BUF早餐鋪 | 物聯網裝置已成為網路犯罪的頭號目標;阿里安全專家預警智慧電池存隱患;Windows 10 ...
各位 Buffer 早上好,今天是 2018 年 10 月 31 日星期三,農曆九月廿三。今天的早餐鋪內容有:F5實驗室報告:物聯網裝置已成為網路犯罪的頭號目標;阿里安全專家預警智慧電池存隱患,被攻擊可致斷電起火;Windows 10 Bug允許UWP應用程獲得對系統檔案的完整訪問許可權;Mirai殭屍網路軟體製作人被判支付860萬美元罰金;諮詢公司Rice Consulting雲洩露大量敏感資料:曾為美國民主黨籌款432萬美元。
F5實驗室報告:物聯網裝置已成為網路犯罪的頭號目標
本次F5釋出的報告擴大了涵蓋的攻擊資料的範圍,包括物聯網裝置經常使用的服務。以下是分析結果摘要:
物聯網裝置現在是網路犯罪的頭號攻擊目標,超過了Web和應用程式伺服器、電子郵件伺服器和資料庫受到的攻擊數量。
正如預期的那樣,telnet攻擊正在下降,大多數使用埠23監聽的物聯網裝置變得遠離越少。
今年3月,各個埠的攻擊流量大幅增加,其中84%來自電信公司,這種流量很可能是殭屍網路的興起導致的。
SSH相關的攻擊是針對物聯網裝置的頭號攻擊型別,其次是telnet。
來自伊朗和伊拉克的IP地址進入了前50名攻擊者IP地址列表。
西班牙是受攻擊最嚴重的國家,承受了80%的襲擊。在過去一年半的時間裡,西班牙一直是排名第一的國家。顯然,西班牙存在嚴重的物聯網安全問題。攻擊的主要來源國包括中國、日本、波蘭、美國和巴西等。[來源: ofollow,noindex" target="_blank">darkreading ]
阿里安全專家預警智慧電池存隱患,被攻擊可致斷電起火
沒有黑掉作業系統,也沒有觸碰操作手柄,無人機起飛一分鐘後像是突然被某股力量撕扯著,斷電、墜毀,現場一片驚呼……這並不是影視劇中的橋段,而是阿里安全獵戶座實驗室資深專家侯客最新的研究成果——通過攻擊智慧電池,讓無人機墜機,甚至所有使用智慧電池的裝置都將受到這一攻擊方式的影響。
具體來說,侯客在演示中的攻擊方式是繞過無人機電池韌體升級的數字簽名校驗,將自制惡意韌體植入到智慧電池中,能夠在指定條件下觸發電池突然斷電,讓無人機墜機。為何選擇攻擊智慧電池?侯客表示,電池是供電的基礎能量單元,如果能對其實現攻擊,將是一種根本性的攻破,而當前廠商普遍較為忽視智慧電池的安全性,導致被攻擊的可能性。[來源: cnbeta ]
Windows 10 Bug允許UWP應用程獲得對系統檔案的完整訪問許可權
預設情況下,UWP應用程式只能訪問位於應用程式安裝目錄中的檔案和資料夾及其在AppData\Local、AppData\Roaming和Temp資料夾中的資料儲存位置。如果應用程式需要訪問這些位置以外的檔案,則可以顯示可用於選擇檔案的檔案/資料夾選擇器,或者開發人員可以為應用程式宣告額外許可權。
Windows 10中存在的一個buf允許UWP應用在未經使用者許可的情況下獲取對Windows個檔案系統的完整訪問許可權。broadFileSystemAccess許可權允許應用程式訪問整個檔案系統。根據Windows應用程式開發人員 的 說法,Windows 10中的一個錯誤使得相關安全設定未能成功顯示,應用可繞過獲取broadFileSystemAccess許可權的提示直接執行。[來源: pingcomputer.com/news/security/windows-10-bug-allowed-uwp-apps-full-access-to-file-system/" rel="nofollow,noindex" target="_blank">bleepingcomputer ]
Mirai殭屍網路軟體製作人被判支付860萬美元罰金
Paras Jha是參與構建Mirai殭屍網路惡意軟體的三名作者之一,早在該殭屍網路於2016年震驚網際網路之前就參與了DDoS攻擊。對於這些犯罪行為,他必須接受六個月的家庭監禁並支付860萬美元罰金。
編寫Mirai的剩下兩名作者是Josiah White和Dalton Norman,對於他們的指控更嚴重些,因為2016年的事件導致軍隊的物聯網裝置被用來攻擊行業記者Brian Krebs的網站以及法國託管服務提供商OVH的伺服器和全球DNS提供商Dyn。[來源: bleepingcomputer ]
諮詢公司Rice Consulting雲洩露大量敏感資料:曾為美國民主黨籌款432萬美元
國際網路安全諮詢公司Hacken在上週發表的一篇博文中指出,Hacken網路風險研究主管Bob Diachenko在本月17日通過Shodan搜尋引擎發現了一臺因配置錯誤而公開暴露在網際網路上的Buffalo TeraStation NAS網路附加儲存器。NAS包含了有關Rice Consulting客戶(過去的、當前的和潛在的)的詳細資訊,其中一個電子郵件資料庫包括了有關Rice Consulting過去數千次籌款活動的詳細資訊,如姓名、電話號碼、電子郵箱地址、地址、公司、合同、會議記錄、桌面備份、員工詳細資訊等。
Diachenko在分析後發現,未受密碼保護的NAS似乎是由總部位於美國馬里蘭州的Rice Consulting諮詢公司負責管理的。根據Rice Consulting官方網站所展示的資訊來看,該公司曾在2017年與美國民主黨合作(Democratic Party US),為其籌集資金超過432萬美元。[來源: 安全內參 ]
*Freddy 編譯整理,轉載請註明來自 FreeBuf.COM。