找回密码
 注册创意安天

每日安全简讯(20220224)

[复制链接]
发表于 2022-2-23 17:42 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 安天发布移动互联网应用供应链行为安全性现状研究报告

近年来,国内移动互联网呈现出快速、多样化的发展态势,而手机App作为移动互联网业务在用户终端上最主要的呈现方式,其功能的复杂程度和版本的更新迭代速度都大幅增加。应用开发者往往和第三方SDK开发者签订某种开发接入的协议约定,获取到接入的SDK开发工具包,以及通过接入demo示例和开发文档以调用SDK 提供的相关API的方式获取SDK提供的功能和服务。在上述过程中,应用开发者(通常以中小开发者为主)往往难以全面的评估其接入SDK的安全性,以及SDK的全部运行行为。如果第三方SDK存在某些恶意或风险的代码、行为,则会被引入到App中,给应用开发者和App 用户带来不可估量的安全风险和权益问题。本报告基于安天移动安全多年来对App 及其接入的第三方 SDK的分析、研究结果,从SDK给应用开发者和App用户可能带来安全风险和权益问题的角度,对当前SDK行为安全性现状进行的一次总结,但不涉及SDK本身代码实现上的脆弱性问题。
移动互联网应用供应链.png

https://mp.weixin.qq.com/s/gdDC9w6bh3jS-tkWJL8qnw


2 研究人员在NPM包存储库中发现25个恶意JavaScript库

另一批25个恶意的JavaScript库已经进入了官方的NPM包注册表,目的是从受影响的系统中窃取Discord令牌和环境变量,两个多月前,17个类似的包已经被删除。安全公司JFrog表示,这些有问题的库利用了仿冒技术,伪装成其他合法的软件包,如colors.js、crypto-js、discord.js、marked和noblox.js,并将这些软件包的作者定位为“恶意软件新手”。窃取Discord令牌已经成为攻击者未经授权访问无密码账户的手段,使操纵者能够利用访问权通过Discord渠道传播恶意链接。
NPM.png

https://thehackernews.com/2022/0 ... ript-libraries.html


3 研究人员揭示了利用VNC屏幕共享软件绕过MFA的方法

一种狡猾的新型网络钓鱼技术允许攻击者通过使用VNC屏幕共享系统让受害者直接在攻击者控制的服务器上秘密登录其帐户,从而绕过多因素身份验证(MFA)。研究人员提出了一种狡猾的新网络钓鱼技术,它使用noVNC远程访问软件和以kiosk模式运行的浏览器来显示在攻击者服务器上运行但在受害者浏览器中显示的电子邮件登录提示。由于登录提示实际上是由攻击者的VNC服务器显示的,所有登录尝试都将直接发生在远程服务器上。这种技术将绕过MFA,因为用户将直接在攻击者的服务器上输入一次性密码,从而授权设备进行登录尝试。
网络钓鱼.png

https://www.bleepingcomputer.com ... te-access-software/
Devious phishing method bypasses MFA.pdf (1.47 MB, 下载次数: 26)


4 数字资产管理软件Extensis Portfolio中被发现5个漏洞

研究人员公开披露了数字资产管理软件Extensis Portfolio中的关键漏洞,包括一个尚未修补的0day漏洞。Extensis Portfolio包括一个面向用户的主内容管理应用程序、一个管理员门户和一个内容托管应用程序。渗透测试人员检查了Extensis Portfolio版本3.6.3的源代码,共发现了五个需要立即关注的漏洞,他们分别是通过无限制文件上传的RCE、主门户和管理员门户中使用默认凭据、不受限制的文件上传和路径遍历错误导致主门户中的RCE、经过身份验证的存档“zip-slip”的目录遍历漏洞、 管理门户中经过身份验证但不受限制的文件上传漏洞。
Extensis Portfolio.png

https://portswigger.net/daily-sw ... -portfolio-research


5 加密货币交易平台Coinbase因存在漏洞短暂停止了其服务

在一名独立安全研究人员发现加密货币交易平台Coinbase存在一个关键漏洞后,Coinbase短暂停止了服务。这一漏洞允许用户出售他们不拥有的加密货币,该漏洞当时未被披露,并在数小时内得到了修补。Coinbase在其博客文章中表示,在其零售高级交易服务使用的一个特定API中发现了关键漏洞。该公司表示,该漏洞的根本原因是零售经纪API端点缺少逻辑验证检查,它允许用户使用一个不匹配的源账户向特定的订单簿提交交易。
Coinbase.png

https://www.govinfosecurity.com/ ... ding-orders-a-18582


6 西雅图医疗保健提供商Sea Mar的客户健康信息被泄露

美国西雅图一家医疗服务提供商遭受网络攻击,其中68.8万人受到保护的健康信息被泄露。当网络犯罪团伙Marketo的暗网数据泄露网站上泄露了这次攻击中被盗的文件时。Marketo声称从Sea mar窃取了3TB的数据。研究人员在2021年6月发现了泄露的文件,并向Sea mar报告了这些文件。该医疗服务提供商直到2021年10月才通过信件通知受影响的个人。Sea Mar表示,黑客在2020年12月至2021年3月期间进入了该公司的网络。网络犯罪分子窃取了包括姓名、出生日期、健康信息、地址和社会安全号码在内的敏感数据。
西雅图医疗保健提供商.png

https://www.infosecurity-magazin ... igence-data-breach/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 00:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表