Grandstream HT800系列模拟电话适配器(ATA)中存在多个高危漏洞,威胁家庭办公室和中型用户,攻击者可利用该漏洞造成中断,窃听和控制设备。

HT800系列ATA专为家庭或小型办公室用户和中型企业用户而设计,可将用户的模拟电话设备连接到VoIP网络,统一通信系统或其他基于IP的通信基础设施。根据Tenable公司的分析,这些型号存在四个令人担忧的漏洞。

“攻击者可利用其中两个漏洞造成系统崩溃,导致管理员需要重启设备。”Tenable的首席研究工程师Jimi Sebree对Threatpost表示。“其他两个漏洞,如果成功利用,攻击者可以完全控制受影响的设备。攻击者控制设备后就可以劫持发往设备的任意流量,将设备作为僵尸网络的一部分,分发恶意软件等。”

该漏洞编号为CVE-2020-5760(CVSS评分为7.8),可在配置过程中导致命令注入。未经身份认证的远程攻击者可通过构造特殊的配置文件并发送特制的SIP消息利用该漏洞以root权限执行任意命令。

“Tenable发现当P240被设置为1且P2(密码)包含shell元字符时,HT800系列容易受到借助配置文件的命令注入攻击。”该公司在其安全公告中表示。“并且,Tenable发现未经身份认证的远程攻击者可借助x-gs-ucm-url SIP消息触发该注入漏洞。”

Tenable同时发布了一个PoC exploit,演示获取设备的root shell,进而完全入侵设备。

同时,TR-069设备中存在一个无限循环漏洞(CVE-2020-5761,CVSS评分7.5),该漏洞可导致CPU耗尽。TR-069是Broadband Forum的技术规范,该规范定义用于远程管理连接IP网络的用户拥有设备的应用层协议。在Grandstream ATA对该规范的实现中存在一个安全漏洞,未经身份认证的远程攻击者可通过向该服务发送一条一个字符的TCP消息触发该漏洞。

“如果未经身份认证的远程攻击者发送不包含回车字符(‘\r’)的TCP消息,该设备的TR-069服务就会陷入无限循环。”Tenable在安全公告中解释道。“TR-069设备将会消耗几乎所有的系统CPU,直到该系统重启。”

根据Sebree的说法,该漏洞容易被触发。“漏洞利用取决于是否启用受影响的功能。在许多环境中,默认启用了这些功能。在该种场景中,漏洞利用很容易。”他告诉Threatpost。

TR-069服务同时受到第三个漏洞CVE-2020-5762(CVSS评分7.5)的影响。该漏洞是个拒绝服务漏洞,源于TR-069服务中存在空指针逆向引用。这种情况是由于对HTTP Authentication字段处理不当触发的。

“由于存在空指针逆向引用,当未经身份认证的远程HTTP GET请求包含一个认证字段,而不是一个格式良好的摘要盘问时,该设备的TR-069服务将会崩溃。”根据Tenable的安全公告,“TR-069服务在崩溃后并没有被重启。通过使用curl基本身份认证可以很容易复现这一点。”

最后,CVE-2020-5763(CVSS评分8.8)是个SSH后门,攻击者可利用该漏洞获取root shell。该漏洞是由Lorenzo Santina在一月份的时候首先发现的。经身份认证的远程攻击者可通过正确回答质询提示利用该漏洞获取root shell。

Grandstream HT800系列固件1.0.17.5及之前版本受到上述四个漏洞的影响。

文章来源Threat Post;转载请注明出处。

————————————————————————————-

关注群智分析平台公众号,获取资讯《攻击者可利用WordPress Newsletter插件漏洞注入后门,30多万个网站受到影响》

 

Grandstream HT800系列模拟电话适配器(ATA)中存在多个高危漏洞,威胁家庭办公室和中型用户,攻击者可利用该漏洞造成中断,窃听和控制设备。

HT800系列ATA专为家庭或小型办公室用户和中型企业用户而设计,可将用户的模拟电话设备连接到VoIP网络,统一通信系统或其他基于IP的通信基础设施。根据Tenable公司的分析,这些型号存在四个令人担忧的漏洞。

“攻击者可利用其中两个漏洞造成系统崩溃,导致管理员需要重启设备。”Tenable的首席研究工程师Jimi Sebree对Threatpost表示。“其他两个漏洞,如果成功利用,攻击者可以完全控制受影响的设备。攻击者控制设备后就可以劫持发往设备的任意流量,将设备作为僵尸网络的一部分,分发恶意软件等。”

该漏洞编号为CVE-2020-5760(CVSS评分为7.8),可在配置过程中导致命令注入。未经身份认证的远程攻击者可通过构造特殊的配置文件并发送特制的SIP消息利用该漏洞以root权限执行任意命令。

“Tenable发现当P240被设置为1且P2(密码)包含shell元字符时,HT800系列容易受到借助配置文件的命令注入攻击。”该公司在其安全公告中表示。“并且,Tenable发现未经身份认证的远程攻击者可借助x-gs-ucm-url SIP消息触发该注入漏洞。”

Tenable同时发布了一个PoC exploit,演示获取设备的root shell,进而完全入侵设备。

同时,TR-069设备中存在一个无限循环漏洞(CVE-2020-5761,CVSS评分7.5),该漏洞可导致CPU耗尽。TR-069是Broadband Forum的技术规范,该规范定义用于远程管理连接IP网络的用户拥有设备的应用层协议。在Grandstream ATA对该规范的实现中存在一个安全漏洞,未经身份认证的远程攻击者可通过向该服务发送一条一个字符的TCP消息触发该漏洞。

“如果未经身份认证的远程攻击者发送不包含回车字符(‘\r’)的TCP消息,该设备的TR-069服务就会陷入无限循环。”Tenable在安全公告中解释道。“TR-069设备将会消耗几乎所有的系统CPU,直到该系统重启。”

根据Sebree的说法,该漏洞容易被触发。“漏洞利用取决于是否启用受影响的功能。在许多环境中,默认启用了这些功能。在该种场景中,漏洞利用很容易。”他告诉Threatpost。

TR-069服务同时受到第三个漏洞CVE-2020-5762(CVSS评分7.5)的影响。该漏洞是个拒绝服务漏洞,源于TR-069服务中存在空指针逆向引用。这种情况是由于对HTTP Authentication字段处理不当触发的。

“由于存在空指针逆向引用,当未经身份认证的远程HTTP GET请求包含一个认证字段,而不是一个格式良好的摘要盘问时,该设备的TR-069服务将会崩溃。”根据Tenable的安全公告,“TR-069服务在崩溃后并没有被重启。通过使用curl基本身份认证可以很容易复现这一点。”

最后,CVE-2020-5763(CVSS评分8.8)是个SSH后门,攻击者可利用该漏洞获取root shell。该漏洞是由Lorenzo Santina在一月份的时候首先发现的。经身份认证的远程攻击者可通过正确回答质询提示利用该漏洞获取root shell。

Grandstream HT800系列固件1.0.17.5及之前版本受到上述四个漏洞的影响。

文章来源Threat Post;转载请注明出处。

————————————————————————————-

关注群智分析平台公众号,获取资讯《攻击者可利用WordPress Newsletter插件漏洞注入后门,30多万个网站受到影响》

 

SearchPilot的产品副总裁Tom Anthony发现,由于缺乏对重复密码尝试的速率限制,潜在的攻击者可以破解用于保护Zoom私人会议的数字密码。

“Zoom会议默认由6位数字密码保护,即最多100万个密码。” Anthony发现。

他发现的漏洞存在于Zoom web客户端中,攻击者可通过尝试所有可能的组合利用该漏洞猜测任意会议的密码,直到找到正确的密码。

他表示,“这使攻击者能够在几分钟内尝试所有100万个密码,并访问其他人(由密码保护的)私人Zoom会议”

“这也引起了一个令人不安的问题,即其他人是否可能已经利用该漏洞来监听其他人的呼叫。”

由于攻击者不必翻找100万个可能的密码列表,这可能会大大缩短破解密码所需的时间。

此外,重复的会议——包括个人会议ID——将始终具有相同的密码,因此攻击者只需破解一次,就可长期访问将来的会议。

正如Anthony演示的那样,他可以使用AWS机器检查91000个密码,在25分钟内破解会议密码(包括预定的会议)。

他补充道,“通过改进线程,并在4至5个云服务器上分发,你可以在几分钟内检查整个密码空间。”

Anthony于2020年4月1日向该公司报告了Zoom web客户端漏洞,并发送了一个Python PoC,演示攻击者如何暴力破解密码,进入任意由密码保护的会议。

收到他的报告之后,Zoom从4月2日开始关闭了Web客户端以解决该漏洞。Bleeping Computer当时报道说,Zoom Web客户端正在经历一次中断,用户正在报告“403禁止”错误。

第二天,该公司在其官方状态页面上添加了一份事件报告,称“Zoom Web客户端将进入维护模式,这部分服务将离线。”

一周后,Zoom通过“要求用户登录以参加web客户端会议,并将默认会议密码更新为非数字和更长的密码”,解决了密码尝试速率限制问题。

——————————-

本文源自Bleeping Computer;转载请注明出处。

SearchPilot的产品副总裁Tom Anthony发现,由于缺乏对重复密码尝试的速率限制,潜在的攻击者可以破解用于保护Zoom私人会议的数字密码。

“Zoom会议默认由6位数字密码保护,即最多100万个密码。” Anthony发现。

他发现的漏洞存在于Zoom web客户端中,攻击者可通过尝试所有可能的组合利用该漏洞猜测任意会议的密码,直到找到正确的密码。

他表示,“这使攻击者能够在几分钟内尝试所有100万个密码,并访问其他人(由密码保护的)私人Zoom会议”

“这也引起了一个令人不安的问题,即其他人是否可能已经利用该漏洞来监听其他人的呼叫。”

由于攻击者不必翻找100万个可能的密码列表,这可能会大大缩短破解密码所需的时间。

此外,重复的会议——包括个人会议ID——将始终具有相同的密码,因此攻击者只需破解一次,就可长期访问将来的会议。

正如Anthony演示的那样,他可以使用AWS机器检查91000个密码,在25分钟内破解会议密码(包括预定的会议)。

他补充道,“通过改进线程,并在4至5个云服务器上分发,你可以在几分钟内检查整个密码空间。”

Anthony于2020年4月1日向该公司报告了Zoom web客户端漏洞,并发送了一个Python PoC,演示攻击者如何暴力破解密码,进入任意由密码保护的会议。

收到他的报告之后,Zoom从4月2日开始关闭了Web客户端以解决该漏洞。Bleeping Computer当时报道说,Zoom Web客户端正在经历一次中断,用户正在报告“403禁止”错误。

第二天,该公司在其官方状态页面上添加了一份事件报告,称“Zoom Web客户端将进入维护模式,这部分服务将离线。”

一周后,Zoom通过“要求用户登录以参加web客户端会议,并将默认会议密码更新为非数字和更长的密码”,解决了密码尝试速率限制问题。

——————————-

本文源自Bleeping Computer;转载请注明出处。

默认的KDE提取实用程序ARK中存在一个漏洞,攻击者可通过诱使用户下载存档并提取存档利用该漏洞覆盖文件或在用户的计算机上执行代码。

KDE是一个桌面环境,存在于Open SUSE、Kali、KUbuntu等为操作系统提供图形用户界面的Linux发行版中。

该漏洞是个路径遍历漏洞(CVE-2020-16116),由Hackers for Change的安全研究人员Dominik Penner发现,存在于默认的ARK存档实用程序中,恶意攻击者可通过分发恶意存档文件利用该漏洞远程执行代码。

一旦用户打开存档文件,攻击者就可以创建自动启动程序的应用程序,用勒索软件加密用户文件,安装挖矿软件,或安装让远程攻击者以shell权限访问受害者账户的后门。

Penner于2020年7月20日向KDE安全团队报告了该漏洞,该漏洞快速在今天发布的ARK 20.08.0版本中得到修复。

由于ARK是KDE桌面环境中的默认提取器,几乎所有Linux发行版都使用该提取器,因此建议所有用户尽快安装最新的更新。

路径遍历漏洞导致代码执行

在用户登录操作系统时,KED桌面环境允许用户自动启动应用程序。

这些自动启动程序是通过在~/.config/autostart文件夹中创建特殊的.desktop文件来配置的,该文件夹指定在登录时应该执行什么程序。

例如,当用户登录到桌面时,下图显示的桌面文件将自动启动“Konsole”应用程序。

Konsole自动启动

来源:Bleeping Computer

Penner发现ARK存档实用程序在解压缩存档文件时未能移除路径遍历字符。他利用该漏洞创建存档文件,该存档文件可提取存在于用户访问的任何位置的文件。

“KDE ARK容易受到通过目录遍历导致执行命令的任意写入漏洞的影响。ARK在解压tar、gzip、bzip2、rar和zip文件时,未能删除目录遍历字符,最终允许攻击者将文件悄悄地写入~/.config/autostart目录,导致下一次重新启动时执行命令。这种漏洞通常被称为‘Zip Slip’ 漏洞。” Penner在一份与Bleeping Computer共享的漏洞报告中写道。

使用该漏洞,Penner创建了一个PoC exploit,它通过在当前文件夹中提取一个特制的存档文件来自动创建KDE自动启动配置文件。

一旦创建了自动启动程序,下次计算机重新启动且用户登录帐户时,指定的程序将被执行,从而导致远程代码执行。

测试该漏洞

Penner与Bleeping Computer共享了一个PoC,在我们的测试中,这个漏洞非常容易被利用。

在运行该exploit时,我们在一个提取路径包含路径遍历字符的存档文件中留下一个特制的存档文件。

例如,“../../../.config/autostart/hackersforchange.desktop”。

当用户提取存档时,ARK将利用上述路径遍历在~/.config/autostart/hackersforchange.desktop中创建一个文件,下次当用户登录Linux KDE桌面时,该文件会启动xcalc。

PoC安装的自动启动程序,用来启动Xcalc

来源:Bleeping Computer

由于该漏洞容易被利用,建议所有KDE用户升级到ARK 20.08.0或之后版本。

——————————-

本文源自Bleeping Computer;转载请注明出处。

默认的KDE提取实用程序ARK中存在一个漏洞,攻击者可通过诱使用户下载存档并提取存档利用该漏洞覆盖文件或在用户的计算机上执行代码。

KDE是一个桌面环境,存在于Open SUSE、Kali、KUbuntu等为操作系统提供图形用户界面的Linux发行版中。

该漏洞是个路径遍历漏洞(CVE-2020-16116),由Hackers for Change的安全研究人员Dominik Penner发现,存在于默认的ARK存档实用程序中,恶意攻击者可通过分发恶意存档文件利用该漏洞远程执行代码。

一旦用户打开存档文件,攻击者就可以创建自动启动程序的应用程序,用勒索软件加密用户文件,安装挖矿软件,或安装让远程攻击者以shell权限访问受害者账户的后门。

Penner于2020年7月20日向KDE安全团队报告了该漏洞,该漏洞快速在今天发布的ARK 20.08.0版本中得到修复。

由于ARK是KDE桌面环境中的默认提取器,几乎所有Linux发行版都使用该提取器,因此建议所有用户尽快安装最新的更新。

路径遍历漏洞导致代码执行

在用户登录操作系统时,KED桌面环境允许用户自动启动应用程序。

这些自动启动程序是通过在~/.config/autostart文件夹中创建特殊的.desktop文件来配置的,该文件夹指定在登录时应该执行什么程序。

例如,当用户登录到桌面时,下图显示的桌面文件将自动启动“Konsole”应用程序。

Konsole自动启动

来源:Bleeping Computer

Penner发现ARK存档实用程序在解压缩存档文件时未能移除路径遍历字符。他利用该漏洞创建存档文件,该存档文件可提取存在于用户访问的任何位置的文件。

“KDE ARK容易受到通过目录遍历导致执行命令的任意写入漏洞的影响。ARK在解压tar、gzip、bzip2、rar和zip文件时,未能删除目录遍历字符,最终允许攻击者将文件悄悄地写入~/.config/autostart目录,导致下一次重新启动时执行命令。这种漏洞通常被称为‘Zip Slip’ 漏洞。” Penner在一份与Bleeping Computer共享的漏洞报告中写道。

使用该漏洞,Penner创建了一个PoC exploit,它通过在当前文件夹中提取一个特制的存档文件来自动创建KDE自动启动配置文件。

一旦创建了自动启动程序,下次计算机重新启动且用户登录帐户时,指定的程序将被执行,从而导致远程代码执行。

测试该漏洞

Penner与Bleeping Computer共享了一个PoC,在我们的测试中,这个漏洞非常容易被利用。

在运行该exploit时,我们在一个提取路径包含路径遍历字符的存档文件中留下一个特制的存档文件。

例如,“../../../.config/autostart/hackersforchange.desktop”。

当用户提取存档时,ARK将利用上述路径遍历在~/.config/autostart/hackersforchange.desktop中创建一个文件,下次当用户登录Linux KDE桌面时,该文件会启动xcalc。

PoC安装的自动启动程序,用来启动Xcalc

来源:Bleeping Computer

由于该漏洞容易被利用,建议所有KDE用户升级到ARK 20.08.0或之后版本。

——————————-

本文源自Bleeping Computer;转载请注明出处。

安全研究人员Dr. Neal Krawetz上周发布了两个Tor 0-day漏洞的技术详情,并承诺再披露三个Tor漏洞。攻击者可利用这些Tor 0-day漏洞阻止用户访问流行的匿名网络。

该名专家确认,其中一个漏洞可去匿名化Tor服务器,显示用户真实的IP地址。

在Tor Project一再未能修复他过去数年内报告的多个漏洞后,Dr. Neal Krawetz决定公开披露两个0-day漏洞的详情。

该名研究人员还承诺再披露至少三个Tor 0-day漏洞,包括一个可揭露Tor服务器的真实IP地址的漏洞。

该名研究人员运营多个Tor节点,上周他发布了一篇文章,描述互联网服务提供商和组织如何阻止Tor连接。

“然而,如果每个Tor节点都提供了一个不同的数据包签名,可以用来检测Tor网络连接呢?您可以设置过滤器以查找签名并停止所有的Tor连接。事实证明,这个数据包签名不是理论上的。”该篇文章写道。

攻击者可以使用该数据包签名阻止Tor连接启动。

该名专家发布了一篇新的文章,提供其他的Tor 0-day漏洞的详情,攻击者可利用这些漏洞检测间接的连接。

“直接连接到Tor网络是最常见的连接类型。然而,连接到Tor网络也有间接的方式。这些间接方法被称为‘桥接’。 如果有人能检测到每一个桥接协议,那么每个Tor用户都可能被阻止访问Tor网络,或者他们可以被直接监视。(如果他们知道你的真实网络地址,那么他们就知道你是谁,他们可以监视或审查你的活动。)”该篇文章写道。

“在这篇文章中,我将会披露识别Tor桥接网络流量的方法。这包括两个新的0-day漏洞,一个用于检测obfs4,一个用于检测meek。”

Tor网桥(“Tor网桥中继”)是Tor网络的替代入口点,其中一些没有公开列出。使用网桥使得ISP很难,但不是不可能,确定用户正在连接到Tor。

根据Dr. Krawetz的说法,攻击者通过跟踪特定数据包轻易就能检测与Tor网桥的连接。

“结合我先前的博客文章和这篇文章,你现在可以使用实时状态数据包检查系统实施该策略。你可以阻止所有用户连接到Tor网络,无论他们是直接连接还是使用桥接。”

该名安全研究人员向Tor Project报告了多个漏洞,但是他声称,该项目的维护人员从未修复他报告的漏洞,因此,Dr. Krawetz决定中断与该组织的协作。

———————————–

本文源自Security Affairs;转载请注明出处。

安全研究人员Dr. Neal Krawetz上周发布了两个Tor 0-day漏洞的技术详情,并承诺再披露三个Tor漏洞。攻击者可利用这些Tor 0-day漏洞阻止用户访问流行的匿名网络。

该名专家确认,其中一个漏洞可去匿名化Tor服务器,显示用户真实的IP地址。

在Tor Project一再未能修复他过去数年内报告的多个漏洞后,Dr. Neal Krawetz决定公开披露两个0-day漏洞的详情。

该名研究人员还承诺再披露至少三个Tor 0-day漏洞,包括一个可揭露Tor服务器的真实IP地址的漏洞。

该名研究人员运营多个Tor节点,上周他发布了一篇文章,描述互联网服务提供商和组织如何阻止Tor连接。

“然而,如果每个Tor节点都提供了一个不同的数据包签名,可以用来检测Tor网络连接呢?您可以设置过滤器以查找签名并停止所有的Tor连接。事实证明,这个数据包签名不是理论上的。”该篇文章写道。

攻击者可以使用该数据包签名阻止Tor连接启动。

该名专家发布了一篇新的文章,提供其他的Tor 0-day漏洞的详情,攻击者可利用这些漏洞检测间接的连接。

“直接连接到Tor网络是最常见的连接类型。然而,连接到Tor网络也有间接的方式。这些间接方法被称为‘桥接’。 如果有人能检测到每一个桥接协议,那么每个Tor用户都可能被阻止访问Tor网络,或者他们可以被直接监视。(如果他们知道你的真实网络地址,那么他们就知道你是谁,他们可以监视或审查你的活动。)”该篇文章写道。

“在这篇文章中,我将会披露识别Tor桥接网络流量的方法。这包括两个新的0-day漏洞,一个用于检测obfs4,一个用于检测meek。”

Tor网桥(“Tor网桥中继”)是Tor网络的替代入口点,其中一些没有公开列出。使用网桥使得ISP很难,但不是不可能,确定用户正在连接到Tor。

根据Dr. Krawetz的说法,攻击者通过跟踪特定数据包轻易就能检测与Tor网桥的连接。

“结合我先前的博客文章和这篇文章,你现在可以使用实时状态数据包检查系统实施该策略。你可以阻止所有用户连接到Tor网络,无论他们是直接连接还是使用桥接。”

该名安全研究人员向Tor Project报告了多个漏洞,但是他声称,该项目的维护人员从未修复他报告的漏洞,因此,Dr. Krawetz决定中断与该组织的协作。

———————————–

本文源自Security Affairs;转载请注明出处。

安全研究人员分析了用于工业控制系统(ICS)的、流行的远程访问解决方案,发现了多个可致未经身份认证的攻击者执行任意代码和入侵环境的漏洞。

这些漏洞存在于虚拟私有网络(VPN)实现中,攻击者可以通过连接现场设备和可编程逻辑控制器(PLC)利用这些漏洞造成物理损坏。

在发现并报告了Moxa EDR-G902和EDR-G903系列路由器(5.4及之前版本)中的一个超危漏洞(CVE-2020-14511)之后,Claroty研究团队发现来自Secomea和HMS Networks的产品同样存在严重漏洞,攻击者可利用这些漏洞在未经身份认证的情况下获取内部网络的完全访问权限。

Claroty是网络安全领域的一家软件公司,专注于保护工业控制网络。

远程访问服务器,如Secomea GateManager,管理来自本地网络之外的安全连接。它们都是关键资产,获取了这些资产的访问权限,攻击者就可查看内部流量和访问该网络上的主机。

下图显示远程访问解决方案在ICS环境中的工作方式。

来源:Secomea

Claroty的研究人员Sharon Brizinov和Tal Keren在Secomea GateManager中发现多个安全漏洞,其中之一编号为CVE-2020-14500,严重等级被评为超危。

该漏洞源于对来自客户端的某些HTTP请求头的错误处理。攻击者可未经身份认证利用该漏洞。

“如果成功开展,这样的攻击可导致全面的安全入侵,攻击者可获取客户内部网络的完全访问权限,以及解密流经该VPN的所有流量的能力。”

Claroty创建了PoC exploit代码,演示利用该漏洞获取root访问权限是可能的,并准备了一个正在进行攻击的视频。

Secomea在2020年5月收到了关于该漏洞及其严重程度的报告,并在2020年7月发布了补丁。强烈建议使用GateManager的组织优先应用该补丁。

可导致远程代码执行的另一个漏洞被发现存在于eWon VPN中。eWon是来自HMS Networks的一款产品,允许远程客户端使用eCatcher专有VPN客户端与其连接。

Brizinov发现,eCatcher中的一个安全漏洞可导致未经身份认证的远程代码执行。该漏洞编号为CVE-2020-14498,可通过访问恶意网站或打开含有特定HTML元素的特制电子邮件被触发。

在Claroty演示的一个场景中,攻击者可以向目标发送钓鱼邮件,以触发该漏洞,获取对该受限制的网络的访问权限。

HMS Networks于5月12日收到关于该漏洞的通知,并在7月14日推出了一个补丁。

Claroty警告称,威胁行为者,尤其是高级威胁行为者,越来越关注操作技术(OT)系统。边缘设备是通向ICS和关键目标区域的直接大门。

安全研究人员分析了用于工业控制系统(ICS)的、流行的远程访问解决方案,发现了多个可致未经身份认证的攻击者执行任意代码和入侵环境的漏洞。

这些漏洞存在于虚拟私有网络(VPN)实现中,攻击者可以通过连接现场设备和可编程逻辑控制器(PLC)利用这些漏洞造成物理损坏。

在发现并报告了Moxa EDR-G902和EDR-G903系列路由器(5.4及之前版本)中的一个超危漏洞(CVE-2020-14511)之后,Claroty研究团队发现来自Secomea和HMS Networks的产品同样存在严重漏洞,攻击者可利用这些漏洞在未经身份认证的情况下获取内部网络的完全访问权限。

Claroty是网络安全领域的一家软件公司,专注于保护工业控制网络。

远程访问服务器,如Secomea GateManager,管理来自本地网络之外的安全连接。它们都是关键资产,获取了这些资产的访问权限,攻击者就可查看内部流量和访问该网络上的主机。

下图显示远程访问解决方案在ICS环境中的工作方式。

来源:Secomea

Claroty的研究人员Sharon Brizinov和Tal Keren在Secomea GateManager中发现多个安全漏洞,其中之一编号为CVE-2020-14500,严重等级被评为超危。

该漏洞源于对来自客户端的某些HTTP请求头的错误处理。攻击者可未经身份认证利用该漏洞。

“如果成功开展,这样的攻击可导致全面的安全入侵,攻击者可获取客户内部网络的完全访问权限,以及解密流经该VPN的所有流量的能力。”

Claroty创建了PoC exploit代码,演示利用该漏洞获取root访问权限是可能的,并准备了一个正在进行攻击的视频。

Secomea在2020年5月收到了关于该漏洞及其严重程度的报告,并在2020年7月发布了补丁。强烈建议使用GateManager的组织优先应用该补丁。

可导致远程代码执行的另一个漏洞被发现存在于eWon VPN中。eWon是来自HMS Networks的一款产品,允许远程客户端使用eCatcher专有VPN客户端与其连接。

Brizinov发现,eCatcher中的一个安全漏洞可导致未经身份认证的远程代码执行。该漏洞编号为CVE-2020-14498,可通过访问恶意网站或打开含有特定HTML元素的特制电子邮件被触发。

在Claroty演示的一个场景中,攻击者可以向目标发送钓鱼邮件,以触发该漏洞,获取对该受限制的网络的访问权限。

HMS Networks于5月12日收到关于该漏洞的通知,并在7月14日推出了一个补丁。

Claroty警告称,威胁行为者,尤其是高级威胁行为者,越来越关注操作技术(OT)系统。边缘设备是通向ICS和关键目标区域的直接大门。