漏洞情報(bào)｜YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞風(fēng)險(xiǎn)預(yù)警

近日，騰訊主機(jī)安全（云鏡）捕獲到Y(jié)API遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用，該攻擊正在擴(kuò)散。受YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞影響，大量未部署任何安全防護(hù)系統(tǒng)的云主機(jī)已經(jīng)失陷。

YAPI接口管理平臺(tái)是國(guó)內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開(kāi)源項(xiàng)目，為前端后臺(tái)開(kāi)發(fā)與測(cè)試人員提供更優(yōu)雅的接口管理服務(wù)，該系統(tǒng)被國(guó)內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。

YAPI使用mock數(shù)據(jù)/腳本作為中間交互層，其中mock數(shù)據(jù)通過(guò)設(shè)定固定數(shù)據(jù)返回固定內(nèi)容，對(duì)于需要根據(jù)用戶(hù)請(qǐng)求定制化響應(yīng)內(nèi)容的情況mock腳本通過(guò)寫(xiě)JS腳本的方式處理用戶(hù)請(qǐng)求參數(shù)返回定制化內(nèi)容，本次漏洞就是發(fā)生在mock腳本服務(wù)上。由于mock腳本自定義服務(wù)未對(duì)JS腳本加以命令過(guò)濾，用戶(hù)可以添加任何請(qǐng)求處理腳本，因此可以在腳本中植入命令，等用戶(hù)訪(fǎng)問(wèn)接口發(fā)起請(qǐng)求時(shí)觸發(fā)命令執(zhí)行。

普普點(diǎn)評(píng)：

該漏洞暫無(wú)補(bǔ)丁，普普建議受影響的用戶(hù)參考以下方案緩解風(fēng)險(xiǎn)：

1.部署防火墻實(shí)時(shí)攔截威脅；

2.關(guān)閉YAPI用戶(hù)注冊(cè)功能，阻斷攻擊者注冊(cè)；

3.刪除惡意已注冊(cè)用戶(hù)，避免攻擊者再次添加mock腳本；

4.刪除惡意mock腳本，防止被再次訪(fǎng)問(wèn)觸發(fā)；

卡巴斯基密碼管理器或生成“弱密碼”？

近日，一位安全研究人員稱(chēng)，卡巴斯基密碼管理器中的一個(gè)漏洞導(dǎo)致其創(chuàng)建的密碼安全性降低，攻擊者可以在幾秒鐘內(nèi)對(duì)其進(jìn)行暴力破解。由俄羅斯安全公司卡巴斯基開(kāi)發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶(hù)安全地存儲(chǔ)密碼和文檔，還能在需要時(shí)生成密碼。存儲(chǔ)在KPM保管庫(kù)中的所有敏感數(shù)據(jù)均受主密碼保護(hù)。該應(yīng)用程序適用于Windows、macOS、Android和iOS，即使是敏感數(shù)據(jù)也可以通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)。

KPM能夠默認(rèn)生成12個(gè)字符的密碼，但允許用戶(hù)通過(guò)修改KPM界面中的設(shè)置（例如密碼長(zhǎng)度、大小寫(xiě)字母、數(shù)字和特殊字符的使用）來(lái)進(jìn)行密碼個(gè)性化修改。

該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機(jī)數(shù)生成器(PRNG)有關(guān)。桌面應(yīng)用程序使用Mersenne Twister PRNG，而網(wǎng)絡(luò)版本使用Math.random()函數(shù)，這些函數(shù)都不適合生成加密安全信息。

普普點(diǎn)評(píng)：

這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。

Android加密貨幣欺詐APP泛濫 已竊取用戶(hù)大量金錢(qián)

以比特幣為代表的加密貨幣近年來(lái)一直受到投資者的追捧，并讓數(shù)字資產(chǎn)真正成為主流。即便相較于 4 月的最高峰已損失了一半的價(jià)值，但一枚比特幣的價(jià)值依然超過(guò) 32000 美元。這讓不少人心動(dòng)參與到挖礦大潮中，但其中也充斥著各種騙局，成千上萬(wàn)的用戶(hù)的錢(qián)因此被盜。

近日，網(wǎng)絡(luò)安全公司 Lookout 發(fā)布了一份關(guān)于惡意加密貨幣挖礦應(yīng)用程序的詳細(xì)報(bào)告。他們的安全研究人員確定了170多個(gè)詐騙應(yīng)用程序，這些應(yīng)用程序聲稱(chēng)提供云加密貨幣采礦服務(wù)，并收取費(fèi)用。他們實(shí)際上沒(méi)有開(kāi)采任何東西，但他們會(huì)拿你的錢(qián)。

在報(bào)告中寫(xiě)道：“這些應(yīng)用程序的全部理由是通過(guò)合法的支付程序從用戶(hù)那里偷錢(qián)，但從不提供承諾的服務(wù)。根據(jù)我們的分析，他們?cè)p騙了超過(guò) 93000 人，在用戶(hù)支付應(yīng)用程序和購(gòu)買(mǎi)額外的假升級(jí)和服務(wù)之間至少盜取了 35 萬(wàn)美元”。

普普點(diǎn)評(píng)：

許多應(yīng)用程序都有預(yù)付費(fèi)用，所以即使你從未使用它們，騙子也已經(jīng)拿到了你的錢(qián)。為了讓用戶(hù)繼續(xù)使用，他們會(huì)在其應(yīng)用程序內(nèi)出售升級(jí)和訂閱服務(wù)。用戶(hù)也不允許提取他們的收入，直到他們達(dá)到最低余額。即使他們達(dá)到了提現(xiàn)余額，這些應(yīng)用程序也只是顯示錯(cuò)誤信息或重新設(shè)置余額。

摩根斯坦利遭黑客攻擊發(fā)生數(shù)據(jù)泄漏美元

摩根士丹利(Morgan Stanley)公司在其上周四的報(bào)告中聲稱(chēng)，攻擊者通過(guò)入侵第三方供應(yīng)商的Accellion FTA服務(wù)器竊取了屬于其客戶(hù)的個(gè)人信息，導(dǎo)致數(shù)據(jù)泄漏。

摩根士丹利是一家領(lǐng)先的全球金融服務(wù)公司，在全球范圍內(nèi)提供投資銀行、證券、財(cái)富和投資管理服務(wù)。這家美國(guó)跨國(guó)公司的客戶(hù)包括超過(guò)41個(gè)國(guó)家的公司、政府、機(jī)構(gòu)和個(gè)人。

Guidehouse是一家為摩根士丹利的StockPlan Connect業(yè)務(wù)提供賬戶(hù)維護(hù)服務(wù)的第三方供應(yīng)商，該公司今年5月通知摩根士丹利，攻擊者入侵了其Accellion FTA 服務(wù)器，竊取了屬于摩根士丹利股票計(jì)劃參與者的信息。

Guidehouse服務(wù)器在今年1月因Accellion FTA漏洞被利用而遭到入侵，Guidehouse在3月發(fā)現(xiàn)了這一漏洞，并于5月發(fā)現(xiàn)了對(duì)摩根士丹利客戶(hù)的影響，并通知對(duì)方，目前沒(méi)有發(fā)現(xiàn)被盜數(shù)據(jù)在線(xiàn)傳播的證據(jù)。

到目前為止，此類(lèi)攻擊的受害者包括能源巨頭殼牌、網(wǎng)絡(luò)安全公司Qualys公司、新西蘭儲(chǔ)備銀行、新加坡電信、超市巨頭克羅格、澳大利亞證券和投資委員會(huì)(ASIC)，以及多所大學(xué)和其他組織。

普普點(diǎn)評(píng)：

該事件涉及Guidehouse擁有的文件，其中包括來(lái)自摩根士丹利的加密文件。雖然被盜文件以加密形式存儲(chǔ)在受感染的Guidehouse Accellion FTA服務(wù)器上，但攻擊者在攻擊過(guò)程中還獲得了解密密鑰。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》將于9日1日起施行

7月13日下午消息，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部三部門(mén)聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。該規(guī)定旨在維護(hù)國(guó)家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，并且規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或個(gè)人等各類(lèi)主體的責(zé)任和義務(wù)。

通知如下：

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén)、網(wǎng)信辦、公安廳(局)，各省、自治區(qū)、直轄市通信管理局：

現(xiàn)將《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》予以發(fā)布，自2021年9月1日起施行。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?工業(yè)和信息化部 國(guó)家互聯(lián)網(wǎng)信息辦公室 公安部

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2021年7月12日

普普點(diǎn)評(píng)：

該規(guī)定旨在維護(hù)國(guó)家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，并且規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)組織或個(gè)人等各類(lèi)主體的責(zé)任和義務(wù)。

今年第三次了！LinkedIn 6億用戶(hù)資料被兜售

短短四個(gè)月來(lái)，LinkedIn已經(jīng)經(jīng)歷了兩次大規(guī)模數(shù)據(jù)泄露事件，如今第三次泄露又“如約而至”。近日，數(shù)億名LinkedIn用戶(hù)的個(gè)人資料再度出現(xiàn)在黑客論壇上，不過(guò)銷(xiāo)售價(jià)格暫未公開(kāi)。

這一次，論壇用戶(hù)發(fā)帖稱(chēng)出售的信息來(lái)自共6億份LinkedIn個(gè)人資料。

對(duì)方表示，此次出售的數(shù)據(jù)是最新的，而且質(zhì)量要比之前收集的數(shù)據(jù)“更好”。

在論壇公布的樣本數(shù)據(jù)中，可以看到相關(guān)用戶(hù)的全名、郵件地址、社交媒體賬戶(hù)鏈接以及用戶(hù)在自己LinkedIn個(gè)人資料中公開(kāi)的其他數(shù)據(jù)等。雖然看似不太敏感，惡意攻擊者仍然可以利用這些信息通過(guò)社會(huì)工程方式輕松找到新的侵?jǐn)_目標(biāo)。LinkedIn拒絕將惡意抓取視為安全問(wèn)題，但這顯然會(huì)令犯罪分子更加肆無(wú)忌憚，以不受任何懲罰的方式收集更多受害者的數(shù)據(jù)。

算上這一次，LinkedIn公司在短短四個(gè)月當(dāng)中已經(jīng)遭遇三輪大規(guī)模數(shù)據(jù)抓取事件，但這家職場(chǎng)社交巨頭對(duì)此似乎仍然態(tài)度消極。犯罪分子仍能夠在幾乎毫無(wú)反抗的情況下收集用戶(hù)相關(guān)信息，很難理解LinkedIn為什么不上線(xiàn)強(qiáng)大的反抓取機(jī)制以打擊這批惡意第三方。

普普點(diǎn)評(píng)：

如果您懷疑自己的LinkedIn個(gè)人資料數(shù)據(jù)可能已經(jīng)被惡意人士抓取，我們建議您：在公開(kāi)的LinkedIn個(gè)人資料中刪除電子郵件地址及電話(huà)號(hào)碼，避免后續(xù)再次被惡意第三方所竊?。桓鼡QLinkedIn與電子郵件賬戶(hù)密碼；在所有在線(xiàn)賬戶(hù)上啟用雙因素身份驗(yàn)證（2FA）功能；當(dāng)心社交媒體上的可疑消息與來(lái)自陌生人的連接請(qǐng)求；考慮使用密碼管理器創(chuàng)建唯一強(qiáng)密碼并安全存儲(chǔ)。

零日漏洞攻擊持續(xù)高發(fā)，谷歌又發(fā)現(xiàn)4個(gè)被在野利用

2021年上半年，全球公開(kāi)披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò)攻擊，比2020年全年總數(shù)還多了11個(gè)。

谷歌安全最新披露4個(gè)已遭在野利用的零日漏洞，其中前三個(gè)疑似由某漏洞經(jīng)紀(jì)人多次售賣(mài)，第四個(gè)被用于攻擊西歐國(guó)家；

據(jù)谷歌安全統(tǒng)計(jì)，2021年上半年，全球公開(kāi)披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò)攻擊，比2020年全年總數(shù)還多了11個(gè)；

雖然公開(kāi)披露被在野利用的零日漏洞數(shù)量大量增加，但谷歌安全團(tuán)隊(duì)認(rèn)為，更多的檢測(cè)和披露工作也促成了這種上升趨勢(shì)。

7月14日消息，谷歌安全團(tuán)隊(duì)發(fā)布新博客，就今年網(wǎng)絡(luò)攻擊活動(dòng)中出現(xiàn)的四個(gè)零日漏洞進(jìn)行了技術(shù)細(xì)節(jié)披露，并提醒已經(jīng)有黑客利用這些漏洞向部分用戶(hù)發(fā)動(dòng)高度針對(duì)性攻擊。

谷歌表示，以下幾個(gè)零日漏洞已被用于攻擊Chrome、IE以及iOS瀏覽器Safari的用戶(hù)：

CVE-2021-21166、CVE-2021-30551 ：針對(duì)Chrome；

CVE-2021-33742：針對(duì)IE；

CVE-2021-1879 ：針對(duì)WebKit (Safari)。

普普點(diǎn)評(píng)：

有多種因素可能會(huì)導(dǎo)致被披露在野零日漏洞數(shù)量的上升。一方面，是各方檢測(cè)和披露越來(lái)越多，比如蘋(píng)果今年就開(kāi)始披露漏洞是否遭在野利用，研究人員也變得更多；另一方面，為了提高利用成功率，基于平臺(tái)安全成熟度提升、移動(dòng)平臺(tái)的增加、漏洞經(jīng)紀(jì)人增多、安全防護(hù)水平的提升等原因，攻擊者也可能使用更多的零日漏洞。