freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

青莲晚报(第二十期)| 物联网安全多知道
  • 关注
青莲晚报(第二十期)| 物联网安全多知道
2018-09-11 15:48:11

微信公众号-青莲晚报封面图-原20.jpg

思科发布关于16个严重和高危漏洞的警告信息


思科发布了关于30个产品漏洞的安全公告,其中半数漏洞是高危和严重的漏洞。

仅有3个安全警告针对的是具有严重影响的安全问题,其中一个是最近发现的存在于 Apache Struts 中的远程代码执行漏洞,目前已存在多个 PoC 利用代码。

思科表示并非所有包含受影响 Struts 库的产品均易受攻击,原因在于它们使用这个库的方式不同。只有一个受该漏洞影响的思科产品收到了补丁,其它产品将在未来几周的固定软件发布中予以更新。

另外一个严重的漏洞存在于思科 Umbrella API 中,可导致“未经认证的远程攻击者查看自己和其它组织机构范围内的数据并修改。”由 Critical Start 的 Section 8 威胁情报和安全研究团队报告的漏洞尽可通过软降更新予以修复。

Umbrella 企业漫游客户端和企业漫游模块也受两个其它权限提升漏洞(CVE-2018-0437 和 CVE-2018-0438)的高危影响。

详文阅读:

http://codesafe.cn/index.php?r=news/detail&id=4430


数千台 3D 打印机易遭远程攻击


数千台 3D 打印机无需任何认证即可直接遭恶意人员访问并控制。

SANS 互联网风暴中心指出,Shodan 搜索发现了暴露在 Web 上的3700多个 OctoPrint 接口实例,其中近1600台位于美国。

OctoPrint 是一款免费的开源 3D 打印机 web 接口,可允许用户监控并控制设备和打印任务的详情。OctoPrint 可被用于启动、停止或暂停打印任务,提供对打印机嵌入式网络摄像头的访问权限,提供打印任务进程信息并监控关键组件的温度。

未授权访问的风险

虽然看似未能阻止 3D 打印机遭未经授权的访问不会带来巨大风险,但 SANS 公司的 Xavier Mertens 警告称,攻击者能执行大量恶意活动。例如,攻击者能访问 G-code 文件即包含需要打印 3D 物体所需指南的文本文件。而组织机构能够通过这些文件存储有价值的商业机密。Mertens 指出,“确实,很多公司的研发部门正在用 3D 打印机开发并测试某些未来产品。”

详文阅读:

http://codesafe.cn/index.php?r=news/detail&id=4422


Belkin智能插头缓冲区溢出漏洞CVE-2018-6692 可远程控制与插头连接的其他设备 含EXP


未修补的缓冲区溢出漏洞允许远程攻击者完全接管设备并进入家庭网络。智能家居流行的Wi-Fi连接电源插座中的漏洞将允许远程攻击者接管智能电视和其他设备,以及执行代码 - 可能使成千上万的消费者暴露于加密,勒索软件,信息泄露,僵尸网络等等。

在最基本的层面上,缺陷(CVE-2018-6692)将允许一个犯罪分子打开和关闭插头 - 好像除了令人讨厌之外没有多大的影响。但是,这些智能插头可以连接到家庭Wi-Fi网络; 该插头用于家庭自动化场景,允许房主通过应用程序或家庭集线器仪表板远程打开和关闭灯或其他任何插入其中的东西。

“如果插头与其他设备联网,那么潜在的威胁就会增加,插头现在可以成为更大攻击的切入点。”

例如,在插件受到攻击后,攻击者可以使用内置的通用即插即用(UPnP)库“在网络路由器中戳一个洞”。Wemo侦听UPnP端口TCP 49152和49153。

“这个洞为攻击者创建了一个后门通道,可以远程连接,在网络上不被注意,由于攻击者已在网络上建立了立足点并能够打开任意端口,因此连接到网络的任何计算机都面临风险。由于攻击可以通过Wemo进行,并且使用此漏洞利用生成的端口映射在路由器的管理页面中不可见,因此攻击者的足迹仍然很小,很难被发现。

详文阅读:

http://toutiao.secjia.com/article/page?topid=110721


特斯拉门锁存在安全漏洞 黑客盗取汽车只需数秒钟


比利时鲁汶大学的研究人员发现一种欺骗特斯拉无钥匙进入系统的方法。黑客只需与车主擦肩而过、复制其密钥,数秒钟时间就能轻松盗窃特斯拉电动汽车。

这种攻击特别重要,因为特斯拉是无钥匙进入系统概念的先驱,目前这一系统已经被大多数豪华汽车所采用。

这一攻击似乎只适用于6月份前交付的Model S车型,特斯拉上周发布的补丁软件已经修正了相关漏洞。更重要的是,特斯拉增添了新的安全选项,汽车在启动前用户需要输入PIN密码。

详文阅读:

http://hackernews.cc/archives/24101


施耐德电气PLC中可远程利用的缺陷对OT网络构成威胁


Schneider Electric Modicon M221(一种部署在全球商业工业设施中的可编程逻辑控制器(PLC))中的漏洞可被利用来远程断开设备与ICS网络中的通信。“未经授权的用户可能很容易利用此漏洞执行同步攻击,并导致许多控制器停止通信。这种类型的未经授权的行动将允许网络攻击者将受影响的PLC与HMI大规模地断开,使操作员无法查看和控制OT网络上的物理过程,同时立即损害ICS系统的安全性和可靠性, “Radiflow研究人员已经注意到了。

详文阅读:

https://www.helpnetsecurity.com/2018/09/06/remotely-exploitable-flaw-schneider-electric-plc/


# 物联网 # 物联网安全 # 青莲云
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者