普普安全資訊一周概覽(0701-0707)

作者:

時(shí)間:
2023-07-07
1、憑證泄漏導(dǎo)致API漏洞上升

一篇來自Security Week的文章,討論憑證泄漏導(dǎo)致的API漏洞不斷增長。最近的一項(xiàng)調(diào)查發(fā)現(xiàn),超過一半的美國專業(yè)人士曾遭受過API漏洞,但77%人認(rèn)為他們的組織有效地管理了API令牌。這聽起來有點(diǎn)矛盾,因?yàn)楹芏鄬I(yè)人士對他們的憑證管理很有信心,但還是會發(fā)生憑證相關(guān)的API漏洞情況。研究結(jié)果表明,這種明顯的矛盾背后有三個(gè)主要原因:缺乏對現(xiàn)有API組合的可視性;使用的API數(shù)量太多難以跟蹤;低估了管理API憑證所需的時(shí)間和精力。這項(xiàng)調(diào)查可以看出憑證管理成本在不斷上升,但問題只會加劇,因?yàn)锳PI擴(kuò)散不斷增加,構(gòu)建環(huán)境變得更加分散,需要更多的憑證分發(fā)和管理。面對這些挑戰(zhàn),組織只能選擇忽略問題或投入更多的金錢來解決憑證管理所帶來的問題。

普普點(diǎn)評

安全專家提示,隨著API數(shù)量的不斷增加以及對API安全性的增強(qiáng)需求,MFA將成為一個(gè)不可或缺的安全措施。同時(shí),還需要考慮到人工智能和自動化技術(shù)等方面的發(fā)展,來管理API憑證,確保API的安全。為了防范MFA疲勞攻擊,組織可以采用多種策略,例如使用MFA應(yīng)用程序、設(shè)置帳戶鎖定策略、使用機(jī)器學(xué)習(xí)技術(shù)、增加MFA代碼的復(fù)雜度以及加強(qiáng)身份驗(yàn)證。


2、合法數(shù)字簽名幕后的陷阱:警惕“谷墮大盜”的水坑攻擊

近日,奇安信威脅情報(bào)中心通過日常分析運(yùn)營發(fā)現(xiàn)多款二次打包并攜帶木馬后門的惡意安裝包樣本,惡意安裝包內(nèi)包含“向日葵遠(yuǎn)控”、“釘釘”、“WPS”等常用工具軟件,攻擊者偽造官網(wǎng)界面網(wǎng)頁誘使用戶下載,上述木馬化安裝包樣本與之前奇安信威脅情報(bào)中心2023年4月上旬發(fā)現(xiàn)的被惡意重新打包加入了木馬的“企業(yè)微信”安裝包樣本惡意代碼邏輯、惡意行為高度相似,判斷攻擊者屬于同一個(gè)黑產(chǎn)組織。上述三個(gè)惡意安裝包樣本與被重新打包加入木馬的“企業(yè)微信”樣本惡意行為如下:搭建阿里云服務(wù)器提供下載、偽造官網(wǎng)誘使用戶下載。用戶安裝過程中會釋放多個(gè)惡意文件并在內(nèi)存中加載BigWolf RAT,實(shí)現(xiàn)對受害主機(jī)竊取瀏覽器記錄、聊天軟件記錄、竊取按鍵記錄等竊密行為。

普普點(diǎn)評

近年來,利用特定人群需求開發(fā)惡意軟件并搭建站點(diǎn)作為誘餌投毒事件日益增多,下載軟件工具時(shí)應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全意識,避免成為網(wǎng)絡(luò)攻擊者的獵物。安全專家提醒廣大用戶,切勿打開社交媒體分享的來歷不明的鏈接,不點(diǎn)擊執(zhí)行未知來源的郵件附件,不運(yùn)行夸張標(biāo)題的未知文件,不安裝非正規(guī)途徑來源的APP,做到及時(shí)備份重要文件,更新安裝補(bǔ)丁。

3、攻擊者可遠(yuǎn)程收集信息來恢復(fù)支持加密算法安全性和機(jī)密性的密鑰

研究人員最近發(fā)現(xiàn)了一種新的攻擊方法,通過使用iphone或商業(yè)監(jiān)控系統(tǒng)中的攝像頭,記錄下讀卡器或智能手機(jī)打開時(shí)顯示的電源LED,可以恢復(fù)存儲在智能卡和智能手機(jī)中的秘密加密密鑰。這些攻擊提供了一種利用兩個(gè)先前披露的側(cè)信道的新方法,側(cè)信道攻擊是通過加密軟件或硬件運(yùn)行時(shí)產(chǎn)生的各種泄漏信息獲取密文信息。在狹義上講,側(cè)信道攻擊特指針對密碼算法的非侵入式攻擊,通過加密電子設(shè)備在運(yùn)行過程中的側(cè)信道信息泄露破解密碼算法,狹義的側(cè)信道攻擊主要包括針對密碼算法的計(jì)時(shí)攻擊、能量分析攻擊、電磁分析攻擊等,這類新型攻擊的有效性遠(yuǎn)高于密碼分析的數(shù)學(xué)方法,因此給密碼設(shè)備帶來了嚴(yán)重的威脅。通過仔細(xì)監(jiān)控功耗、聲音、電磁發(fā)射或操作發(fā)生所需的時(shí)間等特征,攻擊者可以收集足夠的信息來恢復(fù)支撐加密算法安全性和機(jī)密性的密鑰。

普普點(diǎn)評

安全專家給制造商推薦了幾種對策,以增強(qiáng)設(shè)備抵御基于視頻的密碼分析。其中最主要的是通過集成一個(gè)起“低通濾波器”的電容器來避免使用指示電源LED。另一種選擇是在電源線和電源LED之間集成一個(gè)運(yùn)算放大器。目前尚不清楚受影響設(shè)備的制造商是否或何時(shí)會添加此類防范措施。目前,建議那些不確定自己的設(shè)備是否存在漏洞的人應(yīng)該考慮在電源LED上貼上不透明的膠帶。

4、Grafana 身份認(rèn)證繞過漏洞漏洞威脅通告

近日,安識科技A-Team團(tuán)隊(duì)監(jiān)測到一則Grafana組件存在身份認(rèn)證繞過漏洞的信息,漏洞編號:CVE-2023-3128,漏洞威脅等級:高危。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的,容易被修改。攻擊者可在未授權(quán)的情況下,利用該漏洞構(gòu)造惡意數(shù)據(jù),執(zhí)行身份認(rèn)證繞過攻擊,最終接管受影響的Grafana賬戶。Grafana是一款開源的數(shù)據(jù)可視化和監(jiān)控平臺,它可以幫助用戶通過各種數(shù)據(jù)源創(chuàng)建和共享交互式、可定制的儀表盤和報(bào)表。主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的,容易被修改。目前受影響的Grafana版本:10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

普普點(diǎn)評

攻擊者可在未授權(quán)的情況下,利用該漏洞構(gòu)造惡意數(shù)據(jù),執(zhí)行身份認(rèn)證繞過攻擊,最終接管受影響的Grafana賬戶。對此,安全專家建議廣大用戶及時(shí)升級到安全版本,并做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。

5、API成頭號攻擊目標(biāo),DDoS、Bot攻擊倍增

6月30日,網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報(bào)告發(fā)布會,正式發(fā)布《2022年Web安全觀察報(bào)告》(以下簡稱《報(bào)告》、《零信任安全白皮書》以及《SASE安全訪問服務(wù)邊緣白皮書》。

《報(bào)告》折射出Web安全面臨的威脅愈發(fā)嚴(yán)峻,主要體現(xiàn)在幾大方面:一是高危Web漏洞持續(xù)爆發(fā);二是API已成灰黑產(chǎn)的頭號攻擊目標(biāo);三是DDoS攻擊翻番增長,Tbps級別成為常態(tài);四是Bot攻擊成倍攀升,自動化攻擊強(qiáng)度加大;五是在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)顯著提高;六是多樣化威脅層出不窮,亟需新的安全防護(hù)方案。

具體來看,2022年,網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個(gè)變種漏洞的利用,并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗(yàn)證錯(cuò)誤漏洞等大量新的高危漏洞不斷涌現(xiàn)。而針對API的攻擊占比首次突破50%,達(dá)到了58.4%,API上升為黑產(chǎn)攻擊的頭號目標(biāo)。

普普點(diǎn)評

隨著API廣泛應(yīng)用于各個(gè)在線業(yè)務(wù),涉及交易、賬號敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注,在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升。黑產(chǎn)通過大量自動化、流程化的方式進(jìn)行業(yè)務(wù)欺詐,并貫穿于整個(gè)在線業(yè)務(wù)場景。在注冊、登錄、營銷場景下,自動化攻擊占比均在50%以上。此外,Web安全威脅趨于多樣化,傳統(tǒng)WAF難以覆蓋如此多樣化的威脅,行業(yè)亟需升級安全防線。

6、警惕:新的 'RustBucket '惡意軟件變種針對macOS用戶

近期,研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕,該版本具有改進(jìn)的能力,可以建立持久性并避免被安全軟件發(fā)現(xiàn)。安全實(shí)驗(yàn)室的研究人員在本周發(fā)表的一份報(bào)告中表示:RustBucket的變種是一個(gè)針對macOS系統(tǒng)的惡意軟件集合,它增加了持久隱藏能力,同時(shí)利用動態(tài)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方法進(jìn)行指揮和控制。該惡意軟件于2023年4月曝光,當(dāng)時(shí)Jamf威脅實(shí)驗(yàn)室將其描述為一個(gè)基于AppleScript的后門,能夠從遠(yuǎn)程服務(wù)器檢索第二級有效載荷。第二階段的惡意軟件是用 Swift 編譯的,旨在從命令和控制 (C2) 服務(wù)器下載主要惡意軟件,這是一種基于 Rust 的二進(jìn)制文件,具有收集大量信息以及在受感染系統(tǒng)上獲取和運(yùn)行其他 Mach-O 二進(jìn)制文件或 shell 腳本的功能。BlueNoroff惡意軟件是第一個(gè)專門針對macOS用戶的例子,現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面。

普普點(diǎn)評

安全專家提示macOS用戶,該攻擊具有很強(qiáng)的針對性,集中在亞洲、歐洲和美國的金融相關(guān)機(jī)構(gòu),這也表明該惡意活動是以非法創(chuàng)收為目的。新發(fā)現(xiàn)的版本值得注意的是它不尋常的持久隱匿機(jī)制和使用動態(tài)DNS域名(docsend.linkpc[.net])進(jìn)行指揮和控制。

7、MOVEit Transfer漏洞成肉雞收割機(jī):受害者遍及20多個(gè)國家10多個(gè)行業(yè)

流行的文件傳輸工具M(jìn)OVEit Transfer中的漏洞引發(fā)了廣泛的后利用攻擊,導(dǎo)致網(wǎng)絡(luò)安全形勢岌岌可危。黑客利用這一安全漏洞發(fā)起了一系列攻擊,影響了政府、金融、IT服務(wù)、能源、大學(xué)等多個(gè)行業(yè)的眾多組織,受害者遍布美國、英國、加拿大、法國、以色列等20多個(gè)國家和地區(qū),暴露了數(shù)百萬人的個(gè)人敏感數(shù)據(jù)。

最近備受矚目的受害者包括大型能源公司施耐德電氣、西門子能源和霍尼韋爾自動化。三家公司均已確認(rèn)成為MOVEit泄露事件的目標(biāo),但數(shù)據(jù)泄露的程度仍不清楚。

政府機(jī)構(gòu)也因該漏洞而遭受損失。美國能源部在內(nèi)的聯(lián)邦機(jī)構(gòu)已報(bào)告受到MOVEit漏洞的影響。美國衛(wèi)生與公共服務(wù)部(HHS) 披露了一起涉及超過10萬人敏感信息泄露的事件。

教育行業(yè)也未能幸免。美國國家學(xué)生信息交換所是一個(gè)與數(shù)千所學(xué)校合作的非營利組織,發(fā)現(xiàn)自己處于潛在重大違規(guī)行為的中心,45,000名紐約市公立學(xué)校學(xué)生的信息因該漏洞而被泄露。

普普點(diǎn)評

此次漏洞的嚴(yán)重程度凸顯了組織迫切需要優(yōu)先考慮網(wǎng)絡(luò)安全措施并加強(qiáng)對此類漏洞的防御。事件響應(yīng)計(jì)劃、定期漏洞評估和強(qiáng)大的補(bǔ)丁管理實(shí)踐對于減輕網(wǎng)絡(luò)攻擊帶來的風(fēng)險(xiǎn)至關(guān)重要。隨著MOVEit漏洞的影響不斷蔓延,再次警示防御者,沒有組織能夠免受網(wǎng)絡(luò)威脅的影響。提高警惕、采取積極主動的安全措施以及行業(yè)、政府和執(zhí)法部門之間的持續(xù)合作對于在不斷變化的網(wǎng)絡(luò)威脅形勢中保持領(lǐng)先地位至關(guān)重要。