黑客正大规模扫描易受 Bluekeep 漏洞影响的 Windows 系统

黑客们已经开始扫描网上易受RDP高危漏洞（CVE-2019-0708）（又名：BlueKeep）攻击的Windows系统。该漏洞影响包含 Windows XP，Windows 7，Windows 2003，Windows 2008等在内的常用Windows桌面以及服务器操作系统。微软将此漏洞划分为严重级别，并于5月19日发布了补丁，强烈建议广大用户及时更新，以免遭受攻击。

目前还没有成熟的PoC

在过去两周里，infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止，没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见，它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用，但打算保密。 这些公司包括：Zerodium，McAfee，Kaspersky，Check Point，MalwareTech和Valthek。

NCC集团制定了网络安全设备的检测规则，以便公司可以检测到任何开发利用；Opatch开发了一个补丁，可以临时保护系统直到收到官方更新；RiskSense的安全研究员Sean Dillon还创建了一个工具，用来查看电脑是否正确地修复了BlueKeep漏洞。

详文阅读：

http://hackernews.cc/archives/25755

某工控4G路由器存在大量弱口令

最近频繁的出现路由器的漏洞，如思科RV320/325：CVE-2019-1652和CVE-2019-1653，可直接获得配置文件并远程执行命令；MikroTik RouterOS漏洞”by the way”，直接获取用户密码并建立账号登录路由器；CVE-2019-11219：iLnkP2P点对点系统存在安全漏洞数百万IoT设备遭受远程攻击。路由器与物联网设备已经成为信息社会不可缺失的重要基础部分，其安全性也越来越受到重视。

近日研究发现，在国产某某工控4G路由器中存在大量弱口令。该工业级4G路由器，四LAN口，兼有WIFI传输通道。4G高速蜂窝网络应对远距离传输+近距离组网等复杂的无线通信需求。GPS（可选）、ZigBee（可选）、双无线网络（可选）。

在其官方提供的下载说明中发现其默认密码：admin/admin ，对于用户在进行设备安装维护时没用对初始密码进行修改，导致大量暴露在公网上的设备全部处于危险状态，对于由该工控路由器控制的系统设备产生威胁。

在zoomeye中搜索该公司产品，共计有4万台已有设备，中国境内存在大量该设备。

详文阅读：

https://www.freebuf.com/articles/ics-articles/203802.html

超100个漏洞将3万门禁暴露给黑客

一位研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了100多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品，并操纵与其关联的系统。

大约一年前，工业网络安全公司Applied Risk的研究员Gjoko Krstic开始分析来自Nortek，Prima Systems，Optergy和Computrols的楼宇管理（BMS），楼宇自动化（BAS）和门禁控制产品。产品包括Computrols CBAS-Web，Optergy Proton / Enterprise，Prima FlexAir和两款Nortek Linear eMerge产品。

Krstic在这些系统中总共识别出100多个安全漏洞，有近50个漏洞已被CVE标识；其中有些漏洞是同一缺陷的变种。

漏洞包括：默认与硬编码凭证、命令注入、跨站脚本攻击（XSS）、路径遍历、不受限制的文件上传、权限提升、授权绕过、密码明文存储、跨站请求伪造（CSRF）、任意代码执行、身份验证绕过、信息泄露、开放重定向、用户枚举和后门等。

这些漏洞（其中许多被归类为高危）可能导致未经身份验证的攻击者完全控制被攻击系统——无论是单独利用漏洞还是与其他漏洞并用。

Krstic上个月在SecurityWeek的新加坡ICS网络安全会议上总结了该项发现，Applied Risk现已发布对每个受影响产品的建议。该公司预计将于6月发布一份完整的研究论文，其中包括技术细节。

详文阅读：

发现Mirai新变种：使用多达13种漏洞利用攻击目标路由器和其他设备

近期，我们发现了Mirai的新变种（检测为Backdoor.Linux.MIRAI.VWIPT），该后门程序总共利用了13种不同的漏洞，几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种，具有后门和分布式拒绝服务（DDoS）功能。然而，这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。

本次攻击发生在我们上次报道Mirai活动的几周后，当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。

我们最初发现这一Mirai新变种，是来源于我们部署的一个蜜罐，该蜜罐用于发现与物联网（IoT）相关的攻击。随着我们对这一恶意软件进行详细分析，我们发现，这种恶意软件使用了不同的传播方式，并且还使用了三个XOR密钥来对数据进行加密。我们使用XOR解密恶意软件的字符串，随即发现该恶意软件的第一个相关指标是Mirai变种。解密后的字符串可以在下图中看到。

· 0x22 （标准Mirai字符串）

· 0x37 （包含“watchdog”的字符串）

· 0xea （用于暴力破解的凭证，包括“telecomadmin”和“admintelecom”等）

我们还发现，该变种使用了不同的URL。下面列表中的第一个URL用作命令和控制（C&C）的链接，其余用作下载和投放的链接。在下载和投放工具的链接中，值得注意的一个地方是恶意软件使用了hopTo，这是一个免费的动态DNS（域名服务器）提供商。

详文阅读：


巴尔的摩市政府遭遇勒索软件事件再遇新问题：临时 Gmail 账号被禁

本月早些时候，巴尔的摩（Baltimore）市政府遭到勒索软件攻击，锁定了大约 10000 台政府计算机，导致该市一系列重要的公共服务被关闭。在拒绝向黑客支付赎金之后，当地政府着手启动了恢复计划。不过在恢复过程中该市官员又遇到了新的问题–谷歌阻止该市政府部门使用新创建的Gmail账号。

援引当地媒体Baltimore Sun报道，在5月7日该市政府系统网站遭到了勒索软件攻击，并要求支付13个莱特币（当前市值约 10.2 万美元）赎金。勒索软件已经让巴尔的摩全市沦为了人质，因为市政府无法访问电子邮件账户，甚至连给雇员发工资都做不到。此外，市民无法支付一系列公共事业费用，房地产相关的交易也无法顺利展开。

报道称暗虽然官员处理这个问题还需要数月时间才能修复，但是已经有用户开始注册免费的Gmail账号以继续运营。Gmail将用户群划分为普通个体和来自企业或者其他机构的用户，而后者需要为服务支付一定的费用。根据Baltimore Sun报道，谷歌的系统将城市官员划归到机构中，并且已经关闭了临时账号。本周四，该市卫生部门、市议会助理和市长办公室所发送的电子邮件都被退回操作。

详文阅读：

http://hackernews.cc/archives/25713