安全资讯 – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Fri, 23 Aug 2019 01:22:51 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057) /news/550.html Wed, 22 Aug 2018 11:21:58 +0000 /?p=550 st2又来了!POC:https://github.com/jas502n/St2-057

概述

定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。

url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。

 

官方解决方案

升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。

 

临时解决方案

推荐用户及时更新,但如果不想更新,可暂时使用官方提供的临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。

影响范围 所有Struts2开发者及用户
漏洞影响 有可能会导致远程代码执行
最高安全风险 关键
推荐防护措施 更新至2.3.35或2.5.17
影响版本 Struts 2.3 – Struts 2.3.34, Struts 2.5 – Struts 2.5.16

其余版本也可能会受到影响
漏洞报告人 Man Yue Mo@Semmle Security Research team
CVE编号 CVE-2018-11776

 

CVSS v3

CVSS3 Base Score 9.8
CVSS3 Base Metrics CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Attack Vector Network
Attack Complexity Low
Privileges Required None
User Interaction None
Scope Unchanged
Confidentiality High
Integrity Impact High
Availability Impact High
]]> 长生生物官网被黑!黑客留下两张图片! /news/439.html Mon, 23 Jul 2018 03:21:26 +0000 /?p=666 7月23日早间,假疫苗的官网http://china.cs-vaccine.com/ 沦陷,自称是Anonymous的黑客留下这样一个黑页

其中一张是儿童注射。另一张是国务院总理对此事情的最新批示:必须给全国人民一个明明白白的交代!

并且留了一句话:“不搞你,对不起祖国花朵!”

曾经鼓起那么大的勇气,你特么告诉我是无效的?

这个公司估计已经被安排的明明白白了吧。

 

到发稿时间为止,网站已经打不开了,应该是撤掉了域名解析。

 

黑客技术亦正亦邪,希望各位自己斟酌。

]]> Excel 开始支持使用 JavaScript 编写自定义函数 /news/413.html /news/413.html#comments Thu, 10 May 2018 13:24:14 +0000 /?p=355 Excel 开始支持使用 JavaScript 编写自定义函数

  1. 概述

微软为 Excel 增加了使用 JavaScript 编写自定义函数的支持。

  1. 示例

比如一个功能:两数之和加 42:
1.jpg
我们可以使用 JavaScript 编写:

function ADD42(a, b) {
    return a + b + 42;
}

然后就像使用其它 Excel 内置函数一样,这样调用:

=CONTOSO.ADD42(1,2)
  1. 注意事项

这个功能还没有在正式版发布。

Custom [JavaScript] functions are now available in Developer Preview on Windows, Mac, and Excel Online

我们可以通过安装 Office (build 9325 on Windows or 13.329 on Mac) 并加入 Office Insider(默认这个特性是禁用的,只有加入了 Insider 才会开启)。
在 GitHub 上 clone 这个 repo OfficeDev/Excel-Custom-Functions,按照 Readme 文件可以体验此功能,或者直接在 Excel 中编写 JavaScript 自定义函数。

以后利用office怕是连脚本宏都不用了,直接js挖矿

]]> /news/413.html/feed 1 4G LTE移动网络协议爆出新漏洞 工具已公开 /news/372.html Tue, 06 Mar 2018 17:55:00 +0000 /?p=276 在2017年,大家还在 讨论LTE移动网络协议是安全的 ,但近日普渡大学和爱荷华大学的学者,已经在全球推动的4G LTE移动网络的核心协议中发现了新漏洞。攻击者利用这些漏洞,可以伪造身份给你发短信,并拦截你的短信内容包括 手机短信验证码 。研究员表示目前这些漏洞没有补丁,没有看到修复计划。

错误可能导致身份欺骗并实现消息拦截

研究人员说,这些缺陷在题为“LTEInspector:用于4G LTE的对抗性测试的系统方法”(见附件下载), 攻击者可以连接到4G LTE网络,但使用伪造的凭据。

在本文中,我们研究的4G LTE协议的三个关键程序的安全性和保密性(即连接,分离和分页),并在这个过程中,发现由所采用的协议的潜在设计缺陷,以及利益相关者的不安全的做法。

对于暴露的漏洞,我们提出了一种 基于模型 的测试方法LTEInspector它懒洋洋地结合了符号模型检查,并在象征性的攻击模式的加密协议验证。

攻击者可以使用其他用户的身份连接到4G LTE网络,代表另一个用户发送消息,拦截为该用户提供的消息,欺骗移动设备的位置,甚至强制其他设备与移动网络断开连接。

研究人员担心这些问题可能会在现实世界中用来隐藏严重犯罪。 例如,在美国犯案的一名男子,可能会使其看起来像是他的设备,连接到与基于欧盟的LTE网络相关的手机信号塔,从而为他的行动伪造可信的证据。

使用LTEInspector工具发现了漏洞

学者们使用了一个名为LTEInspector的特殊工具,发现了这些漏洞 – 新的漏洞和九个已知的漏洞。

研究人员还通过使用测试平台和人造移动网络,成功复现了十个新攻击中的八个,验证了其工具的准确性。试验台使用现成的设备和软件构建而成。 研究小组解释说:

“我们使用低成本软件定义无线电和开源LTE软件堆栈构建了一个测试平台,价格标签约为3,900美元,我们认为这是潜在攻击者所能接受的成本。

在我们的发现中,值得注意的是身份验证中继攻击,它使攻击者能够在没有适当证书的情况下,将合法用户的位置伪装成核心网络。 为了确保暴露的攻击构成真正的威胁并 在实践 中 真正实现,我们通过在真实测试平台上的实验,验证了10次新攻击中的8次以及伴随的对抗假设“

在第7页的团队研究论文中,详细介绍了使用LTEInspector发现的每个漏洞。研究人员还在GitHub上开源了LTEInspector工具。

https://github.com/relentless-warrior/LTEInspector

没有补丁 没有修复计划

研究人员并不希望他们发现的问题会得到解决。 类似的4G LTE攻击在过去几年发现过几次 ,却仍然没有打补丁。 研究人员表示:

“在不破坏后向兼容性的情况下,回溯性地将安全性添加到现有协议中,往往会产生类似于类似于类似援助的解决方案。
“对于认证中继攻击,是否存在不需要重大基础设施或协议大修的防御,这也不是很清楚。”

LTEInspector:用于4G LTE的对抗性测试的系统方法

出处:http://toutiao.secjia.com/4g-lte-flaw

]]> Github遭遇史上最大1.35 Tbps DDoS攻击 /news/371.html Fri, 02 Mar 2018 17:31:00 +0000 /?p=275 1.jpg
最大代码分发平台Github在周三遭受了一系列大规模分布式拒绝服务(DDoS)攻击。

在攻击的第一阶段,Github的网站遭受了惊人的每秒1.35太比特(Tbps)的高峰,而在第二阶段,Github的网络监控系统检测到了400Gbps的峰值。攻击持续了8分钟以上,并且由于攻击使用了大量流量,这是迄今为止见过的最大的DDoS攻击。

此前,法国电信OVH和Dyn DNS遭遇了1 Tbps流量的DDoS攻击。两起攻击都是黑客利用Mirai进行的,Mirai是一种感染物联网设备进行大规模DDoS攻击的病毒。

然而,就Github而言,大规模攻击时源于Akamai,Arbor Networks和Cloudflare的Memcached服务器中的严重安全漏洞。据研究人员介绍,Memcached服务器的UDP协议的实现存在漏洞,可以被用来发起重大的DDoS攻击。

研究人员称之为放大攻击。Github已经证实,这次攻击利用了Memcached进行放大攻击,通过每秒1.269亿个数据包以1.35Tbps的速度达到峰值。
2.jpg
如果黑客使用放大攻击,他们就可以用较低的流量(低至1Gbps)发起攻击,并发起非常大型的攻击,攻击速度可达每秒几GB。

Github的Sam Kottler解释了这起攻击并写道:“IP地址欺骗使Memcached的响应可以回复到另一个地址,比如用于服务GitHub.com的地址,并向目标发送更多数据。这次的攻击中,错误配置的漏洞很独特,因为放大因子高达51,000,这意味着对于攻击者发送的每个字节,最多可向目标发送51KB。”
3.jpg
根据Cloudflare的工程师Marek Majkowski的说法,“在过去的几天里,我们发现大量的放大攻击,这些攻击使用来自UDP端口11211的Memcached协议。不幸的是,全球有很多Memcached服务器都使用了这种不安全的配置。“

“15个字节的请求可以触发134KB的响应。这是10,000x的放大倍数!实际上,我们看到一个750kB响应来自15字节的请求(这是一个51,200倍放大)。“

为了减轻攻击,Github决定使用Akamai的Prolexic,它提供完全托管的DDoS防护,并且Akamai能够过滤并阻止恶意流量数据包。此外,Github已向其用户致歉,并表示用户数据没有受到威胁。该公司誓言要提高其安全性来处理这种大规模的网络攻击。

近年来随着物联网病毒的广泛传播,大规模的DDoS攻击愈发增多。而GitHub也并非第一次遭到DDoS攻击,2015年,Github曾遭到当时最大规模的攻击。

]]> Memcache UDP反射放大攻击 /news/366.html Thu, 01 Mar 2018 23:01:00 +0000 /?p=260 网络犯罪分子已经找到了一种滥用广泛使用的Memcached服务器方法,以发起超过51,000次强大的DDoS攻击,而这些攻击的强度可能会导致主要网站和互联网基础设施的崩溃。

最近几天,Cloudflare,Arbor Networks和中国安全公司Qihoo 360的安全研究人员发现,黑客现在正在滥用“Memcached”,以前所未有的5.12万倍的速度放大DDoS攻击。

Memcached是一个流行的开源且易于部署的分布式缓存系统,它允许将对象存储在内存中,并且设计为可与大量开放式连接一起使用。Memcached服务器通过TCP或UDP端口11211运行。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcrashed DDoS放大攻击如何工作?

像其他放大方法一样,黑客通过伪造的IP地址发送小的请求以获得更大的响应作为回报,Memcrashed放大攻击也可以通过伪造的请求向端口11211上的目标服务器(易受攻击的UDP服务器)发送欺骗性IP地址匹配受害者的IP。

据研究人员称,发送给易受攻击服务器的请求只需要几个字节即可触发数万倍的响应。

“15个字节的请求触发了134KB的响应,这是10,000倍的放大因子!实际上,我们看到一个响应750kB的15字节请求结果(这是一个51,200倍放大),”Cloudflare说。

据研究人员称,大多数Memcached服务器被滥用于放大DDoS攻击,都在OVH,DigitalOcean,Sakura和其他小型托管服务提供商处进行。

总结

  1. 如何发现?

用扫描软件自查一下,自己机器有没有开放udp,tcp 11211端口的,如果有说出明风险比较大,

  1. 如何解决,

防火墙上屏蔽udp 11211端口访问,

最终解决办法还是打补丁,或者是删除不用的应用。

]]>