京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 6391|回复: 0

一家HSM供应商的产品存在严重漏洞,敏感信息易被窃取

[复制链接]

10

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-6-11 11:23:37 | 显示全部楼层 |阅读模式 来自 中国
更多全球网络安全资讯尽在E安全官网www.easyaq.com
- ]% |0 T9 J) ]* x8 L7 H" Y2 i

1 ?/ n- M, h4 N4 h/ a[size=1em]
1 ^, s6 B6 s3 C5 Q1 M+ A

+ u9 l3 N5 k  w6 v) x6 }2 t. g1 l* v
[size=1em]小编来报:安全研究人员发现一家HSM(硬件安全模块)供应商的产品中存在漏洞,黑客可远程完全控制HSM。
+ W' G7 N0 O, k3 C% t- F  X
; ]& R% B: b3 _% G4 K5 o! @6 ^1 _- V
据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。
( H- J9 k" h) {' d7 q 
9 ^' P- K7 D% u9 x/ N" q; iHSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。
+ ^, `. Y' Q5 v' r 
4 |  T1 S4 s" J& t+ W

& [* T2 l+ d8 f" H% N( K0 ]6 o  c! V
8 o# u2 w. q7 _$ s! c
在一家HSM供应商中发现远程攻击
# T" `2 w' r8 @" u* Y
6 h9 @- [3 r; X
, c) i9 N+ @1 C3 n0 W" l  N( P
上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。3 }' K3 U+ R( I) b* `  i
 # i/ R& c9 l1 Y1 y
根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。
8 M# ^( m& F# e2 C0 Q' d" {* A. O& x0 C: i9 z

! {% a- b! I( w- N0 J

/ I3 l$ t' d8 M ; O& d- }& Z5 x9 A& y9 n: X) l4 @' ]5 Y

' U* h; n4 Q9 P+ x' Q0 P# v! k供应商名称不详
* G' [$ p- p. ]8 C" ?* L  E6 \, i! k
研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。5 W( E. N9 H5 B7 s4 s8 P. ]
 
. K8 }0 Z( B' _9 X  f' }4 sCryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。
8 @) ^; V$ r) Y
注:本文由E安全编译报道,转载请注明原文地址
4 i2 m) M4 d* w  ?8 G$ L2 u
. @& v6 A1 A% f: M, B' J* y6 dhttps://www.easyaq.com, z% M' G6 s7 x8 o+ `
推荐阅读:
2 Q% }" D" ]$ C% V/ {) s
3 j* G0 f! e+ T

    ! \% B, j  T6 f" k
  • 新的僵尸网络出现,150多万台RDP服务器很危险!0 l8 {- n; q8 V7 {1 ~# k
  • 专家表示,微软删除面部识别数据库为时已晚
    # \" |: J1 v4 A  B- d$ L! Q
  • 怎么回事?自动取款机突然开始扔钱……: a  ]5 b( T2 l. t! R* H% y
  • 4种对抗网络攻击的方法% h5 {1 R+ e# f$ q
  • 伊朗黑客组织新添黑客武器,政府网络易受影响6 U! v( |# c5 A, C
  • Exim SMTP Mail Server漏洞预警
    / q; p: f7 I! q  J& x7 w
& O3 {3 e1 _! z# L5 \1 l5 i

0 g) c' a5 ~# F  q7 F; y$ M
4 j6 G; w" @/ i. B) [' D) ^5 ~: a* {点击“阅读原文” 查看更多精彩内容4 R' l* c. ?, |* [8 V
7 ^4 s; a+ r. v! s

. }9 M+ H, g' \1 a1 F喜欢记得打赏小E哦!2 P% d$ r1 d) ~

3 U& {/ l. x  Q( e6 i2 ^5 M) f; Y7 B1 [5 @* R$ m  |+ {

1 W; q1 E5 E( l0 b, Y# c, f! _" K" T  X+ h$ C
6 x( |+ P& X! z# W3 O! g, X
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1560222005&ver=1661&signature=rkvqd82BkR-d6QSZ7KIkGPE4lZWar7umiFou7f*Ulydgf4*kiVe511JqcbL0Aypx3jX*Zf7V3IqNq*dnDhV4Z7Fl3dPPZbCjxxzUpgr1o4njghyZX1Mo87pmCFfh6kIZ&new=1
9 J. d/ H5 M- u9 [- w0 Z免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-4-21 23:28 , Processed in 0.085482 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表