一、在ABB Flow Computer中发现高风险漏洞(11.09)
ABB Totalflow计算机和控制器中存在一个路径遍历漏洞,该漏洞可能导致代码注入和任意代码执行(ACE)。
详细情况
这一高风险漏洞( CVE-2022-0902)CVSS v3为8.1,影响了多个ABB G5系列产品。Claroty的研究部门Team82的安全专家发现了这一漏洞。
“攻击者可以利用此漏洞在ABB Flow Computer上获得root访问权限,读取和写入文件以及远程执行代码,”该公司在周二发布的公告 中 写道。
特别是,攻击者可以编制特制消息并将其发送到受影响的系统节点来利用此漏洞。
不过这一过程需要攻击者要么直接要么通过错误配置的或被破坏的防火墙访问系统网络。他们还可能在系统节点上安装恶意软件或利用恶意软件感染网络。
Team82表示已向ABB披露了该漏洞,ABB迅速发布了固件更新,解决了多个产品版本中的漏洞。
“该更新修改了Totalflow协议验证消息和验证输入数据,解决了漏洞”ABB解释说。
该通报还建议将网络分段作为一种缓解策略。
“为了缓解这一漏洞,ABB设备只能连接到限制授权用户访问的网段,”ABB技术人员表示。“只有当攻击者可以访问ABB设备运行Totalflow TCP协议的网络时,该漏洞才会暴露出来。
进一步的缓解策略包括安装物理控制,避免未经授权的人员访问设备和网络,还要在使用前扫描导入环境的所有数据以检测潜在的恶意软件感染。
在网络安全和基础设施安全局(CISA)发布了一份关键基础设施部门的网络安全绩效目标(CPG)的新报告数周之后缓解措施出台。事实证明,威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱,需要花费3至12个月的时间。
参考链接
https://www.infosecurity-magazine.com/news/high-risk-vulnerability-found-in/?&web_view=true
二、谷歌披露了间谍软件供应商使用三星手机零日漏洞(11.09)
Google Project Zero披露了三个三星手机漏洞的详细信息,这些漏洞仍处于零日状态时就被间谍软件供应商利用了。
详细信息
这些漏洞分别是 CVE-2021-25337、CVE-2021-25369 和 CVE-2021-25370,已针对Android 手机进行了组合利用,它们会影响三星的定制组件。这三个安全漏洞被描述为通过自定义剪贴板内容提供程者的任意文件读/写问题、内核信息泄漏以及显示处理单元驱动程序中的释放后使用。
谷歌的研究人员尚未确定用于传递漏洞利用的应用程序或攻击者部署的最终有效载荷。但是,他们确定这些漏洞已被用于将恶意文件写入目标设备,绕过安全机制并获得内核读写访问权限。
谷歌在 2020 年底发现了漏洞利用样本,向三星报告了这些漏洞。三星于2021年3月发布了补丁。
据谷歌称,该漏洞针对的内核版本在 2020 年底在三星 S10、A50和A51智能手机上运行。
谷歌的威胁分析小组认为,该漏洞是由商业监控供应商开发的。虽然该供应商尚未命名,但谷歌指出,他们通过应用程序执行初始代码的方法与其他活动类似,包括针对意大利和哈萨克斯坦的Apple和Android智能手机的活动 ,而这一活动与意大利公司RCS Lab有关。
谷歌知道其它6个三星的2021年CVE漏洞已在攻击中被利用,但细节尚未披露。
美国网络安全和基础设施安全局(CISA)周二将三星的三个漏洞添加到其 已知的被利用漏洞目录中, 命令政府机构在11月29日之前对其进行修补。
Project Zero指出,三星的公告仍然没有提到对这些漏洞的野外利用,但据称该供应商承诺,将来在检测到恶意利用时会警告客户。
Stone说:“当野外0day漏洞的信息没有被透明披露时,我们无法使用该信息进一步保护用户(使用补丁分析和变体分析来了解攻击者已经知道的内容)”。
参考链接
https://www.securityweek.com/google-reveals-spyware-vendors-use-samsung-phone-zero-day-exploits?&web_view=true