网络安全综述:灾难性网络事件、T-Mobile再遭入侵与LastPass问题持续

本文综述了近期网络安全事件,包括T-Mobile数据泄露、LastPass密码库问题、OpenText等关键漏洞,以及ChatGPT对网络犯罪的影响。内容涵盖漏洞披露、研究技术和行业动态,为安全从业者提供全面参考。

网络安全综述:灾难性网络事件、T-Mobile再遭入侵与LastPass问题持续

Adam Bannister
2023年1月27日 16:48 UTC
更新:2023年2月27日 15:33 UTC

根据世界经济论坛(WEF)的调查,93%的网络安全专家和86%的企业领导者认为“未来两年内很可能发生影响深远的灾难性网络事件”。WEF的《2023全球网络安全展望》报告揭示了地缘政治不稳定和网络安全技能持续短缺使形势更加危险,导致企业重新考虑在某些地区的业务存在。

与此同时,我们仍然看到大量非常严重的网络攻击和数据泄露事件。最近,T-Mobile再次发生大规模数据泄露(本次影响3700万客户),视频游戏开发商Riot Games源代码被盗并被勒索1000万美元,以及一家航空公司无意中暴露了美国政府2019年的禁飞名单(疑似恐怖分子名单)。

LastPass的情况也在持续演变,自11月密码库遭入侵后,这家陷入困境的密码管理器最新更新承认“威胁行为者从第三方云存储服务中窃取了加密备份”。尽管竞争对手无疑会借机扩大市场份额,但此次黑客事件也可能使这一迄今备受推崇的领域受到前所未有的审查。事实上,《The Daily Swig》最近报道了几款流行密码管理器在不可信网站上自动填充凭据的情况,而Bitwarden则通过增强默认安全配置来回应对其加密方案的 renewed criticism。

自上一期《Deserialized》以来,我们对Git源代码进行的安全审计是另一个值得关注的故事。

以下是过去两周引起我们关注的其他网络安全新闻:

网络漏洞

  • OpenText / 严重 / 通过cs.exe和Java前端实现预认证RCE,以及多个后认证漏洞 / 1月17日披露并修补
  • Rancher API / 严重 / 2022年9月推出的补丁未能阻止密钥、加密密钥和SSH密钥以明文形式直接存储在Kubernetes对象(如集群)上 / 1月26日披露并修补
  • Tiki Tiki CMS / 严重 / 未认证攻击者可通过结合CSRF和PHP对象注入在此流行开源、基于wiki的CMS中执行任意代码 / 8月23日修补,1月9日披露
  • VMware vRealize Log Insight / 严重 / 目录遍历、访问控制破坏、反序列化、信息泄露漏洞 / 1月24日披露并修补
  • Zoho ManageEngine / 严重 / PoC和野外利用提高了针对此RCE漏洞修补本地Zoho ManageEngine产品的风险 / 10月27日披露并修补

研究与攻击技术

  • 流行开源健康记录和医疗实践管理平台OpenEMR中的漏洞允许远程攻击者在任何OpenEMR服务器上执行任意系统命令并窃取敏感患者数据——更糟糕的是,远程代码执行(由Sonar提供)
  • Jerry Shah讲述了他在私人漏洞赏金计划中的一个未命名Web应用程序的SwaggerUI端点上发现API配置错误,导致从本地存储泄漏授权令牌的经历
  • 根据Recorded Future,ChatGPT降低了编程或技术技能有限的威胁行为者的入门门槛,但国家支持的不良行为者不太可能从这款令人不安的复杂聊天机器人工具中获得操作效率
  • Maksym Yaremchuk(HackerOne历史排行榜第80位)详细介绍了在参与私人漏洞赏金计划期间设计的两项严重严重性的账户接管漏洞利用
  • GitHub研究员Man Yue Mo从Android应用程序实现了在Google Pixel 6手机上的任意内核代码执行和root权限
  • ChatGPT降低了网络犯罪的入门门槛,但对国家支持的网络犯罪分子用处不大

漏洞赏金/漏洞披露

  • 安全研究人员可以在不透露可能导致恶意利用的细节的情况下,数学证明软件漏洞的存在,最近《New Scientist》特稿(付费墙)解释道
  • Intigriti撰写了一篇关于比利时《举报人保护法》为研究人员创建的安全港条款的博客文章
  • 《The Daily Swig》最近报道了即将举行的第三届年度Hack The Pentagon挑战,特斯拉的CORS配置错误和其他未命名计划为研究人员赚取“几千美元”,以及Google Cloud Platform(GCP)项目漏洞为研究人员净赚超过22,000美元
  • 其他最近的报告包括Microsoft Forms中反射型XSS的3,000美元赏金,而Bug Bounty Switzerland的首个“月度漏洞”涉及有时限的私人计划和数千台暴露于互联网的设备
  • HackerOne和Bugcrowd分别发布了与英国黑客和YouTuber“InsiderPhD”和“TodayIsNew”的漏洞猎人访谈

新的开源信息安全/黑客工具

  • Gato(GitHub攻击工具包)评估GitHub开发环境中受损个人访问令牌的影响。支持跟踪使用自托管运行器的公共仓库,GitHub建议仅部署在私有仓库中,否则“您的公共仓库的分支可能通过创建拉取请求在您的自托管运行器机器上运行危险代码”
  • Highlighter And Extractor (HaE) – 巴黎众包安全平台YesWeHack发布了一款Burp Suite扩展,可在被动枚举过程中收集、分类和突出显示请求和/或响应,以帮助检测易受攻击的代码模式、错误、反射等
  • PyCript – 另一款Burp Suite扩展,这次允许通过自定义逻辑绕过客户端加密,用于Python和NodeJS的手动和自动化测试
  • SeeProxy – 具有CobaltStrike可塑配置文件验证的Golang反向代理
  • CVE-2022-47966扫描器 – 评估您对影响至少24种本地ManageEngine产品的关键RCE漏洞的暴露情况,目前正在被积极利用

更多行业新闻

  • NIST追踪NIST网络安全框架的潜在更新(PDF)并邀请信息安全社区提供反馈
  • 在其他美国联邦机构新闻中,NSA发布IPv6安全指南(PDF),CISA更新映射到Mitre Attack Framework的最佳实践(PDF),以及CISA、NSA和MS-ISAC联合警告(PDF)合法远程监控和管理(RMM)软件的恶意使用
  • Google记录了在利用发送到权威名称服务器的DNS查询名称的大小写随机化以减轻缓存中毒攻击影响方面的进展
  • Google还履行其放弃TrustCor Systems作为Chrome根证书颁发机构(CA)的意图,确认了停止识别其证书的时间表
  • 基于云的网络攻击同比增长48%,恶意黑客在数字化转型趋势中窥见机会 – Check Point报告

上一期
Deserialized网络安全综述 – Slack和Okta入侵、美国政府密码报告松懈等

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次