反序列化Web安全综述:KeePass否认漏洞报告、OpenSSL发布补丁、Reddit承认钓鱼攻击

本文综述了近期Web安全事件,包括KeePass对CVE-2023-24055漏洞报告的回应、OpenSSL加密库的高危漏洞修复、Reddit内部系统遭钓鱼攻击,以及多个厂商的安全更新和研究发现。

反序列化Web安全综述:KeePass否认漏洞报告、OpenSSL发布补丁、Reddit承认钓鱼攻击

John Leyden
2023年2月10日 16:30 UTC
更新:2023年2月27日 15:32 UTC

概述

KeePass成为最新一款因 alleged 漏洞发现而被迫维护声誉的密码管理工具。安全研究人员警告称,可能设置触发器以明文形式导出KeePass数据库中的所有内容,并窃取秘密数据。该漏洞(严重性存在争议)被追踪为CVE-2023-24055。据Bleeping Computer报道,KeePass坚持认为该问题仅在攻击者已控制受感染账户的情况下出现——此时“游戏已经结束”。

自LastPass去年处理不当的安全事件最终导致供应商承认加密密码库泄漏以来,密码管理器的问题一直是安全研究人员特别关注的焦点。这些库的主密钥未暴露,限制了危害范围,但事件仍然令人担忧。

美国网络安全和基础设施安全局(CISA)正在推动要求技术制造商通过设计确保产品安全的计划。CISA主任Jen Easterly和执行助理主任Eric Goldstein在《外交事务》杂志发表的一篇文章中概述了这些提案。

2月9日,OpenSSL项目的开发者发布了覆盖加密库中多个漏洞的补丁,包括一个高影响漏洞(追踪为CVE-2023-0286)。该漏洞意味着复杂攻击者可能能够读取系统内存或导致受影响系统拒绝服务。

同一天,Reddit的一名系统管理员成为钓鱼攻击的受害者。该社交新闻网站承认攻击者“获得了对一些内部文档、代码和一些内部业务系统的访问权限”,但同时表示“Reddit用户密码和账户是安全的”。

《每日Swig》还最近报道了Google开发了缓解原型污染(一类JavaScript漏洞)影响的提案、一名安全研究人员如何入侵丰田的供应商管理网络,以及自上一版《反序列化》以来涉及流行笔测试工具XSS Hunter新主机的隐私风暴。您可以通过访问《每日Swig》的主页了解我们最近的全面新闻报道。

以下是过去两周引起我们注意的更多Web安全故事和其他网络安全新闻:

Web漏洞

  • Cisco设备:直接在设备上部署应用程序容器/虚拟机的技术存在缺陷,因为“DHCP客户端ID”选项的用户输入未经过清理/2月1日披露并发布补丁
  • Dompdf:关键/ SVG解析中的URI验证失败/ SVG解析可以绕过URI验证,可能导致通过phar URL包装器在PHP上任意对象反序列化/上周披露并发布补丁
  • F5 BIG-IP:高/ iControl SOAP中的格式字符串缺陷允许经过身份验证的攻击者崩溃iControl SOAP CGI进程或可能执行任意代码/2月1日披露并发布补丁
  • Jira服务管理服务器和数据中心:关键/身份验证破坏/供应商于2月1日发布警报和补丁
  • Skyhigh安全安全Web网关:高/单点登录插件中的XSS/1月26日披露并发布补丁

研究和攻击技术

  • 对PHP开发服务器中远程源披露漏洞的详细分析提供了必要后续工作的指导。该漏洞(意味着PHP文件的源代码像静态文件一样暴露)已解决,但研究人员警告称,“Shodan查询显示许多暴露的内置服务器实例”
  • Zoho ManageEngine的SAML(安全断言标记语言)实现中的漏洞——称为SAML ShowStopper——使基于企业的SSO(单点登录)部署面临更高的攻击风险。安全研究人员Khoa Dinh在警告中提供了漏洞的详细分析,指出任何依赖旧版本xmlsec和xalan的供应商(不仅是ManageEngine)可能面临类似风险
  • Skylight Cyber的一篇博客文章详细介绍了SaltStack IT编排平台中常见的错误配置(如在野外遇到的情况),并详细描述了一种“新颖的模板注入技术,可以在salt-master(或master-of-masters)服务器上实现远程代码执行”
  • Proofpoint发现攻击者正在使用恶意的第三方OAuth应用程序渗透组织的云环境。安全研究人员报告称,“威胁参与者通过滥用Microsoft‘已验证发布者’状态满足了Microsoft对第三方OAuth应用程序的要求”
  • Ermetic的研究人员发现了一个RCE漏洞,影响Azure云上的Function Apps、App Service和Logic Apps等服务。EmojiDeploy漏洞通过针对源控制管理服务(SCM)Kudu的CSRF触发
  • 安全研究人员‘eta’成功逆向工程了与英国移动铁路票相关的条形码编码过程。该工作允许感兴趣方使用研究人员开发的Web工具解码自己的票
  • 一名安全研究人员通过Oculus账户接管漏洞利用获得了44,000美元

Bug赏金/漏洞披露

  • Google扩展了其OSS-Fuzz项目,这是一个用于关键开源项目的持续模糊测试免费平台。该技术自2016年推出以来已帮助识别850个项目中的8,800个漏洞,通过为将新项目集成到OSS-Fuzz的贡献者提供更高的经济奖励而得到加强
  • 安全研究人员Youssef Sammouda在发现一个安全漏洞后声称获得了44,500美元的奖金,该漏洞使得接管Facebook/Oculus账户成为可能。正如Sammouda在技术文章中解释的那样,该黑客依赖于First-Party access_token窃取

新的开源信息安全/黑客工具

  • Checkmarx基于OWASP top 10 API漏洞构建了一个易受攻击的API应用程序。该实用程序——称为c{api}tal——旨在成为一个专注于API安全的学习和培训资源
  • Ronin 2.0提供了一个免费和开源Ruby工具包的改进版本,用于安全研究和开发。最新版本的Ronin增强了新的API库,包含许多不同的CLI命令和Ruby库,优化用于执行一系列任务,包括扫描Web漏洞和运行漏洞利用
  • 开发者发布了EMBA的新版本——一个面向渗透测试人员需求的嵌入式设备固件安全分析器。其功能在GitHub页面上有解释
  • SH1MMER,一个能够完全取消注册企业管理的Chromebook的漏洞利用

为开发者

  • 开发者应查看关于将Nuclei(一个用于扫描Web应用程序的开源工具)集成到其GitHub CI/CD管道中的信息性文章
  • SBOM Scorecard提供了一个工具,帮助开发者量化良好生成的SBOM的样子,访问可以稍后查询的丰富元数据
  • precloud实用程序提供了一个开源CLI,运行基础设施即代码检查以捕获潜在部署问题。该工具提供基础设施即代码的动态测试,通过“比较CDK差异和Terraform计划中的资源与您的云账户状态”工作

更多行业新闻

  • 美国标准机构NIST(国家标准与技术研究院)推出了一个新的自愿框架,用于管理AI相关风险。NIST的AI风险管理框架旨在“提高将可信度考虑纳入AI产品、服务和系统的设计、开发、使用和评估的能力”
  • 诈骗者在Google上购买广告,推广冒充密码管理工具Bitwarden登录门户的欺诈网站

趣味内容

  • 密码破译者解码了500多封由苏格兰玛丽女王在1578年至1584年囚禁期间编写的编码信件缓存。该代码——仅由图形符号组成——通过“计算机化密码分析、手动密码破解以及语言和上下文分析”的组合被破解,Ars Technica报道。这些信件通过秘密信使传递,主要传递给法国大使Michel de Castelnau。然而,伊丽莎白一世的间谍大师Francis Walsingham在法国大使馆有一个内线,使间谍能够访问解码的信件副本。关于密码破解工作的论文可能在帮助研究该时期的历史学家,由专业期刊Cryptologia发表。

上一版:反序列化Web安全综述:“灾难性网络事件”、另一次T-Mobile漏洞、更多LastPass问题

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次