freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

青莲晚报(第九期)| 物联网安全多知道
2018-06-14 16:34:43

微信公众号封面图-06.jpg

瑞士工业技术巨头ABB门禁通信系统曝严重漏洞

德国安全公司 ERNW 的研究人员发现,瑞士工业技术公司 ABB 的门禁通信系统中存在多个严重漏洞。研究人员发现的其中一个漏洞为远程代码注入漏洞,允许访问本地网络的攻击者控制目标设备。该漏洞影响本地配置 Web 服务器,攻击者可向系统发送特制的信息利用该漏洞。

一、不正确的身份验证漏洞(CVE-2017-7931)

允许攻击者绕过身份验证,访问配置文件和 Web 服务器上的页面。

二、明文存储密码漏洞(CVE-2017-7933)

攻击者成功登录后可从用户的浏览器cookie中获取管理员密码,但前提是,攻击者必须首先攻击客户端系统,以成功提取铭文密码 cookie。

三、跨站请求伪造漏洞(CVE-2017-7906)

允许攻击者以合法用户的身份执行多种操作。

这些攻击可远程实现,但通常都要求用户交互,例如点击链接、访问恶意网页等。

ABB 表示,目前尚未发现这些漏洞遭利用的情况,且目前尚未公开漏洞详情。

详文阅读:

https://www.easyaq.com/news/2071564544.shtml


海运软硬件被报大量漏洞,黑客可跟踪劫持船只

渗透测试和网络安全公司Pen Test Partners的研究人员发现海运行业软硬件系统中存在大量脆弱性,这使得黑客能够远程跟踪、劫持,甚至“击沉”船只。

详文阅读:

https://www.secrss.com/articles/3233


施耐德能效管理平台U.motion Builder叒现新高危漏洞

施耐德电气曾公布并修复了其能效管理平台软件U.motion Builder最新版本中的16个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致信息泄露的路径遍历或者其他一些错误,以及通过 SQL 注入造成的远程代码执行缺陷。

近日,U.motion Builder又现4个新的漏洞,其中两个高危漏洞Cvss v3评分为满分10分,希望应用此软件的用户高度重视,及时做好两个批次的漏洞修复与安全防护工作。

漏洞编号

CVE-2018-7784

漏洞评分

Cvss v3评分:10分

漏洞描述

基于堆栈的缓冲区溢出漏洞,可能允许任意远程代码执行。

漏洞编号 

CVE-2018-7785

漏洞评分

Cvss v3评分:10分

漏洞描述

OS命令注入漏洞,系统提供命令执行类函数主要方便处理相关应用场景的功能.而当不合理的使用这类函数,同时调用的变量未考虑安全因素,会导致执行恶意的命令调用,即攻击者能够在服务器上执行任意命令。

详文阅读:

https://mp.weixin.qq.com/s/oqqiGCHkyvqxI0G9jyCUcA


黑客入侵火车?绝非天方夜谭!

Ken Munro及其渗透测试伙伴一直在对各种铁路网络进行研究,并协助铁路运营商解决发现的安全问题。但是令人惊讶的现实是,Munro及其团队仍然能够轻松地访问客户的信用卡数据,以及火车上的一些关键系统——甚至包括火车刹车系统等。而这一切,仅需要通过一个不安全的WiFi就能轻松实现。

详文阅读:

http://www.aqniu.com/news-views/34388.html

车联网时代的麻烦:网络攻击让车谎报信息造成拥堵

据国外媒体报道,研究人员称,一种针对交通算法的新型攻击会使得网联车谎报车辆的位置和速度信息,因而对智能城市和交通状况构成威胁,比如造成严重交通堵塞。

详文阅读:

http://hackernews.cc/archives/23036


# 物联网 # IoT # 物联网安全 # IoT安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者