京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 6440|回复: 0

一家HSM供应商的产品存在严重漏洞,敏感信息易被窃取

[复制链接]

10

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-6-11 11:23:37 | 显示全部楼层 |阅读模式 来自 中国
更多全球网络安全资讯尽在E安全官网www.easyaq.com

$ w* y: w0 z! c5 T( c: {$ ^9 M( ]/ `6 W3 H
[size=1em]. m6 @5 C& D. t

  T8 r5 _  I( d7 V1 }2 G) o% |1 J
% p! H# {. P. M[size=1em]小编来报:安全研究人员发现一家HSM(硬件安全模块)供应商的产品中存在漏洞,黑客可远程完全控制HSM。- k# u7 w% v, z' W) {0 b
# H* N4 t  K# a5 M! K/ x

8 z- z* B9 H" E: r$ G- l5 P据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。
/ B5 ^% C0 q. Q( e: I4 |' Q  d 
% ^; Y" @, m; U- U7 e  P2 M! JHSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。4 o4 ]8 p; ^. |5 [% H
 : H4 s  R4 L, o& C+ ~
8 Y- W- t5 H5 W7 n( ?( {

( c6 d5 p% l( R- g7 v$ B

: q- m, Z" V! b# E, S在一家HSM供应商中发现远程攻击: j8 @9 R5 o0 a' {! g/ p2 ^
2 ^$ \* R4 I/ f; \% t! ^# _

" P; y2 W0 m1 l% o上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。) r' B1 V: y& T; q5 l
 
( ~  j/ h4 b; L. ~+ m) o根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。( X0 D+ f" F4 \. _+ n* p9 S( q- f
7 X/ z) y; ~. z4 t' M

3 p7 K8 ^+ ?3 f% N( }( k4 D
! \3 y" |- x% M/ X
 - `+ K, v# G- w3 H/ c# {( T2 d
4 w, g! L6 c7 Q( ?3 T7 x5 m( ^
供应商名称不详6 i( e2 v5 i; g; \# Y6 B! j

0 c0 o, M1 l) o: e. A) P: }; o研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。
, d2 P/ O2 {% I. N3 o; T 
' T1 f5 d+ F% `Cryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。, t' O  `/ c; m* m* a+ F( m5 o
注:本文由E安全编译报道,转载请注明原文地址% t$ r. P% M0 D  x2 l; d. D

  j7 K! |. |+ e% h& \: j$ [https://www.easyaq.com
* }8 w5 r$ O, T( i  n) _
推荐阅读:/ V5 M2 j* p- q+ Y6 Q1 s

4 h: H2 U, N" z( p! [

    2 l# e1 K* }8 l( U  p
  • 新的僵尸网络出现,150多万台RDP服务器很危险!2 q3 u$ y! D3 S( ?1 ]" T0 x
  • 专家表示,微软删除面部识别数据库为时已晚2 n% M3 Z' h/ k4 t. ]1 T9 C' s
  • 怎么回事?自动取款机突然开始扔钱……
    , G7 k; S0 A! F8 B1 j1 c" {
  • 4种对抗网络攻击的方法
    , c8 r5 e4 P, F) I# k( r
  • 伊朗黑客组织新添黑客武器,政府网络易受影响/ P$ Z+ ~* O# v2 Q
  • Exim SMTP Mail Server漏洞预警: s8 }3 @; J' ^8 x$ ?

  m; x# L9 H9 }2 b! U* ]  n
) [, W0 b) }4 m2 k
# ?) ^5 q7 S8 |7 B4 s' H点击“阅读原文” 查看更多精彩内容4 \3 t& I. O+ i2 Q* L; u5 V

9 @& f; R' e4 z( ^

, x8 ^% M" P$ e8 i喜欢记得打赏小E哦!
! b, N2 q4 Z4 c5 H2 G. m  ?* N3 u! `/ w2 ^8 v& M7 j# X

6 z% {% l: u' k7 H; Z  Y  B( {* q4 n$ y$ i+ ~0 V4 z, R
; j7 v: _# f# K0 h2 N% }9 P( z' [
0 M) O3 M+ q( z' r8 T# G
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1560222005&ver=1661&signature=rkvqd82BkR-d6QSZ7KIkGPE4lZWar7umiFou7f*Ulydgf4*kiVe511JqcbL0Aypx3jX*Zf7V3IqNq*dnDhV4Z7Fl3dPPZbCjxxzUpgr1o4njghyZX1Mo87pmCFfh6kIZ&new=1+ }4 k+ y8 G" s8 O1 k5 l
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-18 05:31 , Processed in 0.037835 second(s), 26 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表