网络安全综述:灾难性网络事件、T-Mobile再遭入侵与LastPass问题持续发酵

本文综述了近期网络安全事件,包括T-Mobile数据泄露、LastPass密码库问题、OpenText等关键漏洞分析,以及GitHub攻击工具和ChatGPT对网络犯罪的影响,涵盖技术细节与行业动态。

反序列化网络安全综述:灾难性网络事件、T-Mobile再遭入侵与更多LastPass问题

Adam Bannister
2023年1月27日 16:48 UTC
更新:2023年2月27日 15:33 UTC

黑客新闻 | 漏洞 | 研究

根据世界经济论坛(WEF)对300名专家和高管的调查,93%的网络安全专家和86%的商业领袖认为“未来两年内很可能发生影响深远的灾难性网络事件”。WEF的《2023年全球网络安全展望》报告显示,地缘政治不稳定和网络安全技能持续短缺使形势更加危险,导致企业重新考虑在某些地区的业务。

与此同时,我们仍在目睹大量非常严重的网络攻击和数据泄露事件。最近,T-Mobile再次遭遇大规模数据泄露(本次影响3700万客户),视频游戏开发商Riot Games的源代码被盗并被勒索1000万美元,以及一家航空公司无意中暴露了2019年美国政府的禁飞名单(疑似恐怖分子名单)。

LastPass的情况也在持续演变,继11月密码库遭入侵后,这家陷入困境的密码管理器最新更新承认“威胁行为者从第三方云存储服务中窃取了加密备份”。尽管竞争对手无疑会趁机扩大市场份额,但这次黑客事件也可能使这个一直备受推崇的领域受到前所未有的审查。事实上,《The Daily Swig》最近报道了多个流行密码管理器在不可信网站上自动填充凭据的情况,而Bitwarden通过增强其默认安全配置来回应对其加密方案的 renewed 批评。

Git源代码的安全审计取得了丰硕成果,这是我们自上一期《Deserialized》以来报道的另一个值得注意的故事。

以下是过去两周引起我们关注的一些更多网络安全故事和其他网络安全新闻:

网络漏洞

  • OpenText / 严重 / 通过cs.exe和Java前端进行预认证RCE,以及多个后认证漏洞 / 1月17日披露并修补
  • Rancher API / 严重 / 2022年9月推出的补丁未能阻止密钥、加密密钥和SSH密钥以明文形式直接存储在Kubernetes对象(如集群)上 / 1月26日披露并修补
  • Tiki Tiki CMS / 严重 / 未认证攻击者可通过结合CSRF和PHP对象注入在这个流行的开源、基于wiki的CMS中执行任意代码 / 8月23日修补,1月9日披露
  • VMware vRealize Log Insight / 严重 / 目录遍历、访问控制破坏、反序列化、信息泄露漏洞 / 1月24日披露并修补
  • Zoho ManageEngine / 严重 / PoC和野外利用提高了针对此RCE漏洞修补本地Zoho ManageEngine产品的风险 / 10月27日披露并修补

研究与攻击技术

  • 流行开源健康记录和医疗实践管理平台OpenEMR中的漏洞允许远程攻击者在任何OpenEMR服务器上执行任意系统命令并窃取敏感患者数据——更糟糕的是,远程代码执行(由Sonar提供)
  • Jerry Shah讲述了他在一个私人漏洞赏金计划的无名Web应用程序中如何发现SwaggerUI端点上的API配置错误,导致从本地存储泄露授权令牌
  • 根据Recorded Future,ChatGPT降低了编程或技术技能有限的威胁行为者的入门门槛,但国家支持的不良行为者不太可能从这个令人不安的复杂聊天机器人工具中获得操作效率
  • Maksym Yaremchuk(HackerOne历史排行榜第80位)详细介绍了在与私人漏洞赏金计划合作期间设计的两项严重严重性的账户接管利用
  • GitHub研究员Man Yue Mo从Android应用程序实现了在Google Pixel 6手机上的任意内核代码执行和root权限
  • ChatGPT降低了网络犯罪的入门门槛,但对国家支持的网络罪犯用处不大

漏洞赏金 / 漏洞披露

  • 安全研究人员可以在数学上证明软件漏洞的存在,而不透露可能被恶意利用的细节,最近《New Scientist》的一篇专题文章(付费墙)解释道
  • Intigriti撰写了一篇关于比利时《举报人保护法》为研究人员创建的安全港条款的博客文章
  • 《The Daily Swig》最近报道了即将举行的第三届年度Hack The Pentagon挑战,Tesla的CORS配置错误和其他未命名程序为研究人员赚取了“几千美元”,而Google Cloud Platform(GCP)项目漏洞为研究人员净赚超过22,000美元
  • 其他最近的报告包括Microsoft Forms中的反射型XSS漏洞获得3,000美元赏金,而Bug Bounty Switzerland的首个“月度漏洞”涉及一个有时限的私人程序和数千个暴露在互联网上的设备
  • HackerOne和Bugcrowd分别发布了与英国黑客和YouTuber“InsiderPhD”和“TodayIsNew”的漏洞猎人访谈

新的开源信息安全/黑客工具

  • Gato(GitHub攻击工具包)评估GitHub开发环境中受损个人访问令牌的影响。支持跟踪使用自托管运行器的公共仓库,GitHub建议仅部署在私有仓库中,否则“您的公共仓库的分支可能通过创建拉取请求在您的自托管运行器机器上运行危险代码”
  • Highlighter And Extractor (HaE) – 巴黎的众包安全平台YesWeHack发布了一个Burp Suite扩展,用于在被动枚举过程中收集、分类和突出显示请求和/或响应,以帮助检测易受攻击的代码模式、错误、反射等
  • PyCript – 另一个Burp Suite扩展,这次允许通过自定义逻辑绕过客户端加密,用于Python和NodeJS的手动和自动化测试
  • SeeProxy – 具有CobaltStrike可塑配置文件验证的Golang反向代理
  • CVE-2022-47966扫描器 – 评估您对影响至少24个本地ManageEngine产品的严重RCE漏洞的暴露情况,目前正在被积极利用

更多行业新闻

  • NIST追踪NIST网络安全框架的潜在更新(PDF)并邀请信息安全社区提供反馈
  • 在其他美国联邦机构新闻中,NSA发布IPv6安全指南(PDF),CISA更新映射到Mitre攻击框架的最佳实践(PDF),以及CISA、NSA和MS-ISAC联合警告(PDF)合法远程监控和管理(RMM)软件的恶意使用
  • Google记录了在利用发送到权威名称服务器的DNS查询名称的大小写随机化以减轻缓存中毒攻击影响方面的进展
  • Google还履行了其放弃TrustCor Systems作为Chrome根证书颁发机构(CA)的意图,确认了停止识别其证书的时间表
  • 基于云的网络攻击同比增长48%,恶意黑客在数字化转型趋势中窥见机会 – Check Point报告

上一期:反序列化网络安全综述 – Slack和Okta数据泄露、美国政府密码报告松懈等

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次