Aggregator

除了药物兴奋剂以外，职业自行车比赛近年来作弊手段不断“创新”，从赛道上的钉子陷阱，到隐蔽在轮毂中的电机等“电子兴奋剂”。如今，随着自行车变速系统的电子化演变，黑客开始将注意力转向高端自行车的热门组件——无线变速器。 本周，在美国的Usenix安全研讨会上，加州大学圣地亚哥分校和东北大学的研究人员展示了一种黑客技术，利用几百美元的硬件设备，便可攻击禧玛诺（Shimano）的无线变速系统。这种攻击可以在10米之外伪造信号，使目标自行车在关键时刻意外换挡，甚至完全锁定变速器，强迫车手以错误的挡位骑行。 如果用户没有及时下载最新的固件补丁，可能会在赛道上被远程控制，改变比赛结果甚至引发伤亡事故。 无线变速的“软肋” 现代高端自行车越来越多地使用电子组件，如功率计、无线悬架控制和无线变速器。尤其在职业比赛中，电子变速器已经成为主流。这种变速器通过数字信号控制，通常比机械变速器更为可靠。然而，随着有线电子变速器逐渐过渡到蓝牙无线版本，安全隐患也随之而来。研究人员公布的黑客攻击手法简单来说，就是通过拦截目标车手的变速信号，并在比赛关键时刻重放这些信号，从而控制目标自行车的变速。研究人员仅通过一个300美元的软件无线电、天线和笔记本电脑，就成功实施了重放攻击。更简单的干扰攻击甚至无需拦截信号，只需通过广播干扰信号，便可使多个车手的变速器失效。 Shimano Di2无线变速组件和研究人员的黑客工具包 通过攻击无线变速器来操纵比赛结果可能听起来像科幻小说，但对职业比赛的影响却是显而易见的。东北大学的研究人员Aanjhan Ranganathan指出，黑客可以通过这种方法让一个车手受益，同时干扰其他车手的变速器：“你可以干扰所有人，唯独让你自己不受影响”。这种技术的可怕之处在于，它不仅能影响个别车手，甚至可影响整支车队。 研究人员指出，在诸如环法自行车赛这样的比赛中，如果黑客能够控制对手的变速器，便能轻松扰乱其节奏，甚至引发致命的失误。例如，在爬坡阶段将车手的挡位从低档切换到高档，或是在冲刺时强行切换挡位，都足以让对手输掉比赛，甚至发生摔车事故。 加州大学圣地亚哥分校的计算机科学助理教授Earlence Fernandes指出，这种攻击方式属于“无痕作弊”。在竞争激烈的自行车运动中，黑客攻击无疑是一种全新的威胁。 禧玛诺的应对措施 面对这一安全漏洞，禧玛诺迅速作出了反应。公司在与研究团队密切合作后，开发了新的固件更新，以增强其Di2无线变速系统的安全性。然而，值得注意的是，这一补丁直到8月底才会全面提供给用户。在此之前，职业车队已经收到该补丁，但普通用户仍需等待更新的正式发布。 禧玛诺表示，此次固件更新旨在改进无线信号传输的安全性，尽管公司并未详细说明具体修复了哪些漏洞。用户可以通过Shimano的E-TUBE Cyclist智能手机应用程序自行更新后拨固件，但前拨是否包含在更新范围内尚不明确。公司表示，关于更新过程的更多信息将在稍后发布。 自行车网络化的“安全债” 职业自行车比赛近年来饱受多种作弊手段的冲击，但通过攻击对手的无线变速器来操纵比赛无疑是最新威胁。研究人员指出，这不仅是自行车行业面临的挑战，也是整个科技行业需要警惕的趋势。随着越来越多的设备实现联网化、无线化，从车库门到汽车，再到自行车，它们都变得容易受到类似的重放攻击和干扰攻击。 正如Ranganathan所言，“制造商在产品中加入无线功能时，往往会对现实世界中的控制系统产生影响，而这种影响可能带来物理伤害。” 这一研究为整个自行车行业敲响了警钟，提醒人们在追求技术进步的同时，必须更加重视安全问题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Kr_M1AzDoZ5jPKe1t-GU-w 封面来源于网络，如有侵权请联系删除

A vulnerability was found in Friendica 2023.12 and classified as problematic. This issue affects some unknown processing of the component Calendar Event Handler. The manipulation of the argument cid leads to information disclosure. The identification of this vulnerability is CVE-2024-27730. The attack may be initiated remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability has been found in AVEVA Historian Web Server up to 2020 R2 SP1/2023 P02 and classified as critical. This vulnerability affects unknown code of the component REST Interface. The manipulation leads to sql injection. This vulnerability was named CVE-2024-6456. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Google Android 12/12L/13/14. This affects the function sdpu_compare_uuid_with_attr of the file sdp_utils.cc. The manipulation leads to out-of-bounds read. This vulnerability is uniquely identified as CVE-2024-34727. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability, which was classified as problematic, has been found in eLabFTW up to 4.3.4. Affected by this issue is some unknown functionality of the component User Creation Handler. The manipulation leads to incorrect privilege assignment. This vulnerability is handled as CVE-2024-25633. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Tradedoubler Grow Plugin up to 2.0.21 on WordPress. Affected by this vulnerability is an unknown functionality. The manipulation of the argument component leads to path traversal. This vulnerability is known as CVE-2024-6460. The attack can only be done within the local network. There is no exploit available.

A vulnerability classified as critical has been found in tc39 ECMA-262 2022/2023/2024. Affected is an unknown function. The manipulation leads to uncaught exception. This vulnerability is traded as CVE-2024-43357. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in NixOS calamares-nixos-extensions up to 0.3.16. It has been rated as problematic. This issue affects some unknown processing of the file /crypto_keyfile.bin. The manipulation leads to unprotected storage of credentials. The identification of this vulnerability is CVE-2024-43378. The attack needs to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

当CrowdStrike正忙于应付“全球最大规模蓝屏事件”的客户集体诉讼时，微软公司本周发布的一个BitLocker安全补丁再次触发“蓝屏”事件。不过这次“蓝屏”不是“蓝屏死机”，而是重启到Bitlocker的蓝色恢复界面。对于很多刚刚经历CrowdStrike事件惊魂未定的CIO和CISO们来说，微软官方“蓝屏补丁”事件不仅仅是伤口上撒盐，更可能是彻底摧毁对IT服务商信心的“最后一根稻草”。 “官方蓝屏补丁” 微软的Windows驱动器加密工具BitLocker在两次“蓝屏事件”中都扮演了重要角色。在CrowdStrike的安全更新导致的全球最大规模IT系统崩溃事件中，使用BitLocker加密驱动器的用户在恢复系统时需要手动输入BitLocker密钥，这大大拖延了系统恢复的时间。在本周微软的“蓝屏事件”中，BitLocker的角色从“反串”晋升到了主角。事件起因是微软在修复BitLocker安全漏洞的过程中，由于固件兼容性问题导致部分设备进入BitLocker恢复模式（下图），导致大量用户必须输入恢复密钥才能正常启动系统。这迫使微软撤回该补丁并建议用户实施BitLocker安全漏洞的手动缓解措施。 微软安全更新导致设备重启到Bitlocker恢复界面 BitLocker是Windows的一个安全功能，通过加密存储驱动器来防止数据泄露或被盗。通常情况下，只有在用户更换硬件或TPM（受信任平台模块）更新等事件后，系统才会进入BitLocker恢复模式。而此次微软补丁导致触发恢复模式，显然属于程序bug而非“功能特色”，并迅速引起了业界广泛关注。 该“蓝屏补丁”影响多个Windows客户端和服务器平台，涵盖Windows 10、Windows 11以及多版本的Windows Server，具体如下： 客户端系统：Windows 11 23H2、22H2、21H2；Windows 10 22H2、21H2。 服务器系统：Windows Server 2022、2019、2016、2012 R2、2012、2008 R2、2008 此前已发生多次安全更新事故 类似的的安全更新问题在2022年8月的KB5012170更新中也曾出现，当时Secure Boot DBX（禁止签名数据库）的更新触发了0x800f0922错误，导致部分设备进入BitLocker恢复模式。而在2023年4月，微软再次修复了另一个导致BitLocker加密错误的问题，该问题在一些管理环境中被标记为报告错误，但并未影响驱动器加密本身。在本月的补丁星期二，微软还修复了7月Windows安全更新引发的BitLocker恢复问题。然而，微软并未透露导致该问题的根本原因，也未详细说明是如何修复的。 不可撤销的缓解措施 由于补丁与设备固件不兼容导致部分设备进入BitLocker恢复模式，微软最终决定撤回该修复补丁（CVE-2024-38058）。但由于该漏洞极为严重（攻击者可能通过物理访问目标设备绕过BitLocker设备加密功能，从而访问加密数据），微软在8月的安全更新中正式禁用了该补丁，并建议用户通过KB5025885公告中的手动缓解措施保护系统和数据。 微软给出的手动缓解措施包括一个四阶段的操作流程，需要重启设备多次。需要格外留神的是，应用这些缓解措施后，启用了安全启动（Secure Boot）的设备将无法移除该缓解措施，即使重新格式化磁盘也无济于事。 微软提醒用户，在实施这些缓解措施之前，应充分测试并了解所有可能的影响，因为一旦实施，撤销将变得非常困难。 安全补丁不可随意“敏捷” 虽然微软总是建议用户安装最新更新，但此次“蓝屏事件”再次提醒我们，安全补丁的兼容性和系统恢复问题仍是未来安全更新中的一大挑战。对于企业和用户来说，最重要的是及时了解和跟进安全更新，同时在部署补丁和实施缓解措施时，不可盲目置信（即便是主流厂商），必须进行充分的测试和评估，以确保系统稳定性与安全性的平衡。 此外，CrowdStrike和微软相继曝出“蓝屏事件”，表明在网络安全产品的QA和测试环节生搬硬套敏捷方法往往会产生严重的安全隐患。 “这就是所谓的敏捷。微软的产品曾经很成功，因为他们有更多的QA而不是开发。然后，他们在开发Bing时改变了QA方法，并认为找到了最佳实践（将Bing看作成功的衡量标准）”一位安全人士对该事件进行了点评，“将开发和测试结合起来的敏捷方法，以“组合工程”的名义（首先在Bing团队中使用）大肆宣传。在Bing，创建程序化测试的任务被甩给开发人员，而不是专门的测试人员。QA仍然存在并且仍然很重要，但（安全产品）需要执行的是最终用户风格的“真实世界”测试，而不仅仅是程序化自动化测试。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/1ZbeJHWKLhKQRb_7LpRAKw 封面来源于网络，如有侵权请联系删除

最近看着bsauce的博客学习kernel pwn，想试着把CVE-2017-11176复现一下，于是下载了centos 7.4.1708的内核，结果遇到auditd的问题。

微软的AI医疗聊天机器人服务中存在严重的安全漏洞。漏洞允许未经授权的访问者获取用户和客户的个人信息。 漏洞中其中一个被评定为“严重”等级，攻击者可能利用漏洞在Azure Health Bot服务的网络环境中进行横向移动。 目前，微软已对发现的漏洞采取了缓解措施，无需客户再做行动。 AI聊天机器人被利用 Azure Health Bot Service是一个云平台，医疗保健组织能够构建和部署AI驱动的虚拟助手，以降低成本并提高效率。在检查该服务的安全问题时，Tenable研究人员研究了“数据连接”这一功能上，机器人能够从外部数据源获取信息，这可能包括患者医疗信息等敏感数据。 这个数据连接功能是为了使得服务的后端系统能够向第三方应用程序API接口发送请求。 在测试这些连接以查看它们是否可以与服务内部的端点交互时，研究人员发现，发出重定向响应使他们能够绕过这些端点上的一些安全措施，例如过滤机制。 在此过程中发现了两个权限提升漏洞。 漏洞一：严重权限提升漏洞 Tenable研究人员详述的第一个漏洞是通过服务器端请求伪造的方式被利用，通用漏洞披露CVE编号为CVE-2024-38109。随后，研究人员配置了这个外部主机，使其对请求以301重定向响应，目标是IMDS（内部元数据服务）。 在接收到有效的元数据响应后，研究人员能够获得一个访问令牌，这个令牌为他们提供了一个微软内部的订阅ID。最后发现访问的资源中包含了数百个属于其他客户的资源。 这些发现在2024年6月17日报告给了微软，并且在一周内，修复措施被引入到受影响的环境中。到7月2日，修复措施已经在全球范围内推出。 修复这个漏洞的方法是完全拒绝数据连接端点的重定向状态码，这消除了这个攻击向量。 微软将这个漏洞评为严重等级，确认它将提供跨租户访问。它已被包含在微软2024年8月的Patch Tuesday出版物中。 没有证据表明这个问题被恶意行为者利用过。 漏洞二：重要权限提升漏洞 在Microsoft修复第一个漏洞后，Tenable研究人员在Azure Health Bot Service的数据连接功能中发现了另一个权限升级漏洞。研究人员使用类似的服务器端请求伪造技术来利用FHIR端点向量中包含的漏洞，该向量规定了访问电子病历资源和对资源执行操作的格式。 这个漏洞比IMDS漏洞的严重程度要低，因为它不提供跨租户访问权限。 研究人员在7月9日向微软报告了这个漏洞，微软在7月12日提供了修复措施。这个漏洞被评定为重要级别。但目前没有证据表明这个问题被恶意行为者所利用。   转自e安全，原文链接：https://mp.weixin.qq.com/s/p2FvrlVK1_wx1deUA_xFJA 封面来源于网络，如有侵权请联系删除

Ошибочное решение агентства может привести к катастрофе.