漏洞情報｜YAPI遠程代碼執行0day漏洞風(fēng)險預警

近日，騰訊主機安全（云鏡）捕獲到YAPI遠程代碼執行0day漏洞在野利用，該攻擊正在擴散。受YAPI遠程代碼執行0day漏洞影響，大量未部署任何安全防護系統的云主機已經(jīng)失陷。

YAPI接口管理平臺是國內某旅行網(wǎng)站的大前端技術(shù)中心開(kāi)源項目，為前端后臺開(kāi)發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù)，該系統被國內較多知名互聯(lián)網(wǎng)企業(yè)所采用。

YAPI使用mock數據/腳本作為中間交互層，其中mock數據通過(guò)設定固定數據返回固定內容，對于需要根據用戶(hù)請求定制化響應內容的情況mock腳本通過(guò)寫(xiě)JS腳本的方式處理用戶(hù)請求參數返回定制化內容，本次漏洞就是發(fā)生在mock腳本服務(wù)上。由于mock腳本自定義服務(wù)未對JS腳本加以命令過(guò)濾，用戶(hù)可以添加任何請求處理腳本，因此可以在腳本中植入命令，等用戶(hù)訪(fǎng)問(wèn)接口發(fā)起請求時(shí)觸發(fā)命令執行。

普普點(diǎn)評：

該漏洞暫無(wú)補丁，普普建議受影響的用戶(hù)參考以下方案緩解風(fēng)險：

1.部署防火墻實(shí)時(shí)攔截威脅；

2.關(guān)閉YAPI用戶(hù)注冊功能，阻斷攻擊者注冊；

3.刪除惡意已注冊用戶(hù)，避免攻擊者再次添加mock腳本；

4.刪除惡意mock腳本，防止被再次訪(fǎng)問(wèn)觸發(fā)；

卡巴斯基密碼管理器或生成“弱密碼”？

近日，一位安全研究人員稱(chēng)，卡巴斯基密碼管理器中的一個(gè)漏洞導致其創(chuàng )建的密碼安全性降低，攻擊者可以在幾秒鐘內對其進(jìn)行暴力破解。由俄羅斯安全公司卡巴斯基開(kāi)發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶(hù)安全地存儲密碼和文檔，還能在需要時(shí)生成密碼。存儲在KPM保管庫中的所有敏感數據均受主密碼保護。該應用程序適用于Windows、macOS、Android和iOS，即使是敏感數據也可以通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)。

KPM能夠默認生成12個(gè)字符的密碼，但允許用戶(hù)通過(guò)修改KPM界面中的設置（例如密碼長(cháng)度、大小寫(xiě)字母、數字和特殊字符的使用）來(lái)進(jìn)行密碼個(gè)性化修改。

該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機數生成器(PRNG)有關(guān)。桌面應用程序使用Mersenne Twister PRNG，而網(wǎng)絡(luò )版本使用Math.random()函數，這些函數都不適合生成加密安全信息。

普普點(diǎn)評：

這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。

Android加密貨幣欺詐APP泛濫 已竊取用戶(hù)大量金錢(qián)

以比特幣為代表的加密貨幣近年來(lái)一直受到投資者的追捧，并讓數字資產(chǎn)真正成為主流。即便相較于 4 月的最高峰已損失了一半的價(jià)值，但一枚比特幣的價(jià)值依然超過(guò) 32000 美元。這讓不少人心動(dòng)參與到挖礦大潮中，但其中也充斥著(zhù)各種騙局，成千上萬(wàn)的用戶(hù)的錢(qián)因此被盜。

近日，網(wǎng)絡(luò )安全公司 Lookout 發(fā)布了一份關(guān)于惡意加密貨幣挖礦應用程序的詳細報告。他們的安全研究人員確定了170多個(gè)詐騙應用程序，這些應用程序聲稱(chēng)提供云加密貨幣采礦服務(wù)，并收取費用。他們實(shí)際上沒(méi)有開(kāi)采任何東西，但他們會(huì )拿你的錢(qián)。

在報告中寫(xiě)道：“這些應用程序的全部理由是通過(guò)合法的支付程序從用戶(hù)那里偷錢(qián)，但從不提供承諾的服務(wù)。根據我們的分析，他們詐騙了超過(guò) 93000 人，在用戶(hù)支付應用程序和購買(mǎi)額外的假升級和服務(wù)之間至少盜取了 35 萬(wàn)美元”。

普普點(diǎn)評：

許多應用程序都有預付費用，所以即使你從未使用它們，騙子也已經(jīng)拿到了你的錢(qián)。為了讓用戶(hù)繼續使用，他們會(huì )在其應用程序內出售升級和訂閱服務(wù)。用戶(hù)也不允許提取他們的收入，直到他們達到最低余額。即使他們達到了提現余額，這些應用程序也只是顯示錯誤信息或重新設置余額。

摩根斯坦利遭黑客攻擊發(fā)生數據泄漏美元

摩根士丹利(Morgan Stanley)公司在其上周四的報告中聲稱(chēng)，攻擊者通過(guò)入侵第三方供應商的Accellion FTA服務(wù)器竊取了屬于其客戶(hù)的個(gè)人信息，導致數據泄漏。

摩根士丹利是一家領(lǐng)先的全球金融服務(wù)公司，在全球范圍內提供投資銀行、證券、財富和投資管理服務(wù)。這家美國跨國公司的客戶(hù)包括超過(guò)41個(gè)國家的公司、政府、機構和個(gè)人。

Guidehouse是一家為摩根士丹利的StockPlan Connect業(yè)務(wù)提供賬戶(hù)維護服務(wù)的第三方供應商，該公司今年5月通知摩根士丹利，攻擊者入侵了其Accellion FTA 服務(wù)器，竊取了屬于摩根士丹利股票計劃參與者的信息。

Guidehouse服務(wù)器在今年1月因Accellion FTA漏洞被利用而遭到入侵，Guidehouse在3月發(fā)現了這一漏洞，并于5月發(fā)現了對摩根士丹利客戶(hù)的影響，并通知對方，目前沒(méi)有發(fā)現被盜數據在線(xiàn)傳播的證據。

到目前為止，此類(lèi)攻擊的受害者包括能源巨頭殼牌、網(wǎng)絡(luò )安全公司Qualys公司、新西蘭儲備銀行、新加坡電信、超市巨頭克羅格、澳大利亞證券和投資委員會(huì )(ASIC)，以及多所大學(xué)和其他組織。

普普點(diǎn)評：

該事件涉及Guidehouse擁有的文件，其中包括來(lái)自摩根士丹利的加密文件。雖然被盜文件以加密形式存儲在受感染的Guidehouse Accellion FTA服務(wù)器上，但攻擊者在攻擊過(guò)程中還獲得了解密密鑰。

《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》將于9日1日起施行

7月13日下午消息，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部三部門(mén)聯(lián)合印發(fā)《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》。該規定旨在維護國家網(wǎng)絡(luò )安全，保護網(wǎng)絡(luò )產(chǎn)品和重要網(wǎng)絡(luò )系統的安全穩定運行，并且規范漏洞發(fā)現、報告、修補和發(fā)布等行為，明確網(wǎng)絡(luò )產(chǎn)品提供者、網(wǎng)絡(luò )運營(yíng)者，以及從事漏洞發(fā)現、收集、發(fā)布等活動(dòng)的組織或個(gè)人等各類(lèi)主體的責任和義務(wù)。

通知如下：

各省、自治區、直轄市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)、網(wǎng)信辦、公安廳(局)，各省、自治區、直轄市通信管理局：

現將《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》予以發(fā)布，自2021年9月1日起施行。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?工業(yè)和信息化部 國家互聯(lián)網(wǎng)信息辦公室 公安部

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2021年7月12日

普普點(diǎn)評：

該規定旨在維護國家網(wǎng)絡(luò )安全，保護網(wǎng)絡(luò )產(chǎn)品和重要網(wǎng)絡(luò )系統的安全穩定運行，并且規范漏洞發(fā)現、報告、修補和發(fā)布等行為，明確網(wǎng)絡(luò )組織或個(gè)人等各類(lèi)主體的責任和義務(wù)。

今年第三次了！LinkedIn 6億用戶(hù)資料被兜售

短短四個(gè)月來(lái)，LinkedIn已經(jīng)經(jīng)歷了兩次大規模數據泄露事件，如今第三次泄露又“如約而至”。近日，數億名LinkedIn用戶(hù)的個(gè)人資料再度出現在黑客論壇上，不過(guò)銷(xiāo)售價(jià)格暫未公開(kāi)。

這一次，論壇用戶(hù)發(fā)帖稱(chēng)出售的信息來(lái)自共6億份LinkedIn個(gè)人資料。

對方表示，此次出售的數據是最新的，而且質(zhì)量要比之前收集的數據“更好”。

在論壇公布的樣本數據中，可以看到相關(guān)用戶(hù)的全名、郵件地址、社交媒體賬戶(hù)鏈接以及用戶(hù)在自己LinkedIn個(gè)人資料中公開(kāi)的其他數據等。雖然看似不太敏感，惡意攻擊者仍然可以利用這些信息通過(guò)社會(huì )工程方式輕松找到新的侵擾目標。LinkedIn拒絕將惡意抓取視為安全問(wèn)題，但這顯然會(huì )令犯罪分子更加肆無(wú)忌憚，以不受任何懲罰的方式收集更多受害者的數據。

算上這一次，LinkedIn公司在短短四個(gè)月當中已經(jīng)遭遇三輪大規模數據抓取事件，但這家職場(chǎng)社交巨頭對此似乎仍然態(tài)度消極。犯罪分子仍能夠在幾乎毫無(wú)反抗的情況下收集用戶(hù)相關(guān)信息，很難理解LinkedIn為什么不上線(xiàn)強大的反抓取機制以打擊這批惡意第三方。

普普點(diǎn)評：

如果您懷疑自己的LinkedIn個(gè)人資料數據可能已經(jīng)被惡意人士抓取，我們建議您：在公開(kāi)的LinkedIn個(gè)人資料中刪除電子郵件地址及電話(huà)號碼，避免后續再次被惡意第三方所竊??；更換LinkedIn與電子郵件賬戶(hù)密碼；在所有在線(xiàn)賬戶(hù)上啟用雙因素身份驗證（2FA）功能；當心社交媒體上的可疑消息與來(lái)自陌生人的連接請求；考慮使用密碼管理器創(chuàng )建唯一強密碼并安全存儲。

零日漏洞攻擊持續高發(fā)，谷歌又發(fā)現4個(gè)被在野利用

2021年上半年，全球公開(kāi)披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò )攻擊，比2020年全年總數還多了11個(gè)。

谷歌安全最新披露4個(gè)已遭在野利用的零日漏洞，其中前三個(gè)疑似由某漏洞經(jīng)紀人多次售賣(mài)，第四個(gè)被用于攻擊西歐國家；

據谷歌安全統計，2021年上半年，全球公開(kāi)披露有33個(gè)零日漏洞被用于網(wǎng)絡(luò )攻擊，比2020年全年總數還多了11個(gè)；

雖然公開(kāi)披露被在野利用的零日漏洞數量大量增加，但谷歌安全團隊認為，更多的檢測和披露工作也促成了這種上升趨勢。

7月14日消息，谷歌安全團隊發(fā)布新博客，就今年網(wǎng)絡(luò )攻擊活動(dòng)中出現的四個(gè)零日漏洞進(jìn)行了技術(shù)細節披露，并提醒已經(jīng)有黑客利用這些漏洞向部分用戶(hù)發(fā)動(dòng)高度針對性攻擊。

谷歌表示，以下幾個(gè)零日漏洞已被用于攻擊Chrome、IE以及iOS瀏覽器Safari的用戶(hù)：

CVE-2021-21166、CVE-2021-30551 ：針對Chrome；

CVE-2021-33742：針對IE；

CVE-2021-1879 ：針對WebKit (Safari)。

普普點(diǎn)評：

有多種因素可能會(huì )導致被披露在野零日漏洞數量的上升。一方面，是各方檢測和披露越來(lái)越多，比如蘋(píng)果今年就開(kāi)始披露漏洞是否遭在野利用，研究人員也變得更多；另一方面，為了提高利用成功率，基于平臺安全成熟度提升、移動(dòng)平臺的增加、漏洞經(jīng)紀人增多、安全防護水平的提升等原因，攻擊者也可能使用更多的零日漏洞。