青莲晚报(第三十八期)| 物联网安全多知道 – 作者:qinglianyun

小米M365电动滑板车的设计缺陷可被利用实现“远程”控制


小米M365电动滑板车的设计缺陷允许研究人员在距其100米的范围内入侵它,迫使滑板车刹车或加速。

在攻击过程中,他们发动了拒绝服务攻击,安装恶意固件,从而完全控制滑板车,可使其突然加速或者刹车。小米公司承认了问题的存在,目前针对该问题的解决方案仍然在更新中。

滑板车与其相应管理应用之间的不安全蓝牙通信。M365滑板车车主可以利用蓝牙应用程序实现多种功能,例如防盗系统,巡航控制,Eco模式和更新踏板车的固件。然而,当滑板车被恶意对象控制时,这些功能将变得具有危险性。

每个滑板车都有密码保护,用户可以修改密码。但研究人员发现,在使用scooter进行身份验证的过程中,密码并没有被正确使用——实际上,所有的命令都可以在没有密码的情况下执行。

详文阅读:

https://www.hackeye.net/securityevent/18958.aspx

关于境内大量家用路由器DNS被篡改情况通报


2月19日,CNCERT监测发现,境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。经研判,这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。具体情况通报如下:

我中心监测发现,发生域名劫持的家用路由器DNS地址被黑客恶意篡改为江苏省镇江市103.85.84.0/24、103.85.85.0/24及扬州市45.113.201.0/24等地址段的多个IP地址。这些IP地址提供DNS解析服务,并将部分涉黄涉赌类网站域名解析劫持到江苏省镇江市103.85.84.0/24地址段的部分IP地址,最终将用户访问跳转至一博彩类网站“www.mg437700.vip:8888”。经我中心抽样监测发现,此次事件影响了遍布我国境内全部省份的IP地址400万余个,被劫持的涉黄涉赌类域名190余个,暂未发现合法的知名商业网站、政府类网站域名被劫持的情况。

1. 建议用户检查家用路由器DNS地址是否被恶意篡改,并及时修正。建议DNS地址更改为所使用运营商提供的DNS服务器地址或114.114.114.114等地址。

2. 用户及时修改家用路由器的出厂密码,且不要设置简单密码并定期更新,避免黑客可轻易访问路由器并进行恶意操作。

详文阅读:

https://www.anquanke.com/post/id/171381


思科修复了HyperFlex和Prime基础设施中的风险缺陷

思科已经为其许多产品发布了另一批修复程序,包括HyperFlex,Prime基础设施,WebEx和Firepower设备。

五个修补漏洞影响Cisco HyperFlex软件,这是在Cisco HyperFlex HX系列数据中心节点上运行的软件。

其中两个是高风险安全漏洞:

• CVE-2018-15380可能允许未经身份验证的相邻攻击者以root用户身份在受影响的主机上运行命令

• CVE-2019-1664可能允许未经身份验证的本地攻击者获得对HyperFlex群集的所有节点的root访问权限。

其余三个缺陷不太严重,大多数允许攻击者访问/检索潜在的敏感信息。

详文阅读:

https://www.helpnetsecurity.com/2019/02/21/cisco-hyperflex-flaws/

罗克韦尔自动化工业电能表容易受到公共攻击

ICS-CERT警告称,一名技术含量低的远程攻击者可以使用公开的攻击来获取罗克韦尔自动化对全球能源公司使用的电力监视器的访问和混乱。

所有版本的罗克韦尔自动化的Allen-Bradley PowerMonitor 1000都很容易受到攻击,目前还没有针对这些缺陷的修复方法。

发现的漏洞有两个:

• CVE-2019-19615,一个跨站点脚本漏洞,可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限

• CVE-2019-19616,一种身份验证绕过,可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后,攻击者可以更改用户设置和设备配置。

详文阅读:

https://www.helpnetsecurity.com/2019/02/20/rockwell-automation-industrial-energy-meter-vulnerable-to-public-exploits/


2700 万能源智能电表存在安全漏洞,英国情报机构 GCHQ 发布物联网安全预警


据悉英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新型智能电表存在安全漏洞,可能会对数百万布列塔尼人(西欧法国西北部布列塔尼半岛上的居民)的物联网设备构成严重风险。

攻击者能够窃取智能电表用户的个人信息,并且通过篡改账单来获取利益。一位网络安全专家表示,攻击者对智能电表的通用计量表尤为钟爱,因为如果他们能够使用相同的软件攻击每个计量器,那么潜在回报会非常高。也就是说,网络犯罪分子通过人为地增加抄表数量,使账单数额变得更高。然后,他们利用一些手段去拦截支付,并欺骗能源公司相信该支付行为是正常合法的。

GCHQ 警告称攻击者能够使用这些存在漏洞的设备作为 “ 特洛伊木马” 进入客户的网络。

英国政府担心某些国家的黑客开勇能源智能电表的缺陷造成电力飙升,从而损害国家电网。

安全专家也表示,BlueBorne 攻击可能会通过利用蓝牙连接来将智能电表暴露给黑客。

详文阅读:

http://hackernews.cc/archives/21265

来源:freebuf.com 2019-02-22 16:08:05 by: qinglianyun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论