首页
社区
课程
招聘
[推荐]西部数据(WD)My Cloud 网络存储设备存在本地提权漏洞;俄罗斯暗网出现新型勒索软件 GandCrab ,要求支付达世币赎金、不得感染独联体国家
发表于: 2018-2-6 10:10 4215

[推荐]西部数据(WD)My Cloud 网络存储设备存在本地提权漏洞;俄罗斯暗网出现新型勒索软件 GandCrab ,要求支付达世币赎金、不得感染独联体国家

2018-2-6 10:10
4215

安全服务供应商 Trustwave 发现西部数码( Western Digital ) My Cloud网络存储设备中的两个安全漏洞可能会被本地攻击者利用来获得 NAS 设备的 root 权限。

据 Trustwave 的研究人员介绍, 西部数码 My Cloud 的这两个缺陷一个是任意命令执行漏洞,另一个则是任意文件删除漏洞。


任意命令执行漏洞


该漏洞会影响公共网关接口脚本 “ nas_sharing.cgi ”,从而导致本地用户可以以 root 身份执行 shell 命令。另外,研究人员还发现硬编码凭证能够允许任何用户使用用户名“ mydlinkBRionyg ” 对设备进行身份验证。


任意的文件删除漏洞


该漏洞也与公共网关接口脚本 “ nas_sharing.cgi ” 绑定,以便于攻击者获得 root 权限。

链接这两个漏洞后,攻击者能以 root 身份执行 shell 命令:通过使用硬编码凭证登录,并以 base64 编码执行 “ artist ”参数内传递的命令 。


目前受漏洞影响的 西部数码My Cloud 网络存储设备型号包括:

My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100 和 My Cloud DL4100。


其实早在去年,安全服务供应商 Trustwave 就已向西部数码公司报告了这些问题,并且 Western Digital 方面也做出了补救措施。据悉,该公司在 2017 年 11 月 16 日发布的固件(版本 2.30.172 )更新中解决了漏洞问题。此外,Western Digital 还建议用户:

— 确保产品上的固件始终处于最新状态;

— 启用自动更新;

— 实现良好的数据保护措施,如定期数据备份和密码保护,包括在使用个人云或网络附加存储设备时保护路由器。


来源:hackernews

———————————————————————————————————————————————————————————————————————

俄罗斯暗网出现新型勒索软件 GandCrab ,要求支付达世币赎金、不得感染独联体国家


网络安全公司 LMNTRIX 的专家发现了一种名为GandCrab的新型勒索软件,通过感染受害用户系统以获得达世币(DASH)赎金(该服务由托管在 .bit 域中的服务器提供)。目前一些俄罗斯黑客团体正在暗网上为 GandCrab 广告宣传,主要通过使用 RIG 以及 GrandSoft 等开发工具包来分发该勒索软件。


在过去的几天里,LMNTRIX 实验室一直在追踪 GandCrab 勒索软件的流入,并发现此款勒索软件被设定为不得用于感染独联体(即前苏联成员国)国家的系统。



此外,一些有趣的地方也在追踪活动中被揭露:

1、有意向的买家被要求加入“ 合作伙伴计划 ”,其中勒索软件的利润分成 6:4  ;

2、大型合作伙伴能够将其收益比例提高到 70%;

3、作为一项勒索软件服务产品,GandCrab  需向 “ 合作伙伴 ” 提供技术支持和更新,比如输出了一个用户友好的管理控制台,可以通过 Tor 网络访问,以允许定制恶意软件(例如赎金金额、加密掩码等);

4、禁止合作伙伴针对独联体国家发起攻击(比如阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰);

5、合作伙伴必须申请使用勒索软件,并且可用数量有限;


来源:hackernews


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 3302
活跃值: (1144)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
2

LKRG:Linux获得用于运行时完整性检查的可加载内核模块

 

开源社区成员正在为Linux内核开发一个以安全为重点的新项目,命名为Linux Kernel Runtime Guard(LKRG),这是一个可加载的内核模块,它负责在Linux内核运行时执行完整性检查。

 

它的目的是检测针对Linux内核的已知安全漏洞的利用尝试,并试图阻止其攻击。LKRG还会检测出正在运行的进程想要升级权限,并在运行利用代码之前,终止进程。

2011年开始开发,如今首个版本发布

由于该项目正处于早期开发阶段,目前版本的LKRG只会通过内核的一些信息报告内核完整性遭到破坏,而随着系统的成熟,将会部署一个完整的漏洞利用缓解系统。

 

这个项目的工作始于2011年,LKRG成员Alexander Peslyak描述了这个过程,LKRG已经经历了一个“二次开发”的阶段。

 

LKRG的公开版本 -LKRG v0.0现在可以在这个页面下载, 有关该项目的wikipatreon 页面也都搭建完毕。

 

虽然LKRG仍然是一个开源项目,但是LKRG维护者也有一个LKRG Pro版本的计划,其中将包括特定的LKRG版本,并支持检测特定的漏洞,如容器转义。团队计划使用LKRG Pro的资金为项目的其余部分提供资金。

LKRG是一个内核模块, 而非补丁

项目也借鉴了Additional kernel Observer(AKO)的一些想法,但不同的一点是,它是内核加载模块,而非补丁。LKRG团队选择创建一个内核模块,因为修补内核对系统安全性、稳定性和性能有直接的影响。

 

修改内核核心代码,这是一个非常复杂和容易出错的过程,所以选择提供一个内核模块的方式,这也使得LKRG更容易部署在每个系统上。

 

LKRG内核模块目前可用于主要的Linux发行版,如RHEL7,OpenVZ 7,Virtuozzo 7和Ubuntu 16.04。

并非完美的解决方案

但是,LKRG的创造者正在警告用户不要认为他们的工具是牢不可破的、100%安全的。他们说LKRG是“可以绕过设计”的,并且只提供“通过多样性实现安全”。

 

虽然LKRG可以防范许多先前存在的Linux内核漏洞攻击,并且可能会防范未来的漏洞攻击--不一定是特定地用来绕过LKRG的(包括尚未知的漏洞),但它是可以绕过设计的(尽管有时以牺牲更复杂和/或不太可靠的利用为代价)。因此,可以说LKRG通过多样性提供安全性,就像运行一个不常见的操作系统内核一样,但是却没有实际运行一个不常见的操作系统的常见缺点。

 

LKRG类似于基于Windows的防病毒软件--在内核层面检测漏洞和恶意软件。尽管如此,LKRG团队表示,他们的产品比杀毒软件和其他终端安全软件要安全得多,因为它的代码量小得多,因此在内核级别引入新的漏洞和漏洞的范围更小。

目前的LKRG版本对系统性能有6.5%的影响

Peslyak表示,LKRG最适合那些为内核打好补丁后却无法正确重启的Linux机器。LKRG允许所有者继续使用适当的安全措施运行计算机,直到在计划的维护时段内对关键漏洞的补丁进行测试和部署。

 

测试显示,安装LKRG v0.0对系统有6.5%的性能影响,但Peslyak表示,随着版本迭代会大大减少。

 

测试还显示,LKRG检测到尝试利用 CVE-2014-9322(BadIRET),CVE-2017-5123(waitid(2)缺少access_ok)和CVE-2017-6074(在DCCP协议中的UAF漏洞)漏洞,但未能检测到CVE-2016-5195(脏牛漏洞)。该团队说,由于前面提到的“可以绕过设计”策略,因而LKRG没有发现脏牛漏洞的权限提升。

 

在脏牛漏洞中,绕过LKRG是由于bug的性质而发生的,这也是利用它的一种方式。同时,这也是未来的一种漏洞利用方式--类似于直接针对用户空间绕过LKRG。除非LKRG或类似的流行趋势,否则这种利用是否会变得普遍,还有待观察。对于直接针对用户空间的内核漏洞而言,对其可靠性的(负面)影响可能并不是直接的,也不重要。

 

来源:bleepingcomputer

 

本文由看雪翻译小组 fyb波 编译

2018-2-6 11:13
0
游客
登录 | 注册 方可回帖
返回
//