青莲晚报(第四十二期)
时间:2023-01-05 10:07 来源:网络整理 作者:采集插件 点击:次
当今社会物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全,物联网设备安全不容小觑。 以下为近日的物联网安全新闻内容。 思科为其RV320 / RV325路由器提供了拙劣的补丁 RedTeam Pentesting的安全专家发现了CVE-2019-1652和CVE-2019-1653,并向思科披露,该思科于2019年1月发布了补丁。 不幸的是,这些补丁并没有修复这些漏洞,而只是将用户代理列入黑名单,这是一种用于传输许多流行的互联网扫描工具所使用的数据的命令行工具。 RedTeam Pentesting再次发现了这一发现,漏洞继续允许攻击者通过管理员访问路由器的Web界面: 在设备上执行任意操作系统命令(CVE-2019-1652)和/或收集可用于危害设备或连接网络的配置和诊断信息(CVE-2019-1653)。“通过下载配置/诊断信息,攻击者可以获得内部网络配置,VPN或IPsec机密,以及路由器用户帐户的密码哈希, 详文阅读: https://www.helpnetsecurity.com/2019/03/28/cisco-botched-patches-for-its-rv320-rv325-routers/ 0day! 不满无响应,谷歌选择公开 TP-Link SR20 路由器 0day ACE漏洞 TP-Link SR20 智能家庭路由器中的一个 0day 任意代码执行漏洞。该漏洞可导致位于同一网络的潜在攻击者执行任意命令。 “TP-Link 路由器常常以 root 权限运行名为 ‘tddp(TP-Link 设备调试协议)’的进程”,而这个进程此前被指包含其它多个漏洞。 TDDP 允许在设备上运行两种类型的命令:第一种不要求认证,而第二种要求管理员凭证。允许攻击者以 root 权限执行任意代码。易受攻击的路由器暴露了多个第一种类型的命令(即不要求认证的命令),其中一种命令 0X1f、请求 0X01“似乎是为某种配置验证设置”,允许准黑客发送一个命令,其中包含一个文件名称、一个分号以及参数来初始化利用进程。 这样指令 TP-Link 路由器将特殊构造的请求通过 Trivial File Transfer Protocol (TFTP) 进行发送。一旦连接到潜在攻击者的机器,SR20 智能路由器“通过 TFTP 请求文件名称,将其导入 LUA 解释器并将参数传递给所导入文件中的 config_test() 函数。该解释器以 root 权限运行。” 详文阅读: ?r=news/detail&id=4788 铝巨头 Norsk Hydro 遭勒索攻击,全球系统大崩溃 全球最大的铝制造商之一 Norsk Hydro (挪威海德鲁公司)位于欧美的多个工厂运营遭受“大规模的网络攻击”,导致 IT 系统无法使用,因此不得不关闭。 Norsk Hydro 公司刚刚发布新闻稿称,该公司临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营。 这次网络攻击始于美国,是由该公司的 IT 专家在周一晚上晚些时候(欧洲中部时间)首先检测到的,目前该公司正在缓解攻击并调查了解攻击的蔓延程度。 该公司表示,“Hydro 的优先任务是继续确保安全操作并降低运营和金融影响。该问题并未导致任何与安全相关的事件发生。” 详文阅读: ?r=news/detail&id=4768 华硕回应 Live Update 软件漏洞:仅数百台受到影响 华硕称,媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。 华硕表示,Live Update为华硕笔记本电脑搭载的自动更新软件,部份机型搭载的版本遭黑客植入恶意程序后,上传至档案服务器(download server),企图对少数特定对象发动攻击,华硕已主动联系此部份用户提供产品检测及软件更新服务,并由客服专员协助客户解决问题,并持续追踪处理,确保产品使用无虞。 针对此次攻击,华硕已对Live Update软体升级了全新的多重验证机制,对于软体更新及传递路径各种可能的漏洞,强化端对端的密钥加密机制,同时更新服务器端与用户端的软件架构,确保这样的入侵事件不会再发生。 详文阅读: 特斯拉Autopilot系统被黑 腾讯科恩实验室以特斯拉Model S(软件版本2018.6.1)为对象,针对其搭载的Autopilot系统进行安全研究,发现了自动驾驶系统的雨刷、车道的视觉识别缺陷和遥控器操控车辆行驶过程存在的潜在安全风险。 雨刷的视觉识别攻击 (责任编辑:admin) |
