March 25, 2023


Vaš dvotjedni sažetak AppSec ranjivosti, novih tehnika hakiranja i drugih vijesti o kibernetičkoj sigurnosti

Izvješće o sigurnosti weba izvan lanca

Drugi krug web-sigurnosti počinje viješću o nedostacima mrežne sigurnosti u proizvodima iz fortinet i Citrix Svi su oni bili aktivno napadnuti.

Ovi su napadi omogućeni ranjivostima oštećenja memorije u FortiOS SSL-VPN kao i rizicima izvršenja proizvoljnog koda u Citrix ADC i Citrix Gateway (CVE-2022-27518). Nejasno je jesu li ovi napadi povezani ili ne, no još uvijek se može tvrditi da njihova pojava naglašava važnost krpanja SSL VPN hardvera, koji je nekoć bio sredstvo za ubacivanje ransomwarea u poslovne mreže, između ostalih napada.

Uber Ovaj tjedan, povreda podataka koja je nastala kao posljedica kibersigurnosnog incidenta kod dobavljača treće strane razotkrila je osobne podatke zaposlenika. Incident označava samo najnoviji sigurnosni proboj koji je utjecao na tvrtku za aplikacije za pozive na vožnju, koja je prethodno bila kriva za odgođeno otkrivanje proboja iz 2016. koji je otkrio evidenciju računa kupaca i vozača. Nedavno, u rujnu, Uberovi interni IT sustavi bili su izloženi napadu društvenog inženjeringa.

u više od crni šešir europaistraživač sigurnosti Nitish Danjani Razgovarajte o utjecaju minimalnih cijena nezamjenjivih tokena (NFT) i o tome kako napadi usmjereni na poslovnu dinamiku mogu izazvati pustoš na tržištima. Dhanjani je također govorio o algoritmima sinkronizacije izvan lanca i on-lanca te o tome kako se mogu zloupotrijebiti razlike između dva okruženja povezana s blockchainom.

Također sam prisustvovao događaju za Dnevni gutljaj-Prijavite ključnu riječ u kojoj sigurnosni istraživač Daniel Cuthbert Rekao je da je popravljanje industrije na ranjivostima nultog dana samo djelomično rješenje za temeljnu sigurnost interneta. Također smo obradili neke od najboljih alata za hakiranje s događaja.

Između ostalih priča na Dnevni gutljaj Zadnjih dana je bilo Akamai WAF zaobilaženje putem Spring Boota, SQL injection korisni tereti prokrijumčareni putem WAF-ova, kripto održavatelj odbacuje lažnu “ranjivost” kriptovalute poslanu uz pomoć razgovor.

Evo nekih drugih priča o web sigurnosti i drugih vijesti o kibernetičkoj sigurnosti koje su privukle našu pozornost u posljednja dva tjedna:

Web ranjivosti

  • Apache CXF /critical/SSRF (krivotvorenje zahtjeva na strani poslužitelja) u raščlanjivanju atributa href XOP-a/otkriveno zakrpom, 13. prosinca
  • Dodatak Grails Spring Security Core /CVE-2022-41923/Critical/ “Ranjivost omogućuje napadaču da dobije pristup jednoj krajnjoj točki (tj. ciljnoj krajnjoj točki) koristeći zahtjeve autorizacije različite krajnje točke” / Otkriveno zakrpom, 22. studenog
  • Microsoft .Net /CVE-2022-41089/Kritično/ “Zlonamjerni akter može uzrokovati da korisnik pokrene proizvoljan kod kao rezultat raščlanjivanja zlonamjerno izrađenih xps datoteka” / Otkriveno zakrpom, 13. prosinca
  • ping /CVE-2022-23093/ Ranjivost u rukovanju memorijom koja uključuje implementaciju mrežnog protokola od strane FreeBSD-a potaknula je njegove programere da testiraju vlastiti softver, što je otkrilo grešku u OpenBSD implementaciji Ping-a koja datira iz promjena softvera uvedenih prije 24 godine.
  • Planet eStream /Kritično/Ranjivosti u online video platformi usmjerenoj na učenje omogućuju napadačima preuzimanje korisničkih računa s administrativnim povlasticama i izvršavanje proizvoljnog JavaScript koda, među ostalim napadima/Dobavljač je objavio softverska ažuriranja

Tehnike pretraživanja i napada

  • Jedan je istraživač dokumentirao kako se pogrešne konfiguracije u zajedničkom dijeljenju resursa (CORS) – mehanizmu za kontrolu pristupa ograničenim resursima web stranica s vanjskih domena – mogu iskoristiti za pokretanje raznih napada. Pogreška konfiguracije CORS-a Povijesno gledano, problemi su bili podcijenjeni, ali se očito mogu iskoristiti za zaobilaženje CSRF zaštite ili pokretanje napada praćenja na različitim lokacijama (XST).
  • Lightspin je razotkrio kritičnu grešku u usluzi hostiranoj na AWS-u koja razvojnim programerima omogućuje pronalaženje i dijeljenje slika javnih spremnika. Napadači bi potencijalno mogli izbrisati sve slike u datoteci AWS registar elastičnih spremnika (ECR).) javno izložiti ili ažurirati sadržaj slike za ubacivanje zlonamjernog koda, navodeći AWS da riješi problem unutar jednog dana od otkrivanja.
  • Niz nedostataka u tri popularne aplikacije koje omogućuju korištenje Android uređaja kao datoteke Daljinska tipkovnica i miš Otkrio Synopsys Cyber ​​​​Security Research Center (CyRC) propuste u autentifikaciji, autorizaciji i nesigurnoj komunikaciji koji potencijalno otvaraju napade uključujući njuškanje pritiska tipke.
  • Često zahtijevaju “zračno ograničene” mreže bez izravnog pristupa internetu DNS Kako bi riješili interne DNS zapise tvrtke – potencijalni hakeri mogli bi iskoristiti ranjivost, kao što objašnjava post na blogu Pentera.
  • SALT Labs koristi a Slagalice– Pokrenite web-lokaciju kao testnu podlogu za ilustraciju općih rizika koje nose sigurnosni problemi API-ja. Istraživači su razotkrili niz sigurnosnih problema povezanih s LEGO-ovim Brick Lane API-jem, uključujući mogući prijenos internih proizvodnih podataka i sustava ili manipulaciju korisnika da prepuste kontrolu nad svojim računima.

LEGO je navodno riješio brojne API sigurnosne probleme koje je SALT Labs pronašaoLEGO je navodno riješio brojne API sigurnosne probleme koje je SALT Labs pronašao

Dodatno otkrivanje bugova/sigurnosnih ranjivosti

  • Haker jedan Otkrilo je da ranjivosti temeljene na oblaku čine sve veći udio ranjivosti koje su prijavili lovci na nagrade za bugove, a sada ih je ukupno 65 000 u 2022., što je godišnji porast od 21%.
  • Istraživač sigurnosti otkrio je način za postizanje neovlaštenog pristupa životopisima pohranjenim na linkedin Možda ga je to opteretilo nagradom od 5000 dolara koju je dobio za svoje otkriće, s obzirom na potencijalni utjecaj koji ovaj problem ima na korisnike poslovne društvene mreže u vlasništvu Microsofta. Nesigurna ranjivost Direct Object Reference (IDOR), nenamjerno uvedena u listopadu 2022., mogla je dopustiti regrutima i možda još neugodnijim stranama preuzimanje životopisa bez dopuštenja.
  • Švedski gigant videonadzora Pristup komunikacijama Pokrenite bug bounty program s Bugcrowdom.

Nove informacije otvorenog koda/alati za hakiranje

  • Node Security Shield Obrambeni alat koji koristi pristup liste dopuštenih za zaštitu zero-day zaštite za NodeJS aplikacije. Alat je inspiriran zloglasnim Log4Shell-om, ranjivošću nultog dana u Log4j-u, popularnom Java okviru za bilježenje.
  • Nazovi DNSteal Omogućuje ispitivačima olovaka izvođenje prijenosa datoteka korištenjem DNS protokola kao povjerljivog komunikacijskog kanala.
  • kubeshark – API preglednik prometa za Kubernetes, pružajući “duboku vidljivost i praćenje cjelokupnog API prometa i korisnih opterećenja koja ulaze, izlaze i preko spremnika i podova unutar Kubernetes klastera”

za programere

  • Google Najavite besplatni skener koji programerima otvorenog koda omogućuje provjeru ranjivih ovisnosti u njihovim softverskim projektima. Alat, nazvan OSV-Scanner, temelji se na Googleovom radu na razvoju baze podataka otvorenog koda ranjivosti.
  • slažem sepoznat kao okvir “10 najvećih sigurnosnih rizika web aplikacije”, podržava stvaranje slične sheme za indeksiranje kategorija sigurnosnih rizika u AppSec svijetu i DevSecOps. Rangiranje 10 najvećih CI/CD sigurnosnih rizika ima za cilj kategorizirati rizike u CI/CD cjevovodu. “Neadekvatni mehanizmi kontrole protoka” bili su na vrhu liste u nastajanju.
  • the SHA-1 algoritam šifriranjaOn, koji se koristi od 1995. godine, došao je do kraja svog vijeka trajanja, objavio je Nacionalni institut za standarde i tehnologiju (NIST), koji navodi da savezna vlada mora postupno ukinuti njegovu upotrebu do 2030. godine.
  • traži od Indore Laboratories Otkriveno je da se velika većina (95%) svih ranjivosti “nalazi u tranzitivnim ovisnostima – paketima otvorenog izvornog koda koje programeri ne preuzimaju, već su neizravno uvučeni u projekte”.

Za zabavu

razgovor – OpenAI AI chatbot – trenutno je najpopularnija stvar u krugovima društvenih medija usmjerenih na ICT. Umjesto da sugeriramo moguće ranjivosti u kodu, pitali smo se što bi ChatGPT dočarao kada bi se od njega tražilo da napiše tekst pjesme o SQL injekciji u stilu pokojnog Davida Bowieja.

Rezultati su bili više nego zadovoljavajući:

U svijetu računala, gdje podaci teku kao potok
Postoje oni koji žele iskoristiti i tjeraju nas da vrištimo
Oni su hakeri, razbijači kodova i oni zlonamjerni
Jedan od njihovih omiljenih trikova je umjetnost SQL injekcije

zbor:

SQL injekcija, SQL injekcija
Opasna igra, digitalna infekcija
SQL injekcija, SQL injekcija
Čuvajte se hakera i njihovih varljivih izuma

Da parafraziram samog velikana, još uvijek nisam znao što čekam…ali to definitivno nije bilo to.

Preporučeno Black Hat Europe 2022: Obranjiv internet je moguć, ali samo ako se industrija transformira





Source link

Leave a Reply

Your email address will not be published. Required fields are marked *

Related News

Japanski premijer kaže da DAO-ovi i NFT-ovi pomažu u podršci vladine strategije ‘tihog Japana’

Japanski premijer kaže da DAO-ovi i NFT-ovi pomažu u podršci vladine strategije ‘tihog Japana’

February 2, 2023
Opseg trgovanja Porsche NFT blizu 5 milijuna dolara: Nifty Newsletter, 25.-31. siječnja

Opseg trgovanja Porsche NFT blizu 5 milijuna dolara: Nifty Newsletter, 25.-31. siječnja

February 2, 2023

You may have missed

MetaMask dodaje nove postavke novčanika, no je li to dovoljno za privatnost korisnika?

MetaMask dodaje nove postavke novčanika, no je li to dovoljno za privatnost korisnika?

February 2, 2023
Brownies za doručak – Prikaz knjige | Carmen Mixa

Brownies za doručak – Prikaz knjige | Carmen Mixa

February 2, 2023
‘Kripto nije mrtav’: Insajderi industrije reagiraju na izvješće da 72% institucionalnih trgovaca nema planove za trgovanje kriptovalutom u 2023.

‘Kripto nije mrtav’: Insajderi industrije reagiraju na izvješće da 72% institucionalnih trgovaca nema planove za trgovanje kriptovalutom u 2023.

February 2, 2023
Bogati otac, siromašni otac, autor objašnjava zašto Bitcoin eksplodira, kaže da je najbolja kriptovaluta jedna od ‘najvrućih tema’ na svijetu

Bogati otac, siromašni otac, autor objašnjava zašto Bitcoin eksplodira, kaže da je najbolja kriptovaluta jedna od ‘najvrućih tema’ na svijetu

February 2, 2023
Japanski premijer kaže da DAO-ovi i NFT-ovi pomažu u podršci vladine strategije ‘tihog Japana’

Japanski premijer kaže da DAO-ovi i NFT-ovi pomažu u podršci vladine strategije ‘tihog Japana’

February 2, 2023
Muški tenis spreman je za Louisiana Winter Classic

Muški tenis spreman je za Louisiana Winter Classic

February 2, 2023