网络安全周报：灾难性网络事件、T-Mobile再遭泄露与LastPass新问题

Adam Bannister
2023年1月27日 16:48 UTC
更新：2023年2月27日 15:33 UTC

您的双周AppSec漏洞、新黑客技术及其他网络安全新闻汇总。根据世界经济论坛（WEF）对300名专家和高管的调查，93%的网络安全专家和86%的企业领导者认为“未来两年内很可能发生影响深远的灾难性网络事件”。

WEF的《2023全球网络安全展望》报告显示，地缘政治不稳定和网络安全技能持续短缺使形势更加危险，导致企业重新考虑在某些地区的业务。与此同时，我们仍看到大量非常恶劣的网络攻击和泄露事件。最近，T-Mobile再次发生大规模泄露（本次影响3700万客户），视频游戏开发商Riot Games源代码被盗并遭1000万美元勒索，以及一家航空公司无意中暴露了2019年美国政府的禁飞名单（疑似恐怖分子名单）。

LastPass的情况也在持续演变，继11月密码库遭入侵后，这家陷入困境的密码管理器最新更新承认“威胁行为者从第三方云存储服务中窃取了加密备份”。尽管竞争对手无疑会借市场领导者声誉受损之机扩大份额，此次黑客事件也可能使这一迄今备受推崇的领域受到前所未有的审查。事实上，《The Daily Swig》最近报道了几款流行密码管理器在不可信网站上自动填充凭据的情况，而Bitwarden则通过增强默认安全配置来回应对其加密方案的 renewed criticism。

自上一期《Deserialized》以来，我们对Git源代码进行的安全审计也取得了丰硕成果，这是另一个值得关注的故事。以下是过去两周引起我们注意的更多网络安全故事和其他新闻：

Web漏洞

OpenText / 严重 / 通过cs.exe和Java前端实现预认证RCE，以及多个认证后漏洞 / 1月17日披露并修补
Rancher API / 严重 / 2022年9月推出的补丁未能阻止密钥、加密密钥和SSH密钥以明文形式直接存储在Kubernetes对象（如集群）上 / 1月26日披露并修补
Tiki Wiki CMS / 严重 / 未认证攻击者可通过结合CSRF和PHP对象注入在此流行开源、基于wiki的CMS中执行任意代码 / 8月23日修补，1月9日披露
VMware vRealize Log Insight / 严重 / 目录遍历、访问控制破坏、反序列化、信息泄露漏洞 / 1月24日披露并修补
Zoho ManageEngine / 严重 / PoC和野外利用提高了针对此RCE漏洞修补本地Zoho ManageEngine产品的风险 / 10月27日披露并修补

研究与攻击技术

流行开源健康记录和医疗实践管理平台OpenEMR中的漏洞允许远程攻击者在任何OpenEMR服务器上执行任意系统命令并窃取敏感患者数据——更糟糕的是，远程代码执行（由Sonar提供）
Jerry Shah讲述了他如何在私人漏洞赏金计划的一个未命名Web应用程序的SwaggerUI端点上发现API配置错误，导致从本地存储泄露授权令牌
根据Recorded Future，ChatGPT降低了编程或技术技能有限的威胁行为者的入门门槛，但国家支持的不良行为者不太可能从这款令人不安的复杂聊天机器人工具中获得操作效率
Maksym Yaremchuk——HackerOne历史排行榜第80位——详细介绍了在参与私人漏洞赏金计划期间制作的两个严重严重性账户接管漏洞利用
GitHub研究员Man Yue Mo从Android应用程序实现了在Google Pixel 6手机上的任意内核代码执行和root权限
ChatGPT降低了网络犯罪的入门门槛，但对国家支持的网络罪犯用处不大

漏洞赏金/漏洞披露

安全研究人员可以在不透露可能导致恶意利用的细节的情况下数学证明软件漏洞的存在，最近《新科学家》特稿（付费墙）解释道
Intigriti撰写了一篇关于比利时《举报人保护法》为研究人员创建的安全港条款的博客文章
《The Daily Swig》最近报道了即将举行的第三届年度Hack The Pentagon挑战，特斯拉和其他未命名程序中的CORS配置错误为研究人员赚取了“几千美元”，而Google Cloud Platform（GCP）项目漏洞为研究人员净赚超过22,000美元
其他近期报告包括Microsoft Forms中反射型XSS的3,000美元赏金，而Bug Bounty Switzerland的首个“月度漏洞”涉及有时限的私人程序和数千台暴露于互联网的设备
HackerOne和Bugcrowd分别发布了与英国黑客和YouTuber‘InsiderPhD’及‘TodayIsNew’的漏洞猎人访谈

新开源信息安全/黑客工具

Gato（GitHub攻击工具包）——评估GitHub开发环境中受损个人访问令牌的影响。支持跟踪使用自托管运行器的公共仓库，GitHub建议仅部署在私有仓库中，否则“您的公共仓库的分支可能通过创建拉取请求在您的自托管运行器机器上运行危险代码”
Highlighter And Extractor (HaE)——巴黎众包安全平台YesWeHack发布了Burp Suite扩展，在被动枚举过程中收集、分类和突出显示请求和/或响应，以帮助检测易受攻击的代码模式、错误、反射等
PyCript——另一个Burp Suite扩展，这次允许通过自定义逻辑绕过客户端加密，用于Python和NodeJS的手动和自动化测试
SeeProxy——具有CobaltStrike可塑配置文件验证的Golang反向代理
CVE-2022-47966扫描器——评估您对影响至少24种本地ManageEngine产品的关键RCE漏洞的暴露情况，目前正被积极利用