|
更多全球网络安全资讯尽在E安全官网www.easyaq.com - ]% |0 T9 J) ]* x8 L7 H" Y2 i
1 ?/ n- M, h4 N4 h/ a[size=1em]
1 ^, s6 B6 s3 C5 Q1 M+ A
+ u9 l3 N5 k w6 v) x6 }2 t. g1 l* v
[size=1em]小编来报:安全研究人员发现一家HSM(硬件安全模块)供应商的产品中存在漏洞,黑客可远程完全控制HSM。
+ W' G7 N0 O, k3 C% t- F X
; ]& R% B: b3 _% G4 K5 o! @6 ^1 _- V
据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。
( H- J9 k" h) {' d7 q
9 ^' P- K7 D% u9 x/ N" q; iHSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。
+ ^, `. Y' Q5 v' r
4 | T1 S4 s" J& t+ W
& [* T2 l+ d8 f" H% N( K0 ]6 o c! V
8 o# u2 w. q7 _$ s! c
 在一家HSM供应商中发现远程攻击
# T" `2 w' r8 @" u* Y
6 h9 @- [3 r; X, c) i9 N+ @1 C3 n0 W" l N( P
上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。3 }' K3 U+ R( I) b* ` i
# i/ R& c9 l1 Y1 y
根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。
8 M# ^( m& F# e2 C0 Q' d" {* A. O& x0 C: i9 z
! {% a- b! I( w- N0 J
/ I3 l$ t' d8 M ; O& d- }& Z5 x9 A& y9 n: X) l4 @' ]5 Y
' U* h; n4 Q9 P+ x' Q0 P# v! k供应商名称不详
* G' [$ p- p. ]8 C" ?* L E6 \, i! k
研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。5 W( E. N9 H5 B7 s4 s8 P. ]
. K8 }0 Z( B' _9 X f' }4 sCryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。
8 @) ^; V$ r) Y注:本文由E安全编译报道,转载请注明原文地址
4 i2 m) M4 d* w ?8 G$ L2 u
. @& v6 A1 A% f: M, B' J* y6 dhttps://www.easyaq.com, z% M' G6 s7 x8 o+ `
推荐阅读:
2 Q% }" D" ]$ C% V/ {) s3 j* G0 f! e+ T
! \% B, j T6 f" k- 新的僵尸网络出现,150多万台RDP服务器很危险!0 l8 {- n; q8 V7 {1 ~# k
- 专家表示,微软删除面部识别数据库为时已晚
# \" |: J1 v4 A B- d$ L! Q - 怎么回事?自动取款机突然开始扔钱……: a ]5 b( T2 l. t! R* H% y
- 4种对抗网络攻击的方法% h5 {1 R+ e# f$ q
- 伊朗黑客组织新添黑客武器,政府网络易受影响6 U! v( |# c5 A, C
- Exim SMTP Mail Server漏洞预警
/ q; p: f7 I! q J& x7 w
& O3 {3 e1 _! z# L5 \1 l5 i
0 g) c' a5 ~# F q7 F; y$ M
4 j6 G; w" @/ i. B) [' D) ^5 ~: a* {▼点击“阅读原文” 查看更多精彩内容4 R' l* c. ?, |* [8 V
7 ^4 s; a+ r. v! s
. }9 M+ H, g' \1 a1 F 喜欢记得打赏小E哦!2 P% d$ r1 d) ~
3 U& {/ l. x Q( e6 i2 ^5 M) f; Y7 B1 [5 @* R$ m |+ {
1 W; q1 E5 E( l0 b, Y# c, f! _" K" T X+ h$ C
6 x( |+ P& X! z# W3 O! g, X
来源:http://mp.weixin.qq.com/s?src=11×tamp=1560222005&ver=1661&signature=rkvqd82BkR-d6QSZ7KIkGPE4lZWar7umiFou7f*Ulydgf4*kiVe511JqcbL0Aypx3jX*Zf7V3IqNq*dnDhV4Z7Fl3dPPZbCjxxzUpgr1o4njghyZX1Mo87pmCFfh6kIZ&new=1
9 J. d/ H5 M- u9 [- w0 Z免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-6-11 11:23:37
