网络安全综述:KeePass漏洞争议、OpenSSL补丁与Reddit钓鱼攻击

本文综述了近期网络安全事件,包括KeePass对漏洞报告的回应、OpenSSL发布的高危漏洞补丁、Reddit承认的钓鱼攻击,以及相关技术细节和行业动态,涵盖密码管理、加密库、云安全等多个技术领域。

网络安全综述:KeePass驳回“漏洞”报告、OpenSSL发布补丁、Reddit承认钓鱼攻击

John Leyden
2023年2月10日 16:30 UTC
更新:2023年2月27日 15:32 UTC

黑客新闻 | 漏洞 | 研究

您的双周AppSec漏洞、新黑客技术和其他网络安全新闻汇总。KeePass成为最新被迫维护声誉的密码管理工具,此前发现了一个所谓的漏洞。

安全研究人员警告称,可能设置一个触发器,以明文形式导出KeePass数据库中的所有内容,然后窃取秘密数据。该漏洞(其严重性存在争议)被追踪为CVE-2023-24055。

据Bleeping Computer报道,KeePass坚持认为,该问题仅在攻击者已经控制受损账户的情况下才会出现——在这种情况下,已经是“游戏结束”了。

自去年LastPass处理安全事件不当最终导致供应商承认加密密码库泄露以来,密码管理器的问题一直是安全研究人员特别关注的焦点。这些库的主密钥未暴露,限制了危害范围,但事件仍然令人担忧。

美国网络安全和基础设施安全局(CISA)正在推动要求技术制造商通过设计使其产品安全的计划。CISA主任Jen Easterly和执行助理主任Eric Goldstein在《外交事务》杂志发表的一篇文章中概述了这些提议。

想要最新的网络安全新闻直接发送到您的收件箱吗?注册我们的新通讯——Daily Swig Deserialized。

周四,OpenSSL项目的开发人员发布了覆盖加密库中各种漏洞的补丁,包括一个高影响漏洞(追踪为CVE-2023-0286)。该漏洞意味着复杂的攻击者可能能够读取系统内存或导致受影响系统拒绝服务。

周四还传来消息,Reddit的一名系统管理员成为钓鱼攻击的受害者。该社交新闻网站承认攻击者“获得了一些内部文档、代码和一些内部业务系统的访问权限”,同时表示认为“Reddit用户密码和账户是安全的”。

Daily Swig最近还报道了谷歌开发了减轻原型污染(一类JavaScript漏洞)影响的提议,一名安全研究人员如何入侵丰田的供应商管理网络,以及自上一版Deserialized以来涉及流行渗透测试工具XSS Hunter新主机的隐私风暴。您可以通过访问Daily Swig的主页了解我们最近的全面新闻覆盖。

以下是在过去两周引起我们注意的更多网络安全故事和其他网络安全新闻:

网络漏洞

  • Cisco设备 / 用于直接在设备上部署应用程序容器/虚拟机的技术存在缺陷,因为“DHCP客户端ID”选项的用户输入未经过清理 / 2月1日披露并发布补丁
  • Dompdf / 严重 / SVG解析上的URI验证失败 / SVG解析上的URI验证可被绕过,可能导致通过phar URL包装器在PHP上任意对象反序列化 / 上周披露并发布补丁
  • F5 BIG-IP / 高 / iControl SOAP中的格式字符串缺陷允许经过身份验证的攻击者崩溃iControl SOAP CGI进程或可能执行任意代码 / 2月1日披露并发布补丁
  • Jira服务管理服务器和数据中心 / 严重 / 身份验证破坏 / 供应商于2月1日发布警报和补丁
  • Skyhigh安全安全Web网关 / 高 / 单点登录插件中的XSS / 1月26日披露并发布补丁

研究和攻击技术

  • 对PHP开发服务器中远程源披露漏洞的详细分析为必要的后续工作提供了指导。该漏洞(意味着PHP文件的源代码像静态文件一样暴露)已解决,但研究人员警告称,“Shodan查询揭示了许多暴露的内置服务器实例”
  • Zoho ManageEngine的SAML(安全断言标记语言)实现中的一个漏洞——被称为SAML ShowStopper——使基于企业的SSO(单点登录)部署面临更高的攻击风险。安全研究人员Khoa Dinh在警告中提供了漏洞的详细分析,指出任何依赖旧版本xmlsec和xalan的供应商(不仅是ManageEngine)可能面临类似风险
  • Skylight Cyber的一篇博客文章详细介绍了SaltStack IT编排平台中常见的错误配置(如在野外遇到的),以及详细说明了一种“新颖的模板注入技术,可以在salt-master(或master-of-masters)服务器上实现远程代码执行”
  • Proofpoint发现攻击者正在使用恶意的第三方OAuth应用程序渗透组织的云环境。安全研究人员报告称,“威胁参与者通过滥用Microsoft‘已验证发布者’状态来满足Microsoft对第三方OAuth应用程序的要求”
  • Ermetic的研究人员发现了一个RCE漏洞,影响Azure云上的Function Apps、App Service和Logic Apps等服务。EmojiDeploy漏洞通过针对源代码管理服务(SCM)Kudu的CSRF触发
  • 安全研究人员‘eta’成功反向工程了与英国移动铁路票相关的条形码编码过程。该工作允许相关方使用研究人员开发的Web工具解码自己的票
  • 一名安全研究人员通过Oculus账户接管漏洞利用获得了44,000美元

漏洞赏金/漏洞披露

  • 谷歌扩展了其OSS-Fuzz项目,这是一个用于关键开源项目的持续模糊测试免费平台。该技术自2016年推出以来已帮助识别850个项目中的8,800个漏洞,通过为将新项目集成到OSS-Fuzz的贡献者提供更高的经济奖励来获得推动
  • 安全研究人员Youssef Sammouda在发现一个安全漏洞后声称获得了44,500美元的奖金,该漏洞使得接管Facebook/Oculus账户成为可能。正如Sammouda在技术文章中解释的那样,该黑客攻击依赖于第一方access_token窃取

新的开源信息安全/黑客工具

  • Checkmarx组装了一个基于OWASP top 10 API漏洞的构建为易受攻击的API应用程序。该实用程序——名为c{api}tal——旨在成为一个专注于API安全的学习和培训资源
  • Ronin 2.0提供了一个免费和开源Ruby工具包的安全研究和开发改进版本。最新版本的Ronin增强了新的API库,包含许多不同的CLI命令和Ruby库,优化以执行一系列任务,包括扫描Web漏洞和运行漏洞利用
  • 开发人员发布了EMBA的新版本——一个面向渗透测试人员需求的嵌入式设备固件安全分析器。其功能在GitHub页面上有解释
  • SH1MMER,一个能够完全取消注册企业管理的Chromebook的漏洞利用

面向开发者

  • 开发人员应查看关于将Nuclei(一个用于扫描Web应用程序的开源工具)集成到其GitHub CI/CD管道中的信息性文章
  • SBOM Scorecard提供了一个工具,帮助开发人员量化良好生成的SBOM的样子,访问可以稍后查询的丰富元数据
  • precloud实用程序提供了一个开源CLI,对基础设施即代码运行检查以捕获潜在的部署问题。该工具为基础设施即代码提供动态测试,通过“比较CDK差异和Terraform计划中的资源与您的云账户状态”来工作

更多行业新闻

  • 美国标准机构NIST(国家标准与技术研究院)推出了一个新的自愿性框架,用于管理AI相关风险。NIST的AI风险管理框架旨在“提高将可信度考虑因素纳入AI产品、服务和系统的设计、开发、使用和评估的能力”
  • 诈骗者在Google上购买广告,推广冒充密码管理工具Bitwarden登录门户的欺诈网站

趣味阅读

  • 密码破译者解码了500多封编码信件,这些信件由苏格兰玛丽女王在1578年至1584年被囚禁期间书写。该代码——仅由图形符号组成——通过“计算机化密码分析、手动密码破解以及语言和上下文分析”的组合被破解,Ars Technica报道。这些信件通过秘密信使传递,主要传递给法国大使Michel de Castelnau。然而,伊丽莎白一世的间谍大师Francis Walsingham在法国大使馆有一个内线,使间谍能够访问解码的信件副本。关于密码破解工作的论文可能在帮助研究该时期的历史学家,由专业期刊Cryptologia发表。

上一版 Deserialized网络安全综述:“灾难性网络事件”、另一次T-Mobile漏洞、更多LastPass问题

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次