国内外简报industry briefing

国内外信息安全简报2018年第十九周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.滑雪缆车控制系统存XSS漏洞,景区紧急关停

两名来自 IT 安全机构 InternetWache.org 的研究人员 Tim Philipp Schäfers 与 Sebastian Neef 2018年3月中旬扫描网络上含有漏洞的系统时发现,奥地利因斯布鲁克市(Innsbruck)的滑雪缆车控制面板暴露在网上,任何人均可控制缆车的操作设置,该滑雪场因此紧急关闭缆车设施。存在安全漏洞的系统是由全球知名缆车制造商 Doppelmayr 开发,这两名研究人员指出,他们不但可直接在网络上搜索缆车的控制系统,且无需认证就可直接登录,所执行的指令也没有加密,该网页还含有跨站脚本(XSS)执行漏洞。(详情链接

2.英特尔CPU再曝8个“幽灵+”漏洞,影响亚马逊等云服务提供商

Google Project Zero 安全研究团队在英特尔 CPU 中又发现8个新的“幽灵式”硬件漏洞,被称为“新一代幽灵”——Spectre-NG(4个高危,4个中危漏洞),其中一个漏洞非常严重,允许攻击者在虚拟机中执行恶意代码,进而攻击读取宿主机的数据 。ARM 的部分芯片也受到影响,但不确定是否存在同样的问题,其原因研究人员正在调查。德国 IT 网站 C'T 5月3日报道指出,这个最严重的漏洞比 Spectre 漏洞还要严重,可被利用绕过云主机系统与虚拟机的隔离机制,窃取诸如密码和数字密钥之类的敏感数据。此外,攻击者可以攻击在同一台服务器上运行的其它客户的虚拟机。不过,个人和企业 PC 面临的风险相对较小,因为通常还有其它薄弱环节更容易被利用。个人和企业仍不可掉以轻心。研究人员建议,发布补丁后尽快进行安装。(详情链接

3.部分大众奥迪车载娱乐系统曝严重漏洞

荷兰安全公司 Computest 近日披露,由安全研究人员达恩·库尤佩尔和瑟基斯·阿克梅德调查2015款大众高尔夫 GTE 车型和奥迪 A3 Sportback e-tron使用的由哈曼(Harman)制造的信息系统存在多个漏洞,允许攻击者远程访问 ,在某些情况下: 攻击者可以通过车载娱乐系统打开或关闭麦克风,监听司机正在进行的谈话;攻击者可以访问车主完整的地址簿和历史通话记录;攻击者还可以通过导航系统精确地定位驾驶员的位置,并随时随地查看车辆的位置,窃取车主隐私。两名研究人员表示,这个漏洞只能通过固件更新进行修复。2018年4月,大众集团向研究人员写信似乎证实了漏洞,并表示在2016年下半年之后推出的新车型部署了补丁,但这需要车主通过汽车经销商来安装固件更新。但消费者被动向经销商索要更新显然不如经销商通过无线方式自动推送更新来得方便。(详情链接

4.上百万台光纤路由器爆认证旁路漏洞,任何人可远程访问攻击

外媒近日消息,安全研究人员发现通过一个认证旁路漏洞能够远程访问超过一百万台光纤路由器。研究表明,该漏洞很容易通过修改浏览器地址栏中的 URL 来利用,可让任何人绕过路由器的登录页面和访问页面,只需在路由器的任何配置页面上的网址末尾添加 “?images /”,就能够完全访问路由器。由于设备诊断页面上的 ping 和 traceroute 命令以 “ root ” 级别运行,因此其他命令也可以在设备上远程运行。这些路由器是将高速光纤互联网带入人们家庭的核心。根据周一发布的调查结果表明,该漏洞在用于光纤连接的路由器中发现。目前 Shodan 上列出了约 106 万个标记的路由器 ,其中一半易受攻击的路由器位于墨西哥的 Telmex 网络上,其余的则在哈萨克斯坦和越南被发现。(详情链接

5. 美国对乌克兰的网络防备援助提高到1000万美元

美国国务院计划将2017年向乌克兰承诺的网络防御援助增加一倍,即1000万美元,旨在增强各盟友抵御俄罗斯黑客攻击活动的能力。美国国务院发言人希瑟·诺厄特表示,欧洲与欧亚事务国务卿韦斯·米切尔已经于2018年5月3日会见乌克兰总统佩特罗·波罗申科时正式公布了这一消息,目前尚不知道这笔资金将用到何处。(详情链接

6.两名黑客能打开数百万个酒店房间,这意味着什么?

最近一些新的安全研究成果却表明,现实世界中也有黑客能够利用漏洞袭击的目标,比如我们身边很常见的东西:智能锁。根据这两位高人Tomi Tuominen和Timo Hirvonen对媒体吐露的信息。事情最早要追溯到2003年他们的同事在酒店丢了电脑,但酒店坚持说自己没有责任。于是他们俩就想看看,到底能不能利用系统漏洞打开酒店的门锁,甚至不留下一点痕迹。经过十年数千小时的工作,到2015年,两位专家建造了一个RFID演示环境,到2017年3月他们成功在一家酒店配置出了全能钥匙。根据他们的方案,只要拿到一家酒店的房卡甚至是过期房卡,就可以很快配出能打开酒店每个房间的主秘钥。并且他们的突破性在于,被万能钥匙打开的房门会完全记录为正常开门,甚至不会留下任何数据痕迹,可谓真正的来无影去无踪。(详情链接

7.数万DVR监控录像机成“长长的望远镜”

阿根廷安全研究人员埃塞基耶尔·费尔南德斯2018年5月1日在 GitHub 上发布了一款功能强大的新工具 getDVR_Credentials,这是 CVE-2018-9995 漏洞的 PoC 工具,该工具能轻松提取各种 DVR (硬盘录像机)品牌的明文凭证,并授权攻击者任意观看这些视频(涉及大量隐私)。最初,费尔南德斯发现 CVE-2018-9995仅影响 TBK 制造的 DVR 设备,但他在最新的报告中表示,其它厂商推出的系统也可能受到影响,而其中大多数厂商似乎在更名销售 TBK DVR4104 和 DVR4216 系列产品。据费尔南德斯估计,受影响的设备至少有几万台。Shodan 的搜索结果显示,超过5.5万台 DVR 暴露在网上。费尔南德斯还公开了部分截图显示他获取 DVR 设置的访问权限,并读取了实时视频流。由于上万台TBK DVR仍暴露在网上,并且加上已经公布了PoC代码,该漏洞今后被利用的可能性很大。(详情链接

8.前NSA黑客发布DND应用:帮Mac用户抵御邪恶女佣攻击

前美国国家安全局(NSA)黑客近日面向苹果的macOS系统推出了一款名为“Do Not Disturb (DND)”的安全应用,声称能够帮助你的Mac抵御“邪恶女佣攻击”(Evil Maid Attack)。这款安全应用同时也是免费和开源的,这款应用只做一件事情:监听Mac后台是否存在“lid open”事件,避免你不在的时候有人通过物理方式获取你的机密信息。(详情链接

9.深度揭秘!黑客原来是这样干扰美国大选

从互联网诞生以来,美国多届总统大选数据都被顶级黑客干扰过,美国信息安全局疑多次指 责以Amazing Girl为首俄罗斯黑客安全组织和中国黑客巨头郭盛华为首的东方联盟黑客安全组织有意干扰美国大选,但没有确凿的证据。尽管努力提高安全性,美国投票基础设施的关键部分仍然容易受到网络攻击。届时美国民众将投票在国会中期选举中投票。在比赛前的几个月里,外国黑客成群结队将前往他们的键盘,以影响其结果。他们的努力将包括尝试进入支持选举进程的数字基础设施。美国国土安全部官员说,外国黑客主要是扫描计算机和网络的安全漏洞,而不是利用发现的任何缺陷。(详情链接

10.两种独立勒索软件分别侵扰乌克兰与加拿大

两种彼此间并无关联的勒索软件分别对乌克兰能源部及加拿大爱德华王子岛省(简称PEI)政府发动攻击,并直接导致两个机构的主要网站处于离线状态。其中乌克兰袭击事件导致其能源部文件遭到加密,攻击方要求支付0.1比特币(折合近1000美元)的赎金。当地时间2018年4月23日,加拿大爱德华王子岛省政府网站全面瘫痪,时间当天下午晚些时候,网站才恢复上线。根据英国广播公司的报道,乌克兰网络警察称此次攻击事件仅与能源部相关,未涉及其它部门。而能源部除电子邮件系统仍在运行之外,其它系统均已停摆,目前能源部 IT 团队正在紧急修复系统。据英国《卫报》报道,加拿大爱德华王子岛省攻击事件已经得到该省发言人的证实,且攻击者所利用的系统漏洞目前已经被修复。该发言人同时指出,事件似乎并未造成信息泄露,该省亦未支付任何赎金。工作人员已利用备份文件令系统重新上线。(详情链接