青莲晚报（第八十六期）| 物联网安全多知道 – 作者:qinglianyun

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

工业控制系统存在可导致远程代码攻击的严重漏洞

实时自动化（RTA）499ES EtherNet/IP（ENIP）堆栈中存在一个严重漏洞，该漏洞可能会使工业控制系统受到远程攻击。

RTA的ENIP堆栈是广泛使用的工业自动化设备之一，被誉为“北美工厂I/O应用的标准”。

美国网络安全与基础设施局（CISA）在一份咨询报告中表示：“成功利用此漏洞可能造成拒绝服务，缓冲区溢出可能允许远程代码执行。”

到目前为止，尚未发现针对此漏洞的已知公开攻击。然而，“根据互联网连接设备的公共搜索引擎，目前有超过8000台与ENIP兼容的互联网设备。”

该漏洞编号为CVE-2020-25159，CVSS评分为9.8（满分10分），影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。

安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。

详文阅读：

http://hackernews.cc/archives/33556

ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域，针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后，据说都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。

2009 年开始浮出水面的 Cicada，被美方认为有境外背景，且曾向日本多个组织机构发起过网络攻击。

从目前已知的信息来看，新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬，一直活跃到至少今年 10 月。

赛门铁克指出，Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术，并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。

需要指出的是，该组织最近还扩展了他们的工具包阵容，能够对评级为 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展开利用。

详文阅读：

http://hackernews.cc/archives/33538

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

在微软披露存在于 Windows RDP 服务中的 BlueKeep 高危漏洞一年半后，目前至少仍有 245000 台 Windows 设备尚未修复该漏洞，意味着它们依然容易受到黑客的攻击。BlueKeep 于2019年5月首次发现，在对 950000 台设备的扫描中发现 25% 的设备存在该漏洞。

同样地，超过 103000 台 Windows 设备仍然容易受到 SMBGhost 的攻击，这是存在于2020年3月发布的新版 Windows 附带的服务器消息块v3（SMB）协议中的漏洞。

这两个漏洞都使攻击者可以远程控制Windows系统，并且被认为是过去几年Windows中披露的一些最严重的错误。然而，根据 SANS ISC 管理员 Jan Kopriva 在过去几周进行的研究，尽管这两个漏洞非常严重，但许多系统仍未打补丁。

根据这名来自捷克的安全研究人员的说法，目前全球仍有数百万台设备存在安全隐患，而且管理员无法修复它们，导致非常容易被恶意攻击者接管。这些系统包括 IIS 服务器、Exim 电子邮件代理，OpenSSL 客户端和 WordPress 网站等系统。

详文阅读：

http://hackernews.cc/archives/33527

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

近日有报道称，某些防病毒产品会将戴尔的打印机驱动程序标记为恶意软件。目前尚不清楚到底是什么情况，但戴尔已经紧急撤除了下载链接。Windows Central 援引网络安全观察记者 Brian Krebs 的话称，大家应暂时尽量避免安装任何戴尔打印机的驱动程序更新。

戴尔在致 Windows Central的一份声明中称：公司网络安全团队已将问题驱动文件从可被公共访问的资源库中剔除，并就此事展开深入的调查。该公司致力于保护客户的信息，网络和产品的安全性一直是其第一要务。

详文阅读：

http://hackernews.cc/archives/33338

Zyxel 超级管理员帐号曝光 超 10 万台设备受影响

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死（hardcoded）的管理员后门帐号，能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。

这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的，被认为是最糟糕的漏洞，建议设备拥有者在时间允许的情况下尽快更新系统。

安全专家警告说，从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙，任何人都可以滥用这个后门账户来访问脆弱的设备，并转入内部网络进行额外的攻击。

据悉，Zyxel 大部分主打产品均存在这个漏洞，受影响的产品型号包括：“Advanced Threat Protection (ATP) 系列：主要用于防火墙

Unified Security Gateway (USG) 系列：主要用于混合防火墙或者 VPN 网关

USG FLEX 系列：主要用于混合防火墙或者 VPN 网关

VPN 系列：主要用于 VPN 网关

NXC 系列：主要用于 WLAN 接入点控制”

这些设备很多都是在公司网络的边缘使用，一旦被入侵，攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询，NXC系列的补丁预计将在2021年4月推出。

研究人员表示，该账户拥有设备的root权限，因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。

详文阅读：

http://hackernews.cc/archives/34516

来源：freebuf.com 2021-01-04 14:38:36 by: qinglianyun