記憶體安全週報第116期|在ABB Flow Computer中發現高風險漏洞

安芯網盾發表於2022-11-14

一、在ABB Flow Computer中發現高風險漏洞(11.09)

ABB Totalflow計算機和控制器中存在一個路徑遍歷漏洞,該漏洞可能導致程式碼注入和任意程式碼執行(ACE)。

詳細情況

這一高風險漏洞( CVE-2022-0902)CVSS v3為8.1,影響了多個ABB G5系列產品。Claroty的研究部門Team82的安全專家發現了這一漏洞。 

“攻擊者可以利用此漏洞在ABB Flow Computer上獲得root訪問許可權,讀取和寫入檔案以及遠端執行程式碼,”該公司在週二釋出的公告 中 寫道。 

特別是,攻擊者可以編制特製訊息並將其傳送到受影響的系統節點來利用此漏洞。 

不過這一過程需要攻擊者要麼直接要麼透過錯誤配置的或被破壞的防火牆訪問系統網路。他們還可能在系統節點上安裝惡意軟體或利用惡意軟體感染網路。

Team82表示已向ABB披露了該漏洞,ABB迅速釋出了韌體更新,解決了多個產品版本中的漏洞。 

“該更新修改了Totalflow協議驗證訊息和驗證輸入資料,解決了漏洞”ABB解釋說。 

該通報還建議將網路分段作為一種緩解策略。

“為了緩解這一漏洞,ABB裝置只能連線到限制授權使用者訪問的網段,”ABB技術人員表示。“只有當攻擊者可以訪問ABB裝置執行Totalflow TCP協議的網路時,該漏洞才會暴露出來。 

進一步的緩解策略包括安裝物理控制,避免未經授權的人員訪問裝置和網路,還要在使用前掃描匯入環境的所有資料以檢測潛在的惡意軟體感染。 

在網路安全和基礎設施安全域性(CISA)釋出了一份關鍵基礎設施部門的網路安全績效目標(CPG)的新報告數週之後緩解措施出臺。事實證明,威脅者從最初入侵到進行欺詐性交易從自動取款機上取錢,需要花費3至12個月的時間。

參考連結

https://www.infosecurity-magazine.com/news/high-risk-vulnerability-found-in/?&web_view=true

二、谷歌披露了間諜軟體供應商使用三星手機零日漏洞(11.09)

Google Project Zero披露了三個三星手機漏洞的詳細資訊,這些漏洞仍處於零日狀態時就被間諜軟體供應商利用了。

詳細資訊

這些漏洞分別是 CVE-2021-25337、CVE-2021-25369 和 CVE-2021-25370,已針對Android 手機進行了組合利用,它們會影響三星的定製元件。這三個安全漏洞被描述為透過自定義剪貼簿內容提供程者的任意檔案讀/寫問題、核心資訊洩漏以及顯示處理單元驅動程式中的釋放後使用。 

谷歌的研究人員尚未確定用於傳遞漏洞利用的應用程式或攻擊者部署的最終有效載荷。但是,他們確定這些漏洞已被用於將惡意檔案寫入目標裝置,繞過安全機制並獲得核心讀寫訪問許可權。

谷歌在 2020 年底發現了漏洞利用樣本,向三星報告了這些漏洞。三星於2021年3月釋出了補丁。 

據谷歌稱,該漏洞針對的核心版本在 2020 年底在三星 S10、A50和A51智慧手機上執行。

谷歌的威脅分析小組認為,該漏洞是由商業監控供應商開發的。雖然該供應商尚未命名,但谷歌指出,他們透過應用程式執行初始程式碼的方法與其他活動類似,包括針對義大利和哈薩克的Apple和Android智慧手機的活動 ,而這一活動與義大利公司RCS Lab有關。 

谷歌知道其它6個三星的2021年CVE漏洞已在攻擊中被利用,但細節尚未披露。 

美國網路安全和基礎設施安全域性(CISA)週二將三星的三個漏洞新增到其 已知的被利用漏洞目錄中, 命令政府機構在11月29日之前對其進行修補。

Project Zero指出,三星的公告仍然沒有提到對這些漏洞的野外利用,但據稱該供應商承諾,將來在檢測到惡意利用時會警告客戶。

Stone說:“當野外0day漏洞的資訊沒有被透明披露時,我們無法使用該資訊進一步保護使用者(使用補丁分析和變體分析來了解攻擊者已經知道的內容)”。

參考連結

https://www.securityweek.com/google-reveals-spyware-vendors-use-samsung-phone-zero-day-exploits?&web_view=true


相關文章