家用GPON光纤路由器漏洞CVE-2018-10561/62 赶紧来看看你的猫中招了吗？

VPNMentor研究人员发现了一种身份验证绕过认证的方式来访问GPON家庭路由器（ 身份验证绕过漏洞 CVE-2018-10561），专家们将这个漏洞与另一个（ 命令注入漏洞 CVE-2018-10562）结合在一起，并且能够在设备上执行命令。全球超过100万人使用这种类型的网络系统路由器，PoC已公开。

详文阅读：

http://toutiao.secjia.com/cve-2018-10561-2

ICS-CERT公告：美国必康美德医疗设备曝多个安全漏洞

美国 ICS-CERT 发布并修改了一份名为《美国必康美德TotalAlert Scroll 医用空气系统》（ICSMA-18-144-01）的公告，警告称在美国必康美德公司 TotalAlert Scroll 医用空气系统的医疗设备中发现了三个安全漏洞。

必康美德 TotalAlert Scroll 医用空气系统 web 应用程序中的漏洞为：CVE-2018-7526、CVE-2018-7518 和 CVE-2018-7510。

• CVE-2018-7526属于“不正确的访问控制（CWE-284）”漏洞，评分5.3。通过访问 web 服务器上特定的URL，恶意用户可以在不进行身份验证的情况下访问应用程序中的信息。

• CVE-2018-7518属“未充分保护凭证（CWE-522）”漏洞，评分7.5。攻击者通过网络访问集成 web 服务器，可以获取以不安全方式存储和传输的默认凭证或用户定义的凭证。

• CVE-2018-7510属“未受保护凭证存储（CWE-256）”漏洞，评分7.5。利用该漏洞，攻击者可以轻易窃取密码，密码以明文形式显示在文件中，无需身份验证即可访问。

• 详文阅读：

https://www.easyaq.com/news/449826044.shtml

横河控制器被曝硬编码凭证 可遭远程控制

日本横河电机有限公司为 STARDOM 控制器发布固件更新，解决可被远程用于控制设备的一个严重漏洞。

运行固件版本 R4.02或更早版本的STARDOM FCJ、FCN-100、FCN-RTU和 FCN-500 控制器中存在一个硬编码的用户名和密码凭证，具有网络访问权限的攻击者可借此登录设备并执行系统命令。

详文阅读：

http://codesafe.cn/index.php?r=news/detail&id=4202

伤不起：软银机器人 Pepper 被指为安全笑话

本月初，北欧研究员指出，软银公司的热门人形机器人 Pepper 中充斥着漏洞。

这款机器人可遭未经认证的攻击者获得根级别的权限、运行易受 Meltdown/Spectre 攻击的处理器、可遭未加密的 HTTP 管理并且还设置了默认的根密码。

详文阅读：

http://codesafe.cn/index.php?r=news/detail&id=4191

5G技术可能使大量基于SIM卡的IoT设备处于威胁中

通过OTA管理SIM卡的不可见的SMS叫做SIM-OTA SMS消息。这种通信不需要IT连接，只有通过无线电连接到骨干网或承载网才可以发送SIM-OTA SMS消息。这些SIM-OTA-SMS消息的作用非常大，因为这些信息可以修改或移除基于SIM卡的IoT设备的一些能力。SIM-OTA SMS消息甚至可以导致SIM卡变成砖或永久失效，如果IOT设备的所有功能都是基于SIM无线连接的，那么IOT设备可能也会被变成砖。

详文阅读：

http://www.4hou.com/mobile/11919.html