国际版小米9号平衡车曝严重漏洞/微软将Fancy Bear黑客组织告上法庭/Tor 发布漏洞奖励计划

发布时间:2017-07-24 15:00 作者:欧阳洋葱来源:FreeBuf.COM 点击:加载中...次

大暑刚过，AlphaBay黑市被查封了的这些天，FreeBuf编辑部周围的气温已经在40℃上下徘徊，只消走出编辑部5分钟，汗水就能从头流到脚，这是7月份的一个平凡周一，投入这一天之前先来光顾一下今天的BUF早餐铺吧。

今天BUF早餐铺几乎都和安全漏洞有关，主要内容包括：微软将Fancy Bear APT黑客组织告上法庭；国际小米9号平衡车曝各种严重漏洞；Tor发布漏洞奖励计划，高危漏洞最高可获4000美元奖金；Valve的Source SDK曝漏洞，通过Steam游戏能安装恶意程序。

　　【国际资讯】

　　美国执法机构确认，美国与欧洲警方合力关闭了AlphaBay和Hansa两大暗网黑市

上周的BUF早餐铺报道了AlphaBay被执法机关查封的消息，该黑市从6月4日开始无法访问。美国、加拿大和泰国在配合下逮捕了疑似AlphaBay运营者之一的Alexandre Cazes——但在引渡到美国之前，Cazes就在狱中自杀了。

最近，美国司法部长Jeff Sessions确认，欧洲刑警组织、FBI、美国缉毒局和荷兰警方共同执行任务，查封了两大暗网黑市AlphaBay与Hansa。当局预计这两个市场均有数万卖家在出售非法商品，在全球范围内有超过20万用户。AlphaBay黑市中有超过25万非法药品条目，而枪支、窃取和欺诈的个人信息、假冒商品、恶意程序和入侵工具也有10万条目。AlphaBay的关闭对整个地下黑市造成了很大影响，所以许多人迁往Hansa。但荷兰警方很快采取行动拿下了Hansa的服务器。两家黑市被关闭后，数百万乃至千万美元价值的加密货币也因此被冻结。

当局还表示Cazes和很多网络犯罪分子一样，犯了一些错误才导致其真实身份暴露。他用个人邮箱Pimp_Alex_91@hotmail.com发送支持邮件给AlphaBay的会员。这个邮箱地址暴露了一些信息。FreeBuf很快还将就Alexandre Cazes犯的一些错误发表评论文章。[来源：Security Affairs]

　　微软将Fancy Bear APT黑客组织告上法庭，想接管其间谍行动使用的域名

阻断APT行动或者间谍行动的方法有很多，其实不仅是安全公司的检测与响应，也可以像微软这样拿起法律武器，打击著名的Fancy Bear APT黑客组织。Fancy Bear组织又名APT28、Sofacy、Sednit和Pawn Storm。不少安全公司的报告都指出该黑客组织与俄罗斯秘密情报机构GRU存在关联，也被认为是针对去年美国总统大选发动攻击的组织之一。

这次微软在美国联邦法庭上起诉了Fancy Bear，微软指控该APT组织实施计算机入侵、网络欺诈，并且还采用多个看起来像是微软产品的域名，如livemicrosoft[.]netrsshotmail[1].com，用于其网络间谍行动。微软期望通过本次起诉，接管Fancy Bear控制下的这些域名。在接管C&C基建之后还能对相应恶意程序流量和目标进行分析。

实际上去年美国地方法官就已经批准微软相应请求，要求域名注册商针对至少70个Fancy Bear域名改变DNS，将流量重定向至微软控制下的服务器。这样一来调查方就能监控来自感染系统的流量，追踪僵尸网络基础设施了。针对本次诉讼，微软仍在等待最终判决。[来源：Security Affairs]

　　【安全漏洞】

　　国际版小米9号平衡车存在多个严重漏洞，可被黑客轻易控制

小米早在2015年联合Ninebot华山、红杉、顺为等多个投资方收购电动平衡车鼻祖Segway。上周来自安全公司IOActive的安全研究人员Thomas Kilbride宣布发现国际版小米9号平衡车(即Segway Ninebotmini PRO)的多个严重漏洞，可被黑客远程利用，在相应距离内完全接管平衡车，并让驾驶者失去对平衡车的控制。

这款Segway平衡车是通过Ninebot智能手机App进行远程控制的，该App可实现对亮灯的调整，修改安全设置，运行平衡车诊断，设定防窃取警报，还能遥控平衡车移动。安全研究人员却发现，只要20秒就能接管这款平衡车。Thomas揭露了该车的一系列安全漏洞，主要包括：

安全PIN码绕过——攻击者可利用修改版本的Nordic UART应用通过蓝牙连接平衡车，无需任何安全PIN码认证；

　　未加密的通讯——Ninebot应用和平衡车通讯采用未加密的方式，远程攻击者可执行中间人攻击，并注入恶意payload；

　　无固件完整性校验——缺乏未加密通讯与固件完整性校验机制，这样攻击者就能推送恶意固件升级了；

　　暴露附近骑行者的地理位置——Ninebot应用中有个“附近骑行者”功能，这样用户可发现附近的骑行者，这样也就将这些人的位置暴露给了攻击者。

通过这些漏洞的利用，攻击者可篡改设备设置、速度、运动方向等。Thomas还专门发布了一则演示视频演示如何向这款平衡车推送恶意固件。不过实际上这些漏洞是去年就发现的，今年4月份的更新中，Ninebot应用已根据Thomas的报告修复了这些漏洞。详情参见FreeBuf的报道。[来源：The Hacker News]

　　Tor发布漏洞奖励计划，一个漏洞最高可获得4000美元奖金

TorProject最近公开其漏洞奖励计划，高危漏洞可获得2000–4000美元奖金。此计划由HackerOne运营，并且该项目还得到了Open Technology Fund开放技术基金会的支持。白帽可挖掘Tor(网络后台程序)与Tor浏览器中的漏洞。Tor中继与Tor浏览器的任意漏洞都可上报，包括本地提权、远程代码执行、未经授权的用户数据访问等。

针对高危漏洞，白帽可获得2000–4000美元奖金，中危漏洞则可获得500–2000美元奖金，低危漏洞至少也能获得100美元奖金。不存在太大威胁的安全缺陷可获得T恤、贴纸等奖励，还能进入Tor名人堂。此外，Tor也接受第三方库的漏洞，若存在漏洞的库不包含在漏洞奖励计划范围内，也能获得500–2000美元奖金。实际上，Tor曾经在2015年12月份宣布过首个漏洞奖励计划，次年1月发起私有计划。[来源：The Hacker News]

　　苹果发布iOS与其它产品安全更新，包括影响大量设备的博通Broadpwn漏洞

上周，苹果针对iOS、macOS、watchOS、tvOS、Safari、iTunes和iCloud产品发布安全更新。其中修复的最重要漏洞就是前不久FreeBuf也曾报道过的Broadpwn漏洞。对于采用博通WiFi芯片的iOS设备而言，攻击者可利用漏洞来接管设备。该漏洞也影响到watchOS、macOS和tvOS系统。

该漏洞影响到数百万手机产品，不仅包括iOS设备，还包括Android设备。漏洞严重性在于不需要用户交互就可被利用，用户只需要走入恶意WiFi网络范围内就会中招。本次苹果修复的漏洞可参见苹果的官方公告。[来源：Bleeping Computer]

　　通过Steam游戏就能安装恶意程序？Valve修复SDK中的一个漏洞

来自One Up Security安全公司的研究人员Justin Taft最近发布一份报告，其中提到游戏公司Valve的Source SDK中存在一个漏洞。Source SDK是游戏开发商用于第三方mod和其它特性开发的，该漏洞可让攻击者在用户计算机上执行任意代码，甚至安装恶意程序，如勒索程序、挖矿程序、银行木马等。

Source引擎地图文件可让开发者搭载定制化内容，加载定制的地图。Taft表示攻击者可利用mod或者地图文件，利用该漏洞来加载exploit代码。比如说恶意程序开发者可构建一个恶意ragmodel——这是定义玩家角色死亡时动作的文件。用户连接服务器的时候，绝大部分情况下，游戏会自动下载和加载这些源。当玩家角色被击中并倒地时，恶意代码随后就能执行——这只是其中一个漏洞利用场景。

在Taft上报漏洞后，Valve过去几个月已经修复了漏洞，并通知各游戏工作室，应对其游戏进行升级。所以今年6月份已经有不少游戏进行了升级。此外Valve还通知第三方mod开发者，需要升级其Steam Source SDK版本。未来30天内，Taft就会公开PoC演示。[来源：Bleeping Computer]