施耐德电气

1 文章

《安全周报》34期:修复补丁,补之不易

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya