青莲晚报（第八十七期）| 物联网安全多知道 – 作者:qinglianyun

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

新型 Golang 蠕虫传播恶意软件

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。

自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。

C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。

该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。

如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。

要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。

详文阅读：

http://hackernews.cc/archives/34514

FBI 警告：黑客正在劫持低安全性的智能设备

FBI在近日发布的公共服务公告中表示：”黑客正在劫持安全性较弱的智能设备，通过家庭监控设备进行swatting攻击。”

黑客使用了之前在网上泄露用户名和密码，向执法部门举报，谎称受害者正在进行犯罪活动。

当执法部门到达住所时，黑客通过摄像头和扬声器监视警察，黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加，更有甚者因警察误射毙命。

已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于，最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动，通过Discord机器人和暗网的服务拨打匿名电话报警。

FBI表示，为了应对数量激增的相关案件，他们现在正与设备供应商合作，并建议用户设置高强度密码。此外，FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码，并尽可能使用双重认证。

详文阅读：

http://hackernews.cc/archives/34465

日本川崎重工披露安全漏洞

近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。

川崎重工有限公司是一家日本的跨国公司，主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶，也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。

公司发布声明：“截止2020年6月11日，安全人员发现从泰国站点未经授权访问日本服务器的情况，随后又发现了从其他海外站点（印度尼西亚、菲律宾和美国）未经授权的访问日本服务器的情况。”

该公司随后加强了对海外办事处访问的监控操作，还限制了从国外对日本服务器的访问。

11月30日，公司恢复了海外办事处与日本总部之间终止的网络通信。

川崎重工有限公司表示：“经过调查，海外办事处的相关信息可能已被泄露。”

自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。

除此之外，国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。

详文阅读：

http://hackernews.cc/archives/34436

Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备

美国网络安全基础设施和安全局（CISA）警告称，Treck开发的一个低级TCP/IP软件库存在严重漏洞，远程攻击者可以运行任意命令并发动拒绝服务（DoS）攻击。

这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本，其中两个漏洞的等级为严重。

Treck的嵌入式TCP/IP Stack部署在全球制造业、信息技术、医疗保健和运输系统中。

其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞（CVE-2020-25066），该漏洞允许攻击者重置目标设备或使其崩溃，甚至执行远程代码。它的CVSS得分是9.8分（最高10分）。

第二个漏洞是IPv6组件（CVE-2020-27337，CVSS评分9.1）中的越界写入，未经身份验证的用户可利用该漏洞通过网络访问造成DoS。

其他两个漏洞涉及IPv6组件中的越界读取（CVE-2020-27338，CVSS得分5.9），未经身份验证的攻击者可能会利用该漏洞导致DoS。同一模块中的输入验证错误漏洞（CVE-2020-27336，CVSS得分3.7）可能导致越界读取（通过网络访问最多读取三个字节）。

Treck建议用户更新到6.0.1.68版本。在无法应用最新补丁的情况下，建议使用防火墙以过滤掉HTTP报头中包含负内容长度的数据包。

在Treck TCP/IP Stack出现新漏洞的6个月前，以色列网络安全公司JSOF发现了名为Ripple20的软件库中的19个漏洞，这可能使攻击者在不需要任何用户交互的情况下获得对目标物联网设备的完全控制。

此外，本月早些时候，Forescout的研究人员发现了33个漏洞，统称为“AMNESIA：33”。这些漏洞可能导致TCP/IP Stack被滥用，使得攻击者可以控制易受攻击的系统。

考虑到复杂的物联网供应链，该公司发布了一种名为“project-memoria-detector”的新检测工具，以确定目标网络设备是否在实验室环境下运行易受攻击的TCP/IP Stack。

该工具可以通过GitHub访问。

详文阅读：

http://hackernews.cc/archives/34304

CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备

12月21日，一个研究小组公布了他们在Dell Wyse Thin客户端中发现的两个严重漏洞，这些漏洞可能使攻击者能够远程执行恶意代码并访问受影响设备上的任意文件。

这些漏洞由CyberMDX发现，并于2020年6月向戴尔报告。这两个漏洞的CVSS评分均为10分，影响ThinOS 8.6及以下版本的设备。戴尔在21日发布的更新中已解决了这两个漏洞。

Thin客户端通常是使用存储在中央服务器上的资源而不是本地化硬盘驱动器运行的计算机。它们通过建立到服务器的远程连接来工作，服务器负责启动和运行应用程序并存储相关数据。

本次漏洞的编号为CVE-2020-29491和CVE-2020-29492，用于从本地服务器获取固件更新和配置的FTP会话是不受保护的，没有任何身份验证（“匿名”），从而使同一网络中的攻击者能够读取和更改其配置。

第一个漏洞CVE-2020-29491允许用户访问服务器并读取属于其他客户端的配置（.ini文件）。

由于没有FTP凭据，网络上的任何人都可以访问FTP服务器并直接更改保存其他Thin客户端设备配置的.ini文件（CVE-2020-29492）。

更糟糕的是，该配置可能包含敏感数据，包括可能被用来危害设备的密码和帐户信息。

这些漏洞的利用相对容易，我们建议用户尽快使用补丁来降低风险。

CyberMDX还建议将兼容的客户端更新到ThinOS9，从而删除INI文件管理功能。如果无法进行升级，建议禁用FTP，使用HTTPS服务器或Wyse管理套件。

CyberMDX的研究人员表示：“读取或更改（ini文件中）这些参数会加剧攻击。在配置和启用VNC以进行完全远程控制、泄漏远程桌面凭据以及操纵DNS结果时，我们需要格外注意。”

详文阅读：

http://hackernews.cc/archives/34260

来源：freebuf.com 2021-01-14 14:50:50 by: qinglianyun