漏洞情報｜YAPI遠程代碼執(zhí)行0day漏洞風險預警

近日，騰訊主機安全（云鏡）捕獲到Y(jié)API遠程代碼執(zhí)行0day漏洞在野利用，該攻擊正在擴散。受YAPI遠程代碼執(zhí)行0day漏洞影響，大量未部署任何安全防護系統(tǒng)的云主機已經(jīng)失陷。

YAPI接口管理平臺是國內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開源項目，為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務，該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。

YAPI使用mock數(shù)據(jù)/腳本作為中間交互層，其中mock數(shù)據(jù)通過設定固定數(shù)據(jù)返回固定內(nèi)容，對于需要根據(jù)用戶請求定制化響應內(nèi)容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數(shù)返回定制化內(nèi)容，本次漏洞就是發(fā)生在mock腳本服務上。由于mock腳本自定義服務未對JS腳本加以命令過濾，用戶可以添加任何請求處理腳本，因此可以在腳本中植入命令，等用戶訪問接口發(fā)起請求時觸發(fā)命令執(zhí)行。

普普點評：

該漏洞暫無補丁，普普建議受影響的用戶參考以下方案緩解風險：

1.部署防火墻實時攔截威脅；

2.關(guān)閉YAPI用戶注冊功能，阻斷攻擊者注冊；

3.刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本；

4.刪除惡意mock腳本，防止被再次訪問觸發(fā)；

卡巴斯基密碼管理器或生成“弱密碼”？

近日，一位安全研究人員稱，卡巴斯基密碼管理器中的一個漏洞導致其創(chuàng)建的密碼安全性降低，攻擊者可以在幾秒鐘內(nèi)對其進行暴力破解。由俄羅斯安全公司卡巴斯基開發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶安全地存儲密碼和文檔，還能在需要時生成密碼。存儲在KPM保管庫中的所有敏感數(shù)據(jù)均受主密碼保護。該應用程序適用于Windows、macOS、Android和iOS，即使是敏感數(shù)據(jù)也可以通過網(wǎng)絡訪問。

KPM能夠默認生成12個字符的密碼，但允許用戶通過修改KPM界面中的設置（例如密碼長度、大小寫字母、數(shù)字和特殊字符的使用）來進行密碼個性化修改。

該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機數(shù)生成器(PRNG)有關(guān)。桌面應用程序使用Mersenne Twister PRNG，而網(wǎng)絡版本使用Math.random()函數(shù)，這些函數(shù)都不適合生成加密安全信息。

普普點評：

這一漏洞造成的后果顯然很糟糕，每個密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個密碼，暴力破解它們只需要幾分鐘時間。這一漏洞造成的后果顯然很糟糕，每個密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個密碼，暴力破解它們只需要幾分鐘時間。

Android加密貨幣欺詐APP泛濫 已竊取用戶大量金錢

以比特幣為代表的加密貨幣近年來一直受到投資者的追捧，并讓數(shù)字資產(chǎn)真正成為主流。即便相較于 4 月的最高峰已損失了一半的價值，但一枚比特幣的價值依然超過 32000 美元。這讓不少人心動參與到挖礦大潮中，但其中也充斥著各種騙局，成千上萬的用戶的錢因此被盜。

近日，網(wǎng)絡安全公司 Lookout 發(fā)布了一份關(guān)于惡意加密貨幣挖礦應用程序的詳細報告。他們的安全研究人員確定了170多個詐騙應用程序，這些應用程序聲稱提供云加密貨幣采礦服務，并收取費用。他們實際上沒有開采任何東西，但他們會拿你的錢。

在報告中寫道：“這些應用程序的全部理由是通過合法的支付程序從用戶那里偷錢，但從不提供承諾的服務。根據(jù)我們的分析，他們詐騙了超過 93000 人，在用戶支付應用程序和購買額外的假升級和服務之間至少盜取了 35 萬美元”。

普普點評：

許多應用程序都有預付費用，所以即使你從未使用它們，騙子也已經(jīng)拿到了你的錢。為了讓用戶繼續(xù)使用，他們會在其應用程序內(nèi)出售升級和訂閱服務。用戶也不允許提取他們的收入，直到他們達到最低余額。即使他們達到了提現(xiàn)余額，這些應用程序也只是顯示錯誤信息或重新設置余額。

摩根斯坦利遭黑客攻擊發(fā)生數(shù)據(jù)泄漏美元

摩根士丹利(Morgan Stanley)公司在其上周四的報告中聲稱，攻擊者通過入侵第三方供應商的Accellion FTA服務器竊取了屬于其客戶的個人信息，導致數(shù)據(jù)泄漏。

摩根士丹利是一家領(lǐng)先的全球金融服務公司，在全球范圍內(nèi)提供投資銀行、證券、財富和投資管理服務。這家美國跨國公司的客戶包括超過41個國家的公司、政府、機構(gòu)和個人。

Guidehouse是一家為摩根士丹利的StockPlan Connect業(yè)務提供賬戶維護服務的第三方供應商，該公司今年5月通知摩根士丹利，攻擊者入侵了其Accellion FTA 服務器，竊取了屬于摩根士丹利股票計劃參與者的信息。

Guidehouse服務器在今年1月因Accellion FTA漏洞被利用而遭到入侵，Guidehouse在3月發(fā)現(xiàn)了這一漏洞，并于5月發(fā)現(xiàn)了對摩根士丹利客戶的影響，并通知對方，目前沒有發(fā)現(xiàn)被盜數(shù)據(jù)在線傳播的證據(jù)。

到目前為止，此類攻擊的受害者包括能源巨頭殼牌、網(wǎng)絡安全公司Qualys公司、新西蘭儲備銀行、新加坡電信、超市巨頭克羅格、澳大利亞證券和投資委員會(ASIC)，以及多所大學和其他組織。

普普點評：

該事件涉及Guidehouse擁有的文件，其中包括來自摩根士丹利的加密文件。雖然被盜文件以加密形式存儲在受感染的Guidehouse Accellion FTA服務器上，但攻擊者在攻擊過程中還獲得了解密密鑰。

《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》將于9日1日起施行

7月13日下午消息，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部三部門聯(lián)合印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》。該規(guī)定旨在維護國家網(wǎng)絡安全，保護網(wǎng)絡產(chǎn)品和重要網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行，并且規(guī)范漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為，明確網(wǎng)絡產(chǎn)品提供者、網(wǎng)絡運營者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人等各類主體的責任和義務。

通知如下：

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門、網(wǎng)信辦、公安廳(局)，各省、自治區(qū)、直轄市通信管理局：

現(xiàn)將《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》予以發(fā)布，自2021年9月1日起施行。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?工業(yè)和信息化部 國家互聯(lián)網(wǎng)信息辦公室 公安部

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2021年7月12日

普普點評：

該規(guī)定旨在維護國家網(wǎng)絡安全，保護網(wǎng)絡產(chǎn)品和重要網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行，并且規(guī)范漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為，明確網(wǎng)絡組織或個人等各類主體的責任和義務。

今年第三次了！LinkedIn 6億用戶資料被兜售

短短四個月來，LinkedIn已經(jīng)經(jīng)歷了兩次大規(guī)模數(shù)據(jù)泄露事件，如今第三次泄露又“如約而至”。近日，數(shù)億名LinkedIn用戶的個人資料再度出現(xiàn)在黑客論壇上，不過銷售價格暫未公開。

這一次，論壇用戶發(fā)帖稱出售的信息來自共6億份LinkedIn個人資料。

對方表示，此次出售的數(shù)據(jù)是最新的，而且質(zhì)量要比之前收集的數(shù)據(jù)“更好”。

在論壇公布的樣本數(shù)據(jù)中，可以看到相關(guān)用戶的全名、郵件地址、社交媒體賬戶鏈接以及用戶在自己LinkedIn個人資料中公開的其他數(shù)據(jù)等。雖然看似不太敏感，惡意攻擊者仍然可以利用這些信息通過社會工程方式輕松找到新的侵擾目標。LinkedIn拒絕將惡意抓取視為安全問題，但這顯然會令犯罪分子更加肆無忌憚，以不受任何懲罰的方式收集更多受害者的數(shù)據(jù)。

算上這一次，LinkedIn公司在短短四個月當中已經(jīng)遭遇三輪大規(guī)模數(shù)據(jù)抓取事件，但這家職場社交巨頭對此似乎仍然態(tài)度消極。犯罪分子仍能夠在幾乎毫無反抗的情況下收集用戶相關(guān)信息，很難理解LinkedIn為什么不上線強大的反抓取機制以打擊這批惡意第三方。

普普點評：

如果您懷疑自己的LinkedIn個人資料數(shù)據(jù)可能已經(jīng)被惡意人士抓取，我們建議您：在公開的LinkedIn個人資料中刪除電子郵件地址及電話號碼，避免后續(xù)再次被惡意第三方所竊取；更換LinkedIn與電子郵件賬戶密碼；在所有在線賬戶上啟用雙因素身份驗證（2FA）功能；當心社交媒體上的可疑消息與來自陌生人的連接請求；考慮使用密碼管理器創(chuàng)建唯一強密碼并安全存儲。

零日漏洞攻擊持續(xù)高發(fā)，谷歌又發(fā)現(xiàn)4個被在野利用

2021年上半年，全球公開披露有33個零日漏洞被用于網(wǎng)絡攻擊，比2020年全年總數(shù)還多了11個。

谷歌安全最新披露4個已遭在野利用的零日漏洞，其中前三個疑似由某漏洞經(jīng)紀人多次售賣，第四個被用于攻擊西歐國家；

據(jù)谷歌安全統(tǒng)計，2021年上半年，全球公開披露有33個零日漏洞被用于網(wǎng)絡攻擊，比2020年全年總數(shù)還多了11個；

雖然公開披露被在野利用的零日漏洞數(shù)量大量增加，但谷歌安全團隊認為，更多的檢測和披露工作也促成了這種上升趨勢。

7月14日消息，谷歌安全團隊發(fā)布新博客，就今年網(wǎng)絡攻擊活動中出現(xiàn)的四個零日漏洞進行了技術(shù)細節(jié)披露，并提醒已經(jīng)有黑客利用這些漏洞向部分用戶發(fā)動高度針對性攻擊。

谷歌表示，以下幾個零日漏洞已被用于攻擊Chrome、IE以及iOS瀏覽器Safari的用戶：

CVE-2021-21166、CVE-2021-30551 ：針對Chrome；

CVE-2021-33742：針對IE；

CVE-2021-1879 ：針對WebKit (Safari)。

普普點評：

有多種因素可能會導致被披露在野零日漏洞數(shù)量的上升。一方面，是各方檢測和披露越來越多，比如蘋果今年就開始披露漏洞是否遭在野利用，研究人員也變得更多；另一方面，為了提高利用成功率，基于平臺安全成熟度提升、移動平臺的增加、漏洞經(jīng)紀人增多、安全防護水平的提升等原因，攻擊者也可能使用更多的零日漏洞。