思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

admin 2025年1月26日16:27:37评论9 views字数 2618阅读8分43秒阅读模式

思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

思科曝9.9分关键权限提升漏洞;

近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE - 2025 - 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。

思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

思科周三在公告中称:“此漏洞存在的原因是REST API用户未强制执行恰当的授权。攻击者可通过向特定端点发送API请求来利用该漏洞。成功利用此漏洞可能让攻击者获得对思科会议管理所管理的边缘节点的管理员级别控制权。”

思科将这一安全问题的发现归功于Modux的Ben Leonard - Lagarde。受影响的产品版本如下(无论设备配置如何):

- 思科会议管理发布版本3.9(已在3.9.1中修复);
- 思科会议管理
发布版本3.8及更早版本(需迁移到修复版本);
- 思科会议管理发布版本3.10(不受影响)。

思科还发布了补丁,修复影响BroadWorks的拒绝服务(DoS)漏洞。该漏洞源于对某些会话启动协议(SIP)请求的内存处理不当(CVE - 2025 - 20165,CVSS评分:7.5),已在版本RI.2024.11中修复。

思科表示:“攻击者可通过向受影响系统发送大量SIP请求来利用此漏洞。成功利用可能使攻击者耗尽分配给处理SIP流量的思科BroadWorks网络服务器的内存。若无可用内存,网络服务器将无法再处理传入请求,从而导致需要手动干预才能恢复的DoS状况。”

思科修复的第三个漏洞是CVE - 2025 - 20128(CVSS评分:5.3),这是影响ClamAV的对象链接和嵌入2(OLE2)解密例程的整数下溢错误,也可能引发DoS情况。思科承认该漏洞由Google OSS - Fuzz报告,并且已知存在概念验证(PoC)利用代码,不过没有证据表明它已在野外被恶意利用。

CISA和FBI详述Ivanti的利用链

在思科漏洞消息传出之际,美国政府的网络安全和执法机构公布了2024年9月国家支持的黑客组织利用的两个侵入Ivanti云服务应用程序的利用链的技术细节。

相关漏洞如下:

  • - CVE - 2024 - 8963(管理绕过漏洞);

  • - CVE - 2024 - 9379(SQL注入漏洞);

  • - CVE - 2024 - 8190和CVE - 2024 - 9380(两个远程代码执行漏洞)。

据网络安全和基础设施安全局(CISA)和联邦调查局(FBI)称,在一个案例中,攻击序列涉及滥用CVE - 2024 - 8963与CVE - 2024 - 8190和CVE - 2024 - 9380;在另一个案例中,涉及滥用CVE - 2024 - 8963和CVE - 2024 - 9379。

值得注意的是,第一个利用链由Fortinet FortiGuard Labs于2024年10月披露。至少在一个案例中,威胁行为者在获得初步立足点后进行了横向移动。

第二个利用链被发现利用CVE - 2024 - 8963与CVE - 2024 - 9379结合以获取对目标网络的访问权限,随后试图植入Web shell以保持持久性,但未成功。

这些机构表示:“威胁行为者链接了上述漏洞以获取初始访问权限、执行远程代码执行(RCE)、获取凭据并在受害者网络上植入Web shell。应认为受影响Ivanti设备中存储的凭据和敏感数据已泄露。”

知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

攻击者可以利用最基本的车主信息,访问斯巴鲁汽车星链管理系统,进行定位或远程操作。

安全内参1月24日消息,安全研究员Sam Curry和Shubham Shah发现了斯巴鲁(Subaru)汽车星链管理系统中的一个漏洞。通过该漏洞,攻击者仅凭借基本的客户信息,如姓氏、邮政编码、电子邮件地址、电话号码或车牌号码,就能够完全访问车辆的控制系统及数据。
思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车
图:该系统支持通过车牌号、邮箱、电话号码等多种形式检索并管理车辆
这一漏洞使得黑客可以精确追踪车辆位置,精度达到5米,并记录下过去一年中每次发动机启动时的坐标。

通过管理系统漏洞访问全球车辆

安全研究员Sam Curry昨天发布文章称,去年11月20日发现了斯巴鲁星链联网汽车服务中的一个严重漏洞,攻击者可以未经授权访问美国、加拿大和日本的车辆及客户数据。该漏洞暴露了广泛的车辆控制能力和敏感的客户信息。
在受控测试中,研究人员通过访问2023年款斯巴鲁翼豹的系统,展示了该漏洞的危害范围。他们成功获取了超过1600个位置坐标,涵盖了车辆一整年的移动数据。
思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车
图:该款车型近一年的位置坐标可视化展示
更令人担忧的是,他们在没有触发任何车主通知的情况下,将未经授权的用户添加到一辆志愿者的车辆中。漏洞使得黑客能够远程控制车辆,包括启动车辆、熄火、锁车及解锁等操作。
该安全漏洞源于星链员工管理系统中的密码重置漏洞和二次身份验证绕过。这使得未经授权的用户能够访问大量客户数据,包括紧急联系人、住址、部分账单信息、车辆PIN码及详细的服务历史记录。
思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车
图:斯巴鲁汽车星链管理系统后台

现代汽车的隐私风险

研究员们强调了联网车辆安全问题的广泛影响,尤其是当涉及员工管理权限时。Curry在其披露中写道:“汽车行业的特殊之处在于,来自德克萨斯州的18岁员工可以查询加利福尼亚州一辆车辆的账单信息,而这一行为并不会触发任何警报。这一切都完全依赖于信任。”
斯巴鲁的安全团队在2024年11月20日接到漏洞报告后,迅速响应并于次日下午实施了修复。修复前并没有证据表明漏洞被恶意利用。
Mozilla的先前研究已经表明,现代汽车常常成为隐私的噩梦。大量个人数据通过“联网汽车”被传输给汽车制造商并被追踪。尽管这些数据通常只在制造商内部存储,并偶尔被转售,但至少这些数据应该受到某种安全保护,防止被未经授权的人员访问。如今看来,如果恶意黑客能够入侵汽车制造商的中央控制系统,他们将能获取一个充满敏感数据的“金矿”。
仅凭管理员账号即可轻松访问这些敏感数据,甚至在没有任何基于位置的权限控制的情况下让软件工程师查看,实在是极为不负责任的行为。管理员在访问未匿名化的客户数据时,应该有严格的防护措施。
此事件再次提醒我们,过度的数据收集对客户隐私构成了极大的安全隐患。幸运的是,这一次,讲道义的黑客比恶意黑客更早发现了漏洞,尽管我们无法确认是否真是如此。

文章来源 :freebuf、安全内参

原文始发于微信公众号(黑白之道):思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月26日16:27:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车http://cn-sec.com/archives/3678087.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息