Serileştirilmiş web güvenliği özeti – Fortinet, Citrix hataları; başka bir Uber ihlali; Black Hat’ta NFT’leri hacklemek

   Aralık 16, 2022  Posted in PortSwigger


AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini

Serileştirilmiş web güvenliği toplaması

İkinci web güvenlik derlememiz, ürünlerde bir dizi ağ güvenliği kusurunun bulunduğu haberleriyle başlıyor. Fortinet ve citrix her biri aktif saldırıya uğradı.

Bu saldırılar, sırasıyla FortiOS SSL-VPN’deki bellek bozulması güvenlik açıkları ve Citrix ADC ve Citrix Gateway’deki (CVE-2022-27518) kritik bir rasgele kod yürütme riski tarafından etkinleştirildi. Bu saldırıların bağlantılı olup olmadığı net değil, ancak bunların meydana gelmesinin, diğer saldırıların yanı sıra daha önce fidye yazılımlarını kurumsal ağlara itmek için vektörler olan SSL VPN cihazlarına yama uygulanmasının önemini vurguladığı söylenebilir.

uber bu hafta, üçüncü taraf bir satıcıda meydana gelen ve çalışanların kişisel bilgilerinin açığa çıkmasıyla sonuçlanan bir siber güvenlik olayı sonucunda bir veri ihlali yaşandı. Olay, daha önce müşterilerin ve sürücülerin hesap kayıtlarını ifşa eden 2016’daki bir ihlalin gecikmeli olarak ifşa edilmesiyle suçlanan araç çağırma uygulaması firmasını etkileyen en son güvenlik ihlalini temsil ediyor. Daha yakın bir tarihte, Eylül ayında, Uber’in dahili BT sistemleri bir sosyal mühendislik saldırısıyla ihlal edildi.

üzerinde Siyah Şapka Avrupagüvenlik araştırmacısı Nitesh Dhanjani misli olmayan token (NFT) koleksiyonlarının taban fiyatlarının etkisini ve iş dinamiklerine odaklanan saldırıların pazar yerlerini nasıl mahvetme potansiyeline sahip olduğunu tartıştı. Dhanjani ayrıca zincir dışı ve zincir içi senkronizasyon algoritmaları ve iki blok zinciri ile ilgili ortam arasındaki eşitsizliklerin nasıl kötüye kullanılabileceği hakkında konuştu.

Ben de etkinliğe katıldım günlük yudumgüvenlik araştırmacısının katıldığı bir açılış konuşması hakkında rapor daniel cuthbert endüstrinin sıfır gün güvenlik açıklarına olan saplantısının, interneti temelde güvenli hale getirmek için yalnızca kısmi bir çözüm olduğunu söyledi. Ayrıca etkinlikteki en iyi bilgisayar korsanlığı araçlarından bazılarını ele aldık.

Diğer hikayeler arasında günlük yudum son günlerde bir Akamai Spring Boot aracılığıyla WAF baypası, WAF’lerin yanından kaçırılan SQL enjeksiyon yükleri ve bir kripto sağlayıcının yardımıyla gönderilen sahte bir kripto para birimi ‘güvenlik açığını’ reddetmesi ChatGPT.

İşte son iki hafta içinde dikkatimizi çeken diğer bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:

Web güvenlik açıkları

  • Apache CXF / Kritik / XOP’nin href niteliğinin ayrıştırılmasında SSRF (sunucu tarafı istek sahteciliği) güvenlik açığı / Yama ile açıklandı, 13 Aralık
  • Grails Spring Security Core eklentisi / CVE-2022-41923 / Kritik / “Güvenlik açığı, bir saldırganın farklı bir uç noktanın yetkilendirme gereksinimlerini kullanarak bir uç noktaya (yani hedeflenen uç noktaya) erişmesine olanak tanır” / Yama ile açıklandı, 22 Kasım
  • Microsoft .NET / CVE-2022-41089 / Kritik / “Kötü niyetli aktör, kötü amaçlarla oluşturulmuş xps dosyalarının ayrıştırılması sonucunda kullanıcının rastgele kod çalıştırmasına neden olabilir” / Bir yamayla açıklandı, 13 Aralık
  • ping / CVE-2022-23093 / FreeBSD tarafından ağ protokolü uygulamasını içeren bellek işleme güvenlik açığı, geliştiricilerini kendi yazılımlarını test etmeye yöneltti ve bu, OpenBSD’nin Ping uygulamasında 24 yıl önce başlatılan yazılım değişikliklerine dayanan bir kusuru ortaya çıkardı.
  • Gezegen e-Akış / Kritik / Çevrimiçi öğrenmeye yönelik video platformundaki güvenlik açıkları, saldırganların yönetici ayrıcalıklarına sahip kullanıcı hesaplarını ele geçirmesine ve diğer saldırıların yanı sıra keyfi JavaScript kodu yürütmesine olanak tanıyor / Satıcı yazılım güncellemeleri yayınladı

Araştırma ve saldırı teknikleri

  • Bir araştırmacı, çeşitli saldırılar gerçekleştirmek için harici alanlardan kısıtlanmış web sitesi kaynaklarına erişimi kontrol etmeye yönelik bir mekanizma olan çapraz kaynak kaynak paylaşımında (CORS) yanlış yapılandırmalardan yararlanmanın nasıl mümkün olduğunu belgeledi. CORS yanlış yapılandırması sorunlar tarihsel olarak önemsenmemiştir, ancak görünüşe göre CSRF korumalarını atlamak veya siteler arası izleme (XST) saldırıları gerçekleştirmek için istismar edilebilir.
  • Lightspin, yazılım geliştiricilerin genel kapsayıcı görüntülerini bulup paylaşmasına olanak tanıyan AWS tarafından barındırılan bir hizmette ciddi bir kusur ortaya çıkardı. Saldırganlar potansiyel olarak dosyadaki tüm görüntüleri silebilir. AWS Elastic Container Registry (ECR) Genel Galeri veya kötü amaçlı kod eklemek için görüntü içeriklerini güncelleyerek AWS’nin sorunu ifşasından sonraki bir gün içinde çözmesini ister.
  • Bir Android cihazının bilgisayar olarak kullanılmasına izin veren üç popüler uygulamadaki bir dizi kusur uzak klavye ve fare Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) tarafından ifşa edildi Kimlik doğrulama, yetkilendirme ve güvenli olmayan iletişim kusurları, tuş vuruşu koklama da dahil olmak üzere potansiyel olarak saldırılara yol açtı.
  • İnternete doğrudan erişimi olmayan sözde ‘hava boşluklu’ ağlar genellikle DNS Pentera’nın bir blog gönderisinde açıklandığı gibi, potansiyel bilgisayar korsanlarının yararlanabileceği bir zayıflık.
  • SALT Labs bir LEGO-API güvenlik sorunlarının neden olduğu genel riski göstermek için siteyi bir test ortamı olarak çalıştırın. Araştırmacılar, LEGO’s Brick Lane’de, dahili üretim verilerine ve sistemlerine potansiyel bir vektör veya kullanıcıları hesaplarının denetimini teslim etmeleri için manipüle etme dahil olmak üzere API ile ilgili çeşitli güvenlik sorunlarını ortaya çıkardı.

LEGO'nun, SALT Labs tarafından bulunan bir dizi API güvenlik sorununu çözdüğü bildirildiLEGO’nun, SALT Labs tarafından bulunan bir dizi API güvenlik sorununu çözdüğü bildirildi

Hata ödülü / güvenlik açığı ifşası

  • HackerOne bulut tabanlı güvenlik açıklarının, böcek ödül avcıları tarafından bildirilen güvenlik açıklarının giderek artan bir oranından sorumlu olduğunu ve şu anda 2022’de yıllık %21 artışla 65.000’e ulaştığını ortaya çıkardı.
  • Saklanan özgeçmişlere yetkisiz erişim sağlamanın bir yolunu keşfeden bir güvenlik araştırmacısı. LinkedIn Sorunun Microsoft’a ait iş odaklı sosyal ağ kullanıcıları üzerindeki potansiyel etkisi göz önüne alındığında, bulduğu için aldığı 5.000 $’lık ödülün etkisinde kalmış olabilir. Ekim 2022’de yanlışlıkla ortaya çıkan Güvenli Olmayan Doğrudan Nesne Referansı (IDOR) güvenlik açığı, işe alım görevlilerinin ve belki de daha nahoş tarafların özgeçmişleri izinsiz indirmesine izin verebilirdi.
  • İsveçli güvenlik kamerası devi Eksen İletişimi Bugcrowd ile özel bir hata ödül programı başlattı.

Yeni açık kaynaklı bilgi güvenliği/hackleme araçları

  • Düğüm Güvenlik Kalkanı – NodeJS uygulamaları için sıfır gün korumasını korumaya yönelik bir izin verilenler listesi yaklaşımı benimseyen bir savunma aracı. Araç, popüler bir Java günlük kaydı çerçevesi olan Log4j’deki sıfır gün güvenlik açığı olan kötü şöhretli Log4Shell güvenlik açığından esinlenmiştir.
  • Çağır-DNSteal – kalem testçilerinin gizli bir iletişim kanalı olarak DNS protokolünü kullanarak dosya aktarımları gerçekleştirmesine izin verir.
  • Kubeshark – Kubernetes için API Traffic Viewer, “bir Kubernetes kümesi içindeki kapsayıcılar ve bölmeler arasında giren, çıkan tüm API trafiği ve yüklerinin derinlemesine görünürlüğünü ve izlenmesini” sağlar

geliştiriciler için

  • Google açık kaynak geliştiricilerin yazılım projelerini savunmasız bağımlılıklar için kontrol etmelerine olanak tanıyan ücretsiz bir tarayıcı duyurdu. OSV-Scanner adı verilen araç, Google’ın açık kaynaklı bir güvenlik açığı veritabanı geliştirme çalışmasına dayanmaktadır.
  • OWASPEn çok “En İyi 10 Web Uygulaması Güvenlik Riski” çerçevesiyle tanınan AppSec dünyasındaki güvenlik riskleri sınıflarını endekslemek için benzer bir planın oluşturulmasını destekliyor ve DevSecOps. İlk 10 CI/CD Güvenlik Riski sınıflandırması, CI/CD boru hattındaki riskleri kataloglamayı amaçlar. Yeni oluşan listenin başında “Yetersiz Akış Kontrol Mekanizmaları” yer aldı.
  • bu SHA-1 şifreleme algoritmasıUlusal Standartlar ve Teknoloji Enstitüsü (NIST), federal hükümetin 2030 yılına kadar kullanımını kademeli olarak durdurması gerektiğini söyleyerek, 1995’ten beri kullanımda olan , kullanım ömrünün sonuna geldiğini duyurdu.
  • Araştırma Endor Laboratuvarları tüm güvenlik açıklarının büyük çoğunluğunun (%95) “geçişli bağımlılıklarda – geliştiriciler tarafından seçilmeyen ancak dolaylı olarak projelere çekilen açık kaynak kod paketlerinde” bulunduğunu tespit etti.

Eğlence için

ChatGPT – OpenAI’nin yapay zeka sohbet aracı – şu anda bilgi güvenliği odaklı sosyal medya çevrelerindeki en sıcak şey. Koddaki olası güvenlik açıklarını önermek yerine, geç David Bowie tarzında SQL enjeksiyonu hakkında bir şarkı için şarkı sözü yazması istendiğinde ChatGPT’nin ne çağrıştırabileceğini merak ettik.

Sonuçlar fazlasıyla tatmin ediciydi:

Verilerin bir akış gibi aktığı bilgisayarlar alanında
Sömürmeye çalışanlar ve hepimizin çığlık atmasına neden olanlar var.
Onlar bilgisayar korsanları, kod kırıcılar, kötü niyetli olanlar
En sevdikleri numaralardan biri de SQL enjeksiyon sanatıdır.

Koro:

SQL enjeksiyonu, SQL enjeksiyonu
Tehlikeli bir oyun, dijital bir enfeksiyon
SQL enjeksiyonu, SQL enjeksiyonu
Bilgisayar korsanlarına ve onların sinsi icatlarına dikkat edin

Büyük adamın kendi deyimiyle, hala neyi beklediğimi bilmiyorum… ama kesinlikle bu değildi.

ÖNERİLEN Black Hat Europe 2022: Savunulabilir bir internet mümkün, ancak yalnızca sektörel makyajla





Source link