青莲晚报（第八十三期）| 物联网安全多知道 – 作者:qinglianyun

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

可 3 秒入侵 Windows 服务器：微软敦促客户尽快修复 Zerologon 漏洞

在 Zerologon 漏洞开始疯狂传播之后，美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本（包括 Windows 10 Server）打补丁。现在，微软也加入这一呼吁，表示：“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞（也被称之为 Zerologon）的活动情况，我们已经观测到有黑客利用该漏洞发起了攻击”。

该漏洞编号为 CVE-2020-1472，存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议（MS-NRPC）中，可让未经授权的攻击者借由和网域控制器建立 TCP 连线时，送入假造的 Netlogon 验证令符而登入网域控制器，进而完全掌控所有 AD 网域内的身份服务。

在 8 月的补丁星期二活动日中，微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分，但细节从未公开过，也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。

CISA已发布紧急指令20-04，指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新（CVE-2020-1472）。CISA 已经指示政府服务器在9月21日（本周一）之前打好补丁，同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。

详文阅读：

http://hackernews.cc/archives/32301

数十亿设备面临 BLESA 低功耗蓝牙重连欺骗攻击的安全威胁

研究人员刚刚曝光了低功耗蓝牙协议存在的一个严重安全漏洞，其全名为低功耗蓝牙欺骗攻击（简称 BLESA），预计有数十亿计的智能手机、平板 / 笔记本电脑、物联网设备首次影响。与此前普遍涉及配对操作的常见漏洞不同，新型 BLESA 攻击是在易被忽略的蓝牙重新连接过程之后发生的。作为经典蓝牙标准的瘦版本，其旨在节省电能和保障续航。

得益于省电节能的特性，低功耗蓝牙（BLE）已在过去十年里被广泛采用，但相关安全漏洞也不断被研究人员曝光。近日，普渡大学的 7 名学者，就在一项新研究中曝光了 BLE 的重连欺骗漏洞。

配对操作期间，两台 BLE 设备（客户 / 服务端）已经过相互认证，并沟通好了彼此的加密密钥。在将蓝牙设备移出范围，下次又返回时，即可对其进行自动重连。

然而研究团队指出，BLE 的官方规范，并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游，两套系统之间被引入了一个现实的安全隐患。

因为设备重连期间的身份验证是“可选”项，而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证，便很有可能被其绕过。

若被附近攻击者绕过了重连验证，便为 BLESA 攻击敞开了大门。具体说来是，攻击者可将带有错误信息的欺骗数据发送到 BLE 设备，并诱使用户或自动化流程作出错误的决定。

目前已知的是，基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击，而 Windows 平台上的 BLE 堆栈则相对安全。

详文阅读：

http://hackernews.cc/archives/32176

Windows 勒索软件被发现移植到 Linux 平台

安全公司卡巴斯基发现了 Windows 勒索软件 RansomEXX 的 Linux 版本。这是首次一种规模比较大的 Windows 勒索软件被发现移植到 Linux 平台。RansomEXX 是一种较新的勒索软件，是在今年 6 月最早发现的，主要针对能支付大额赎金的目标。它的受害者包括了得州交通部、柯尼卡美能达、政府承包商 Tyler Technologies，蒙特利尔公交系统和巴西法院系统。RansomEXX 背后的运营者创建 Linux 版本是因为今天的许多企业其内部系统运行在 Linux 而不是 Windows 上。

详文阅读：

https://www.solidot.org/story?sid=66032

物联网僵尸网络被用于充当代理服务器

安全公司 Bitdefender 的研究人员发现大约 9000 台物联网设备——大部分运行 Android，少数运行 Linux 和 Darwin——组成了被称为 Storm 的僵尸网络，其主要目的是创建盈利目的的代理服务器。这不是第一次僵尸网络充当代理服务器。攻击者是通过 SSH 扫描寻找弱密码或默认密码的设备然后感染机器，恶意程序 IPStorm是用 Go 语言编写，整合了 NTP、UPnP 和 SOCKS5 等协议的开源实现，将 lib2p 库用于点对点功能。

详文阅读：

https://www.solidot.org/story?sid=65847

腾讯主机安全（云镜）捕获 WatchBogMiner 挖矿木马新变种，利用 Apache Flink 漏洞攻击云主机

腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马最新变种对云主机的攻击，该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机，然后下载文件名为“watohdog”的门罗币挖矿木马。

该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名，将其命名为“Watchbog”挖矿木马。

详文阅读：

http://hackernews.cc/archives/33019

来源：freebuf.com 2020-11-11 11:39:43 by: qinglianyun