青莲晚报(第三十四期)| 物联网安全多知道 – 作者:qinglianyun

微信公众号-青莲晚报封面图-34.jpg

Guardzilla家用摄像头设计缺陷导致云端数据开放

研究人员发现了一个新的物联网问题:Guardzilla家庭视频监控系统的设计缺陷允许用户观看其他房主的Guardzilla视频。

Guardzilla多合一视频安全系统是一个提供室内视频监控的家庭安全平台。GZ501W型号摄像头包含一个共享的,硬编码的 Amazon S3凭证,用于在亚马逊云中存储已保存的视频数据,因此Guardzilla多功能一体化视频安全系统的所有用户都拥有相同的密码,可以互相访问保存家庭视频。而且,任何未经身份验证的用户只要知道存储细节,就可以通过internet从任何系统收集数据。

详文阅读:

https://www.hackeye.net/securityevent/18331.aspx

施耐德电动汽车充电桩EVLink Parking曝多个安全漏洞

从施耐德电气有限公司(Schneider Electric SA)于近日发布的一份安全公告来看,该公司旗下电动汽车充电桩产品EVLink Parking受到多个安全漏洞的影响,包括一个紧急(Critical)漏洞、一个高危(High)漏洞一个中危(Medium)漏洞。

这份安全公告指出,这三个安全漏洞影响到EVLink Parking v3.2.0-12_v1及之前的所有版本。具体漏洞细节如下:

♣ 第一个漏洞:CVE-2018-7800

CVSS:3.0评分:9.8(Critical)

漏洞描述:该漏洞属于一个硬编码凭证漏洞,允许攻击者获得对受影响设备的完全访问权限。

♣ 第二个漏洞:CVE-2018-7801

CVSS:3.0评分:8.8(High)

漏洞描述:该漏洞属于一个代码注入漏洞,允许攻击者通过远程执行代码来获取对系统最大权限的访问。

♣ 第三个漏洞:CVE-2018-7802

CVSS:3.0评分:6.4(Medium)

漏洞描述:该漏洞属于一个SQL注入漏洞,允许攻击者获得对Web接口的完全访问权限。

详文阅读:

https://www.hackeye.net/threatintelligence/18213.aspx

ibuKey云中存在漏洞,可执行代码

WibuKey数字版权管理(DRM)解决方案中存在漏洞,该漏洞可被用来在受感染系统上披露信息,提升权限,甚至执行代码。

适用于多种接口与操作系统的WibuKey广泛应用于Straton、 Archicad,、GRAPHISOFT、V-Ray及大量其他解决方案中。不过,Wibu Systems建议新项目改用其公司的其他技术。 

据Cisco安全研究人员指出,全球3000余家公司都使用了WibuKey解决方案,以保护知识产权及其他数字内容。 

详文阅读:

https://www.easyaq.com/news/348668036.shtml

利用Crazyradio获取罗技无线鼠标权限进行重放攻击实验

无线鼠标一般由两部分组成,鼠标和鼠标接收器,鼠标端通过采集鼠标的操作状态,比如采集鼠标各个按键的按下的状态,鼠标移动的轨迹等数据,然后把这些数据调制成模拟信号通过特定的无线频率(例如 24Mhz,27Mhz,2.4Ghz,或者蓝牙)发射出去,鼠标接收器接受到无线信号后,解调成数据,解析里面的数据后做出相应的动作,比如按键和移动等操作,大多情况下无线鼠标通过2.4Ghz的无线频率和PC端进行通信。通过Crazyradio + MouseJack项目可以简易地对2.4GHz无线设备的工作频段进行嗅探,分析传输信号,进一步重放攻击。

详文阅读:

https://www.freebuf.com/geek/192670.html

多个D-Link设备出现安全问题

[CVE-2018-18007] D-Link DSL-2770L设备上的atbox.htm允许远程未经身份验证的攻击者发现管理员凭据

http://t.cn/EbdTJiO

[CVE-2018-18008] 多个D-Link设备(DSL,DIR,DWR)上的spaces.htm允许远程未经身份验证的攻击者发现管理员凭据

http://t.cn/EbdTJip

[CVE-2018-18009] D-Link DIR-140L和DIR-640L设备上的dirary0.js,允许远程未经身份验证的攻击者发现管理员凭据

http://t.cn/EbdTJiS

来源:freebuf.com 2019-01-02 11:33:04 by: qinglianyun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论