17 年历史的 RCE 漏洞已影响数个 Linux 系统

一个影响点对点协议守护程序（Point-to-Point Protocol daemon，pppd）软件，并具有 17 年历史的远程代码执行（remote code execution，RCE）漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中，而且还为流行的网络设备的固件提供 power。

该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现，其严重之处在于，由守护程序软件的可扩展身份验证协议（EAP）数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。

根据 US-CERT 发布的咨询报告表示，该漏洞已被标记为 CVE-2020-8597。在严重程度方面，CVSS 则将其评为 9.8 分。

将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后，黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码，从而接管系统的全部控制权。

而加重该漏洞严重程度的是，点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器，就可以获得 root-level 的访问特权。

详文阅读：

http://hackernews.cc/archives/29664

Android 安全警告：10 亿台设备不再获得更新

据消费者监管机构透露，如果你仍在运行 Android 6.0 或更早版本，则会容易受到恶意软件的攻击。目前来看，全球有超过十亿的 Android 设备不再受到安全更新的支持，它们都是十分容易受到攻击的对象。

据统计，40% 的 Android 设备不再从 Google 接收到重要的安全更新，这使它们面临更大的恶意软件或其他安全漏洞风险。Android 10 是目前最新的版本，虽然它和其前身 Android 9 (Pie) 及 8 (Oreo) 仍在接收安全更新，但使用低于 Android 8 的任何设备都会带来安全风险。

根据 Google 去年公布的数据，全球约 40％ 的 Android 活跃用户使用的是 6.0 或更早版本：Marshmallow (2015), Lollipop (2014), KitKat (2013), Jellybean (2012), Ice Cream Sandwich (2011) 以及 Gingerbread (2010)。而根据《 Android 安全公告》中的政策，2019年未发布针对 7.0 以下版本(Nougat)的 Android 系统的安全补丁。

这就意味着，全球有超过 10 亿部手机和平板电脑处于活跃状态，但不会再收到安全更新。有人购买了许多已使用三年的 Android 设备进行了验证，其中大多数只能运行 Android 7.0。结果显示，消费者团体聘请的安全专家能够用恶意软件感染所有设备，其中一些设备还会被多次感染。

详文阅读：

http://hackernews.cc/archives/29654

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

近日英特尔发布公告称自家CPU主控存在严重的安全漏洞，允许黑客绕过存储加密、授权内容保护，并在物联网设备中接管控制硬件传感器。目前英特尔官方已经发布了固件和软件更新，并提供检测工具以缓解这些漏洞的影响。

该漏洞存在于啊英特尔融合的安全性和可管理性引擎（CSME）中，具有物理访问权限的攻击者可以在单个平台上执行以下操作:

1. 绕过英特尔反重播保护, 从而允许对存储在英特尔CEME内的机密进行潜在的暴力攻击;
2. 获得未经授权的英特尔管理引擎BIOS扩展 (英特尔MEBX) 密码;
3. 篡改英特尔CSME文件系统目录或服务器平台服务和可信执行环境数据文件的完整性。

英特尔®融合安全管理引擎（英特尔® CSME）子系统中的潜在安全漏洞可能允许：

1. 特权提升
2. 拒绝服务
3. 信息泄露

受影响产品：

在12.0.49 （仅限 IoT：12.0.56）、13.0.21、14.0.11 之前，此潜在漏洞不会影响英特尔® CSME 版本。英特尔 CSME/ME 版本10和11。

此外英特尔还提供了检测工具CSME_Version_Detection_Tool_Windows .zip：适用于 Windows用户

详文阅读：

http://hackernews.cc/archives/29640

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

近日某企业Linux服务器出现卡慢，CPU占用高等现象，向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查，发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化，定时任务下载执行病毒母体INT, INT内置了多个bash命令，会进一步下载执行Linux挖矿木马SystemMiner。

此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护，入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。

详文阅读：

http://hackernews.cc/archives/29619

Wi-Fi 漏洞 Kr00k 曝光：全球数十亿台设备受影响

由赛普拉斯半导体（Cypress Semiconductor）和博通（Broadcom）制造的Wi-Fi芯片存在严重安全漏洞，让全球数十亿台设备非常容易受到黑客的攻击，能让攻击者解密他周围空中传输的敏感数据。

在今天开幕的RSA安全会议中，这项安全漏洞被公开。而对于Apple用户而言，该问题已在去年10月下旬发布的iOS 13.2和macOS 10.15.1更新中得到了解决。

安全公司ESET在RSA会议上详细介绍了这个漏洞，黑客可以利用称为Kr00k的漏洞来中断和解密WiFi网络流量。该漏洞存在于赛普拉斯和博通的Wi-Fi芯片中，而这是拥有全球市场份额较高的两大品牌，从笔记本电脑到智能手机、从AP到物联网设备中都有广泛使用。

其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。

黑客利用该漏洞成功入侵之后，能够截取和分析设备发送的无线网络数据包。Ars Technica表示：

Kr00k利用了无线设备从无线接入点断开关联时出现的漏洞。如果终端用户设备或AP热点遭到攻击，它将把所有未发送的数据帧放入发送缓冲区，然后再无线发送它们。易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密此数据，而是使用由全零组成的密钥，此举使解密变得不太可能。

详文阅读：

http://hackernews.cc/archives/29558