一篇來自Security Week的文章，討論憑證泄漏導(dǎo)致的API漏洞不斷增長(zhǎng)。最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，超過一半的美國(guó)專業(yè)人士曾遭受過API漏洞，但77％人認(rèn)為他們的組織有效地管理了API令牌。這聽起來有點(diǎn)矛盾，因?yàn)楹芏鄬I(yè)人士對(duì)他們的憑證管理很有信心，但還是會(huì)發(fā)生憑證相關(guān)的API漏洞情況。研究結(jié)果表明，這種明顯的矛盾背后有三個(gè)主要原因：缺乏對(duì)現(xiàn)有API組合的可視性；使用的API數(shù)量太多難以跟蹤；低估了管理API憑證所需的時(shí)間和精力。這項(xiàng)調(diào)查可以看出憑證管理成本在不斷上升，但問題只會(huì)加劇，因?yàn)锳PI擴(kuò)散不斷增加，構(gòu)建環(huán)境變得更加分散，需要更多的憑證分發(fā)和管理。面對(duì)這些挑戰(zhàn)，組織只能選擇忽略問題或投入更多的金錢來解決憑證管理所帶來的問題。

近日，奇安信威脅情報(bào)中心通過日常分析運(yùn)營(yíng)發(fā)現(xiàn)多款二次打包并攜帶木馬后門的惡意安裝包樣本，惡意安裝包內(nèi)包含“向日葵遠(yuǎn)控”、“釘釘”、“WPS”等常用工具軟件，攻擊者偽造官網(wǎng)界面網(wǎng)頁(yè)誘使用戶下載，上述木馬化安裝包樣本與之前奇安信威脅情報(bào)中心2023年4月上旬發(fā)現(xiàn)的被惡意重新打包加入了木馬的“企業(yè)微信”安裝包樣本惡意代碼邏輯、惡意行為高度相似，判斷攻擊者屬于同一個(gè)黑產(chǎn)組織。上述三個(gè)惡意安裝包樣本與被重新打包加入木馬的“企業(yè)微信”樣本惡意行為如下：搭建阿里云服務(wù)器提供下載、偽造官網(wǎng)誘使用戶下載。用戶安裝過程中會(huì)釋放多個(gè)惡意文件并在內(nèi)存中加載BigWolf RAT，實(shí)現(xiàn)對(duì)受害主機(jī)竊取瀏覽器記錄、聊天軟件記錄、竊取按鍵記錄等竊密行為。

研究人員最近發(fā)現(xiàn)了一種新的攻擊方法，通過使用iphone或商業(yè)監(jiān)控系統(tǒng)中的攝像頭，記錄下讀卡器或智能手機(jī)打開時(shí)顯示的電源LED，可以恢復(fù)存儲(chǔ)在智能卡和智能手機(jī)中的秘密加密密鑰。這些攻擊提供了一種利用兩個(gè)先前披露的側(cè)信道的新方法，側(cè)信道攻擊是通過加密軟件或硬件運(yùn)行時(shí)產(chǎn)生的各種泄漏信息獲取密文信息。在狹義上講，側(cè)信道攻擊特指針對(duì)密碼算法的非侵入式攻擊，通過加密電子設(shè)備在運(yùn)行過程中的側(cè)信道信息泄露破解密碼算法，狹義的側(cè)信道攻擊主要包括針對(duì)密碼算法的計(jì)時(shí)攻擊、能量分析攻擊、電磁分析攻擊等，這類新型攻擊的有效性遠(yuǎn)高于密碼分析的數(shù)學(xué)方法，因此給密碼設(shè)備帶來了嚴(yán)重的威脅。通過仔細(xì)監(jiān)控功耗、聲音、電磁發(fā)射或操作發(fā)生所需的時(shí)間等特征，攻擊者可以收集足夠的信息來恢復(fù)支撐加密算法安全性和機(jī)密性的密鑰。

近日，安識(shí)科技A-Team團(tuán)隊(duì)監(jiān)測(cè)到一則Grafana組件存在身份認(rèn)證繞過漏洞的信息，漏洞編號(hào)：CVE-2023-3128，漏洞威脅等級(jí)：高危。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。攻擊者可在未授權(quán)的情況下，利用該漏洞構(gòu)造惡意數(shù)據(jù)，執(zhí)行身份認(rèn)證繞過攻擊，最終接管受影響的Grafana賬戶。Grafana是一款開源的數(shù)據(jù)可視化和監(jiān)控平臺(tái)，它可以幫助用戶通過各種數(shù)據(jù)源創(chuàng)建和共享交互式、可定制的儀表盤和報(bào)表。主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。目前受影響的Grafana版本：10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

6月30日，網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報(bào)告發(fā)布會(huì)，正式發(fā)布《2022年Web安全觀察報(bào)告》(以下簡(jiǎn)稱《報(bào)告》、《零信任安全白皮書》以及《SASE安全訪問服務(wù)邊緣白皮書》。

《報(bào)告》折射出Web安全面臨的威脅愈發(fā)嚴(yán)峻，主要體現(xiàn)在幾大方面：一是高危Web漏洞持續(xù)爆發(fā)；二是API已成灰黑產(chǎn)的頭號(hào)攻擊目標(biāo)；三是DDoS攻擊翻番增長(zhǎng)，Tbps級(jí)別成為常態(tài)；四是Bot攻擊成倍攀升，自動(dòng)化攻擊強(qiáng)度加大；五是在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)顯著提高；六是多樣化威脅層出不窮，亟需新的安全防護(hù)方案。

具體來看，2022年，網(wǎng)宿安全平臺(tái)共檢測(cè)到2700萬次針對(duì)Log4shell各個(gè)變種漏洞的利用，并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗(yàn)證錯(cuò)誤漏洞等大量新的高危漏洞不斷涌現(xiàn)。而針對(duì)API的攻擊占比首次突破50%，達(dá)到了58.4%，API上升為黑產(chǎn)攻擊的頭號(hào)目標(biāo)。

近期，研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕，該版本具有改進(jìn)的能力，可以建立持久性并避免被安全軟件發(fā)現(xiàn)。安全實(shí)驗(yàn)室的研究人員在本周發(fā)表的一份報(bào)告中表示：RustBucket的變種是一個(gè)針對(duì)macOS系統(tǒng)的惡意軟件集合，它增加了持久隱藏能力，同時(shí)利用動(dòng)態(tài)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方法進(jìn)行指揮和控制。該惡意軟件于2023年4月曝光，當(dāng)時(shí)Jamf威脅實(shí)驗(yàn)室將其描述為一個(gè)基于AppleScript的后門，能夠從遠(yuǎn)程服務(wù)器檢索第二級(jí)有效載荷。第二階段的惡意軟件是用 Swift 編譯的，旨在從命令和控制 （C2） 服務(wù)器下載主要惡意軟件，這是一種基于 Rust 的二進(jìn)制文件，具有收集大量信息以及在受感染系統(tǒng)上獲取和運(yùn)行其他 Mach-O 二進(jìn)制文件或 shell 腳本的功能。BlueNoroff惡意軟件是第一個(gè)專門針對(duì)macOS用戶的例子，現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面。

流行的文件傳輸工具M(jìn)OVEit Transfer中的漏洞引發(fā)了廣泛的后利用攻擊，導(dǎo)致網(wǎng)絡(luò)安全形勢(shì)岌岌可危。黑客利用這一安全漏洞發(fā)起了一系列攻擊，影響了政府、金融、IT服務(wù)、能源、大學(xué)等多個(gè)行業(yè)的眾多組織，受害者遍布美國(guó)、英國(guó)、加拿大、法國(guó)、以色列等20多個(gè)國(guó)家和地區(qū)，暴露了數(shù)百萬人的個(gè)人敏感數(shù)據(jù)。

最近備受矚目的受害者包括大型能源公司施耐德電氣、西門子能源和霍尼韋爾自動(dòng)化。三家公司均已確認(rèn)成為MOVEit泄露事件的目標(biāo)，但數(shù)據(jù)泄露的程度仍不清楚。

政府機(jī)構(gòu)也因該漏洞而遭受損失。美國(guó)能源部在內(nèi)的聯(lián)邦機(jī)構(gòu)已報(bào)告受到MOVEit漏洞的影響。美國(guó)衛(wèi)生與公共服務(wù)部(HHS) 披露了一起涉及超過10萬人敏感信息泄露的事件。

教育行業(yè)也未能幸免。美國(guó)國(guó)家學(xué)生信息交換所是一個(gè)與數(shù)千所學(xué)校合作的非營(yíng)利組織，發(fā)現(xiàn)自己處于潛在重大違規(guī)行為的中心，45,000名紐約市公立學(xué)校學(xué)生的信息因該漏洞而被泄露。