工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用
由美国工业控制系统网络紧急响应小组(ICS-CERT)于近日发布的一份咨询报告显示,研究人员Mat Powell和Natnael Samson在WECON的PI Studio HMI软件中发现了多个安全漏洞。虽然这些漏洞已经得到了WECON的确认,但到目前为止该厂商仍未发布任何补丁。
WECON,福州富昌维控电子科技有限公司的英文简称。该公司成立于2009年,专注于人机界面(HMI)、可编程逻辑控制器(PLC)和工业PC的研究、开发与销售。其产品远销全球,被广泛应用于制造、冶金、化工、能源、污水处理等领域。
从ICS-CERT公布的信息来看,Mat Powell和Natnael Samson在PI Studio HMI软件中共发现了四个安全漏洞,它们都会影响到PI Studio HMI 4.1.9及更早版本和PI Studio 4.2.34及更早版本。具体如下:
♣ CVE-2018-14818(CVSS v3得分8)——一个基于堆栈的关键缓冲区溢出漏洞,可能会导致远程代码执行;
♣ CVE-2018-14810(CVSS v3得分8)——一个高严重程度的越界写漏洞。受影响的产品在解析文件时会将无效的用户数据传递给不安全的方法调用,这可能允许代码在管理员的上下文中执行;
♣ CVE-2018-17889(CVSS v3得分3)——一个中等严重程度的漏洞。在解析项目文件时,Wecon PIStudio附带的XMLParser容易受到XML外部实体注入攻击,这可能允许敏感信息泄露;
♣ CVE-2018-14814(CVSS v3得分3)——另一个中等严重程度的漏洞。由于受影响的产品缺乏对用户提供的数据的正确验证,这可能导致对已分配对象的末尾进行读取。
详文阅读:
https://www.hackeye.net/threatintelligence/16638.aspx
索尼BRAVIA智能电视机曝多个安全漏洞,无需账号密码即可实施攻击
在上周,FortiGuard Labs就公开披露了三个影响到索尼BRAVIA智能电视机的高严重程度漏洞:一个堆栈缓冲区溢出漏洞、一个目录遍历漏洞,以及一个命令注入漏洞。这些漏洞存在于索尼的一款名为“Photo Sharing Plus”的专属应用程序中,具体如下:
♣ 堆栈缓冲区溢出——CVE-2018-16595(高严重程度),这是一个由于对用户输入的大小检查不足而导致的内存损坏漏洞。如果将足够长的HTTP POST请求发送到相应的URL,那么该应用程序就将崩溃。
♣ 目录遍历——CVE-2018-16594(高严重程度),这个漏洞是由于该应用程序通过上传URL接收用户的输入文件时错误地处理文件名而导致的。攻击者可以通过上传包含特定文件名(例如:./../)的任意文件来触发它,然后便可以遍历整个文件系统。
♣ 命令注入——CVE-2018-16593(危急严重程度),这个漏洞是由于该应用程序在用户上传媒体文件时错误地处理文件名而导致的。攻击者可以滥用这种文件名的错误处理在系统上运行任意命令,甚至能够使用root权限远程执行完整的代码。
详文阅读:
https://www.hackeye.net/threatintelligence/16606.aspx
GreyEnergy黑客组织在乌克兰和波兰开展间谍活动 通过Moonraker Petya蠕虫入侵能源和运输行业
一份对最近发现的威胁组织的详细分析,该攻击组织被追踪为GreyEnergy 。 专家推测BlackEnergy威胁演员演变成两个独立的APT组,即TeleBots和GreyEnergy。
“TeleBots组织的主要目标是对乌克兰进行 网络破坏攻击 ,这是通过 计算机 网络攻击(CNA)行动实现的。”
GreyEnergy在乌克兰和波兰开展了侦察和网络间谍活动,将活动重点放在能源和运输行业以及其他高价值目标上。
APT小组利用GreyEnergy恶意软件,这是一种实现模块化架构的恶意代码,通过添加适当的模块来扩展其功能。
“像许多复杂的威胁一样,GreyEnergy恶意软件具有模块化架构。 可以使用其他模块轻松扩展恶意软件的功能。 GreyEnergy模块是一个DLL文件,通过使用第一个序号调用该函数来执行。 每个模块,包括主要的GreyEnergy模块,都接受带有各种参数的文本命令。“。
可用模块列表包括用于文件提取,屏幕截图捕获,键盘记录,密码和凭证窃取的组件,当然还有后门。
专家指出,他们没有找到专门针对工业控制系统软件或设备的模块。 ESET指出,GreyEnergy运营商一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站。
详文阅读:
http://toutiao.secjia.com/article/page?topid=111000
包括WD My Book在内的多款NAS设备被指存在远程命令执行漏洞
安全专家 Paulos Yibelo和Daniel Eshetu一起对一些受欢迎的NAS设备进行了安全测试,从中发现了两个可能允许攻击者任意读取文件、添加/删除用户、添加/修改现有数据,以及在设备上远程执行具有最高权限命令的关键漏洞(CVE-2018-18471和CVE-2018-18472)。
正如WizCase在博文中所提到的那样,他们一共对四款NAS设备进行了测试,这包括WD My Book、SeaGate Home、NetGear Stora和Medion LifeCloud NAS。其中,SeaGate Home、NetGear Stora和Medion LifeCloud NAS均受到CVE-2018-18471的影响,而WD My Book则受到CVE-2018-18472的影响。
CVE-2018-18471是一个存在于Axentra Hipserv NAS固件中的XXE及未经验证的远程命令执行漏洞。Axentra Hipserv是一种NAS操作系统,可为不同NAS设备提供基于云的登录和文件存储、管理功能。由于SeaGate Home、NetGear Stora和Medion LifeCloud NAS都采用了这种固件,因此它们均受到该漏洞的影响。值得注意的是,其他使用该固件的设备同样也可能受该漏洞影响。
详文阅读:
https://www.hackeye.net/threatintelligence/16944.aspx
最新Chalubo僵尸网络来袭,目标指向服务器和物联网设备
网络安全公司Sophos旗下SophosLabs在本周一(10月22日)发表的一篇博文中指出,他们近两个月一直在持续关注一场开始于9月初的网络攻击活动,目标是开启了SSH服务器的Linux服务器。而在这场攻击活动中,攻击者的主要目的在于传播一种被他们称之为“Chalubo”的最新自动化DDos攻击工具。
SophosLabs的分析表明,攻击者使用了ChaCha流密码来加密Chalubo的主组件以及相应的Lua脚本,而在最新的版本中,攻击者已经采用了更常见的Windows恶意软件原理来阻止对Chalubo的检测。不变的是,最新版本的Chalubo同样整合了来自Xor.DDoS和Mirai恶意软件家族的代码。
详文阅读:
https://www.hackeye.net/threatintelligence/16905.aspx
还木有评论哦,快来抢沙发吧~