京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 6442|回复: 0

一家HSM供应商的产品存在严重漏洞,敏感信息易被窃取

[复制链接]

10

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-6-11 11:23:37 | 显示全部楼层 |阅读模式 来自 中国
更多全球网络安全资讯尽在E安全官网www.easyaq.com

1 F6 E! ]6 \, n5 p6 }2 O1 Z" E7 c" G& w: P" b+ A' L: {8 v- ?
[size=1em]* _& Q, [& O% \" O
* d- ~2 v) r6 D  s, N1 T" v6 K5 m
0 Q) r. g; B' ]0 Y( q/ F
[size=1em]小编来报:安全研究人员发现一家HSM(硬件安全模块)供应商的产品中存在漏洞,黑客可远程完全控制HSM。
2 A5 h# X/ c$ H5 Y9 ?9 j% S; r$ M( m$ h7 d

* ^; E) ^: G) ]; ~' K据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。- T& P5 g6 {# l# I$ g
 $ a) a+ _' H" a7 Z
HSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。
) D& r& C$ X+ {8 u. Y% t) C , K6 ]/ p  z! c/ u/ O
3 {9 w2 T/ {- }) @' M' u+ K

9 p" I% i; x3 `$ t( v8 _

, e" Q; o( V1 l& x$ T4 q; E在一家HSM供应商中发现远程攻击- @: ?  S2 r( [" U

8 a& q% h: `& \( b: J  M, h8 T' H
0 v1 X0 l, i+ l2 N) E% G, a1 M
上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。
6 z$ C2 }7 ?5 Z- e: z   C" t1 v9 q7 O" F2 R/ J
根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。
; I# H  @! p' X% T7 o% Z& V7 z8 q% c- D/ S: X
5 o& W3 Q" i. v1 E) |+ W
5 ?( W& ~6 Z1 z# L. C( n  v
 
9 s+ \9 F" y" z; ], X+ V$ E) d- l! |& N- U! |6 N: Z# c1 `
供应商名称不详
- E9 s! h" B; W/ J; U
5 `  v9 s+ C! t0 V$ C# ]研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。
: ~; b5 i$ G  M* s% Y) C* a- y 
! K; l% q! U5 g+ i; UCryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。
% d4 r! a; X: n9 ~
注:本文由E安全编译报道,转载请注明原文地址! `  t) `9 ^3 O1 y3 I9 Y
% G& R# L9 \2 T! i$ n1 D
https://www.easyaq.com
* B' g- N+ }! c; \
推荐阅读:
. ^$ D  L) Y9 D7 S$ J, B& b3 H- L
, l; e' q3 x$ J1 `

    1 @3 \! ?4 }. \8 D2 P
  • 新的僵尸网络出现,150多万台RDP服务器很危险!
    % |2 h' D: e5 l5 W5 u- }
  • 专家表示,微软删除面部识别数据库为时已晚" f. m! n* ~$ X. H( m, L+ w; ]8 }
  • 怎么回事?自动取款机突然开始扔钱……
    * {2 P8 x0 S* Y& y/ o) y
  • 4种对抗网络攻击的方法
    % W, Q" o" }7 L* e- S. \
  • 伊朗黑客组织新添黑客武器,政府网络易受影响
    7 s! C8 i2 H! v2 D. [1 v5 B
  • Exim SMTP Mail Server漏洞预警
    5 V! c: e* q( o
# W/ Z$ h  I  ~+ V7 @* W
8 m4 r. \8 o- U6 R0 G. G
: ]3 i$ Y) Q- b4 q
点击“阅读原文” 查看更多精彩内容
/ x' Q3 d4 s$ U3 @, A: S
' g) r; e, P, V# Y; S* \7 Q0 a
! P4 A6 u6 a3 T# r: L& ]$ X7 C
喜欢记得打赏小E哦!$ E- m( s2 I& F* e" O

0 E& F) }: V1 ^. Y& D. l1 T! I
& [( j, V: a6 g

& j4 V4 w6 V* b' J/ |
0 E* M# }( y* r来源:http://mp.weixin.qq.com/s?src=11&timestamp=1560222005&ver=1661&signature=rkvqd82BkR-d6QSZ7KIkGPE4lZWar7umiFou7f*Ulydgf4*kiVe511JqcbL0Aypx3jX*Zf7V3IqNq*dnDhV4Z7Fl3dPPZbCjxxzUpgr1o4njghyZX1Mo87pmCFfh6kIZ&new=1
1 U5 g) h9 U. C$ ?# U3 L免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-18 07:35 , Processed in 0.046315 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表