青蓮晚報(第二十二期)| 物聯網安全多知道
當今社會物聯網裝置已經逐步滲透到人們生產生活的方方面面,為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高,物聯網裝置的安全性問題也逐漸影響到人們的正常生活,甚至生命安全,物聯網裝置安全不容小覷。 以下為近日的物聯網安全新聞內容。
FragmentSmack DoS 漏洞影響80多款思科產品
思科目前正在調查其產品線,以確定哪些產品和服務使用了 Linux 核心3.9或更高版本,這些產品容易受到 FragmentSmack 拒絕服務(DoS)漏洞 CVE-2018-5391 的攻擊。思科確定有80多個產品受此漏洞影響,預計該漏洞到2019年2月會全線修復。
詳文閱讀:
https://www.easyaq.com/news/1589039024.shtml
思科視訊監控管理器(VSM)被祕密植入硬編碼root後門
根據相關宣告,有人在產品開發過程中在其中建立了一個“祕密”帳戶,並忘記移除:“在思科公司將軟體安裝在受影響平臺中時,受影響軟體中的 root 帳戶未能被正確禁用。”
由於該硬編碼帳戶擁有管理員級別的 root 許可權,因此能夠通過網路訪問該裝置的攻擊者將能夠藉此實現登入,從而執行任意操作。
詳文閱讀:
https://www.easyaq.com/news/167917467.shtml
西部資料My Cloud 平臺被曝漏洞,會暴露儲存內容
據安全公司Securify的研究人員披露,西部資料My Cloud平臺存在提權漏洞,可被黑客利用通過HTTP請求獲得裝置的管理員訪問許可權,該漏洞的編號為CVE-2018-17153。據研究人員透露,攻擊者可利用該漏洞執行命令、訪問儲存的資料,修改/複製資料,以及清除NAS。該漏洞存在於My Cloud建立管理員會話的過程當中,一旦建立了會話,便有可能在HTTP請求中傳送cookie username=admin來呼叫經過驗證的CGI模組。
詳文閱讀:
https://www.easyaq.com/news/810638275.shtml
NUUO產品被曝0Day漏洞,黑客可遠端入侵數十萬攝像頭
數字聯網監控系統供應商NUUO的網路視訊錄影機軟體存在緩衝區溢位漏洞,其編號為CVE-2018-1149,研究人員將該漏洞命名為“躲貓貓”(Peekaboo)。該漏洞允許在視訊監控系統上遠端執行程式碼,這意味著黑客可觀看或篡改監控視訊影像。具體而言,攻擊者可以利用這個漏洞瀏覽、篡改視訊監控記錄等資訊,還可竊取機密資料,如憑證、IP地址、埠使用情況、監控裝置的型號。攻擊者甚至可利用該漏洞使攝像頭等監控裝置失靈。據悉,Peekaboo漏洞的影響範圍較廣,波及超過100個品牌、2500款不同型號的攝像頭,以及數十萬裝置。
詳文閱讀:
https://www.easyaq.com/news/550008787.shtml
富士電機伺服系統和驅動被曝嚴重的 0day 漏洞
ICS-CERT 和趨勢科技 ZDI 團隊本週披露稱,日本富士電機公司的私服系統和驅動中存在多個未修復的漏洞。
ICS-CERT 和 ZDI 表示,研究員 Michael Flanders 在富士電機的 Alpha 5 智慧伺服系統尤其是 Loader 軟體(版本 3.7 及更高)中發現了兩個漏洞。
受影響產品主要用於歐洲和亞洲的商業設施和關鍵製造行業中,作用是通過調整,使驅動多種機器的電動機能夠正確執行。
高危和中危漏洞
其中一個漏洞是嚴重的堆緩衝溢位 (CVE-2018-14794) 漏洞,能導致遠端攻擊者誘騙目標開啟一個特別構造的 C5V 檔案,從而執行任意程式碼。ZDI 在安全公告中指出,“這個問題產生的原因是在將使用者提供的資料複製到一個長度固定且基於堆的緩衝之前,缺乏對該資料的正確驗證。攻擊者能夠利用這個漏洞在管理員上下文中執行任意程式碼。”
影響伺服系統的第二個漏洞是一箇中危的緩衝溢位漏洞,可導致在處理特殊構造的 A5P 檔案時,敏感資訊遭暴露。當結合其它漏洞使用時,攻擊者能夠以管理員許可權利用該 bug 執行任意程式碼。
詳文閱讀:
http://codesafe.cn/index.php?r=news/detail&id=4480