Buf早餐铺 | 国产Neo摄像头曝漏洞;亚马逊Echo可成为监听设备;伊朗黑客组织构造虚拟形象对中东进行社工;宝马等汽车或因TCU问题被远程入侵

2017-08-03 278960人围观 资讯

天之苍苍,日之茫茫。行迈靡靡,中心摇摇。知我者,喂我吃肉;不知我者,喂我吃草 ~~ 大家好,这里是准点开张的 BUF 早餐铺,今天依旧为大家送上丰盛餐点,包括 BlackHat 和 DEF CON 的更多报道、国际资讯、企业安全、物联网安全等内容。一起来吃肉吧~

今天是 8  月 3 日 星期四,今天份的 BUF 早餐铺主要内容有 —— 国产 Neo 摄像头等多款摄像头曝漏洞;美国制药巨擘Merck承认 NotPetya 影响其全球业务;印尼将遣返涉嫌参与数亿美元网络欺诈案的153名中国人;伊朗黑客组织构造虚假在线形象对中东发动网络攻击;Netflix新工具助力检测 API 被DDoS攻击的潜在风险;微软修复Outlook中多个高危漏洞;亚马逊Echo可能成为攻击者的监听设备;宝马等多款汽车或因 TCU 中的问题而被远程入侵;阿里巴巴研究人员用声音攻破智能设备。

以下请看详细内容:

【国际资讯】

多款摄像头存在漏洞,国内 NeoCoolCam产品也中招

安全研究人员发现,多款流行摄像头中存在多个缓冲区溢出漏洞,可被远程利用。VStarcam、 Loftek 以及中国制造商深圳新东方电子公司 NeoCoolCam 产品线的 IP 摄像头都中招。

摄像头.jpg

攻击者能够通过互联网接入摄像头并将其用于监控、构建僵尸网络甚至以此为跳板劫持同一网络当中的其它设备。这些漏洞都可以通过远程利用,导致外部人员不费吹灰之力就可入侵有漏洞的设备。目前,Neo 产品中受该漏洞影响、有被攻击风险的摄像头共有 17 万 5 千台。 [来源:Securityaffairs]

美国制药巨擘 Merck 在财报中确认,NotPetya 对其全球业务造成影响

美国制药公司 Merck 在最近公布的 2017 年 Q2 财报中确认,先前的 NotPetya 勒索程序攻击,已经对其全球业务运营造成很大影响。NotPetya 对 Merck 的几个生产、研究和销售等关键业务环节造成破坏。Merck 确认, 6 月 27 日,NotPetya 对公司分布在 65 个国家的几万系统造成了影响。Merck 还表示,公司目前仍在进行生产运营的恢复工作,正在恢复的是 Active Pharmaceutical Ingredient 操作。在此期间 Merck 仍然在接受订单并出货。

NotPetya 造成的影响可谓持久而严重。上个月的安全快讯和 BUF 早餐铺中,我们也报道了一起类似事件: NotPetya 对联邦快递公司造成的较大财务影响。当时联邦快递公司表示其遭受的经济损失,多达13项。[来源:SecurityAffairs] 

默克公司

印尼将遣返 153 名中国人,均涉嫌参与数亿美元网络欺诈案

印度尼西亚警方周二表示,印尼将遣返 153 名中国人,这些人涉嫌参与价值数亿美元的网络欺诈,当前已经被捕。警方表示,该犯罪团伙从去年年底开始行动,已经非法获取 600 万亿卢比(约 4.5 亿美元)。这些人以中国商人和政客为欺诈目标,选择在国外进行犯罪活动是为了防止被中国警方发现。但中国警方还是调查到相关信息并向印尼警方发送线报,随后印尼警方发起了此次逮捕行动

印尼警察.jpg

该犯罪团伙的成员分布在印尼各地(雅加达、泗水、巴厘岛等),他们伪装成中国警方和执法官员,联系受害人并称可以解决其法律纠纷。在这个诈骗环中,有 IT 专家会获取受害人的信息,并开发相互联系的通讯系统。当前警方正在调查,几名犯罪嫌疑人是如何在没有有效护照的情况下进入印尼的。[来源:SecurityWeek

【企业安全】

伊朗黑客组织构造虚假在线形象,用“甜蜜陷阱”对中东大量组织机构发动网络攻击

SecureWorks 的研究人员表示,名为 COBALT GYPSY(或 TG-2889)的黑客组织疑似与伊朗政府存在直接关系。之前就有报道称,这个黑客组织与著名的 Shamoon 等多起攻击有关。TG-2889 组织当前正利用恶意程序,对中东的通讯、政府、防御、石油和金融服务机构发动网络欺诈。他们针对中东和南美发动钓鱼攻击,利用 PupyRAT 开源 RAT 集中攻击沙特阿拉伯的组织机构。

此外,TG-2889 还发动了鱼叉式钓鱼和社工攻击。该组织成员伪装成名为 Mia Ash 的女性,甚至还为这个身份设置了一套完整的社交媒体形象资料。从去年4月份开始,他们就利用 Mia Ash 的身份展开行动。据说 Mia Ash 会去动联系目标机构的员工,在接触几个月后就会给目标发送恶意Excel文档。

Mia-Ash.jpg

TG-2889 在去年年末的钓鱼攻击中则采用了短URL的方式,导向一个启用宏的Word文档,执行 PowerShell 命令下载PupyRAT。SecureWorks 表示,这个黑客组织可能构建了多个在线形象,以社工的方式发动攻击。同时,利用类似 Mia Ash 的身份发起攻击也的确相当凑效。[来源:SecurityWeek]   

Netflix发布工具,帮助企业发现 API 被 DDoS 攻击的潜在风险

Netflix 最近发布了几款工具,能够帮助防御者们发现有可能遭遇应用层 DDoS 攻击的系统。Akamai 今年 Q1 的报告显示,应用层 DDoS 攻击实际上只占到 DDoS 攻击总数的不到1%,但在上周的 DEF CON 大会上,Netflix 的工程师表示,他们能够通过微服务架构(microservices arthitecture)对组织机构造成严重威胁。

Netflix.jpg

实际上,微服务架构是目前开发软件越来越流行的方式。这种架构采用多个更小的独立服务与其它服务进行通讯,来完成业务目标。从安全的角度来看,针对单个请求,gateway API 就需要向中间层和后端服务发出大量请求。如果攻击者能够搞定 API,就有可能导致中间层 DoS 状态,以及整个服务中断。Netflix的安全专家提出了防御方应当如何对系统进行分析的方案,来识别存在问题的API,另外也随同发布了一系列针对应用层 DDoS 的开源测试工具。如 Repulsive Grizzly框架能让寻找系统弱点更方便,与另一款工具 Cloud Kraken 配合,就能跨数据中心和多个区域进行大规模测试。[来源:SecurityWeek]  

【安全漏洞】

微软修复 Outlook 中的多个高危漏洞,可致系统被攻击者接管

微软最近针对 Outlook 的多个漏洞发布补丁。微软表示这些漏洞先前均未公开过,而且也没有发现被攻击者利用。漏洞主要相关 C2R(Click-to-Run),这是用于安装 Office 产品的流和虚拟化技术。

Outlook.jpg

攻击者可以利用内存破坏漏洞 CVE-2017-8663 进行远程代码执行。攻击者可让 Outlook 用户开启恶意构造的文件来触发漏洞,最终实现对系统的控制(安装程序,查看、修改和删除数据,或者构建新用户账户)。CVE-2017-8572则是个信息暴露漏洞,攻击者知道目标对象内存地址后,欺骗目标开启恶意文件来获取信息。此外,还有存在于 Outlook 处理输入的方式上的任意代码执行漏洞 CVE-2017-8571。实际上,微软针对这些漏洞的补丁已经在 6 月安全更新中推送,但有用户当时反馈称更新导致应用崩溃,于是此次微软特意再次修复。[来源 :SecurityWeek

亚马逊 Echo 可能成为攻击者的监听设备

亚马逊 Echo 智能语音设备当前在北美市场已经很流行。这款设备可用于播放音乐、通过 Alexa 语音服务回答问题,控制智能家居设备。有研究人员表示,攻击者能利用 Echo 对用户进行监听。

亚马逊 ECHO.jpg

MWR Infosecurity 的研究人员 Mike Barnes 公布了攻击细节,标明攻击需要物理访问。去年的一份报告内容显示,安全研究人员在研究中通过攻击可进一步访问 Echo 的文件系统,进而可以对其进行逆向发现漏洞,或者扫描硬编码获取身份凭证等。MWR 的研究就是基于这项报告,在攻击中利用设备暴露的 debug 接口来查看启动进程,了解设备配置——Echo首先会尝试从连接的debug接口的SD卡来启动,准备一张正确分区和格式的SD卡就能从这张卡启动并进入到U-Boot命令行界面。

最终他构建了脚本,在Echo通过TCP/IP向远程服务就行流传输的时候,就能持续向特定管道写入麦克风数据了——从远程设备上获取这些音频数据。这样一来Echo平常听到的内容也就能够被攻击者监听,完全不会影响到Echo的正常使用。亚马逊已经在最新版本中修复了其中的缺陷。[来源: SecurityWeek]     

【物联网安全】

福特、宝马、英菲尼迪、和日产汽车的 TCU 设备存在漏洞,可被利用进行远程入侵

McAfee 高级威胁研究小组的三名研究人员 Mickey Shkatov, Jesse Michael 和 Oleksandr Bazhaniuk 发现,福特、宝马、英菲尼迪、和日产汽车的 TCU 设备存在漏洞,可被利用进行远程入侵。

TCU 是现代汽车常用的,用于传输数据的 2G 调制解调器,可以实现汽车与远程管理工具(如 Web 面板和移动应用程序)之间的通信。

日产 Leaf.jpg

研究团队发现的两个漏洞主要影响使用 S-Gold 2(PMB 8876)蜂窝基带芯片的TCU。第一个漏洞(CVE-2017-9647)是堆栈缓冲区溢出漏洞,位于处理 AT 命令的 TCU 组件中,可以让攻击者实现物理访问;第二个漏洞(CVE-2017-9633)可能被攻击者利用远程访问和控制存储器,存在于临时识别码(TMSI)中。

宝马 2009 到 2010 年的几款车型、福特和英菲尼迪的多款车型以及日产的 2011 年到 2015 年 Leaf 车型所使用的 TCU 都存在上述漏洞。[来源:securityaffairs]

阿里巴巴研究人员用声音攻破智能设备

我们身边的众多智能设备需要依赖来自陀螺仪、加速度计等微机电系统传感器输入信号才能正常工作。而陀螺仪传感器通过检测震动来跟踪旋转幅度和加速度。但那时如果从外部造成震动,并且让它与陀螺仪的谐振频率匹配,就会干扰传感器的稳定性,导致传感器无法正常工作。通过这样的原理,声波枪可以让无人机从天上掉下来,让机器人倒下,亦或是干扰虚拟现实软件。

阿里巴巴声波攻击.jpg

来自阿里巴巴移动安全研究团队的Wang Zhengbo和Wang Kang在BlackHat大会上演示了用声波枪攻击 iPhone 7、三星 Galaxy S7、商业虚拟现实显示器、大疆(DJI)无人机以及小米电动平衡板等设备的过程。好在研究人员表示,由于平衡车外面有一个比较坚硬的外壳削弱了声波的强度,因此要让攻击生效,发射枪要放置在外壳里面。不过如果声波枪的功率足够大理论上还是能够穿透外壳的。【视频等更多详情请看 FreeBuf 报道

在这个万物互联的世界中,手机、无人机,还是汽车以及机器人等都已不再安全,物联网安全需要引起大家的重视。

* AngelaY 编译整理,转载请注明FreeBuf.COM

取消
Loading...
css.php