青莲晚报（第二十期）| 物联网安全多知道

思科发布关于16个严重和高危漏洞的警告信息

思科发布了关于30个产品漏洞的安全公告，其中半数漏洞是高危和严重的漏洞。

仅有3个安全警告针对的是具有严重影响的安全问题，其中一个是最近发现的存在于 Apache Struts 中的远程代码执行漏洞，目前已存在多个 PoC 利用代码。

思科表示并非所有包含受影响 Struts 库的产品均易受攻击，原因在于它们使用这个库的方式不同。只有一个受该漏洞影响的思科产品收到了补丁，其它产品将在未来几周的固定软件发布中予以更新。

另外一个严重的漏洞存在于思科 Umbrella API 中，可导致“未经认证的远程攻击者查看自己和其它组织机构范围内的数据并修改。”由 Critical Start 的 Section 8 威胁情报和安全研究团队报告的漏洞尽可通过软降更新予以修复。

Umbrella 企业漫游客户端和企业漫游模块也受两个其它权限提升漏洞（CVE-2018-0437 和 CVE-2018-0438）的高危影响。

详文阅读：

http://toutiao.secjia.com/article/page?topid=110721

特斯拉门锁存在安全漏洞 黑客盗取汽车只需数秒钟

比利时鲁汶大学的研究人员发现一种欺骗特斯拉无钥匙进入系统的方法。黑客只需与车主擦肩而过、复制其密钥，数秒钟时间就能轻松盗窃特斯拉电动汽车。

这种攻击特别重要，因为特斯拉是无钥匙进入系统概念的先驱，目前这一系统已经被大多数豪华汽车所采用。

这一攻击似乎只适用于6月份前交付的Model S车型，特斯拉上周发布的补丁软件已经修正了相关漏洞。更重要的是，特斯拉增添了新的安全选项，汽车在启动前用户需要输入PIN密码。

详文阅读：

http://hackernews.cc/archives/24101

施耐德电气PLC中可远程利用的缺陷对OT网络构成威胁

Schneider Electric Modicon M221（一种部署在全球商业工业设施中的可编程逻辑控制器（PLC））中的漏洞可被利用来远程断开设备与ICS网络中的通信。“未经授权的用户可能很容易利用此漏洞执行同步攻击，并导致许多控制器停止通信。这种类型的未经授权的行动将允许网络攻击者将受影响的PLC与HMI大规模地断开，使操作员无法查看和控制OT网络上的物理过程，同时立即损害ICS系统的安全性和可靠性， “Radiflow研究人员已经注意到了。

详文阅读：

https://www.helpnetsecurity.com/2018/09/06/remotely-exploitable-flaw-schneider-electric-plc/