Adam Bannister 02 Aralık 2022, 17:19 UTC
Güncellendi: 02 Aralık 2022, 17:20 UTC
AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini
İlk web güvenlik derlememiz, binlerce uygulamanın API anahtarlarını sızdırdığının tespit edilmesiyle başlıyor. Algolia.
Algolia teknolojisi, Lacoste, Stripe ve Slack gibi şirketler tarafından arama, keşif ve tavsiyeleri web, ses ve mobil uygulamalara dahil etmek için kullanılır.
CloudSEK araştırmacıları, Algolia API anahtarlarını sızdıran 1.500 uygulama buldu ve bunlardan 32’si, saldırganların milyonlarca kullanıcının verilerini çalmasına veya silmesine izin verebilecek sabit kodlanmış anahtarlara sahipti. Güvenlik açığı bulunan veriler arasında IP adresleri, erişim ayrıntıları ve analiz verileri yer alır.
Bu arada, açık kaynak havuzlarının bakımcıları artık özel güvenlik açığı raporları alabilir, bunları düzeltebilir ve aracılığıyla CVE’ler yayınlayabilir. GitHubMicrosoft’a ait yazılım geliştirme platformu ilan edildi GitHub Universe konferansında.
Haberler en az bir infosec uzmanı, güvenlik açığı araştırmacısı ve günlük yudum görüşmeci Alex Chapman buna “inanılmaz özellik”.
Güvenlik açığı yönetimine bağlı kalarak, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) güvenlik açığı yönetimini geliştirmek için üç adımlı bir süreç belirledi; buna, son zamanlarda web sitesinde yer alan bir tür güvenlik danışma dizini olan güvenlik açığından yararlanılabilirlik değişiminden (VEX) yararlanmak da dahildir. günlük yudum Bu, uygulamalardaki kusurların istismar edilebilirliğine odaklanır.
CISA ayrıca, CVSS taban puan denkleminin etkinliği üzerine bir çalışma yayınladı ve bu çalışma, bu ölçünün – mükemmel olmasa da – CVSS sürdürücülerinin uzman görüşünü yakından temsil ettiği sonucuna vardı.
günlük yudum ayrıca yakın zamanda ayın lezzeti sosyal ağ platformundaki sistem yapılandırma sorunları hakkında rapor verdi Mastodon, kuyruk ölçeği VPN düğümlerinin DNS yeniden bağlamaya karşı savunmasız olması ve SAML kitaplığına git diğer haberlerin yanı sıra bir kimlik doğrulama atlamasından etkilendi.
İşte son iki hafta içinde dikkatimizi çeken bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:
Web güvenlik açıkları
- Apache Commons BCEL / CVE-2022-42920 / CVSS 9.8 / API’leri etkileyen sınırların dışında yazma sorunu, saldırganlara elde edilen bytecode üzerinde daha fazla kontrol sağlayabilir
- Apache MINA SSHD’si / CVE-2022-45047 / CVSS 9.8 / Güvenli olmayan Java serisini kaldırma / Yamalı
- Flarum / CVE-2022-41938 / CVSS 9.0 / siteler arası komut dosyası çalıştırma XSS, yeni bir tartışma oluşturarak veya yeniden adlandırarak tartışma başlığı girişi kullanılarak kötü amaçlı HTML işaretlemesinin eklenmesine izin verdi / 21 Kasım’da Yama Yapıldı
- TiDB / CVE-2022-3023 / CVSS 9.8 / Veri kaynağı adı ekleme, rastgele dosya okumalarına neden olabilir / 17 Kasım’da Yama Yapıldı
- Sonar, BT Altyapısı izleme aracı Checkmk ve NagVis entegrasyonundaki güvenlik açıklarını belgeleyen üç bölümlük bir dizi yayınladı. Bu kusurlar, sunucuların kontrolünü ele geçirmek için zincirlenebilir
- Sistem uygulamalarını imzalamak için kullanılan platform sertifikaları Android derlemeler kötü niyetli olarak sızdırıldı ve kötü amaçlı Android uygulamalarını imzalamak için kullanıldı – “Arkadaşlar, bu kötü. Çok çok kötü”, tweet attı bir Android uzmanı
- Yazılım mühendisi Tom Forbes, BT firmasının ciddi bir gözetimini ortaya çıkardı bilgi sistemleri Johns Hopkins Üniversitesi’nden potansiyel olarak hasta verilerini içeren bir S3 klasörünün AWS anahtarlarını içeren bir dosya yanlışlıkla PyPi’de yayınlandı ve bir yıldan uzun süre erişilebilir durumda kaldı.
- Siber suçlular kandırıyor TikTok Checkmarx, kullanıcıların çıplak fotoğraflardaki görünmezlik filtrelerini kaldırma vaadiyle kötü amaçlı yazılım indirmeye başladığını ortaya koyuyor – Saldırganın yayınladığı TikTok videoları yalnızca iki günde bir milyondan fazla görüntülendi
- Olağanüstü hacker sam köri meydana çıkarmak tarım ekipmanı tedarikçisi John Deere’in güvenlik programında 100 güvenlik açığını (50’si kritik olarak derecelendirildi) ortaya çıkaran bir ekibin parçası olduğunu ve teknik ayrıntıların yolda olduğunu söyledi.
- HackerOne’ın önde gelen Avustralyalı bilgisayar korsanı ve dünya çapındaki skor tablosunda 30 numara Shubham Şah bir böcek ödül avcısı olarak başarılı olmak için gerekenlere dair derin bir inceleme yayınladı.
- Belçika merkezli bug bounty ve pen test platformu Birleşik Aylık Bug Bounty Radarımızda bildirildiği üzere bir Bug Bounty Hesaplayıcısı başlattı
- ıdaho Statecoop’un bildirdiğine göre, seçim web siteleri için bir güvenlik açığı açıklama politikası başlattı ve bir güvenlik açığı açıklama politikası başlatan dördüncü ABD eyaleti oldu
- Karışım – Çalışma zamanı yürütme, yapılandırma, izinler, hafifletmeler, işletim sistemi ve diğer ilgili değişkenleri değerlendirerek sisteminizin kusurlara karşı potansiyel güvenlik açığını belirler
- Bekçi köpeği – Semgrep ve paket meta veri analizini kullanarak kötü amaçlı Python paketlerini tanımlar
- meşrulaştır – GitHub varlıklarınız genelinde yanlış yapılandırmaların yanı sıra güvenlik ve uyumluluk sorunlarını tespit edin ve düzeltin
- vahşi – Vahşi ortamda istismar edilen CVE’lerin raporlarını belgeleyen güvenlik açığı akışı
- APTRS (Otomatik Sızma Testi Raporlama Sistemi) – Projeleri ve güvenlik açıklarını izlemek ve DOCX dosyalarını kullanmadan raporlar oluşturmak için Python ve Django aracı
- ABD’nin Ulusal Güvenlik Teşkilatı (NSA) geliştiricileri “mümkün olduğunda C/C++ gibi çok az veya hiç doğal bellek koruması sağlamayan programlama dillerini terk etmeye” teşvik eden bir kılavuz (PDF) yayınladı.
Araştırma ve saldırı teknikleri
TikTok, sosyal mühendislik için yararlı bir araç olduğunu kanıtlıyor
Hata ödülü / güvenlik açığı ifşası
Yeni açık kaynaklı bilgi güvenliği/hackleme araçları
geliştiriciler için
ÖNERİLEN Kritik güvenlik açığı, saldırganların Hyundai, Genesis araçlarının kilidini uzaktan açmasına ve kontrol etmesine izin verdi