青莲晚报（第二十九期）| 物联网安全多知道

Mirai僵尸病毒卷土重来，目标转向商用Linux服务器

僵尸病毒的开发者显然已经从开发物联网（IoT）恶意软件中吸取了教训，并将工作重点转向针对商用Linux服务器。与许多物联网设备一样，在互联网上同样充斥着大量未打补丁的Linux服务器，而攻击者会向他们所能找到的每一台易受攻击服务器发送漏洞利用代码，从而对它们进行大规模的滥用。

网络安全公司Netcout表示，他们一直在监控其蜜罐网络中针对Hadoop YARN漏洞的利用尝试，并发现了一个熟悉但令人惊讶的有效载荷（payload）——Mirai。这些新的Mirai变种的行为与最初的版本非常相似，但它们显然是为Linux服务器定制的，而不是物联网设备。

详文阅读：

https://www.hackeye.net/threatintelligence/17525.aspx

苹果macOS曝三个零日漏洞，可导致Mac电脑被劫持

近日，Dropbox团队公开披露了有关苹果macOS操作系统中三个零日漏洞的详细信息。并指出，如果攻击者将这三个漏洞结合起来使用，则可能会导致Mac用户失去对自己设备的控制权。

Dropbox团队表示，这三个漏洞分别被追踪为CVE-2017-13890、CVE-2018-4176和CVE-2018-4175。三者结合使用，将赋予攻击者在目标Mac电脑上远程执行任意代码的能力。为了实现这一点，攻击者只需要诱骗受害者访问一个精心设计的恶意网站即可。

详文阅读：

https://www.hackeye.net/threatintelligence/17431.aspx

戴尔EMC和VMware产品曝高危漏洞，现已发放补丁

戴尔EMC针对Dell EMC Avamar Server和Dell EMC Integrated Data Protection Appliance（IDPA）中的Dell EMC Avamar Client Manager发布了安全更新，以解决一个Critical级别的远程代码执行漏洞和一个Medium级别的开放重定向漏洞。

根据戴尔EMC的说法，这些漏洞是由网络安全公司TSS发现的。其中的远程代码执行漏洞被追踪为CVE-2018-11066，CVSS v3得分为9.8，可以被未经身份验证的攻击者远程利用，以在易受攻击的服务器上执行任意命令。

受该漏洞影响的是Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0、7.4.1、7.5.0、7.5.1和18.1和Dell EMC Integrated Data Protection Appliance（IDPA）版本2.0、2.1和2.2中的Dell EMC Avamar Client Manager。

另一个漏洞被追踪为CVE-2018-11067，同样可以被未经身份验证的攻击者利用，通过欺骗用户点击精心设计的恶意链接，将用户重定向到任意URL。

除此之外，戴尔还披露了一个High级别的信息泄露漏洞，被追踪为CVE-2018-11076，也影响到上述产品。该漏洞可以被攻击者利用来破坏易受攻击的系统，它会影响Dell EMC Avamar Server版本7.2.0、7.2.1、7.3.0、7.3.1、7.4.0和7.4.1以及Dell EMC Integrated Data Protection Appliance（IDPA）版本2.0。

详文阅读：

https://www.hackeye.net/threatintelligence/17407.aspx

西门子警告，控制器平台中存在Linux、GNU错误

西门子于本周二通知客户，其SIMATIC S7-1500工业自动化控制器的多功能平台中部分Linux与GNU组件受到20余个漏洞影响。

这些漏洞的描述，远程攻击者可利用其中大部分漏洞，并借专门制作的文件引发拒绝服务条件，但部分漏洞会产生其他影响——这些其他的潜在影响尚不明确。 

Linux内核漏洞CVE-2018-17972将西门子设备暴露于攻击之下，且允许本地攻击者引发拒绝服务条件；而利用CVE-2018-17182，攻击者不仅可引发拒绝服务条件，还可执行任意代码。 

libxml2漏洞也允许拒绝服务攻击，而OpenSSH漏洞与用户枚举相关。西门子表示，内核，libxml2和OpenSSH漏洞在运行时都是相关的。 

西门子表示，为修复这些漏洞，目前正进行固件更新。同时，该公司建议客户应用纵深防御措施，并避免利用不受信任的来源构建与运行受影响平台上的应用程序。

详文阅读：

美国国家电网仍持续不断地遭受俄罗斯黑客的网络安全试探攻击

美国国家电网仍在持续不断地遭受到来自俄罗斯的网络黑客安全威胁试探，由美国国土安全部颁发认证的网络安全公司的火眼（FireEye）在今日于华盛顿特区举办的网络安全论坛上指出。

火眼的分析员Alex Orleans指出“目前仍然有瞄准美国电网的俄罗斯网络间谍活动，电网仍然会遭受到不断的攻击”这份报告指出，他们已经识别出一组俄罗斯网络集团通过TEMP.Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞进行试探和攻击。这组黑客依赖于现成黑客工具和自制后门技术的组合，尽管美国的电网已经通过NERC发布的一系列CIP 标准增强了网络防御能力。但是并不是每一处的电网组成设施都固若金汤，比如部分承包给本地企业的地方电网的网络防御能力就非常差，这留给了来自俄罗斯（包括伊朗和朝鲜）的网络黑客们可乘之机。

http://hackernews.cc/archives/24524

路由器漏洞频发，Mirai新变种来袭

近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒，经过分析，认定此款蠕虫是 mirai 病毒的新变种，和之前的 mirai 病毒不同，该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击，更多通过路由器漏洞进行攻击传播。

一、Playload 与漏洞分析

样本在传播和攻击过程中涉及到4个 PlayLoad ，均针对路由器进行攻击，我们会对相关漏洞进行介绍，并针对传播情况利用抽样数据进行统计分析。

PlayLoad 情况：

被攻击设备

设备型号

漏洞编号

NetGear路由器

DGN1000、DGN2000

CNNVD-201306-024

GPON光纤路由器

H640GR-02、H640GV-03、H640GW-02、H640RW-02、H645G

CVE-2018-10561/62

华为HG532系列路由器

HG532

CVE-2017-17215

linksys多款路由器

Cisco Linksys E4200、EA4500、EA3500、EA2700、E1000、E2100L 

CNVD-2014-01260

详文阅读：

https://www.freebuf.com/articles/terminal/190554.html

转载请注明来自网盾网络安全培训，本文标题：《青莲晚报（第二十九期）| 物联网安全多知道》

标签：物联网安全人工智能安全青莲云