物联网市场的两个趋势正在融合,从而产生一个重大的安全问题。大量设备的制造商正在添加用于管理和更新的连接功能,并提供额外的服务,从而在大多数组织中导致更大的攻击面。然而,这些设备的管理并没有跟上步伐,使得其中许多设备容易受到攻击。
例如,根据Cynerio1月20日的一份报告,在医疗领域,医疗环境中53%的联网医疗设备和其他物联网设备存在严重漏洞。静脉泵和病人监护仪是医院中最常见的连接设备,占平均医疗环境中物联网设备的57%。
物联网设备中的漏洞远远超出家庭路由器和消费产品。由于许多这些连接的设备都基于相同的操作系统(例如Linux或Wind River System的VxWorks),因此各种医疗设备、制造控制器和监控系统(仅举几例)也经常被发现存在漏洞。对物联网控制器或监控设备的攻击很容易导致公用事业、医院或智能建筑和城市基础设施内的运营停止,从而使任何赎金需求变得更加重要。
新闻来源:
https://www.darkreading.com/iot/as-iot-attacks-increase-experts-fear-more-serious-threats
黑客使用新的恶意软件打包程序DTPacker来避免检测一个名为DTPacker的以前未记录的恶意软件打包程序分发多个远程访问特洛伊木马(RAT)和信息窃取程序,如Agent Tesla,Ave Maria,AsyncRAT和FormBook,以掠夺信息并促进后续攻击,该恶意软件使用多种混淆技术来逃避防病毒,沙盒和分析。
涉及打包程序的攻击链依赖于网络钓鱼电子邮件作为初始感染媒介。这些邮件包含恶意文档或压缩的可执行附件,打开后,会部署打包程序以启动恶意软件。
打包程序与下载器的不同之处在于,它们携带了混淆的有效载荷,以一种充当"保护二进制文件的盔甲"的方式向安全解决方案隐藏其真实行为,并使逆向工程更加困难。
DTPacker的不同之处在于它的功能是两者兼而有之。它的名字来源于这样一个事实,即它使用了两个唐纳德·特朗普主题的固定键-"trump2020"和"Trump2026"-来解码最终提取和执行最终有效负载的嵌入式或下载资源。
新闻来源:
https://thehackernews.com/2022/01/hackers-using-new-malware-packer.html
安全漏洞威胁 在polkit的pkexec中发现本地提权漏洞(CVE-2021-4034)研究人员今天警告说,Polkit的pkexec组件中的一个漏洞被识别为CVE-2021-4034(PwnKit),漏洞存在于所有主要Linux发行版的默认配置中,可以被利用来获得系统root权限。
CVE-2021-4034被命名为PwnKit,其起源已被追踪到12年前pkexec的初始提交,这意味着所有Polkit版本都受到影响。作为Polkit开源应用程序框架的一部分,该框架协商特权和非特权进程之间的交互,pkexec允许授权用户以另一个用户的身份执行命令,作为sudo的替代方案。
研究人员发现,pkexec程序可以被本地攻击者用来增加Ubuntu,Debian,Fedora和CentOS默认安装的权限。PwnKit也可能在其他Linux操作系统上被利用。PwnKit是"Polkit中的内存损坏漏洞,它允许任何非特权用户使用默认polkit配置在易受攻击的系统上获得系统root权限。”
在Qualys发布PwnKit的技术细节后不到三个小时,互联网已出现一个漏洞利用POC。经验证,该POC可以利用获取系统root权限。研究人员在ARM64系统上进一步测试了它,表明它也适用于该架构。
Ubuntu已经推送了PolicyKit的更新,以解决版本14.04和16.04ESM(扩展安全维护)以及更新版本18.04、20.04和21.04中的漏洞。用户只需运行标准系统更新,然后重新启动计算机即可使更改生效。
Redhat还为工作站和企业产品上的polkit提供了安全更新,用于支持的架构,以及扩展生命周期支持、TUS和AUS。
对于尚未推送修补程序的操作系统,临时缓解措施是使用以下命令剥离pkexec的读/写权限:
chmod0755/usr/bin/pkexec
新闻来源:
https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/
黑客利用MSHTML漏洞监视政府和国防目标网络安全研究人员周二结束了一场多阶段的间谍活动,目标是监督国家安全政策的高级政府官员和西亚国防工业的个人。