国际资讯

思科产品出现严重漏洞，导致大量设备面临远程攻击风险

思科在其IOS软件中修补了30多个漏洞，其中包括一个严重的远程代码执行漏洞，该漏洞可以对数十万甚至数百万台设备暴露在网络上的设备发起的远程攻击。共有三个漏洞被评为关键。其中之一是CVE-2018-0171，Embedi的研究人员在IOS和IOS XE软件的Smart Install功能中发现了这个漏洞。没有权限的攻击者可以将特定的Smart Install消息发送到TCP端口4786上的受影响设备，并导致其进入拒绝服务（DoS）状况或执行任意代码。

思科指出，默认情况下，Smart Install在交换机上默认启用，如果接收到了最近的更新则会在不使用该功能时自动禁用该功能。Embedi发布了详细介绍CVE-2018-0171的博客文章。研究人员最初认为，该漏洞只能被同网络中的黑客利用。但是，互联网扫描发现，大约有250,000个易受攻击的思科设备打开了TCP端口4786。此外，Embedi已经识别出约850万台使用此端口的设备，但研究人员无法确定这些系统上是否存在Smart Install功能。思科修补的另一个IOS漏洞是CVE-2018-0150，能够让攻击者远程访问设备。这个漏洞的成因是存在一个使用默认用户名和密码的未记录的帐户。这套用户名密码拥有特权级别15的设备访问权限，这是思科网络设备的最高访问级别。

最后一个严重漏洞是CVE-2018-0151，它影响IOS和IOS XE软件的服务质量（QoS）子系统。该漏洞能让黑客通过向设备发送恶意数据包而导致DoS条件或权限提升。

参考链接：http://www.freebuf.com/news/167200.html

配置错误的Django应用程序暴露了秘密API密钥和数据库密码

安全研究人员已经开始谴责错误配置的Django应用程序，这些应用程序暴露了诸如API密钥，服务器密码或AWS访问令牌之类的敏感信息。

这种暴露的主要原因是因为应用程序开发人员忘记关闭一个Django应用程序的调试模式，巴西安全研究员法比奥·卡斯特罗告诉长时间再次计算机本周早些时候。

Django是一个非常强大且可自定义的Python框架，通常用于创建基于Python的Web应用程序，Intranet和应用程序后端。在Shodan上发现28,165个泄漏的Django应用程序。卡斯特罗告诉Bleeping Computer，他发现本周有28,165个Django应用程序，管理员忘记了调试模式。

研究人员通过浏览一些服务器，发现许多这些应用程序的调试模式暴露了极其敏感的信息，这些信息可能允许恶意角色完全访问应用程序所有者的数据。Django应用程序越复杂，查找更敏感信息的更改就越高。数据库密码和AWS访问令牌在某些情况下也允许访问不仅仅是应用程序数据，而且攻击者还可以访问应用程序所有者IT基础设施其他部分的信息。

在Django方面并非失败

“我发现这是因为我正在与一个小型项目的Django框架合作，”卡斯特罗在一次私人谈话中告诉Bleeping Computer。“我注意到一些错误异常，然后在Shodan上寻找。”“所有曝光的主要原因是启用调试模式，”卡斯特罗说。“这不是Django方面的失败，我的建议是在将应用程序部署到生产环境时禁用调试模式。”卡斯特罗的确是对的。经过超过25年的网络开发，您会认为开发人员现在已经了解到，不管开发堆栈如何，他们都不会为其网站和Web应用程序启用调试模式。

一些服务器已经被入侵

但根据安全研究人员和GDI基金会Victor Gevers主席的说法，运行Django应用程序的一些服务器已经被盗用。Gevers在谈到Bleeping Computer时说，他发现至少有一台服务器在运行Weevely web shell。Gevers发现一些服务器泄露敏感数据属于执行关键操作的各种政府机构。Gevers说他开始向服务器所有者通知他们泄露的Django应用程序。“现在我们已经报告了1,822个服务器，”Gevers说。“143被固定或脱机。”

参考链接：https://www.bleepingcomputer.com/news/security/misconfigured-django-apps-are-exposing-secret-api-keys-database-passwords/

Intel 官方回应 CPU 漏洞：现有防护措施同样有效

就在Intel宣布过去五年处理器上的熔断、幽灵两大安全漏洞已经全部修复完毕之后，又有研究人员公布了一个新的漏洞，再掀波澜。据研究人员称，这个名为BranchScope的新漏洞已在Intel Sandy Bridge二代酷睿、Haswell四代酷睿、Skylake六代酷睿上确认存在，和幽灵漏洞第二变种类似，也是涉及CPU的分支预测功能，可借助定向分支预测器诱骗CPU访问特制数据，从而发起攻击。

现在，我们拿到了 Intel 就此漏洞的官方回应。

Intel 表示，已经与相关研究人员合作，并确认新漏洞的攻击方式和此前已知的侧信道分析(side-channel attack)漏洞相似。Intel 预计，此前对付已知侧信道漏洞的软件防护措施，比如加密算法，对于新的漏洞攻击是同样有效的。换言之，这次曝光的新漏洞和之前的确实很类似，防护起来也差不多，因此影响不会太大，大家可以稍稍安心了。

Intel 官方回应全文如下：

我们已经与这些研究人员展开合作，并已确认他们所描述的攻击方式与此前已知的侧信道分析漏洞类似。

我们预计，用于应对此前已知的侧信道漏洞的软件防护措施，如使用加密算法防御侧信道攻击，对于该论文所述的攻击方式同样有效。

我们相信与研究人员的密切合作是保护客户及其数据的最佳途径之一，我们对这些研究人员的工作表示赞赏。

参考链接：https://www.t00ls.net/articles-45027.html

黑客事件

数以万计 Django 应用程序因配置错误泄露密码等敏感信息

近日，安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息，其中包括密码，API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的，黑客可以使用这些泄露的数据来获得系统的完全控制权。

Django 是一个非常流行的高级 Python Web 框架，它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的，出于安全考虑他建议将应用程序部署到生产时禁用调试模式。

参考链接：https://www.t00ls.net/articles-45025.html

macOS High Sierra 以明文存储外部 APFS 驱动密码

根据 Mac 取证专家 Sarah Edwards 的报告，新版 macOS High Sierra 再次出现 APFS（苹果文件系统）漏洞，以明文形式记录 APFS 格式化外部驱动器的密码，并将此信息存储在非易失性（磁盘上）日志文件中。

攻击者可以利用这个漏洞轻易获取加密 APFS 外部驱动（如 USB 驱动器、便携式硬盘驱动器驱动和其他外部存储介质）的密码。这个漏洞违反了所有已经确立的 Apple 开发和安全规则，根据这些规则，应用程序和实用程序应该使用 Keychain 应用程序来存储有价值的信息，并且应该明确避免以明文形式存储密码。

目前，macOS High Sierra 的 10.13 版本到 10.13.3 版本都受影响。苹果尚未发布补丁。

参考链接：http://hackernews.cc/archives/22218

2018年需要关注5个与黑客安全相关趋势

2020年即将到来，虽然我们不知道未来会出现所有新的威胁，过去几年中每一次都可以被描述为数据泄露的里程碑之年，攻击的复杂性和频率急剧增长。2018年的数据保护计划以及公司的技能开发计划将需要跟上以下发展。

1. 增加自动攻击

发起DDoS攻击现在是典型黑各商业活动。如果您知道在互联网上采购这些黑客工具包的位置，这些攻击可以由任何人以极低的成本进行。因此，2018年将会出现广泛的自动化非针对性攻击。

2. 更严格的合规监督(GDPR)

“ 通用数据保护条例”于去年5月在欧洲生效，并将影响与欧洲公民开展业务的所有组织。新法律将数据保护和安全性牢牢地置于所有企业董事会的议程上。今年将继续加强与第三方的数据保护审查。也将增加对合规性监督的需求。

3. 在物联网中执政

在物联网是无处不在，从我们的家庭安全系统，以我们的冰箱，其影响力正在蔓延。我们生活在一个日益依赖互联网的世界中，这意味着安全至关重要。

从安全角度来看，这些产品的开发严重缺乏共同的安全措施。企业将在其允许进入其组织的物联网设备类型方面变得更加具有选择性，而在企业中批准物联网设备的更正式方法将变得司空见惯。我们将看到供应商开始选择从低端消费设备到企业级产品的目标市场。

4. 云事件

应用程序攻击，无周边网络风险和移动工作人员将在2018年造成更多安全事件。与2017年一样，更多组织将遇到云存储事件，例如意外将私人数据暴露给互联网。其他基于Web的服务的激增以及工作人员移动性更高的事实将导致基于应用程序的安全事件增加。有关云服务的企业安全培训需要成为重中之重。

5. 防守者的手法

组织如何准备和应对违规行为将会发生变化。随着事件发生的可能性增加，组织将意识到他们对违反事件的回应不会有机会。在更广泛的层面上，机器学习和人工智能将有所增加，以帮助安全响应者将注意力集中在关键领域。东方联盟创始人郭盛华表示: 鉴于黑客安全工作者在世界范围内技能短缺，现有人员应渴望提高互联网安全效率的工具。而国内IDC估计，安全解决方案支出将继续成为到2020年达到资金投入最快IT类别。

总体而言，网络安全性将继续依靠现有的工具，技术和实践来保护企业网络。更高的合规要求将推动对黑客安全实践监督的增加，而技能不足将仍然是一个挑战，以提升技能和跨技能为重点的黑客安全文化对于在这个领域培养人才至关重要。

参考链接：http://netsecurity.51cto.com/art/201804/569695.htm

（来源：云天安全搜集整理互联网安全资讯）