当今社会物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全,物联网设备安全不容小觑。
以下为近日的物联网安全新闻内容。
苹果数据传输面临漏洞威胁: 新的 Wireshark 剖析器揭开面纱
新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,研究人员对苹果数据传输过程的安全性表示担忧。黑客可能试图抓取包含与苹果iOS和iOS用户数据相关的敏感信息的网络数据包。
这种潜在的安全风险导致了一种新的Continuity Wireshark剖析器的开发,旨在抓取iOS设备在两个或多个设备之间进行苹果数据传输时的蓝牙协议数据。
Cyber Express团队已经就潜在泄露的问题与苹果公司进行了接触。然而,目前尚未收到官方回应。
新的Wireshark Dissector
苹果iOS设备以其与其他苹果设备的无缝整合和数据交换而闻名。这种苹果数据传输是通过iOS的iBeacon技术进行的,它允许设备之间进行无线通信。
由Guilherme Rambo(Insidegui)开发并在Netspooky/Dissector资源库中共享的 “Continuity “剖析器,专门用于分析iOS设备之间的苹果数据传输。
Wireshark是一个广泛使用的网络协议分析器,为安全专家提供了一个检查和剖析网络流量的高效工具。
Continuity Protocol Dissector增强了Wireshark的能力,允许分析人员检查广告信标的内容,并从苹果制造数据中提取有价值的信息。
据研究人员称,Continuity Protocol Dissector据称可以从外部接口捕获数据包,然后可以在以后使用Wireshark或tshark(Wireshark插件的命令行对应)进行分析。
为迭代更新做好准备
新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,让人们看到了苹果数据传输过程中的潜在漏洞。
这个工具使安全分析人员能够使用Wireshark插件或其命令行对应的tshark进行蓝牙流量捕捉和分析。
通过利用这个剖析器,并使用显示过滤器 “acble “关注连续性协议数据,分析师可以更好地了解iOS设备之间的通信,并确定苹果数据传输中的任何潜在安全漏洞。
Continuity Protocol Dissector继续发展,定期发布更新,以解决协议中的变化和扩展,并支持新的消息类型。
虽然目前还在进一步更新中,但该剖析器为分析苹果BLE广告信标协议提供了大量功能。
要深入研究苹果连续性协议并分析苹果BLE广告信标协议,感兴趣的人可以访问Netspooky/Dissectors仓库中由Guilherme Rambo(又名Insidegui)维护的GitHub仓库。
通过随时了解情况并采取积极措施解决潜在的安全风险,用户可以帮助确保 Apple 数据传输过程的安全,并为更安全的数字环境做出贡献。
详文阅读:
https://hackernews.cc/archives/43882
微星固件密钥遭泄露,上百款产品受影响
据Cyber News 5月5日消息,有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥,这些密钥是区分合法和恶意更新的关键组件。
研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称,泄露的固件密钥影响了 57 款 微星产品,而泄露的 BootGuard 密钥影响了该公司 166 款产品。
固件镜像签名密钥是硬件安全基础设施的重要组成部分。这些密钥提供了安全信任,即固件是真实的并且没有被除软件开发人员或设备制造商之外的任何人篡改。同样,Intel Boot Guard 是一种处理器保护措施,可防止计算机运行非系统制造商发布的固件映像。
密钥的泄露会给用户带来重大风险,攻击者可以访问密钥,将受恶意软件感染的固件映像或固件更新推送为合法的更新。由于固件通常在操作系统启动之前启动,因此恶意代码可能会躲过防病毒或其他安全措施的监视。攻击者还可以使用密钥修改固件,严重影响设备的可靠性。
根据 Binarly 的说法,被曝光的设备包括多款微星的 Stealth、Creator、Crosshair、Prestige、Pulse、Modern、Raider、Sword、Summit、Vector 和 Katana 系列笔记本电脑。Github上已挂出受影响产品的完整列表。
今年早些时候,Money Message 勒索软件曾窃取了微星包括源代码在内的近1.5TB重要数据,并要求为此支付400万美元的赎金,但微星拒绝支付赎金。
详文阅读:
https://hackernews.cc/archives/43857
FPV 无人机遭勒索攻击,设备直接成”板砖”
FPV无人机竞赛护目镜制造商Orqa称,一个承包商在其设备的固件中植入代码,作为一个隐形威胁,旨在使设备瘫痪,索取高昂赎金。
4月30日,Orqa收到客户的报告,FPV.One V1护目镜开机后会直接进入引导程序模式无法正常使用。
随后该公司透露,这个问题是由日期/时间功能引起的固件错误造成的。
Orqa说:在这场危机的5、6个小时内,我们发现这个问题是由一个勒索软件引起的,这个勒索软件是几年前由一个黑心的前承包商秘密植入到我们的引导程序中的,目的是为了从公司获得高昂的赎金。
攻击者毫无商业信誉,为了不引起怀疑,他在过去几年里还与我们保持着业务关系,直到这次暴雷。
此次 “赎金软件定时炸弹攻击 “背后的承包商据称已经发布了一个 “未经授权的二进制文件”,说是可以解决FPV.One护目镜瘫痪的问题。
然而,该公司警告客户不要安装非官方固件,目前公司正在积极的测试以寻求解决的方法。
该公司表示,由于攻击者已经公开了他的所作所为,并发布了另一个被破坏的固件,我们决定让用户了解这一情况,并警告他们在设备上安装非官方固件的风险,积极的保障我们用户的利益。
除此之外,我们的安全审查发现,只有一小部分代码受到这个恶意软件的影响,目前正在进行修复。
修复后的固件预计将在新版本公开发布。
详文阅读:
https://hackernews.cc/archives/43842
美英警告:俄黑客组织在 Cisco 路由器部署恶意软件
近日,美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件,允许未经身份验证的设备访问。
APT28,也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy,是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击,并且以滥用零日漏洞进行网络间谍活动而闻名。
在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。
自定义 Cisco IOS 路由器恶意软件
Jaguar Tooth 是一种恶意软件,直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后,恶意软件会从路由器中泄露信息,并提供对设备的未经身份验证的后门访问。
NCSC公告警告说:“Jaguar Tooth是一种非持久性恶意软件,其目标是运行固件的 Cisco IOS 路由器:C5350-ISM,版本 12.3(6)。它包括收集设备信息的功能,通过 TFTP 泄露这些信息,并启用未经身份验证的后门访问。据观察,它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。”
为了安装恶意软件,威胁参与者使用弱 SNMP 社区字符串(例如常用的“公共”字符串)扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据,允许知道配置字符串的任何人查询设备上的 SNMP 数据。
如果发现有效的 SNMP 社区字符串,威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞,具有公开可用的利用代码。
一旦攻击者访问Cisco路由器,他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。
NCSC 恶意软件分析报告解释说:“当通过Telnet或物理会话连接时,这将授予对现有本地帐户的访问权限,而无需检查提供的密码。”
此外,该恶意软件创建了一个名为“Service Policy Lock”的新进程,该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露:
显示运行配置
显示版本
显示 ip 界面简介
显示arp
显示 cdp 邻居
演出开始
显示 ip 路由
显示闪光
所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。
Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理,因为它提供更强大的安全性和功能。
如果需SNMP,管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口,并且社区字符串应更改为足够强的随机字符串。
CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet,因为这些协议可能允许从未加密的流量中窃取凭据。
最后,如果怀疑某台设备遭到入侵,CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性,撤销与该设备关联的所有密钥,不要重复使用旧密钥,并使用直接来自 Cisco 的映像替换映像。
目标的转变
公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。
由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案,因此它们正成为威胁参与者的热门目标。
此外,由于它们位于边缘,几乎所有企业网络流量都流经它们,因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。
详文阅读:
https://hackernews.cc/archives/43753
外媒:俄罗斯黑客劫持乌克兰境内摄像头,收集军队动向情报
美国高级安全官员表示,俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头,借此收集援助车队经过时的动向情报。
美国国家安全局网络安全主管罗伯·乔伊斯(Rob Joyce)称,作为乌克兰战争的一部分,俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。
而黑客攻击的一大重点,正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。
乔伊斯在华盛顿国际与战略研究中心表示,“乌克兰的利益正不断受到侵害,包括试图破坏其金融、政府、个人和个体企业。”
“俄方采取了种种创造性的攻击手段。我们观察到,俄罗斯黑客开始登入面向公众的联网摄像头,希望借此观察运送援助物资的车队和列车。”
“他们入侵了这些网络摄像头……并且选择的目标并非网上公开的城镇广场监控,而是咖啡厅安装的安保摄像头。”
他表示,俄罗斯方面还将黑客攻击的重点放在美国国防制造商和物流运输企业身上,希望了解关于乌克兰武器供应链的更多信息。
详文阅读:
https://hackernews.cc/archives/43745
关于青莲云
北京方研矩行科技有限公司(简称:青莲云)是一家专业的物联网安全解决方案供应商。公司依托多年来在物联网安全领域的攻防实战经验以及完整的智能终端研发经验,将“安全”与“业务”无缝结合,为企业客户提供覆盖物联网云平台安全、终端安全、通信安全、可信安全、安全测试、威胁情报、态势感知等端到端的物联网安全整体解决方案。
公司获得国内多家投资机构千万级投资,并拥有国家高新技术企业、中关村高新技术企业、ISO9001、ISO27001、ISO27017、ISO27018等多项企业资质,先后入选IDC年度行业报告《IDC创新者:中国物联网安全,2017》、Gartner年度行业研究报告《2019数字创新业务Cool Vendor》以及Gartner China Cybersecurity推荐厂商。通过扎实的安全研究功底、良好的产品体验、优秀的服务质量赢得了众多行业客户的信赖与支持,产品及服务先后落地智慧城市、国家电网、商业地产、新能源充电、工业制造、智慧金融等众多领域。
目前,青莲云已同国家电网、中国电信、深信服、微软中国、中软集团、公安部三所等知名企事业单位达成合作,助力企业实现安全稳定的数字化、智能化转型。
热门跟贴