普普每日安全咨詢一周概覽(06.08—06.14)

作者:

時(shí)間:
2020-06-19

2020.06.08 周一



01

?歐洲交通燈曝出嚴(yán)重安全漏洞,可導(dǎo)致道路混亂

德國(guó)工業(yè)網(wǎng)絡(luò)安全咨詢公司ProtectEM在對(duì)德國(guó)某城市進(jìn)行安全審核時(shí)發(fā)現(xiàn)部署在歐洲道路上的交通信號(hào)燈控制器存在一個(gè)嚴(yán)重漏洞,可能導(dǎo)致“持續(xù)的交通混亂”。

默認(rèn)情況下,控制交叉路口交通信號(hào)燈的硬件調(diào)試端口為打開(kāi)狀態(tài),從而使攻擊者無(wú)需旁路訪問(wèn)控制即可獲得root用戶訪問(wèn)權(quán)限。

該漏洞技術(shù)門檻較低而且可以遠(yuǎn)程利用,其僅是一個(gè)配置錯(cuò)誤而不是軟件bug。ProtectEM演示了一種利用配置錯(cuò)誤進(jìn)行自動(dòng)攻擊可能同時(shí)停用所有交通信號(hào)燈的情況,交通信號(hào)燈將從閃爍的黃燈燈變?yōu)榧t色,這可能導(dǎo)致持續(xù)的交通混亂。但不能將所有指示燈設(shè)置為綠色,此設(shè)置被基本的安全機(jī)制阻止了。

通過(guò)路由驅(qū)動(dòng)程序來(lái)訪問(wèn)內(nèi)部設(shè)備,就可以訪問(wèn)應(yīng)用程序控制和I/O級(jí)別,無(wú)需特定領(lǐng)域知識(shí),攻擊者只需要具備一般的嵌入式編程和系統(tǒng)技能就可以實(shí)現(xiàn)。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

任何系統(tǒng)只要放在開(kāi)放的互聯(lián)網(wǎng)上,利用就會(huì)變得容易,日益連接的系統(tǒng)忽略了網(wǎng)絡(luò)安全性,因此供應(yīng)商必須加強(qiáng)他們的關(guān)注點(diǎn)、專業(yè)知識(shí)和流程。


2020.06.09 周二


01

?API的安全危機(jī)

1、損壞的對(duì)象級(jí)別授權(quán):API傾向于暴露那些處理對(duì)象識(shí)別的端點(diǎn),造成了廣泛的攻擊面訪問(wèn)控制問(wèn)題;

2、損壞的用戶身份驗(yàn)證:身份驗(yàn)證機(jī)制通常實(shí)施不正確,從而使攻擊者可以破壞身份驗(yàn)證令牌或利用實(shí)施缺陷來(lái)臨時(shí)或永久地假冒其他用戶的身份;

3、數(shù)據(jù)泄露過(guò)多:開(kāi)發(fā)人員傾向于公開(kāi)所有對(duì)象屬性而不考慮其個(gè)體敏感性,依靠客戶端執(zhí)行數(shù)據(jù)過(guò)濾并顯示;

4、缺乏資源和速率限制:API不會(huì)對(duì)客戶端/用戶可以請(qǐng)求的資源大小或數(shù)量施加任何限制;

6、批量分配:將客戶端提供的數(shù)據(jù)綁定到數(shù)據(jù)模型,而沒(méi)有基于白名;單的適當(dāng)屬性過(guò)濾;

7、注入:當(dāng)不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解釋器時(shí)會(huì)發(fā)生注入缺陷,例如SQL、NoSQL的命令注入等。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

API連接的已經(jīng)不僅僅是系統(tǒng)和數(shù)據(jù),還有企業(yè)內(nèi)部職能部門、客戶和合作伙伴,甚至整個(gè)商業(yè)生態(tài),但是API面臨的安全威脅,卻很容易被決策者忽視或輕視。


2020.06.10 周三


01

?過(guò)去一年半80%的企業(yè)遭受云數(shù)據(jù)泄露

調(diào)查顯示,云安全問(wèn)題正在急劇惡化,在過(guò)去的18個(gè)月中,近80%的公司至少經(jīng)歷了一次云數(shù)據(jù)泄露,而43%的公司報(bào)告了10次或更多泄露。

接受調(diào)查的大多數(shù)公司已經(jīng)在使用IAM、數(shù)據(jù)防泄漏、數(shù)據(jù)分類和特權(quán)帳戶管理產(chǎn)品,但仍有超過(guò)一半的公司聲稱這些產(chǎn)品不足以保護(hù)云環(huán)境,事實(shí)上,三分之二的受訪者將云原生授權(quán)和許可管理,以及云安全配置列為高度優(yōu)先事項(xiàng)。

調(diào)查反饋,安全相關(guān)的配置錯(cuò)誤(67%),對(duì)訪問(wèn)設(shè)置和活動(dòng)缺乏足夠的可見(jiàn)性(64%)以及身份和訪問(wèn)管理(IAM)許可錯(cuò)誤(61%)是他們最關(guān)注的云生產(chǎn)環(huán)境安全問(wèn)題,有80%的人報(bào)告他們無(wú)法識(shí)別IaaS / PaaS環(huán)境中對(duì)敏感數(shù)據(jù)的過(guò)度訪問(wèn),在數(shù)據(jù)泄露的根源方面,只有黑客攻擊排名高于配置錯(cuò)誤。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

云安全為諸多企業(yè)提供了便利性,同時(shí)也面臨著風(fēng)險(xiǎn)和挑戰(zhàn),當(dāng)前首要安全挑戰(zhàn)是專業(yè)人才的不足,而且沒(méi)有滿足需求的云安全解決方案。


2020.06.11 周四


01

?合法軟件淪為勒索工具

近日,安全團(tuán)隊(duì)發(fā)現(xiàn)一款合法的磁盤加密軟件BestCrypt Volume Encryption被黑客利用作為勒索工具。

黑客通過(guò)RDP暴破等方式遠(yuǎn)程登錄目標(biāo)服務(wù)器后,上傳合法加密軟件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及腳本文件copys.bat,人工運(yùn)行BestCrypt Volume Encryption進(jìn)行勒索加密,通過(guò)對(duì)磁盤進(jìn)行加密卸載,然后運(yùn)行copys.bat復(fù)制勒索信息文件到指定目錄并關(guān)機(jī)。由于用于加密的是正規(guī)軟件而非病毒,整個(gè)過(guò)程不存在病毒文件,通過(guò)文件查殺的方式通常無(wú)法進(jìn)行防御。

勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無(wú)法解密,應(yīng)嚴(yán)格注意日常防范,不要點(diǎn)擊來(lái)源不明的郵件附件,不從不明網(wǎng)站下載軟件,盡量關(guān)閉不必要的文件共享權(quán)限,更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一密碼。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

建議企業(yè)用戶及時(shí)為電腦打補(bǔ)丁,修復(fù)漏洞,對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份,企業(yè)應(yīng)對(duì)全網(wǎng)進(jìn)行安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。


2020.06.12 周五


01

?安卓手機(jī)主流解鎖方法安全性分析

圖案解鎖:用戶在屏幕上滑動(dòng)出預(yù)先設(shè)定的線條圖案來(lái)解鎖手機(jī),其強(qiáng)度取決于圖案的復(fù)雜程度,圖案模式越簡(jiǎn)單,越容易被他人偷窺或“暴力破解”;

PIN/密碼:在開(kāi)機(jī)密碼之外設(shè)置SIM卡PIN碼,最大限度防止SIM卡被未授權(quán)使用或者復(fù)制,四位數(shù)密碼聊勝于無(wú),應(yīng)當(dāng)選擇6-8位屏幕解鎖密碼;

指紋識(shí)別:指紋識(shí)別技術(shù)賣點(diǎn)五花八門,但總體上屬于同一種生物識(shí)別技術(shù),指紋識(shí)別解鎖依然是公認(rèn)的最快捷最安全的方式之一,指紋識(shí)別并非萬(wàn)無(wú)一失,攻擊者可從照片和其他來(lái)源竊取指紋;

面部識(shí)別:面部識(shí)別可能是最不安全的技術(shù)之一,2019 年人臉識(shí)別技術(shù)相關(guān)的安全和隱私問(wèn)題已經(jīng)多次曝光,盡管普遍認(rèn)為人臉識(shí)別過(guò)程相當(dāng)復(fù)雜,但事實(shí)是它基本上取決于前置攝像頭和某些軟件。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

安卓手機(jī)目前有很多屏幕解鎖技術(shù)可選,最安全的做法是選擇兩種或者多種安全技術(shù)組合,最安全的選擇是足夠長(zhǎng)且復(fù)雜的PIN或密碼,其次是指紋掃描,人臉識(shí)別是最不安全的選擇。


2020.06.13 周六


01

?福昕軟件曝出大量高危漏洞

近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠(yuǎn)程代碼執(zhí)行漏洞。

據(jù)悉,福昕軟件已經(jīng)發(fā)布了補(bǔ)丁,修補(bǔ)了Windows版Foxit Reader和Foxit PhantomPDF中與20個(gè)CVE相關(guān)的嚴(yán)重漏洞,其中一些漏洞使遠(yuǎn)程攻擊者可以在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件,其免費(fèi)版本的用戶群超過(guò)5億,它提供了用于創(chuàng)建,簽名和保護(hù)PDF文件的工具,同時(shí),PhantomPDF使用戶可以將不同的文件格式轉(zhuǎn)換為PDF,除了數(shù)以百萬(wàn)計(jì)的品牌軟件用戶外,亞馬遜,谷歌和微軟等大型公司還許可福昕軟件技術(shù),從而進(jìn)一步擴(kuò)大了攻擊面。

根據(jù)趨勢(shì)科技ZDI 漏洞分析,在針對(duì)這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因?yàn)槟繕?biāo)必須訪問(wèn)惡意頁(yè)面或打開(kāi)惡意文件” 。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

近年來(lái),多款辦公軟件被爆出存在高危漏洞,對(duì)企業(yè)和個(gè)人來(lái)說(shuō)應(yīng)提高警惕,從正版廠商購(gòu)買只是方式之一,還應(yīng)注意下載辦公軟件的來(lái)源,避免捆綁下載。


2020.06.14 周日


01

?APP端常見(jiàn)漏洞與實(shí)例分析

1、邏輯漏洞:這類漏洞包括水平越權(quán)、任意密碼重置、任意用戶登錄、薅羊毛、驗(yàn)證碼回傳等漏洞。要仔細(xì)觀察數(shù)據(jù)在交互的時(shí)候,更改某些參數(shù),返回的數(shù)據(jù)是否會(huì)發(fā)生改變,或驗(yàn)證碼回傳,接收短信驗(yàn)證碼觀察前端源代碼看短信驗(yàn)證碼是否存在源碼當(dāng)中,或是否存在驗(yàn)證碼生成函數(shù)。這類漏洞往往會(huì)造成任意大量信息泄露、可登錄任意用戶賬號(hào)執(zhí)行危險(xiǎn)操作等危害;

2、短信驗(yàn)證碼可進(jìn)行爆破:發(fā)送短信驗(yàn)證碼時(shí),如果發(fā)出的驗(yàn)證碼太短,設(shè)置驗(yàn)證時(shí)間較長(zhǎng),且輸入驗(yàn)證碼次數(shù)不限,那么我們就可以進(jìn)行爆破驗(yàn)證碼;

3、xss漏洞:這類漏洞常見(jiàn)于留言、郵件、評(píng)論等地方,由于對(duì)傳入的內(nèi)容沒(méi)有進(jìn)行過(guò)濾,導(dǎo)致此漏洞的產(chǎn)生。


普普評(píng)述

普普每日安全咨詢一周概覽(06.08—06.14)

由于現(xiàn)在APP開(kāi)發(fā)隨處可見(jiàn),但是懂安全的程序員屈指可數(shù),APP端上出現(xiàn)漏洞的概率大于web端,尤其是某些小眾的APP,出現(xiàn)上述漏洞的現(xiàn)象數(shù)不勝數(shù)。