Aggregator

This blog is based on our conversation with Harsh Modi, Senior Security Engineer at Bell. It explores what are the benefits of pentesting, and its real-world implications.

The post What are the actual benefits of pentesting? Insights from Harsh Modi appeared first on Security Boulevard.

Ivanti has released software updates to address multiple security flaws impacting Endpoint Manager (EPM), including 10 critical vulnerabilities that could result in remote code execution. A brief description of the issues is as follows - CVE-2024-29847 (CVSS score: 10.0) - A deserialization of untrusted data vulnerability that allows a remote unauthenticated attacker to achieve code execution.

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。 近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。 由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。 “最流行硬件密钥”YubiKey被破解 YubiKey 5系列硬件密钥产品是当下最流行的FIDO硬件令牌，内置了英飞凌的SLE78安全微控制器，以确保设备的高安全性。然而，研究人员发现，该微控制器在ECDSA实现中存在一个关键漏洞，可被攻击者利用并克隆密钥。 FIDO硬件令牌是一种用于网络服务身份验证的强认证工具，广泛应用于政府、企业和个人的敏感数据保护中。这些令牌通常嵌入安全元素（Secure Element），依赖椭圆曲线数字签名算法（ECDSA）作为其核心的加密原语。 该漏洞涉及一种非恒定时间的模逆运算，导致加密操作产生可预测的电磁辐射。研究人员通过分析电磁信号，发现攻击者可以利用这些泄露的信息推断出ECDSA私钥。具体而言，攻击者通过在受害设备附近部署特定的物理设备并进行几分钟的电磁侧信道采集，即可获得足够的信息来推导密钥。 研究的突破点是利用Feitian A22设备上的JavaCard开放平台进行逆向工程。该设备基于与YubiKey 5系列相同的Infineon SLE78微控制器，研究人员通过此平台发现了ECDSA实现中的侧信道漏洞，并成功设计了一种可行的攻击方法。最终，他们在YubiKey 5Ci设备上成功验证了该攻击。 产品漏洞顺利通过了80次顶级安全认证 该漏洞不仅影响YubiKey 5系列设备，还扩展至其他采用Infineon加密库的设备，如Optiga Trust M和Optiga TPM等安全微控制器。这些微控制器被广泛应用于各种复杂的安全系统，包括电子护照、智能家居、智能汽车等。尽管研究人员尚未确认该漏洞是否适用于所有这些系统，但潜在风险不容忽视。 根据论文，受影响的设备多达80款，且在过去14年中通过了多个最高级别的安全认证（如Common Criteria CC认证）。这一漏洞的长期未被发现，反映出即使是经过严格审查的加密系统，也可能存在未察觉的严重安全漏洞。 更糟糕的是，该漏洞还摧毁了人们对安全认证的信心，因为该漏洞在英飞凌顶级安全芯片中存在了14年之久，期间存在漏洞的芯片和加密库在2010年至2024年期间顺利通过了大约80次AVA VAN 4级（用于TPM）或AVA VAN 5级（用于其他芯片）的CC认证评估，（以及近30次证书维护）。 漏洞严重，但不紧急 尽管Yubikey等硬件密钥曝出高危漏洞，但对于普通用户来说，未必需要紧急停用或者更换密钥。研究人员强调，利用这一漏洞的前提条件相对苛刻。首先，攻击者需要物理访问目标设备，其次，还需要昂贵的设备、定制软件以及高度专业的技术能力（编者：克隆YubiKey密钥还需要需要掌握受害者的用户名和密码，以及对其YubiKey的物理访问权）。因此，在现实中，该漏洞被大规模利用的风险较低。研究人员指出，对于普通用户而言，继续使用FIDO硬件令牌仍是抵御网络钓鱼攻击的最安全手段。虽然存在漏洞，但相比不使用硬件认证，使用受影响的FIDO令牌依然提供了更高的安全性。 未来应对措施 针对这一漏洞，研究人员提出了若干应对方案，包括加强物理防护、通过电磁干扰阻断侧信道、使用法拉第笼屏蔽设备外部的电磁辐射等。这些措施虽然有效，但在实际部署中可能带来较高的成本和复杂性。 此外，研究人员呼吁安全系统制造商尽快修复这一漏洞，尤其是那些依赖ECDSA加密的设备。未来的硬件设计中，应更加关注侧信道攻击的防御能力，并确保加密操作的时间一致性。 也有安全专家建议关注开源硬件密钥方案，例如Soma、Solokey、Nitrokey、Onlykeys等，虽然这些硬件密钥也都存在漏洞（有些甚至无法修复）。 截止本文发稿，有报道称，yubikey已经在密钥固件中用自己的ECC上游库替换了Infineon密码库。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/iVxB7faNkGuRwP7nHwJ9fg 封面来源于网络，如有侵权请联系删除

安全内参9月10日消息，美国西雅图高线（Highline）公立学区的技术系统遭到网络攻击，导致学区内所有学校在周一和周二暂时关闭。 学区在上周日（8日）通过其官网发布声明称：“我们已检测到技术系统中存在未经授权的活动，并立即采取行动隔离了关键系统。我们正与第三方以及州和联邦合作伙伴密切配合，力争安全完成系统的恢复与测试工作。” 所有体育活动、学校活动、会议以及疫苗接种点均已暂停，但学区的中央办公室仍然开放。这次关闭还推迟了周一的幼儿园开学，高线学区的幼儿园为全日制。 根据学区官网的通知，部分学区员工仍需到校，负责引导那些未得知学区停课消息的家庭。周一，只有少数学生到校。 高线学区负责为西雅图南部社区的35所学校提供服务，涵盖17290名学生。 学校运转高度依赖IT系统，后期将补课弥补学时损失 学区发言人Tove Tupper在上周日下午表示，处理此问题的学区专家尚未发现员工或家庭的个人信息遭到泄露。学区在上周日并未解释黑客的动机或目标，Tupper仅表示，学区“发现技术系统中存在未经授权的活动”。 Tupper指出，学校的计算机和通信系统对于维持课堂运作至关重要。她举例说，校车调度通过在线系统进行。“我们无法在没有这些系统的情况下正常运作，尤其是在学年初阶段。这时，年幼的学生们正乘坐校车，且仍在适应日常流程。”她补充道，出勤记录也依赖在线系统。 上周日下午，学区通过短信、自动电话和电子邮件向家长和员工发出了通知。 高线学区2024-25学年日历中已用红色标出了补课日，以应对教学时间的损失。第一个补课日定在阵亡将士纪念日后的星期二，若有必要，官员们可能会将原本四天的长周末缩短为三天。 教育机构网络威胁态势愈发严峻 这是Tupper在高线学区工作11年来，首次看到整个学区因计算机网络安全问题关闭。 随着越来越多的学校系统依赖互联网和技术开展工作，网络攻击的频率也在上升。根据网络安全公司Emsisoft的报告，2021年曾发生62起针对学校系统的攻击事件，而到2023年，这一数字已超过100起。在某些情况下，黑客会要求赎金或威胁公开个人信息。 此次针对高线公立学校的攻击，仅是近年来影响北美及全球公立学区和学生的一系列网络攻击中的最新一起。 今年6月，一名身份不明的攻击者入侵了数字课堂管理平台Mobile Guardian，并远程清除了北美、欧洲和新加坡至少13000台学生iPad和Chromebook上的数据。 加拿大最大的学校董事会、北美第四大董事会——多伦多地区学校董事会（TDSB）也在6月警告称，其软件测试环境遭到了勒索软件攻击的影响。   转自安全内参，原文链接：https://www.secrss.com/articles/70092 封面来源于网络，如有侵权请联系删除

近日，有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766，影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补，并警告称其只影响防火墙的管理访问界面。 然而，SonicWall上周五（9月6日）透露，该安全漏洞还影响了防火墙的SSLVPN功能，且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁，但没有透露有关野外利用的详细信息。 Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联，他们试图以SonicWall设备为目标，获得对目标网络的初始访问权。 Arctic Wolf高级威胁情报研究员Stefan Hostetler表示：在每个实例中，被攻击的账户都是设备本身的本地账户，而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外，所有被入侵账户的 MFA 都被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。 同时，网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织，但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。 Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告，并敦促管理员尽快升级到最新的 SonicOS 固件版本。 联邦机构被勒令在 9 月 30 日前打补丁 本周一（9月9日），CISA将此关键访问控制漏洞添加到其已知漏洞目录中，并命令联邦机构在 9 月 30 日之前的三周内，按照约束性操作指令 (BOD) 22-01 的规定，确保其网络中存在漏洞的 SonicWall 防火墙的安全。 SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源，并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。 在网络间谍和勒索软件攻击中，攻击者经常以 SonicWall 设备和设备为目标。例如，包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/410635.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除

Microsoft Corp. today released updates to fix at least 79 security vulnerabilities in i

Intelから各製品向けのアップデートが公開されました。

马师傅，再见

2023年以来，全球勒索软件威胁形势持续恶化，各种类型的勒索攻击规模和破坏性均有明显增长，这严重威胁了企业组织 […]

新闻速览 •《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》公布 •广州市发布《网络数据安全管理 […]

从医疗保健、金融到虚拟助理和自动驾驶汽车，人工智能（AI）在日常生活中无处不在。AI可能彻底改变人类的生活和工 […]

新闻速览 •《电子政务电子认证服务管理办法》发布 •《工业互联网平台 监测分析指南》等4项工业互联网平台国家标 […]

A vulnerability, which was classified as critical, was found in dset up to 3.1.3. Affected is the function dset. The manipulation leads to improperly controlled modification of object prototype attributes ('prototype pollution'). This vulnerability is traded as CVE-2024-21529. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Google Chrome. This issue affects some unknown processing of the component Autofill. The manipulation leads to use after free. The identification of this vulnerability is CVE-2024-8639. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.