adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
WinterIsComing(31822)
发表于2020年03月04日 20时56分 星期三
来自
Let's Encrypt 宣布在 CAA(Certification Authority Authorization)代码中发现 bug,它将从美国东部时间 3 月 4 日下午 3 点开始撤销受到影响的客户证书。Let's Encrypt 使用的 CA 软件叫 Boulder。一台有多个独立域名的服务器可以通过 Let's Encrypt 签发的一个证书去覆盖所有域名,而不是每个域名一个证书。但 CAA 中的 bug 导致 Boulder 没有检查每一个域名的有效性而是同一个域名检查 N 次。Let's Encrypt 可能对 CAA 记录中不有效的域名签发了证书,它决定撤销没有正确检查 CAA 记录的所有证书。在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书受到影响需要替换。Let's Encrypt 客户如果使用 Certbot 可以输入命令 certbot renew --force-renewal 去更换证书。你也可用访问这个网址 https://unboundtest.com/caaproblem.html 检查自己使用的证书是否受到影响。
安全
WinterIsComing(31822)
发表于2020年03月03日 22时47分 星期二
来自
奇虎 360 安全博客发表英文文章称,过去 11 年 CIA 黑客入侵了中国的公司和政府机构。CIA 的黑客行动发生在 2008 年 9 月到 2019 年 6 月之间,主要目标位于北京、广东和浙江。奇虎称,它是根据黑客使用的恶意程序 Fluxwire 和 Grasshopper 将黑客行动与 CIA 关联起来。这些恶意程序随 Vault 7 工具集而曝光。奇虎称,Fluxwire 的编译时间与美国的时区一致。它表示这一行动的代号为 APT-C-39。
安全
WinterIsComing(31822)
发表于2020年03月03日 20时56分 星期二
来自
John Strand 以破坏为生,作为渗透测试员,他被机构聘用去破坏它们的防御系统,在真正的坏人前面发现漏洞。Strand 通常亲自或其 Black Hills 的同事去执行渗透任务。但在 2014 年 7 月,他在执行南达科他州监狱渗透测试时派他母亲去了。这其实是他母亲 Rita Strand 的想法。她在餐饮服务业工作三十年后开始担任 Black Hills 的财务官。她对自己的专业很有信心,可以扮作卫生检查员去监狱检查卫生。John Strand 在 RSA 安全会议上讲述了其母亲渗透监狱的经历,他说,“那是我妈,我能怎么说?”他们准备了假的徽章和名片,以及一个有恶意程序的 U 盘,Rita 的主要任务就是在监狱联网计算机上插入 U 盘。她在监狱里没有遭遇任何非难。在进行所谓的卫生检查时候狱方甚至允许她保留手机,她检查冰箱冰柜,寻找过期食物并拍照。她还要求检查网络中心,服务器机房,甚至自由在监狱里行走。在结束之际,监狱长请她过去询问如何改善饮食的建议,她递过了一个 U 盘,让监狱长查看里面的文件。当狱长点击文件,他无意中让 Black Hills 的黑客访问了他的计算机。Rita 在 2016 年因癌症去世,她没有机会再参与渗透测试。
安全
WinterIsComing(31822)
发表于2020年03月03日 11时03分 星期二
来自
去年六月,Have I Been Pwned?(HIBP)维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站,储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的,不存在 HIBP 团队之说,他一个人做了所有的事情。现在是时候壮大 HIBP,从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。在将近一年之后,在与上百意向购买者协商之后,Troy Hunt 宣布 HIBP 将会继续独立运营。他发表了长篇博文解释了自己决定,称买家商业模式带来的意料之外的变化令交易变得不可行。
安全
WinterIsComing(31822)
发表于2020年03月02日 12时49分 星期一
来自
Ghostcat 漏洞影响过去 13 年发布的所有 Apache Tomcat 版本,该漏洞允许攻击者控制系统。Ghostcat 是中国安全公司长亭科技发现的,存在于 Tomcat AJP 协议中,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
安全
WinterIsComing(31822)
发表于2020年03月01日 09时49分 星期日
来自
研究人员披露了一个影响数亿设备的 Wi-Fi 芯片漏洞,大部分设备已经打上了补丁。漏洞存在于 Cypress Semiconductor 和 Broadcom 制造的 Wi-Fi 芯片中,影响的设备包括了 iPhone、 iPad、Mac、Amazon Echo 和 Kindle、Android 设备、Raspberry Pi 3,以及华硕华为制造的 Wi-Fi 路由器。发现漏洞的安全公司 Eset 将其命名为 Kr00k,厂商已经为大部分受影响设备提供了补丁,但不清楚有多少设备安装了补丁。漏洞发生在设备与无线访问点解离过程中,附近的攻击者可以发送解离封包触发漏洞。苹果表示去年 10 月它就释出了补丁。
安全
WinterIsComing(31822)
发表于2020年02月19日 22时18分 星期三
来自
美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接,攻击者从其 IT 网络渗透到作业 OT 网络,其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。
安全
WinterIsComing(31822)
发表于2020年02月19日 20时45分 星期三
来自
安全公司 Talent-JumpTrend Micro 报告,从去年夏天起,一群中国专业黑客入侵了东南亚的赌博公司,目的是窃取公司数据库和源代码而不是钱。发动攻击的黑客组织被称为 DRBControl,其行动可能与中国政府没什么联系。FireEye 去年称部分中国黑客组织在空闲时间会出于自己的兴趣和利益展开攻击行动。 DRBControl 首先对目标发动钓鱼攻击,当目标打开嵌入恶意程序的文件之后安装后门,然后下载各种工具展开行动。
安全
WinterIsComing(31822)
发表于2020年02月19日 14时43分 星期三
来自
上个月,加密专家和程序员 Moxie Marlinspike 刚在飞机上就座,他的领座、一名 60 多岁的中西部男子请他帮忙把 Android 手机切换到飞行模式。当 Marlinspike 看了下手机屏幕,他错愕了下,他发现手机上安装的一个应用是 Signal。Marlinspike 发布的 Signal 被广泛认为是最安全的端对端加密消息应用。Marlinspike 在接受采访时表示,他们构建 Signal 应用时就希望它能被不知道如何启用手机飞行模式的用户使用。今天,Signal 真的将安全消息服务带给了大众,而不只是隐私加密死忠和活动人士。Signal 的进化始于两年前,WhatsApp 联合创始人 Brian Acton 向 Signal 项目投资 5000 万美元,成立了 Signal 基金会并担任执行主席。Signal 项目从只有 3 名全职雇员到今天有 20 名雇员。
科技
WinterIsComing(31822)
发表于2020年02月19日 14时10分 星期三
来自
Google Project Zero 安全博客上周发表博文称,三星对 Android 内核的改动让手机不那么安全。安全研究员 Jann Honn 讨论了三星在 A50 手机上对 Android 内核进行的改动。三星改动了限制攻击者读取或修改用户数据的安全功能,这一改动不是增加了安全性而是引入了漏洞,可能增加了攻击者执行任意代码的能力。三星的保护机制没有提供有意义的保护,而只是屏蔽了没有为三星手机进行定制的 root 工具。Google 称它努力减少攻击者访问设备驱动和增加内核代码的能力,但三星的改动削弱了这些努力。安全研究人员认为,设备特定的内核改动要么递交到上游要么转移到用户空间,否则最好不要乱动。
安全
WinterIsComing(31822)
发表于2020年02月18日 15时14分 星期二
来自
使用 ThemeGrill 商业主题的 WordPress 网站站长需要尽快更新随主题一起安装的插件,以修复可能导致网站所有内容归零的严重 bug。bug 存在于 ThemeGrill Demo Importer 中,该插件用于导入演示内容到 ThemeGrill 主题内,它被安装在 20 多万个网站上。WordPress 安全公司 WebARX 报告,旧版本 ThemeGrill Demo Importer 允许远程攻击者发送特质负荷到存在漏洞的网站触发插件功能。该功能会将所有网站内容重置为零,事实上清空启用 ThemeGrill 主题的网站所有内容。
安全
WinterIsComing(31822)
发表于2020年02月17日 14时50分 星期一
来自
安全研究员在去年举行的 Black Hat 安全会议上披露 Fortinet 和 Pulse Secure VPN 产品的漏洞,随后有政府背景的黑客就迅速利用漏洞去攻击企业目标。以色列网络安全公司 ClearSky 报告,伊朗政府黑客也迅速行动起来,向 IT、电信、石油天然气、航空、政府和安全领域的目标发动攻击。伊朗黑客的技术通常被认为弱于俄罗斯、中国和朝鲜,但 ClearSky 推翻了这一观念,称伊朗的 APT 组织能在极短时间内利用 1 day 漏洞,他们观察到伊朗黑客在漏洞披露数小时内就开始利用漏洞。报告称,至少有三个伊朗黑客组织  APT33 (Elfin,Shamoon)、APT34 (Oilrig) 和 APT39 (Chafer) 对 VPN 服务展开了攻击,攻击的目标主要是执行侦察和植入后门进行监视。
比特币
WinterIsComing(31822)
发表于2020年02月17日 12时55分 星期一
来自
IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币,它诞生于比特币最为火热的 2017 年。上周,在得知黑客正利用官方钱包应用漏洞窃取用户资金之后,管理 IOTA 的基金会关闭了整个加密货币网络。攻击发生在 2 月 12 日,IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator,阻止黑客窃取用户资金,但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户,利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称,有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本,修复了被利用的漏洞。目前网络仍然下线,开发者正在敲定补救计划。
安全
WinterIsComing(31822)
发表于2020年02月14日 19时36分 星期五
来自
奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs,shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的,2019 年 3 月发布了概念验证攻击。
安全
WinterIsComing(31822)
发表于2020年02月12日 22时13分 星期三
来自
微软周二释出的二月例行安全更新修复了 99 个漏洞,其中之一是上个月披露的 IE 0day 漏洞。另外 98 个中 11 个漏洞属于高危漏洞。大部分高危漏洞是远程代码执行和内存损坏,位于 IE 脚本引擎、Remote Desktop Protocol 远程桌面协议服务、LNK 文件、Media Foundation 组件中。Adobe 也在同一天释出了多个安全更新修复 Adobe Flash Player 等产品中的漏洞
安全
WinterIsComing(31822)
发表于2020年02月12日 20时28分 星期三
来自
Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载 Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。
USA
WinterIsComing(31822)
发表于2020年02月12日 16时33分 星期三
来自
数十年来,全世界许多国家都依赖于瑞士公司 Crypto AG 制造的加密设备保护通信安全。但它们不知道的是,数十年来,Crypto AG 已被 CIA 和西德的情报机构秘密控制,控制了该公司的情报机构纂改了加密设备使他们能更容易的破解加密信息。《华盛顿邮报》和德国 ZDF 披露,这一行动先后有两个代号,分别为 Thesaurus 和 Rubicon。CIA 在其报告形容这是情报界的世界政变,外国政府甚至花更多的钱购买设备以获得优先权让它们最秘密的通信能被美国和德国阅读。从 1970 年起,CIA 和 NSA 就几乎控制了 Crypto AG 的方方面面,从招聘决策到设计技术、破坏算法和指导销售目标。之后美国和西德的间谍就坐享其成进行监听。在 1979 年人质危机期间他们监视了伊朗的毛拉,马岛战争期间向英国提供阿根廷情报,跟踪了南美独裁者的暗杀行动,抓捕对 1986 年柏林迪斯科舞厅爆炸事件进行庆祝的利比亚官员。它也有限制,苏联以及中国都没用过 Crypto AG 的设备。
安全
WinterIsComing(31822)
发表于2020年02月08日 15时45分 星期六
来自
安全公司 Sophos 报告,勒索软件 RobbinHood 正采用一种新颖的方法防止其在被感染设备上加密文件的操作被杀毒软件阻止。攻击者首先在受害者的网络内获得立足之地,然后安装合法的 Gigabyte 内核驱动 GDRV.SYS,这个驱动存在漏洞,攻击者能利用漏洞获得内核访问权限,利用内核访问权限攻击者临时禁用了 Windows OS 的驱动签名强制,之后安装恶意内核驱动 RBNL.SYS,使用这个驱动关闭杀毒软件或其它设备上运行的安全产品,执行 RobbinHood 加密文件。
安全
WinterIsComing(31822)
发表于2020年02月07日 17时55分 星期五
来自
安全公司 Armis 在思科私有的 Layer 2 网络协议 Cisco Discovery Protocol (CDP) 发现 5 个 0day 漏洞,这些漏洞允许远程攻击者完全控制设备,不需要任何用户交互。CDP 被用于发现本地连接的思科设备信息,思科的交换器、路由器、IP 电话和摄像头等几乎所有设备都使用了 CDP,并且默认启用了 CDP,漏洞影响数以百万计的设备。五个漏洞被统称为 CDPwn,其中四个是远程代码执行漏洞,第五个是拒绝服务漏洞。Armis 是在去年 8 月 29 日向思科报告了漏洞。
安全
WinterIsComing(31822)
发表于2020年02月06日 11时02分 星期四
来自
基于华为海思 SoC 的杭州雄迈数字录像机、网络录像机和网络摄像头设备所用的固件被发现存在漏洞或后门。存在漏洞的设备固件运行的都是 Linux 和一组 busybox 开源工具。busybox 采用的是 GPL 许可证,按许可证要求软件应该都应该提供源代码的,不提供源代码构成了对 GPL 的违反。漏洞设备会与 9530 端口进行通信,经过一系列程序可以激活 telnet daemon,使用硬编码的用户名密码组合如用户名 root 密码 xmhdipc 或 klv123、xc3511、123456、jvbzd 或 hi3518 登陆。