8月24日OpenSSL發布安全更新公告,修補兩個年初已發現的緩衝區溢位漏洞,近日修復完才正式對外揭露,目前包括Ubuntu、紅帽、SUSE、Debian,以及臺灣NAS大廠群暉很快都有動作,已有相關公告,顯示正在因應,其他採用OpenSSL的業者也應注意
緩衝區溢位 在 TechOrange 科技報橘 Facebook 的最佳貼文
駭客可以用緩衝區溢位的方式,輕鬆侵入 ATM 系統
---
📨 訂下 TO 電子報,讓科技陪你宅好宅滿
>> https://bit.ly/34C70el
緩衝區溢位 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳貼文
Philips智慧燈泡漏洞將允許駭客滲透用戶網路
透過Wi-Fi或ZigBee協定控制的智慧燈泡,先前就證實可被入侵並操控,現在研究人員更發現,利用負責控制智慧燈泡的橋接器裝置,還能進一步駭入住家或辦公室網路
文/陳曉莉 | 2020-02-06發表
資安業者Check Point本周揭露了藏匿在智慧燈泡Philips Hue中的安全漏洞,指稱該漏洞將允許駭客滲透到受害者的家中或辦公室網路。
研究人員表示,透過Wi-Fi或ZigBee協定控制的智慧燈泡,在3年前就證實可被入侵,允許駭客控制智慧燈泡的運作,然而,他們對於駭客能否藉由入侵IoT裝置而滲透家中、辦公室,甚至是智慧城市的網路更感興趣,也找到了攻陷之道。
準確的說,Check Point的攻擊是兩階段的,目標分別為Philips Hue燈泡與Philips Hue的橋接器,採用ZigBee協定的橋接器可用來控制所有的智慧燈泡,最多可管理50個Philips Hue。
Check Point先利用其它研究人員所開發的攻擊程式,在Philips Hue燈泡上安裝了惡意韌體,再以Philips Hue燈泡為媒介,利用橋接器上的CVE-2020-6007漏洞,取得橋接器的控制權,再滲透到受害者的網路。
在第二階段的攻擊場景中,由於駭客已可透過惡意韌體操縱燈泡的顏色與亮度,讓使用者誤以為燈泡故障了,但在行動程式中卻顯示無法存取,只得企圖重置它。而重置的方式則必須先將它從程式中移除,然後再指示橋接器發現該燈泡,此時這個已被植入惡意韌體的燈泡,則重新回到網路中。
研究人員說明,接著他們就能利用ZigBee協定的安全漏洞來傳送大量的資料,以觸發橋接器上的緩衝區溢位漏洞,以在橋接器上植入惡意程式,由於橋接器連結了受害者的家中或辦公室網路,意味著他們已成功滲透,還能展開進一步的攻擊,在受害者的網路上散布勒索軟體或間諜程式。
打造Philips Hue的為飛利浦(Philips)旗下負責照明的子公司Signify,Check Point在去年11月同時通知了飛利浦與Signify,目前該漏洞已被修補,Signify亦已更新橋接器韌體。
資料來源:https://www.ithome.com.tw/news/135679