青莲晚报（第二十二期）| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。 以下为近日的物联网安全新闻内容。

 

FragmentSmack DoS 漏洞影响80多款思科产品

思科目前正在调查其产品线，以确定哪些产品和服务使用了 Linux 内核3.9或更高版本，这些产品容易受到 FragmentSmack 拒绝服务（DoS）漏洞 CVE-2018-5391 的攻击。思科确定有80多个产品受此漏洞影响，预计该漏洞到2019年2月会全线修复。

详文阅读：

https://www.easyaq.com/news/1589039024.shtml

 

思科视频监控管理器（VSM）被秘密植入硬编码root后门

根据相关声明，有人在产品开发过程中在其中创建了一个“秘密”帐户，并忘记移除：“在思科公司将软件安装在受影响平台中时，受影响软件中的 root 帐户未能被正确禁用。”

由于该硬编码帐户拥有管理员级别的 root 权限，因此能够通过网络访问该设备的攻击者将能够借此实现登录，从而执行任意操作。

详文阅读：

 

https://www.easyaq.com/news/167917467.shtml

西部数据My Cloud 平台被曝漏洞，会暴露存储内容

据安全公司Securify的研究人员披露，西部数据My Cloud平台存在提权漏洞，可被黑客利用通过HTTP请求获得设备的管理员访问权限，该漏洞的编号为CVE-2018-17153。据研究人员透露，攻击者可利用该漏洞运行命令、访问存储的数据，修改/复制数据，以及清除NAS。该漏洞存在于My Cloud创建管理员会话的过程当中，一旦创建了会话，便有可能在HTTP请求中发送cookie username=admin来调用经过验证的CGI模块。

详文阅读：

https://www.easyaq.com/news/810638275.shtml

 

NUUO产品被曝0Day漏洞，黑客可远程入侵数十万摄像头

数字联网监控系统供应商NUUO的网络视频录像机软件存在缓冲区溢出漏洞，其编号为CVE-2018-1149，研究人员将该漏洞命名为“躲猫猫”（Peekaboo）。该漏洞允许在视频监控系统上远程执行代码，这意味着黑客可观看或篡改监控视频影像。具体而言，攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息，还可窃取机密数据，如凭证、IP地址、端口使用情况、监控设备的型号。攻击者甚至可利用该漏洞使摄像头等监控设备失灵。据悉，Peekaboo漏洞的影响范围较广，波及超过100个品牌、2500款不同型号的摄像头，以及数十万设备。

详文阅读：

https://www.easyaq.com/news/550008787.shtml

 

富士电机伺服系统和驱动被曝严重的 0day 漏洞

ICS-CERT 和趋势科技 ZDI 团队本周披露称，日本富士电机公司的私服系统和驱动中存在多个未修复的漏洞。

ICS-CERT 和 ZDI 表示，研究员 Michael Flanders 在富士电机的 Alpha 5 智能伺服系统尤其是 Loader 软件（版本 3.7 及更高）中发现了两个漏洞。

受影响产品主要用于欧洲和亚洲的商业设施和关键制造行业中，作用是通过调整，使驱动多种机器的电动机能够正确运行。

高危和中危漏洞

其中一个漏洞是严重的堆缓冲溢出 (CVE-2018-14794) 漏洞，能导致远程攻击者诱骗目标打开一个特别构造的 C5V 文件，从而执行任意代码。ZDI 在安全公告中指出，“这个问题产生的原因是在将用户提供的数据复制到一个长度固定且基于堆的缓冲之前，缺乏对该数据的正确验证。攻击者能够利用这个漏洞在管理员上下文中执行任意代码。”

影响伺服系统的第二个漏洞是一个中危的缓冲溢出漏洞，可导致在处理特殊构造的 A5P 文件时，敏感信息遭暴露。当结合其它漏洞使用时，攻击者能够以管理员权限利用该 bug 执行任意代码。

详文阅读：

http://codesafe.cn/index.php?r=news/detail&id=4480