青莲晚报（第六十八期）| 物联网安全多知道

微信公众号-青莲晚报封面图-64.jpg

Sudo 漏洞允许非特权 Linux 和 macOS 用户以root 身份运行命令

苹果的安全专家Joe Vennix发现了一个漏洞（CVE-2019-18634），它允许非特权Linux和macOS用户以root身份运行命令。

此漏洞仅能在特殊配置下利用。

仅当“pwfeedback”选项已在sudo配置文件中启用时才能利用该漏洞。root的 pwfeedback 选项允许在用户输入密码时提供视觉反馈。

专家指出，即使用户不在用户文件中也可以触发此漏洞。

“无需获得 root 权限即可触发此漏洞，只需启用 pwfeedback 即可。” sudo 开发人员 Todd C. Miller 写道。

“在输入密码时，可以通过管道大量输入sudo进行复现。例如：”

$perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id

Password: Segmentation fault

造成此漏洞的原因有两个：

从终端设备以外的其他设备读取时一般不会忽略pwfeedback选项。由于缺少终端，因此行擦除字符的版本始终为初始值0。
如果存在写错误，擦除星号行的代码将无法正确重置缓冲区位置，但是会重置剩余的缓冲区长度。这将导致getln（）函数写到缓冲区以外。”

如果启用了该选项，可以在用户配置文件中将“Defaults pwfeedback”改为 “Defaults !pwfeedback” 。

sudo 维护人员发布了 root 的 1.8.31版本。

“虽然 sudo 的1.8.26到1.8.30版本中也有逻辑错误，但是由于1.8.26之后的版本对EOF处理进行了改动，所以无法利用漏洞。”Miller解释道。

在2019年10月，Vennix 发现了一个Sudo绕过问题，即使“sudo用户配置”不允许进行root访问，恶意用户或恶意程序仍然可以在目标Linux系统上以root用户身份执行任意命令。

详文阅读：

http://hackernews.cc/archives/29351

伪装为 WAV 的恶意软件在受害设备上挖矿但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击，该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件，并包含一个Monero挖矿软件，它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。

这款恶意软件唯一的bug，是最终导致受感染的电脑蓝屏死亡（BSOD），并且显示相关错误代码，最终引起受害者怀疑，并引发对事件的深入调查。

研究人员表示，BSOD于10月14日首次发现，当时发生致命崩溃的机器正在尝试执行长命令行（实际上是基于base-64编码的PowerShell脚本）。对脚本进行解码后，研究人员获得了可读的Powershell脚本，该脚本用于部署恶意软件。该脚本首先检查系统架构（基于指针大小）。然后，它读取存储在上述注册表子项中的值，并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出，恶意软件负载通过获取和调用函数指针委托来执行。

该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备，该漏洞与WannaCry于2017年使用的漏洞相同，感染了全球数千台电脑。在对恶意软件进行反向工程之后，研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块，使用CryptonightR算法来挖掘Monero虚拟货币。此外，该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。”

研究人员发现，完全删除恶意软件（包括终止恶意进程）阻止了在受害设备上发生BSOD。

详文阅读：

http://hackernews.cc/archives/29339

研究发现五家美国电信企业易受 SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出，美国五家主要的预付费无线运营商，极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商，诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡，使之能够重置密码并访问敏感的在线账户，比如电子邮件收件箱、网银门户、甚至加密货币交易系统。

该校学者去年花费大量时间测试了美国五家主要电信运营商，以验证其是否能够欺骗呼叫中心的员工，在不提供适当凭据的情况下，将用户电话号码变更为另一个 SIM 卡。

研究团队指出，AT＆T、T-Mobile、Tracfone、US Mobile 和 Verizon Wireless 均被发现在其客户支持中心中使用了易受攻击的程序，导致攻击者可借此发起 SIM 卡交换攻击。

此外，研究团队分析了 140 个线上服务和网站，发现有 17 个易被攻击者利用 SIM 卡交换攻击来劫持用户的账户。

为开展研究，团队先是创建了 50 个预付费账户（每运营商 10 个），并在唯一对应的电话上展开真实的通话。

一段时间后，研究团队开始向各个电信企业的客服中心致电，并提出类似的请求。

详文阅读：

http://hackernews.cc/archives/29282

VPN 警告：REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil（Sodinokibi）勒索软件勒索大型组织的网络罪犯瞄准未打补丁的PulseSecure VPN服务器，并禁用防病毒软件。安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补，否则将面临犯罪分子的“大规模”勒索软件攻击，这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。

上个月，在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil（Sodinokibi）勒索软件攻击，而去年夏天，美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。

由于犯罪分子利用该勒索软件来加密关键业务系统，并要求巨额赎金解密，英国安全研究员凯文·博蒙特将REvil归为“biggame”类别，该勒索软件病毒株于去年4月被发现，主要是使用OracleWebLogic中的漏洞来感染系统。

去年10月，美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称：REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示，政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞，由于该漏洞已被网络犯罪分子广泛使用，因而波及范围也越来越广。

详文阅读：

http://hackernews.cc/archives/29142

儿童信息安全不容忽视！别让智能产品变成罪犯帮凶

11月26日，测试机构AV-TEST的物联网测试部门发布报告称，他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患，其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

据研究人员称，这款SMA-WATCH-M2手表已问世多年，由深圳市爱保护科技有限公司(SMA)制造生产。

在使用过程中，这款手表需要与之配套的移动应用程序一起使用，通常情况下，父母会在SMA服务上注册一个帐户，将**的智能手表与手机配对，然后使用该应用程序跟踪**的位置，进行语音通话或在**离开指定区域时获得通知。

但在接受调查的数码产品评级中，AV-TEST首席执行官兼技术总监Maik Morgenstern却称SMA是市场上最不安全的产品之一。

因为这款手表本身和配套的应用程序都存在严重问题：

手表问题

当移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端时，它仍允许任何人通过可公开访问的Web API查询智能手表的后端。

一旦Web API公开，攻击者可以连接到该Web API循环浏览所有用户ID，并收集所有**及其父母的数据。

Morgenstern称，使用这种技术，他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长帐户。