漏洞情報(bào)｜YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞風(fēng)險(xiǎn)預(yù)警

近日，騰訊主機(jī)安全（云鏡）捕獲到Y(jié)API遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用，該攻擊正在擴(kuò)散。受YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞影響，大量未部署任何安全防護(hù)系統(tǒng)的云主機(jī)已經(jīng)失陷。

YAPI接口管理平臺是國內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開源項(xiàng)目，為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù)，該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。

YAPI使用mock數(shù)據(jù)/腳本作為中間交互層，其中mock數(shù)據(jù)通過設(shè)定固定數(shù)據(jù)返回固定內(nèi)容，對于需要根據(jù)用戶請求定制化響應(yīng)內(nèi)容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數(shù)返回定制化內(nèi)容，本次漏洞就是發(fā)生在mock腳本服務(wù)上。由于mock腳本自定義服務(wù)未對JS腳本加以命令過濾，用戶可以添加任何請求處理腳本，因此可以在腳本中植入命令，等用戶訪問接口發(fā)起請求時(shí)觸發(fā)命令執(zhí)行。

普普點(diǎn)評：

該漏洞暫無補(bǔ)丁，普普建議受影響的用戶參考以下方案緩解風(fēng)險(xiǎn)：

1.部署防火墻實(shí)時(shí)攔截威脅；

2.關(guān)閉YAPI用戶注冊功能，阻斷攻擊者注冊；

3.刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本；

4.刪除惡意mock腳本，防止被再次訪問觸發(fā)；

卡巴斯基密碼管理器或生成“弱密碼”？

近日，一位安全研究人員稱，卡巴斯基密碼管理器中的一個(gè)漏洞導(dǎo)致其創(chuàng)建的密碼安全性降低，攻擊者可以在幾秒鐘內(nèi)對其進(jìn)行暴力破解。由俄羅斯安全公司卡巴斯基開發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶安全地存儲密碼和文檔，還能在需要時(shí)生成密碼。存儲在KPM保管庫中的所有敏感數(shù)據(jù)均受主密碼保護(hù)。該應(yīng)用程序適用于Windows、macOS、Android和iOS，即使是敏感數(shù)據(jù)也可以通過網(wǎng)絡(luò)訪問。

KPM能夠默認(rèn)生成12個(gè)字符的密碼，但允許用戶通過修改KPM界面中的設(shè)置（例如密碼長度、大小寫字母、數(shù)字和特殊字符的使用）來進(jìn)行密碼個(gè)性化修改。

該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機(jī)數(shù)生成器(PRNG)有關(guān)。桌面應(yīng)用程序使用Mersenne Twister PRNG，而網(wǎng)絡(luò)版本使用Math.random()函數(shù)，這些函數(shù)都不適合生成加密安全信息。

普普點(diǎn)評：

這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。

Android加密貨幣欺詐APP泛濫 已竊取用戶大量金錢

以比特幣為代表的加密貨幣近年來一直受到投資者的追捧，并讓數(shù)字資產(chǎn)真正成為主流。即便相較于 4 月的最高峰已損失了一半的價(jià)值，但一枚比特幣的價(jià)值依然超過 32000 美元。這讓不少人心動參與到挖礦大潮中，但其中也充斥著各種騙局，成千上萬的用戶的錢因此被盜。

近日，網(wǎng)絡(luò)安全公司 Lookout 發(fā)布了一份關(guān)于惡意加密貨幣挖礦應(yīng)用程序的詳細(xì)報(bào)告。他們的安全研究人員確定了170多個(gè)詐騙應(yīng)用程序，這些應(yīng)用程序聲稱提供云加密貨幣采礦服務(wù)，并收取費(fèi)用。他們實(shí)際上沒有開采任何東西，但他們會拿你的錢。

在報(bào)告中寫道：“這些應(yīng)用程序的全部理由是通過合法的支付程序從用戶那里偷錢，但從不提供承諾的服務(wù)。根據(jù)我們的分析，他們詐騙了超過 93000 人，在用戶支付應(yīng)用程序和購買額外的假升級和服務(wù)之間至少盜取了 35 萬美元”。

普普點(diǎn)評：

許多應(yīng)用程序都有預(yù)付費(fèi)用，所以即使你從未使用它們，騙子也已經(jīng)拿到了你的錢。為了讓用戶繼續(xù)使用，他們會在其應(yīng)用程序內(nèi)出售升級和訂閱服務(wù)。用戶也不允許提取他們的收入，直到他們達(dá)到最低余額。即使他們達(dá)到了提現(xiàn)余額，這些應(yīng)用程序也只是顯示錯(cuò)誤信息或重新設(shè)置余額。

摩根斯坦利遭黑客攻擊發(fā)生數(shù)據(jù)泄漏美元

摩根士丹利(Morgan Stanley)公司在其上周四的報(bào)告中聲稱，攻擊者通過入侵第三方供應(yīng)商的Accellion FTA服務(wù)器竊取了屬于其客戶的個(gè)人信息，導(dǎo)致數(shù)據(jù)泄漏。

摩根士丹利是一家領(lǐng)先的全球金融服務(wù)公司，在全球范圍內(nèi)提供投資銀行、證券、財(cái)富和投資管理服務(wù)。這家美國跨國公司的客戶包括超過41個(gè)國家的公司、政府、機(jī)構(gòu)和個(gè)人。

Guidehouse是一家為摩根士丹利的StockPlan Connect業(yè)務(wù)提供賬戶維護(hù)服務(wù)的第三方供應(yīng)商，該公司今年5月通知摩根士丹利，攻擊者入侵了其Accellion FTA 服務(wù)器，竊取了屬于摩根士丹利股票計(jì)劃參與者的信息。

Guidehouse服務(wù)器在今年1月因Accellion FTA漏洞被利用而遭到入侵，Guidehouse在3月發(fā)現(xiàn)了這一漏洞，并于5月發(fā)現(xiàn)了對摩根士丹利客戶的影響，并通知對方，目前沒有發(fā)現(xiàn)被盜數(shù)據(jù)在線傳播的證據(jù)。

到目前為止，此類攻擊的受害者包括能源巨頭殼牌、網(wǎng)絡(luò)安全公司Qualys公司、新西蘭儲備銀行、新加坡電信、超市巨頭克羅格、澳大利亞證券和投資委員會(ASIC)，以及多所大學(xué)和其他組織。

普普點(diǎn)評：

該事件涉及Guidehouse擁有的文件，其中包括來自摩根士丹利的加密文件。雖然被盜文件以加密形式存儲在受感染的Guidehouse Accellion FTA服務(wù)器上，但攻擊者在攻擊過程中還獲得了解密密鑰。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》將于9日1日起施行

7月13日下午消息，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部三部門聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。該規(guī)定旨在維護(hù)國家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，并且規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個(gè)人等各類主體的責(zé)任和義務(wù)。

通知如下：

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門、網(wǎng)信辦、公安廳(局)，各省、自治區(qū)、直轄市通信管理局：

現(xiàn)將《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》予以發(fā)布，自2021年9月1日起施行。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?工業(yè)和信息化部 國家互聯(lián)網(wǎng)信息辦公室 公安部

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2021年7月12日

普普點(diǎn)評：

該規(guī)定旨在維護(hù)國家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，并且規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)組織或個(gè)人等各類主體的責(zé)任和義務(wù)。

今年第三次了！LinkedIn 6億用戶資料被兜售

短短四個(gè)月來，LinkedIn已經(jīng)經(jīng)歷了兩次大規(guī)模數(shù)據(jù)泄露事件，如今第三次泄露又“如約而至”。近日，數(shù)億名LinkedIn用戶的個(gè)人資料再度出現(xiàn)在黑客論壇上，不過銷售價(jià)格暫未公開。

這一次，論壇用戶發(fā)帖稱出售的信息來自共6億份LinkedIn個(gè)人資料。

對方表示，此次出售的數(shù)據(jù)是最新的，而且質(zhì)量要比之前收集的數(shù)據(jù)“更好”。

在論壇公布的樣本數(shù)據(jù)中，可以看到相關(guān)用戶的全名、郵件地址、社交媒體賬戶鏈接以及用戶在自己LinkedIn個(gè)人資料中公開的其他數(shù)據(jù)等。雖然看似不太敏感，惡意攻擊者仍然可以利用這些信息通過社會工程方式輕松找到新的侵?jǐn)_目標(biāo)。LinkedIn拒絕將惡意抓取視為安全問題，但這顯然會令犯罪分子更加肆無忌憚，以不受任何懲罰的方式收集更多受害者的數(shù)據(jù)。

算上這一次，LinkedIn公司在短短四個(gè)月當(dāng)中已經(jīng)遭遇三輪大規(guī)模數(shù)據(jù)抓取事件，但這家職場社交巨頭對此似乎仍然態(tài)度消極。犯罪分子仍能夠在幾乎毫無反抗的情況下收集用戶相關(guān)信息，很難理解LinkedIn為什么不上線強(qiáng)大的反抓取機(jī)制以打擊這批惡意第三方。

普普點(diǎn)評：

如果您懷疑自己的LinkedIn個(gè)人資料數(shù)據(jù)可能已經(jīng)被惡意人士抓取，我們建議您：在公開的LinkedIn個(gè)人資料中刪除電子郵件地址及電話號碼，避免后續(xù)再次被惡意第三方所竊??；更換LinkedIn與電子郵件賬戶密碼；在所有在線賬戶上啟用雙因素身份驗(yàn)證（2FA）功能；當(dāng)心社交媒體上的可疑消息與來自陌生人的連接請求；考慮使用密碼管理器創(chuàng)建唯一強(qiáng)密碼并安全存儲。

零日漏洞攻擊持續(xù)高發(fā)，谷歌又發(fā)現(xiàn)4個(gè)被在野利用

2021年上半年，全球公開披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò)攻擊，比2020年全年總數(shù)還多了11個(gè)。

谷歌安全最新披露4個(gè)已遭在野利用的零日漏洞，其中前三個(gè)疑似由某漏洞經(jīng)紀(jì)人多次售賣，第四個(gè)被用于攻擊西歐國家；

據(jù)谷歌安全統(tǒng)計(jì)，2021年上半年，全球公開披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò)攻擊，比2020年全年總數(shù)還多了11個(gè)；

雖然公開披露被在野利用的零日漏洞數(shù)量大量增加，但谷歌安全團(tuán)隊(duì)認(rèn)為，更多的檢測和披露工作也促成了這種上升趨勢。

7月14日消息，谷歌安全團(tuán)隊(duì)發(fā)布新博客，就今年網(wǎng)絡(luò)攻擊活動中出現(xiàn)的四個(gè)零日漏洞進(jìn)行了技術(shù)細(xì)節(jié)披露，并提醒已經(jīng)有黑客利用這些漏洞向部分用戶發(fā)動高度針對性攻擊。

谷歌表示，以下幾個(gè)零日漏洞已被用于攻擊Chrome、IE以及iOS瀏覽器Safari的用戶：

CVE-2021-21166、CVE-2021-30551 ：針對Chrome；

CVE-2021-33742：針對IE；

CVE-2021-1879 ：針對WebKit (Safari)。

普普點(diǎn)評：

有多種因素可能會導(dǎo)致被披露在野零日漏洞數(shù)量的上升。一方面，是各方檢測和披露越來越多，比如蘋果今年就開始披露漏洞是否遭在野利用，研究人員也變得更多；另一方面，為了提高利用成功率，基于平臺安全成熟度提升、移動平臺的增加、漏洞經(jīng)紀(jì)人增多、安全防護(hù)水平的提升等原因，攻擊者也可能使用更多的零日漏洞。