每日安全简讯(20240616)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Veeam恢复编排器严重认证绕过漏洞利用代码被公开
一个关键的Veeam恢复编排器(VRO)认证绕过漏洞(编号CVE-2024-29855)的概念验证(PoC)利用已发布,增加了被攻击利用的风险。该漏洞利用由安全研究员Sina Kheirkha开发,他还在自己的网站上发布了详细的文章。文章展示了该漏洞实际上比供应商公告所暗示的更容易被利用。CVE-2024-29855在CVSS v3.1中被评为9.0(“关键”),是影响Veeam恢复编排器版本7.0.0.337和7.1.0.205及更早版本的认证绕过漏洞。该漏洞允许未经认证的攻击者以管理员权限登录到Veeam恢复编排器Web UI。问题出在使用了硬编码的JSON Web Token(JWT)秘密,这使得攻击者能够为任何用户(包括管理员)生成有效的JWT令牌。具体而言,JWT秘密在创建和验证令牌时没有任何随机性或唯一性,每次安装都是可预测且静态的,从而使其易于被利用。
https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/
2 CISA警告网络犯罪分子冒充政府员工进行电话诈骗
今天,网络安全和基础设施安全局(CISA)警告称,犯罪分子正在冒充其员工进行电话诈骗,试图欺骗潜在受害者转账。这是骗子利用政府员工的头衔和姓名来使其骗局看起来合法的更广泛趋势的一部分。CISA在周三警告说:“网络安全和基础设施安全局(CISA)注意到最近有冒充该机构代表的骗子。”CISA提醒,“CISA员工绝不会联系您要求汇款、现金、加密货币或使用礼品卡,并且绝不会指示您保密。”该网络安全机构还分享了一些提示,以帮助目标避免成为这一持续的冒充骗局的受害者。那些怀疑自己接到冒充CISA员工的诈骗电话的人,绝不应满足其汇款要求,记录电话号码,并立即挂断电话。
https://www.cisa.gov/news-events/alerts/2024/06/12/phone-scammers-impersonating-cisa-employees
3 AWS增加支持Passkey的多因素认证方案需用户启用MFA
Amazon Web Services(AWS)引入了FIDO2 Passkey作为一种新的多因素认证(MFA)方法,以增强账户安全性和可用性。此外,正如去年10月宣布的那样,该互联网公司提醒我们,“root” AWS账户必须在2024年7月底之前启用MFA。FIDO2 Passkey是物理(硬件密钥)或基于软件的认证解决方案,利用公钥加密(公钥+私钥对)来签署服务器发送的用于验证认证尝试的挑战。与一次性密码不同,Passkey对网络钓鱼和中间人攻击具有抵抗力,可以同步,支持多设备和操作系统架构,并由于其(通常)不可破解的加密提供强大的认证。亚马逊表示,其实现允许创建可同步的软件Passkey,以作为AWS账户的MFA方法,并通过iPhone上的Apple Touch ID、笔记本电脑上的Windows Hello等解锁。
http://aws.amazon.com/blogs/security/passkeys-enhance-security-and-usability-as-aws-expands-mfa-requirements/
4 新型钓鱼工具包支持使用PWA应用程序盗取登录凭证
一个新的钓鱼工具包已经发布,允许红队和网络犯罪分子创建渐进式Web应用程序(PWA),显示令人信服的公司登录表单以盗取凭证。PWA是使用HTML、CSS和JavaScript创建的基于Web的应用程序,可以像常规桌面应用程序一样从网站安装。一旦安装,操作系统将创建一个PWA快捷方式,并将其添加到Windows的“添加或删除程序”以及macOS的/Users/<account>/Applications/文件夹下。当启动时,渐进式Web应用程序将在您安装它的浏览器中运行,但显示为一个桌面应用程序,并隐藏所有标准的浏览器控件。许多网站使用PWA提供桌面应用程序体验,包括X、Instagram、Facebook和TikTok。安全研究员mr.d0x创建的一个新的钓鱼工具包演示了如何创建PWA应用程序以显示公司登录表单,甚至显示一个假地址栏,显示正常的公司登录URL,使其看起来更可信。研究员在关于新工具包的博客文章中解释道:“PWA与操作系统的集成更好(即它们有自己的应用程序图标,可以推送通知),因此它们可以提高网站的参与度。PWA的问题在于,可以利用用户界面进行钓鱼目的。”虽然新的钓鱼模板需要一些说服力才能让用户安装PWA,但有一些场景可能更容易实现。通常,威胁行为者会创建网站,旨在分发安装恶意软件的程序,如假冒NordVPN和ProtonVPN网站以及假冒Windows PC清理程序。
https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-uses-pwas-to-steal-login-credentials/
5 Life360平台客户数据泄露后遭遇攻击者勒索
安全和位置服务公司Life360表示,在威胁行为者入侵并窃取Tile客户支持平台的敏感信息后,他们成为勒索企图的目标。Life360为全球超过6600万会员提供实时位置跟踪、碰撞检测和紧急道路援助服务。2021年12月,Life360以2.05亿美元收购了蓝牙追踪服务提供商Tile。周三,Life360透露,一名攻击者入侵了Tile客户支持平台,获取了姓名、地址、电子邮件地址、电话号码和设备识别号码等信息。Life360 CEO Chris Hulls表示:“与许多其他公司类似,Life360最近成为犯罪勒索企图的受害者。我们收到了一名未知行为者的电子邮件,声称拥有Tile客户信息。”暴露的数据“不包括更敏感的信息,如信用卡号码、密码或登录凭证、位置信息或政府颁发的身份证号码,因为Tile客户支持平台不包含这些类型的信息。”Hulls补充说,“我们相信此事件仅限于上述特定的Tile客户支持数据,并没有更广泛的影响。”Life360没有透露攻击者如何入侵其平台,但公司表示已采取措施保护其系统免受进一步攻击,并将勒索企图报告给执法部门。
http://www.tile.com/en-us/blog/unauthorized-access-incident-2024
6 YouTube尝试直接在视频流中注入难以拦截的广告
YouTube据报道现在直接将广告注入视频流中,以使广告拦截器更难以屏蔽广告。该报告来自SponsorBlock,一个第三方浏览器扩展,它通过众包数据识别视频中的赞助内容并跳过它们。SponsorBlock报告称,服务器端广告注入将破坏其功能,尽管解决方案正在开发中。最显著的是,这也会影响人们在YouTube上使用的其他广告拦截扩展的效果。目前,YouTube进行客户端广告注入,其中JavaScript脚本和用户设备上的视频播放器加载并显示广告。视频流和广告是分开的,播放器被编程在指定点暂停内容并播放广告。大多数广告拦截器通常通过屏蔽用于将广告注入视频流的JavaScript脚本来禁用YouTube广告。SponsorBlock的工作原理略有不同,通过众包信息识别视频中的不同片段,允许用户跳过那些赞助片段。SponsorBlock网站解释道:“SponsorBlock是一个开源的众包浏览器扩展和开源API,用于跳过YouTube视频中的赞助片段。用户提交赞助发生的时间,扩展使用隐私保护查询系统自动跳过已知的赞助片段。”服务器端广告注入在内容传递给观众之前将广告直接集成到视频流中,因此用户接收到的流已经包含了内置的广告。
https://github.com/ajayyy/SponsorBlock/wiki/K-Anonymity
页:
[1]