京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 6439|回复: 0

一家HSM供应商的产品存在严重漏洞,敏感信息易被窃取

[复制链接]

10

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-6-11 11:23:37 | 显示全部楼层 |阅读模式 来自 中国
更多全球网络安全资讯尽在E安全官网www.easyaq.com

# H! V) F6 ?% q3 \' Z, S& M
% J8 p( U, c" \! n7 K[size=1em]3 c) M& ~/ b* w2 Y
7 g& E1 H- a- H! H7 E

8 s" W6 k+ a4 H0 c" ?[size=1em]小编来报:安全研究人员发现一家HSM(硬件安全模块)供应商的产品中存在漏洞,黑客可远程完全控制HSM。7 c, X/ ]4 T# Y, c
1 Z- o  r. n+ H) M2 B
+ m1 X5 c6 o4 Y$ c
据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。# s; J7 L* _; ^$ N, i. k' _
 1 g1 U: r0 ?: B$ Y- p
HSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。- p  e1 Y  g. J
 
: ^  L9 J  u8 m6 F' }! X

9 _# p: n! _/ {4 B$ b
/ P7 E, u2 Y! B( T4 H

$ h. H8 g8 U, |2 p# N1 c0 W在一家HSM供应商中发现远程攻击% }2 y1 y( H5 a$ q: M6 P
8 Y8 n' k7 h1 a' ]. I

) ]1 u; a* a5 C1 i6 X  d) h, t  q上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。
+ |+ v& i( \" f; [" c 2 ^& l$ E8 r, r+ |/ t2 a/ P+ Y
根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。+ n) b2 g4 d# y" E0 n+ ^" {4 f

8 V" s8 `  P* v

5 |  a' v" }% O5 i7 t& }4 k: V

* @( g7 A% F6 w5 P- E9 T * a, Y6 p5 n! N# [0 k
9 Q. @9 _/ ]" v% j. O0 V
供应商名称不详" x  K3 t  H; k6 c* C
" _# x2 W' y5 I9 Q
研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。& ?! Z4 `! i1 a+ \- e
 
! [" `! I2 R# M: e# P* b' OCryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。9 P) [6 e  ?5 m
注:本文由E安全编译报道,转载请注明原文地址
6 o: j$ ?$ A! s4 r+ @7 ^/ L" M6 a$ W# P
https://www.easyaq.com
. J5 K8 b3 v5 B! Q+ C
推荐阅读:
8 ]1 o( e9 M$ O5 u& P; z* e& V: \1 Z$ ?
. }: V9 ^3 U7 m) ^4 N

    ' f( a) e) g$ B7 @1 W+ L
  • 新的僵尸网络出现,150多万台RDP服务器很危险!8 G. R3 m8 V1 u0 p! n' p$ @* ?% |
  • 专家表示,微软删除面部识别数据库为时已晚; U  \2 y; u! {% @+ y: ^  q
  • 怎么回事?自动取款机突然开始扔钱……* X$ K& X8 c) t( V& r* f2 j
  • 4种对抗网络攻击的方法% G1 [3 @: g+ ^; K, O
  • 伊朗黑客组织新添黑客武器,政府网络易受影响
    % w: M9 v( t( r5 X# j
  • Exim SMTP Mail Server漏洞预警5 x9 x" ?  q% V. J1 t. U
1 o5 q/ y  e$ j5 b7 k% `" E3 V
! _6 a* ]4 d# f* c- N" w( J  ?: F7 g# z7 |- d

0 A2 n, g* }1 A" K9 b, ]点击“阅读原文” 查看更多精彩内容
- V/ R# R' U, c5 \) ?1 n7 b1 Y: S2 t# }2 \. `2 [1 L

2 O/ m, p6 O" |喜欢记得打赏小E哦!
) y. m& ]. n9 E  ^% J. E
3 W( N. y" |4 A1 a9 m$ a4 q7 x
+ h5 Q: O/ z+ g4 m. @! ?3 }0 ^& p- s# E# V2 C( ^; Z- A
! Q( M5 x* R* T) \* f: o
' O0 i) |: i4 G* @
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1560222005&ver=1661&signature=rkvqd82BkR-d6QSZ7KIkGPE4lZWar7umiFou7f*Ulydgf4*kiVe511JqcbL0Aypx3jX*Zf7V3IqNq*dnDhV4Z7Fl3dPPZbCjxxzUpgr1o4njghyZX1Mo87pmCFfh6kIZ&new=1
# {/ p: N6 A9 H: L2 Z2 M5 p, z) _6 M免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-18 05:27 , Processed in 0.043674 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表