSSL的心脏出血后Linux基金会成立了CII基础架构联盟以解决开源基础架构的安全生态问题,但其结果不尽人意,比如manager的人数超过maintainer,未来CVE-2021-44228这类问题会有更多曝光,但解决的思路如果仅仅是找一个机构(不论是基金会还是监管部门或者是大厂商),那这个机构的判断正确与否都等同于是把鸡蛋放进同一个篮子。介于开源社区多样性自底向上的进化模式占比很高的情况,赛博堡垒对开源项目的建议是:谁用谁负责,谁用谁审计,谁用谁加固。"
自上周五广泛使用的 Java 日志库 Log4J 曝出高危漏洞以来,黑客对全世界的企业发动了超过 84 万次攻击。Log4J 使用 Java Naming and Directory Interface 执行网络查找,从 Lightweight Directory Access Protocol 获得服务,它将日志消息作为 URL 处理,以主程序的完整权限执行其中包含的任何可执行负荷。它的漏洞很容易被利用。在漏洞曝光之后,在使用 Log4J 的企业尚未及时修补前,攻击者正加速对其进行利用,安全研究人员甚至观察到一分钟内的攻击次数就超过了 100 次。被称为 Log4Shell 的漏洞被认为是至今发现的最严重漏洞之一。安全公司 Check Point 报告,攻击者在利用漏洞控制计算机之后,或者进行加密货币挖掘,或者将其作为僵尸网络的一部分,或者进行其它非法活动。
年末圣诞将至,企业最不想看到的可能是它们无法使 HR 管理服务平台给员工支付薪酬。薪酬服务平台 Kronos 证实它遭到勒索软件攻击,其平台可能将在数周内无法使用,建议客户寻找替代方案。攻击影响了 Kronos 的 UKG Workforce Central、UKG TeleStaff 和 Banking Scheduling Solutions 服务。Kronos 的代表拒绝证实或否认是最近爆出的 Java 日志库 Log4J 0day 漏洞 Log4Shell 导致其服务遭到入侵。Kronos 云服务高度依赖于 Java,其软件框架是基于 Log4J。已有企业表示因为服务下线错过了发薪。Kronos 的服务被数十家大型企业和众多政府机构和大学使用。
在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。
广泛使用的 Java 日志库 Log4j 爆出了非常容易利用的 0day 漏洞,通过发送特定字符串攻击者能远程执行代码,有数以百万计的应用受到影响。漏洞利用的 POC 代码已发布在 GitHub 上,它被编号为 CVE-2021-44228。受影响的服务包括 Steam、Apple iCloud、游戏如 Minecraft,任何使用 Apache Struts 的服务都可能受到影响。在漏洞爆出之后,玩家就开始在 Minecraft 的聊天功能中尝试利用漏洞,部分 Twitter 用户改变显示名字去触发漏洞,苹果用户也尝试了类似的漏洞利用。
当网络侦探追踪美国公司、医院和市政府向网络勒索者支付的数百万美元赎金时,他们注意到:至少有一部分赎金经过了莫斯科最负盛名的商业地址。拜登政府也将目光投向了这栋建筑物:联邦大厦东塔——俄罗斯首都最高的摩天大楼。美国试图惩罚俄罗斯勒索软件团伙,已锁定了楼内的几家公司,这些勒索团伙对受害者的数字数据进行加密,然后要求支付赎金对其进行解密。赎金通常以比特币之类的加密货币和虚拟货币支付,然后将其转换成标准货币,例如美元、欧元和卢布。
这栋高耸在莫斯科金融区的建筑物已成为此类洗钱活动的中心,让很多安全专家相信俄罗斯当局纵容勒索软件团伙。他们指出,受攻击的目标几乎都在俄罗斯境外,在美国制裁公告至少一个案例中,嫌疑人协助了俄罗斯间谍机构。马萨诸塞州网络安全公司 Recorded Future 的威胁情报专家 Dmitry Smilyanets 表示:“这说明了很多问题。俄罗斯的执法部门通常会这样回答:‘俄罗斯管辖范围内没有出现案件。没有受害者。你指望我们怎么起诉这些可敬的人?’”在 Recorded Future 的评估中,莫斯科城(Moscow City)——俄罗斯首都的一个金融区——中大约有 50 家加密货币交易所从事了非法活动。该区内的其他交易所没有被怀疑接受与犯罪有关的加密货币。
这栋高耸在莫斯科金融区的建筑物已成为此类洗钱活动的中心,让很多安全专家相信俄罗斯当局纵容勒索软件团伙。他们指出,受攻击的目标几乎都在俄罗斯境外,在美国制裁公告至少一个案例中,嫌疑人协助了俄罗斯间谍机构。马萨诸塞州网络安全公司 Recorded Future 的威胁情报专家 Dmitry Smilyanets 表示:“这说明了很多问题。俄罗斯的执法部门通常会这样回答:‘俄罗斯管辖范围内没有出现案件。没有受害者。你指望我们怎么起诉这些可敬的人?’”在 Recorded Future 的评估中,莫斯科城(Moscow City)——俄罗斯首都的一个金融区——中大约有 50 家加密货币交易所从事了非法活动。该区内的其他交易所没有被怀疑接受与犯罪有关的加密货币。
HardenedVault 写道 "2021年11月30日到12月1日,又到了一年一度的开放固件大会,至今已经是第4届,由于疫情的缘故,开放固件大会2020和2021都是线上举行的,今年有来自全球的300名固件领域的从业人员参与,赛博堡垒(HardenedVault)是今年的赞助商之一,赛博堡垒与多个厂商交流了2022财年的服务器和边缘设备的高级防护方案,而HardenedLinux依旧在自由与开放固件生态项目中。今年的议题非常丰富,u-bmc,LinuxBoot以及ARM和Intel的下一代固件战略布局。另外,自从SolarWinds事件后,供应链安全成为了业界关注的重点,固件和硬件领域的供应链问题带来的危害远比大部分人认知的要严重,冗长的链条和碎片化带来的复杂性让防护的一方难以应对尝试把恶意检测规则和LVFS(Linux Vendor Firmware Service)融合能阻挡部分威胁,这算是一个猫鼠游戏的有趣尝试。最后就是这年头到哪里都会有人讨论Rust实现和各种重写的替代方案,这有点像2014到2019那段时间里如果新方案里没个go的实现都不太好意思讲是cutting-edged,今年有一个议题是讲oreboot(Rust重写coreboot):"
研究人员在预印本网站 arXiv 发表报告《暗网上的新冠疫苗接种证明》,指出部分暗网市场继续出售可在多国使用的疫苗接种证明。报告尚未经过同行评审。四名研究人员都是丹麦哥本哈根奥尔堡大学网络安全小组成员,他们审查了 17 个市场和 10 个供应商商店的疫苗接种证明。研究人员发现,至少有一家供应商在销售注册地为意大利的数字接种证明,该证明被法国和丹麦开发的移动新冠疫苗证明检查应用程序视为有效。
奥尔堡大学研究人员指出,许多暗网市场禁止销售任何与新冠肺炎相关的物品。但一部分暗网市场允许出售实体和数字疫苗证明,在某些情况下还允许出售“黄色疫苗接种卡”或其他可作为疫苗接种证明的疫苗接种记录卡——尽管只在卡片发行国有效。研究人员写道:“这些商品主要集中在欧洲国家和美国,但也有其他大陆和国家,如巴西、加拿大、墨西哥和澳大利亚,”以及俄罗斯。他们写道:“不同的商品定价差异很大,最便宜的证明起价为 39 美元,最高价达到近 2,800 美元,后者包括一份在英国注册的实体证明和一份数字证明。” 大多数市场都接受比特币和门罗币作为支付方式,少数市场接受以太坊、艾达币、莱特币和 zcash 等数字货币。研究人员指出,购买伪造的数字证明给卖家提供了大量机会欺骗买家。
如果伪造的新冠疫苗接种证明确实可被认定为有效证明,那么仍然存在一个悬而未决的问题:是如何做到的?研究人员表示,许多网站声称可访问用于颁发证明的系统,他们要么通过远程入侵的方式,要么通过在医疗保健或其他卫生组织工作的内部人员。他们表示:“就俄罗斯市场 Hydra 上的一个商品而言,商品描述甚至提到了访问该系统的确切位置和医院。”另一种可能性是犯罪分子以某种方式窃取了该欧洲系统的一个或多个私钥,这些私钥是发给参与的卫生组织的。研究人员表示,这将很难撤销这些密钥,因为这会使大量合法证明失效。
奥尔堡大学研究人员指出,许多暗网市场禁止销售任何与新冠肺炎相关的物品。但一部分暗网市场允许出售实体和数字疫苗证明,在某些情况下还允许出售“黄色疫苗接种卡”或其他可作为疫苗接种证明的疫苗接种记录卡——尽管只在卡片发行国有效。研究人员写道:“这些商品主要集中在欧洲国家和美国,但也有其他大陆和国家,如巴西、加拿大、墨西哥和澳大利亚,”以及俄罗斯。他们写道:“不同的商品定价差异很大,最便宜的证明起价为 39 美元,最高价达到近 2,800 美元,后者包括一份在英国注册的实体证明和一份数字证明。” 大多数市场都接受比特币和门罗币作为支付方式,少数市场接受以太坊、艾达币、莱特币和 zcash 等数字货币。研究人员指出,购买伪造的数字证明给卖家提供了大量机会欺骗买家。
如果伪造的新冠疫苗接种证明确实可被认定为有效证明,那么仍然存在一个悬而未决的问题:是如何做到的?研究人员表示,许多网站声称可访问用于颁发证明的系统,他们要么通过远程入侵的方式,要么通过在医疗保健或其他卫生组织工作的内部人员。他们表示:“就俄罗斯市场 Hydra 上的一个商品而言,商品描述甚至提到了访问该系统的确切位置和医院。”另一种可能性是犯罪分子以某种方式窃取了该欧洲系统的一个或多个私钥,这些私钥是发给参与的卫生组织的。研究人员表示,这将很难撤销这些密钥,因为这会使大量合法证明失效。
至少从 2017 年起,一位神秘威胁源起方运营上千恶意 Tor 网络入口、中继和出口节点,此举被认为旨在对 Tor 网络用户进行去匿名化攻击。这位神秘攻击者被命名为 KAX17,Tor 网络通常有 9000 到 10000 个服务器,而 KAX17 在高峰期间运行了 900 多个恶意服务器。安全研究员、Tor 中继节点维护者 Nusenu 认为,在某个时刻,Tor 用户有 16% 的几率通过 KAX17 的入口节点进入 Tor 网络,有 35% 的几率通过其中继节点,有最高 5% 的几率通过其出口节点离开匿名网络。所有迹象显示 KAX17 的背后是一个国家级的资源丰富的威胁源起方。进入 Tor 网络的服务器通常需要提供联络信息,以便在必要时联络服务器的管理员,比如配置错误或遭到滥用。但由于缺乏足够的节点实现匿名化,一些没有联络信息的服务器也会经常添加到 Tor 网络。Nusenu 是在 2019 年注意到没有提供联络信息的 KAX17,发现其活动至少能被跟踪到 2017 年。Nusenu 和 Tor 项目都不愿猜测幕后者的身份。
IoT Inspector 的安全研究人员和 CHIP 杂志合作测试了华硕、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys 制造的九种 WiFi 路由器,这些路由器被数百万用户使用,供应商提供了最新的型号,升级到了最新的固件版本,但测试仍然发现了 226 个潜在漏洞。不是所有的缺陷都是安全漏洞,部分缺陷难以利用,但有许多漏洞可归类为中高危级。研究人员发现的路由器问题包括:使用过时的 Linux 内核版本,过时的多媒体和 VPN 功能,过度依赖于旧版本的 BusyBox,使用如 admin 之类的默认弱密码, 在纯文本格式中保存硬编码凭证,等等。
加拿大警方披露,偷车贼使用苹果 AirTag 设备去追踪想要盗走的高档汽车。AirTag 是苹果今年初发布的蓝牙追踪设备,将附近的苹果设备如 iPhone、iPad 和 Mac 用作定位设备,去定位 AirTag 追踪的设备。加拿大 York 地区警方过去三个月调查了五起使用 AirTag 的盗车案件,小偷将停在公共场所的汽车上放置 AirTag,然后称没人时将其盗走。此类的蓝牙追踪设备早已存在,但苹果设备的广泛使用意味着 AirTag 比其它蓝牙追踪设备如 Tile 能更快更准确的定位。苹果已为 AirTag 加入了反追踪功能,如果设备运行的版本在 iOS 14.5 及以上,它会警告你被陌生的设备跟踪。
网民通过社交媒体报告他们公司的联网打印机打印了反抗不公平薪水和呼吁组建工会的宣言。一份宣言称,“你的薪水是否过低?”“你有受法律保护的权利与你的同事讨论你的薪水...糟糕的薪水之所以存在是因为人们'愿意'为之工作。”安全研究人员观察到有黑客在大规模扫描开放 TCP 9100 端口的打印机设备,然后打印预先写好的文件,内容涉及到与 Reddit 子频道 /r/antiwork 相关的反资本主义内容。安全公司 GreyNoise 的创始人 Andrew Morris 称这一事件背后的一个或多个人通过 25 个服务器大规模传播这些印刷品。他表示无法确认受影响的打印机数量,搜索引擎 Shodan 的数据显示有数以千计的打印机暴露在互联网上。
路透援引知情人士的消息报道,至少九名美国务院雇员的 iPhone 手机被未知攻击者使用以色列公司 NSO Group 的间谍软件入侵。攻击是在过去几个月内发生的,攻击对象是美国在乌干达或与该国事务相关的官员。NSO Group 发表声明表示没有迹象显示其工具被使用,但取消了相关客户的访问权限,并对此展开调查,表示如果调查确认客户使用了其工具他们将被永久禁止访问,它还会采取法律行动。乌干达驻华盛顿大使馆以及美国国务院都拒绝置评。
Google Project Zero 安全研究人员 Tavis Ormandy 在广泛使用的 Mozilla Network Security Services (NSS)签名验证库发现了一个本应该早就发现的高危漏洞:一个简单的边界检查问题会导致内存破坏(memory corruption)。NSS 至少从 2014 年开始就支持模糊测试,但 NSS 库是一个模块化库,每个不同组件是独立测试的,在测试时对输入的字符长度设置了一个任意的 10000 字节限制,而 NSS 库却对此没有限制,但它验证的签名长度超过 16384 比特时会导致内存覆写。这个问题本应该很容易发现,Google 研究人员将其命名为“BigSig”,Mozilla 称编号为 CVE-2021-43527 的漏洞不影响 Firefox,但其它使用 NSS 库的软件如 Thunderbird、LibreOffice、Evolution 和 Evince 会受到影响。Google Chrome 在 2015 年前使用过 NSS 库,之后用自己的 BoringSSL 替换了 NSS。
黑客利用区块链创业公司 MonoX Finance 智能合约的漏洞窃取了价值 3100 万美元的加密货币。该公司使用名为 MonoX 的去中心化金融协议让用户在没有传统交易所要求的情况下交易数字货币代币。其原理是将存入的代币与 vCASH 组合成一个虚拟对,设计提供单一的代币池。在此次攻击中,黑客利用相同的代币作为 tokenIn 和 tokenOut——也就是用一种代币交易另一种代币,每次交易之后 MonoX 会通过计算更新价格,用户发送的代币 tokenIn 的价格会下降,而收到的代币价格会增加。tokenIn 和 tokenOut 使用相同的代币进行交易本来是不允许的,但 MonoX 的软件漏洞允许交易发生,让黑客能人为抬高 MONO 代币的价格,然后在以太坊和 Polygon 区块链上兑换了价值 3100 万美元的加密货币。
移动安全公司 ThreatFabric 的研究人员披露了隐藏在 Google Play 官方应用商店四个月总下载量 30 万次的恶意程序,这些应用伪装成合法应用如二维码扫描程序、PDF 扫描器和加密钱包,然后通过后续下载更新变成银行木马,窃取用户的登陆凭证和二步验证码,能记录按键和屏幕截图。研究人员称,攻击者采用了新的策略以尽量不被发现。攻击者首先让应用看起来合法并且有用,然后在安装之后提示用户更新,但用户更新的未必是恶意程序,攻击者有选择性的只对感兴趣的地区推送恶意更新,更新之后程序仍然能正常工作,因此这些应用的留言多数是好评,评价也不错。研究人员认为攻击者缩小攻击面是 Google Play 对权限进行限制的直接后果。
我们处于这样一种情况:政治家和供应商自己都不知道或者不关心他们在谈论的设备所有权、信任模型、更新、法律冲突和最重要的安全问题的时候说的到底是什么。大型科技公司悄然进入我们的公共教育和卫生系统,关于他们的地位却没有任何适当的讨论。留给受过良好教育的个人选择退出、拒绝他们的系统并坚持安全、可互操作的选择。欧洲互操作性框架(EIF是欧盟委员会2017年3月Communication COM134的一部分)等建议承认技术将成为会造成社会分裂的平等问题。未来的技术贫困不会分为“有的和没有的”,而是“愿意和不愿意的”,有人会用隐私和自由换取访问权限,有人会为了数字尊严而避开便利。
随着“基础设施”(真正的垂直上层建筑)一词巧妙地取代了ICT(一种水平服务),技术垄断者与控制政府、教育和卫生的开放标准的拥护者们之间的战斗已变得激烈。公共代码的想法(参见 David A Wheeler 和 Richard Stallman 的评论)作为可互操作的技术社会的基础,受到了科技巨头的猛烈抨击。德国曾全力以赴对抗微软,在 2015 年用 20,000 台 Linux PC 替换了 Windows 系统,结果在微软的游说下后退,在 2017 年用 Windows 10 替换了 30,000 台台式机。现在德国人似乎准备再次前进,这一次是要求所有公共服务强制支持 LibreOffice。
随着“基础设施”(真正的垂直上层建筑)一词巧妙地取代了ICT(一种水平服务),技术垄断者与控制政府、教育和卫生的开放标准的拥护者们之间的战斗已变得激烈。公共代码的想法(参见 David A Wheeler 和 Richard Stallman 的评论)作为可互操作的技术社会的基础,受到了科技巨头的猛烈抨击。德国曾全力以赴对抗微软,在 2015 年用 20,000 台 Linux PC 替换了 Windows 系统,结果在微软的游说下后退,在 2017 年用 Windows 10 替换了 30,000 台台式机。现在德国人似乎准备再次前进,这一次是要求所有公共服务强制支持 LibreOffice。