思科警告其220系列智能交换机的关键缺陷的公共漏洞利用代码

思科已在各种解决方案中修复了30多个漏洞，包括Cisco UCS Director，Cisco UCS Director for Big Data，Cisco IMC Supervisor和Cisco 220系列智能交换机。

按产品更新

建议Cisco UCS Director和Cisco UCS Director for Big Data的用户分别升级到版本6.7.3.0和3.7.3.0，其中包括：

• CVE-2019-1938，一种API身份验证绕过漏洞，可由发送到受影响设备的特制HTTP请求触发，并允许攻击者在受影响的系统上以管理员权限执行任意操作

• CVE-2019-1935，一个记录在案的默认帐户，带有未记录的默认密码和不正确的权限设置，可能允许攻击者登录受影响的系统并使用scpuser帐户的权限执行任意命令（包括完全读写访问权限）到系统的数据库）

• CVE-2019-1974，一种身份验证绕过漏洞，可能允许未经身份验证的远程攻击者绕过用户身份验证并以管理用户身份获取访问权限

• CVE-2019-1937，另一个身份验证绕过漏洞，可能允许未经身份验证的远程攻击者获取具有管理员权限的有效会话令牌。

没有任何迹象表明这些缺陷正在野外被利用。

此外，除第一个（CVE-2019-1938）之外的所有内容也会影响思科集成管理控制器主管，后者应升级到2.2.1.0及更高版本，这也解决了此服务器管理中相当多的高风险漏洞解。

思科已经在本月早些时候指出了思科220系列智能交换机的相关安全更新，但他们现在表示存在所有三个固定漏洞的公共漏洞利用代码，因此用户应将其交换机的固件升级到1.1.4.4版和稍晚一点。

此批次中特别注意的其他修复包括：

• CVE-2019-9506，一种可在KNOB攻击中利用的蓝牙密钥协商漏洞。它影响思科的Webex端点和几个IP系列电话。

• CVE-2019-1649，一种安全启动漏洞，可以允许具有本地访问权限的攻击者修改思科许多解决方案的固件，包括其自适应安全设备（ASA），Firepower交换机和大量路由器型号。

“思科产品安全事件响应小组（PSIRT）了解到存在概念验证代码，该代码演示了Cisco ASR 1001-X上的[CVE-2019-1649]。目前没有任何迹象表明这种概念验证代码是公开的，“该公司补充道。

详文阅读：

https://www.helpnetsecurity.com/2019/08/22/cisco-220-series-exploit/

来自知名制造商的路由器容易受到跨路由器数据泄露的影响

虽然许多组织和家庭网络在同一路由器硬件上使用主机和访客网络来提高安全性，但Ben-Gurion大学的一项新研究表明，来自知名制造商的路由器容易受到恶意攻击的跨路由器数据泄露两个分离的网络之一。

根据BGU软件和信息系统工程系的硕士生Adar Ovadya的说法，“我们调查的所有路由器，无论品牌或价格点如何，一旦我们使用特制的网络数据包，至少会受到一些跨网络通信的攻击。基于硬件的解决方案似乎是保证安全和非安全网络设备之间隔离的最安全方法。“

今天销售的大多数路由器为消费者提供两个或更多网络选项 - 一个用于家庭，可以连接所有敏感的智能家居和物联网设备和计算机，另一个用于访问者或不太敏感的数据。

在组织中，发送的数据流量可能包括任务关键型业务文档，工业系统的控制数据或私人医疗信息。不太敏感的数据可能包括多媒体流或环境传感器读数。

网络分离和网络隔离是许多组织的安全策略的重要组成部分，如果没有强制作为标准实践，例如在医院中。

这些策略的目标是通过将敏感网段与组织网络的其他部分（实际上是一般的互联网）分离来防止网络入侵和信息泄露。

详文阅读：

https://www.helpnetsecurity.com/2019/08/19/vulnerable-routers/

严重的蓝牙漏洞使数百万台设备遭到窃听攻击

蓝牙核心规范中新发现的漏洞（CVE-2019-9506）可被攻击者利用来拦截和操纵两个易受攻击的设备之间的蓝牙通信/流量。

研究人员Daniele Antonioli，Nils Ole Tippenhauer和Kasper Rasmussen发现了这个漏洞并展示了利用它进行实际的蓝牙关键协商攻击（KNOB）攻击。

他们还与蓝牙特别兴趣小组（Bluetooth SIG），CERT协调中心以及互联网上的网络安全促进国际联盟（ICASI）成员分享了他们的发现，其中包括英特尔，微软，思科，瞻博网络和IBM。其中大多数已经实施了防止利用漏洞所需的修复程序。

KNOB攻击及其局限性

CVE-2019-9506影响蓝牙BR / EDR（基本速率/增强数据速率）密钥协商过程/协议。

“攻击允许第三方在不知道任何秘密材料（例如链接和加密密钥）的情况下，使两个（或更多）受害者同意仅具有1字节（8位）熵的加密密钥。这种低熵使得攻击者能够轻易地强制协商加密密钥，解密被窃听的密文，并注入有效的加密消息（实时），“研究人员在最近发布的一篇论文和第28届USENIX Security的观众中解释说。座谈会。

“该攻击符合标准，因为所有蓝牙BR / EDR版本都需要支持1到16字节之间的熵加密密钥，并且不保护密钥协商协议。该攻击针对蓝牙芯片的固件，因为固件（蓝牙控制器）实现了蓝牙BR / EDR的所有安全功能。作为符合标准的攻击，预计它将对遵循规范的任何固件以及使用易受攻击的固件的任何设备生效。“

研究人员测试了来自英特尔，Broadcom，Apple和高通等制造商的17款蓝牙芯片，发现它们都很脆弱。事实上，他们希望任何符合标准的蓝牙设备都容易受到攻击。

KNOB攻击有一些局限性，这使得它不像以前那样重要：

• 攻击者必须在物理上靠近目标设备，即在无线范围内

• 它只能在配对设备连接的协商或重新协商期间执行，即不能攻击现有会话

• 必须在狭窄的时间窗口内执行

• 这两种设备都必须容易受到攻击。

根据蓝牙技术联盟的说法，没有证据表明该漏洞已被恶意利用，并且他们不知道任何实施攻击的设备已经开发出来。

详文阅读：

https://www.helpnetsecurity.com/2019/08/16/bluetooth-cve-2019-9506/

新勒索病毒 Ouroboros 来袭，多地医疗、电力系统受攻击

腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播，监测数据表明，已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现，该病毒的破坏仅在部分有限的情况可解密恢复，但在病毒按预期运行，基础设施完善情况下，暂无法解密。

Ouroboros勒索病毒首次出现于2019年8月中旬，目前发现其主要通过垃圾邮件渠道传播，由于其PDB路径中包含Ouroboros故因此得名，该病毒加密文件后会添加.Lazarus扩展后缀。
腾讯安全提醒各政企机构提高警惕，避免打开来历不明的邮件，腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。

Ouroboros勒索病毒的主要特点：
1.病毒会删除硬盘卷影副本；
2.部分样本会禁用任务管理器；
3.病毒加密前会结束若干个数据库软件的进程，加密文件时会避免加密Windows,eScan等文件夹；
4.个别情况下，该病毒的加密可以解密。在病毒按预期运行，基础设施完善情况下，暂无法解密；
5.攻击者弹出勒索消息，要求受害者通过电子邮件联系后完成交易。

详文阅读：

http://hackernews.cc/archives/27210

18 年的漏洞仍未彻底修复：黑客仍能几秒内破解特斯拉 Model S

破解一辆特斯拉Model S需要多长时间？在2018年安全团队COSIC就曾演示过在短短几秒内完成破解！这主要利用了特斯拉 Model S中PKES（无钥匙进入系统）与无线钥匙的认证过程中存在的安全问题，从而让黑客可以在几秒内复制汽车钥匙将汽车偷走。随后特斯拉立即做出反应解决了这个问题并转换到新的遥控车钥匙。

值得庆幸的是，特斯拉再次迅速作出反应，并已推出其软件更新，这将允许用户在几分钟内基本上将他们的表盘重新闪存在他们的汽车中。造成车钥匙问题的关键在于它们的加密方式。于特斯拉配合的Keyless厂商Pektron公司对于这块防盗的密码不够缜密。但Pektron公司却未正面回应研究团队提出的问题。特斯拉车钥匙仅使用了40位加密协议，而这种协议相对容易打破。为了解决这个问题，特斯拉和Pektron将这些密钥转换为80位加密，这应该是更具挑战性的。

特斯拉代表在一份声明中说：“虽然没有任何东西可以防止所有车辆盗窃，但特斯拉已经部署了一些安全增强功能，例如PIN to Drive，这使得它们更不容易发生。” PIN to Drive功能允许车主在驾驶汽车之前设置必须输入的PIN码。这与车钥匙是分开的，不受漏洞影响，想要启动汽车之前必须要输入。

详文阅读：

http://hackernews.cc/archives/27154