青莲晚报（第九十一期）| 物联网安全多知道 – 作者:qinglianyun

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

富士代码执行漏洞使工业设备面临安全风险

富士电机的工业控制软件(ICS)中存在多个高危的任意代码执行安全漏洞。当局警告说，这些漏洞可能会对工厂以及关键的基础设施进行物理攻击。

富士电机的Tellus Lite V-Simulator和V-Server Lite都受到了此漏洞的影响，这些漏洞的CVSS严重性评级均为7.8。这两款产品可以组成一个全方位的人机界面（HMI）系统，主要用于远程监控和实时收集生产数据，控制工业中各种关键基础设备。它可以与各种制造商的可编程逻辑控制器(PLC)、温度控制器、变频器等接口进行交互。

CISA解释说：”利用这些漏洞，攻击者在应用程序的权限下就可以执行任意代码”。

根据网络安全和基础设施安全局(CISA)本周发布的警告，这些安全漏洞需要 “很高的利用条件”。它们不能被远程利用，因此非本地的攻击者必须在进行攻击活动之前获得对用户计算机的初始访问权限。然而，Gurucul的首席执行官Saryu Nayyar告诉Threatpost，这个条件并不难实现。

详文阅读：

https://www.4hou.com/posts/zQXr

近30,000台Mac设备感染了新型Silver Sparrow恶意软件

Red Canary的研究人员TonyLambert在上周发布的报告中表示：“根据Malwarebytes提供的数据，截至2月17日，Silver Sparrow已在153个地区感染了29,139个macOS端点，包括美国，英国，加拿大，法国和德国。” 尽管感染数量很高，但有关该恶意软件的分布方式和受感染用户的详细信息仍然匮乏，目前尚不清楚Silver Sparrow是否隐藏在恶意广告、盗版应用程序或伪造的Flash更新程序当中。此外，研究人员也不清楚其恶意软件的最终目标是什么。

一旦Silver Sparrow感染了系统，该恶意软件便会等待其操作员发出新的命令——但是在研究人员分析时，并没有收到过这些命令。但Red Canary警告称，但不能因此轻视其危害性。有可能是恶意软件能够检测到分析其行为的研究人员，并避免将其第二阶段的有效载荷发送到这些系统。

详文阅读：

https://www.easyaq.com/news/2147308031.shtml

Fi设备无一幸免，连最新的WPA3规范都存在设计缺陷。位在受害者无线电范围内的攻击者，可以利用FragAttacks漏洞窃取用户信息并且攻击设备。

FragAttacks一系列的漏洞其中3个来自Wi-Fi标准中的设计缺陷，所以大多数的设备都受到影响，而更重要的是，Mathy Vanhoef还发现了一些漏洞，这些漏洞是由Wi-Fi产品中普遍存在的程序错误引起。经证实，每个Wi-Fi产品都至少受一个FragAttacks漏洞影响，并且绝大多数的产品都存在多个漏洞。

这些漏洞影响所有Wi-Fi的安全协议，包括最新的WPA3规范，甚至是Wi-Fi最初的安全协定WEP都在影响范围中，也就是说，从1997年Wi-Fi发布一样，这些设计缺陷已经成为Wi-Fi的一部分。值得庆幸的是，设计缺陷难以被黑客利用，Mathy Vanhoef提到，因为这些设计缺陷必须要有用户参与，才有可能被滥用，又或是只有在使用不常见的网络配置时，才有可能被实现。

因此FragAttacks漏洞最大的隐忧，还是在Wi-Fi产品的程序错误，其中几个漏洞可轻易地被恶意攻击者利用。

详文阅读：

http://hackernews.cc/archives/35373

俄罗斯男子承认密谋敲诈特斯拉

据外媒报道，美检察官和法庭记录显示，一名俄罗斯男子在美国认罪，他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪，另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。

Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。

美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉，这种软件会破坏目标网络上的数据，其只有通过攻击者提供的软件密钥才能解锁。通常情况下，从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。

详文阅读：

http://hackernews.cc/archives/35096

Linux 内核发现 3 个存在 15年 之久的提权漏洞

通常情况下，基于 Linux 的发行版本要比 Windows 更加安全，但这并不是说就没有漏洞了。近日，网络安全公司 GRIMM的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞，可以利用这些漏洞可以获得系统的 root 权限。更重要的是，这些漏洞已经存在长达 15 年之久。

这些漏洞（被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365）存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的，但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。

详文阅读：

http://hackernews.cc/archives/35033

来源：freebuf.com 2021-05-31 15:14:08 by: qinglianyun