普普安全资讯一周概览(0701-0707)

作者:

时间:
2023-07-07
1、凭证泄漏导致API漏洞上升

一篇来自Security Week的文章,讨论凭证泄漏导致的API漏洞不断增长。最近的一项调查发现,超过一半的美国专业人士曾遭受过API漏洞,但77%人认为他们的组织有效地管理了API令牌。这听起来有点矛盾,因为很多专业人士对他们的凭证管理很有信心,但还是会发生凭证相关的API漏洞情况。研究结果表明,这种明显的矛盾背后有三个主要原因:缺乏对现有API组合的可视性;使用的API数量太多难以跟踪;低估了管理API凭证所需的时间和精力。这项调查可以看出凭证管理成本在不断上升,但问题只会加剧,因为API扩散不断增加,构建环境变得更加分散,需要更多的凭证分发和管理。面对这些挑战,组织只能选择忽略问题或投入更多的金钱来解决凭证管理所带来的问题。

普普点评

安全专家提示,随着API数量的不断增加以及对API安全性的增强需求,MFA将成为一个不可或缺的安全措施。同时,还需要考虑到人工智能和自动化技术等方面的发展,来管理API凭证,确保API的安全。为了防范MFA疲劳攻击,组织可以采用多种策略,例如使用MFA应用程序、设置帐户锁定策略、使用机器学习技术、增加MFA代码的复杂度以及加强身份验证。


2、合法数字签名幕后的陷阱:警惕“谷堕大盗”的水坑攻击

近日,奇安信威胁情报中心通过日常分析运营发现多款二次打包并携带木马后门的恶意安装包样本,恶意安装包内包含“向日葵远控”、“钉钉”、“WPS”等常用工具软件,攻击者伪造官网界面网页诱使用户下载,上述木马化安装包样本与之前奇安信威胁情报中心2023年4月上旬发现的被恶意重新打包加入了木马的“企业微信”安装包样本恶意代码逻辑、恶意行为高度相似,判断攻击者属于同一个黑产组织。上述三个恶意安装包样本与被重新打包加入木马的“企业微信”样本恶意行为如下:搭建阿里云服务器提供下载、伪造官网诱使用户下载。用户安装过程中会释放多个恶意文件并在内存中加载BigWolf RAT,实现对受害主机窃取浏览器记录、聊天软件记录、窃取按键记录等窃密行为。

普普点评

近年来,利用特定人群需求开发恶意软件并搭建站点作为诱饵投毒事件日益增多,下载软件工具时应该加强网络安全意识,避免成为网络攻击者的猎物。安全专家提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP,做到及时备份重要文件,更新安装补丁。

3、攻击者可远程收集信息来恢复支持加密算法安全性和机密性的密钥

研究人员最近发现了一种新的攻击方法,通过使用iphone或商业监控系统中的摄像头,记录下读卡器或智能手机打开时显示的电源LED,可以恢复存储在智能卡和智能手机中的秘密加密密钥。这些攻击提供了一种利用两个先前披露的侧信道的新方法,侧信道攻击是通过加密软件或硬件运行时产生的各种泄漏信息获取密文信息。在狭义上讲,侧信道攻击特指针对密码算法的非侵入式攻击,通过加密电子设备在运行过程中的侧信道信息泄露破解密码算法,狭义的侧信道攻击主要包括针对密码算法的计时攻击、能量分析攻击、电磁分析攻击等,这类新型攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。通过仔细监控功耗、声音、电磁发射或操作发生所需的时间等特征,攻击者可以收集足够的信息来恢复支撑加密算法安全性和机密性的密钥。

普普点评

安全专家给制造商推荐了几种对策,以增强设备抵御基于视频的密码分析。其中最主要的是通过集成一个起“低通滤波器”的电容器来避免使用指示电源LED。另一种选择是在电源线和电源LED之间集成一个运算放大器。目前尚不清楚受影响设备的制造商是否或何时会添加此类防范措施。目前,建议那些不确定自己的设备是否存在漏洞的人应该考虑在电源LED上贴上不透明的胶带。

4、Grafana 身份认证绕过漏洞漏洞威胁通告

近日,安识科技A-Team团队监测到一则Grafana组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-3128,漏洞威胁等级:高危。该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的,容易被修改。攻击者可在未授权的情况下,利用该漏洞构造恶意数据,执行身份认证绕过攻击,最终接管受影响的Grafana账户。Grafana是一款开源的数据可视化和监控平台,它可以帮助用户通过各种数据源创建和共享交互式、可定制的仪表盘和报表。主要用于监控和分析Graphite、InfluxDB和Prometheus等。该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的,容易被修改。目前受影响的Grafana版本:10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

普普点评

攻击者可在未授权的情况下,利用该漏洞构造恶意数据,执行身份认证绕过攻击,最终接管受影响的Grafana账户。对此,安全专家建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。

5、API成头号攻击目标,DDoS、Bot攻击倍增

6月30日,网宿科技子品牌网宿安全在线上召开2022年度互联网安全报告发布会,正式发布《2022年Web安全观察报告》(以下简称《报告》、《零信任安全白皮书》以及《SASE安全访问服务边缘白皮书》。

《报告》折射出Web安全面临的威胁愈发严峻,主要体现在几大方面:一是高危Web漏洞持续爆发;二是API已成灰黑产的头号攻击目标;三是DDoS攻击翻番增长,Tbps级别成为常态;四是Bot攻击成倍攀升,自动化攻击强度加大;五是在线业务欺诈风险显著提高;六是多样化威胁层出不穷,亟需新的安全防护方案。

具体来看,2022年,网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用,并且诸如Apache Fineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞等大量新的高危漏洞不断涌现。而针对API的攻击占比首次突破50%,达到了58.4%,API上升为黑产攻击的头号目标。

普普点评

随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。黑产通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。此外,Web安全威胁趋于多样化,传统WAF难以覆盖如此多样化的威胁,行业亟需升级安全防线。

6、警惕:新的 'RustBucket '恶意软件变种针对macOS用户

近期,研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕,该版本具有改进的能力,可以建立持久性并避免被安全软件发现。安全实验室的研究人员在本周发表的一份报告中表示:RustBucket的变种是一个针对macOS系统的恶意软件集合,它增加了持久隐藏能力,同时利用动态网络基础设施方法进行指挥和控制。该恶意软件于2023年4月曝光,当时Jamf威胁实验室将其描述为一个基于AppleScript的后门,能够从远程服务器检索第二级有效载荷。第二阶段的恶意软件是用 Swift 编译的,旨在从命令和控制 (C2) 服务器下载主要恶意软件,这是一种基于 Rust 的二进制文件,具有收集大量信息以及在受感染系统上获取和运行其他 Mach-O 二进制文件或 shell 脚本的功能。BlueNoroff恶意软件是第一个专门针对macOS用户的例子,现在.NET版本的RustBucket已经以类似的功能在野外浮出水面。

普普点评

安全专家提示macOS用户,该攻击具有很强的针对性,集中在亚洲、欧洲和美国的金融相关机构,这也表明该恶意活动是以非法创收为目的。新发现的版本值得注意的是它不寻常的持久隐匿机制和使用动态DNS域名(docsend.linkpc[.net])进行指挥和控制。

7、MOVEit Transfer漏洞成肉鸡收割机:受害者遍及20多个国家10多个行业

流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击,导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者遍布美国、英国、加拿大、法国、以色列等20多个国家和地区,暴露了数百万人的个人敏感数据。

最近备受瞩目的受害者包括大型能源公海710施耐德电气、西门子能源和霍尼韦尔自动化。三家公海710均已确认成为MOVEit泄露事件的目标,但数据泄露的程度仍不清楚。

政府机构也因该漏洞而遭受损失。美国能源部在内的联邦机构已报告受到MOVEit漏洞的影响。美国卫生与公共服务部(HHS) 披露了一起涉及超过10万人敏感信息泄露的事件。

教育行业也未能幸免。美国国家学生信息交换所是一个与数千所学校合作的非营利组织,发现自己处于潜在重大违规行为的中心,45,000名纽约市公立学校学生的信息因该漏洞而被泄露。

普普点评

此次漏洞的严重程度凸显了组织迫切需要优先考虑网络安全措施并加强对此类漏洞的防御。事件响应计划、定期漏洞评估和强大的补丁管理实践对于减轻网络攻击带来的风险至关重要。随着MOVEit漏洞的影响不断蔓延,再次警示防御者,没有组织能够免受网络威胁的影响。提高警惕、采取积极主动的安全措施以及行业、政府和执法部门之间的持续合作对于在不断变化的网络威胁形势中保持领先地位至关重要。