Serileştirilmiş web güvenliği toplaması: KeePass ‘güvenlik açığı’ raporunu reddediyor, OpenSSL yamalı ve Reddit kimlik avı saldırısını kabul ediyor

AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini

KeePass iddia edilen bir güvenlik açığının keşfedilmesinin ardından itibarını korumakla yükümlü olan en son parola yöneticisi yardımcı programı haline geldi.

Güvenlik araştırmacıları uyardı gizli verileri sifonlamadan önce KeePass veritabanındaki her şeyi açık metin olarak dışa aktaran bir tetikleyici kurmanın mümkün olabileceğini. Ciddiyeti tartışılan güvenlik açığı CVE-2023-24055 olarak izleniyor.

Bleeping Computer’ın bildirdiği gibi, KeePass, sorunun yalnızca bir saldırganın güvenliği ihlal edilmiş bir hesabı zaten kontrol ettiği durumlarda devreye girdiğini iddia ediyor – bu durumda zaten ‘oyun bitti’.

Parola yöneticilerindeki sorunlar, geçen yıl LastPass’ın karıştığı ve sonunda satıcının şifreli parola kasalarının sızdırıldığını kabul etmesine yol açan yanlış yönetilen bir güvenlik olayından bu yana güvenlik araştırmacıları için özel bir odak noktası haline geldi.

Bu kasaların ana anahtarları açığa çıkmadı, bu da zararın kapsamını sınırladı, ancak mesele yine de rahatsız ediciydi.

Birleşik Devletler Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) teknoloji üreticilerinden ürünlerini tasarım gereği güvenli hale getirmelerini zorunlu kılma planlarını zorluyor.

CISA direktörü Jen Easterly ve yönetici yardımcısı Eric Goldstein, Foreign Affairs dergisi tarafından yayınlanan bir makalede önerileri özetledi.

Perşembe günü, geliştiriciler AçıkSSL proje, yüksek etkili bir kusur (CVE-2023-0286 olarak izlenir) dahil olmak üzere şifreleme kitaplığındaki çeşitli güvenlik açıklarını kapsayan yamalar yayınladı. Kusur, gelişmiş saldırganların sistem belleğini okuyabileceği veya etkilenen sistemlerde hizmet reddine neden olabileceği anlamına geliyordu.

Perşembe ayrıca bir sysadmin’in açık olduğu haberini de getirdi. reddit bir kimlik avı saldırısına kurban gitmişti. Sosyal haber sitesi, saldırganların “bazı dahili belgelere, kodlara ve bazı dahili iş sistemlerine erişim sağladıklarını” kabul ederken, “Reddit kullanıcı şifrelerinin ve hesaplarının güvende” olduğunu belirtti.

günlük yudum ayrıca yakın zamanda Google’ın prototip kirliliğinin (bir JavaScript güvenlik açığı sınıfı), bir güvenlik araştırmacısının Toyota’nın tedarikçi yönetimi ağına nasıl girdiğini ve yeni bir popüler kalem testi aracı XSS ​​Hunter’ı içeren bir gizlilik fırtınasının etkisini azaltmak için öneriler geliştirdiğini bildirdi. Deserialized’in son baskısından beri. Ziyaret ederek son haber kapsamımızın tamamını takip edebilirsiniz. günlük yudumana sayfası.

İşte son iki hafta içinde dikkatimizi çeken bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:

Web Güvenlik Açıkları

• Cisco cihazları / “DHCP İstemci Kimliği” seçeneği için kullanıcı girişi temizlenmediğinden, uygulama kapsayıcılarını/sanal makineleri doğrudan cihazlara dağıtma teknolojisi kusurluydu / 1 Şubat’ta yama ile açıklandı
• Dompdf / Kritik / SVG ayrıştırmasında URI doğrulama hatası / URI doğrulaması, SVG ayrıştırmasında atlanabilir, bu da potansiyel olarak PHP’de phar URL sarıcı aracılığıyla rasgele nesnenin serileştirmesinin kaldırılmasına yol açar / geçen hafta yama ile ifşa edildi
• F5 BÜYÜK IP / Yüksek / iControl SOAP’taki dizi biçimi kusuru, kimliği doğrulanmış bir saldırganın iControl SOAP CGI sürecini çökertmesine veya potansiyel olarak rastgele kod yürütmesine olanak tanır / 1 Şubat’ta bir yama ile açıklandı
• Jira Servis Yönetim Sunucusu ve 1 Şubat’ta yayınlanan Veri Merkezi / Kritik / Bozuk kimlik doğrulama / satıcı uyarısı ve düzeltme eki
• Skyhigh Security Güvenli Web Ağ Geçidi / Yüksek / Çoklu oturum açma eklentisinde XSS / 26 Ocak’ta bir yama ile açıklandı

Araştırma ve saldırı teknikleri

• PHP geliştirme sunucusundaki bir uzak kaynak ifşa güvenlik açığının ayrıntılı analizi, gerekli takip çalışmasına yönelik ipuçları sunar. Kusur – bu, kaynak kodunun PHP dosyaları araştırmacılar, statik dosyalarmış gibi açığa çıktı – çözüldü, ancak buna rağmen “Shodan sorguları, yerleşik sunucunun birçok ifşa örneğini ortaya koyuyor” diye uyarıyor araştırmacılar
• Zoho ManageEngine’in SAML (Security Assertion Markup Language) uygulamasındaki bir güvenlik açığı – dublajlı SAML Gösteri Durdurucu – kurumsal tabanlı SSO (Tek Oturum Açma) dağıtımlarını yüksek bir saldırı riski altında bırakır. Güvenlik araştırmacısı Khoa Dinh, xmlsec ve xalan’ın eski sürümlerine güvenen tüm satıcıların (yalnızca ManageEngine değil) benzer risk altında olabileceğine dair ayrıntılı bir kusur analizi sunuyor.
• Skylight Cyber ​​tarafından hazırlanan bir blog gönderisi, tuz yığını “Bir salt-master (veya master-of-masters) sunucusunda uzaktan kod yürütmeyi başarabilen yeni bir şablon enjeksiyon tekniğini” detaylandırmanın yanı sıra, vahşi ortamda karşılaşılan BT orkestrasyon platformu.
• Proofpoint, saldırganların kuruluşların bulut ortamlarına sızmak için kötü amaçlı üçüncü taraf OAuth uygulamalarını kullandığını keşfetti. “Tehdit aktörleri, Microsoft’un üçüncü taraf OAuth uygulamaları kötüye kullanarak Microsoft ‘doğrulanmış yayıncı’ durumu,” güvenlik araştırmacıları raporu
• Ermetic araştırmacıları, Azure bulutunda Function Apps, App Service ve Logic Apps gibi hizmetleri etkileyen bir RCE güvenlik açığı keşfetti. EmojiDeploy güvenlik açığı, kaynak kontrol yönetimi hizmetine (SCM) karşı CSRF aracılığıyla yayıldı Mutlak
• Güvenlik araştırmacısı ‘eta’, İngiltere ile ilişkili barkodlar için kodlama sürecini başarıyla tersine çevirdi seyyar demiryolu biletleri. Çalışma, ilgili tarafların araştırmacı tarafından geliştirilen bir web aracıyla kendi biletlerinin kodunu çözmesine olanak tanır.

Hata ödülü / güvenlik açığı ifşası

• Google sürekli bulanıklaştırma için ücretsiz bir platform olan OSS-Fuzz projesini kritik açık kaynak projelerine genişletti. 2016’da lansmanından bu yana 850 projede 8.800 güvenlik açığının tespit edilmesine yardımcı olan teknoloji, yeni projeleri OSS-Fuzz’a entegre eden katkıda bulunanlara daha yüksek mali ödüller sunarak ivme kazanıyor.
• Güvenlik araştırmacısı Youssef Sammouda talep edildi devralmayı mümkün kılan bir güvenlik açığı keşfettikten sonra 44.500 $ ödeme Facebook/Oculus hesaplar. Sammouda’nın teknik yazısında açıklandığı gibi, hack Birinci Tarafa dayanıyordu erişim belirteci çalmak

Yeni açık kaynaklı bilgi güvenliği/hackleme araçları

• Checkmarx, OWASP’ın en önemli 10 API güvenlik açığını temel alan, güvenlik açığı olacak şekilde oluşturulmuş bir API uygulaması oluşturmuştur. C{api}tal olarak adlandırılan yardımcı program, şunlara odaklanan bir öğrenme ve eğitim kaynağı olacak şekilde tasarlanmıştır: API güvenliği.
• Ronin 2.0 güvenlik araştırması ve geliştirmesi için ücretsiz ve Açık Kaynaklı Ruby araç setinin yenilenmiş bir sürümünü sunar. Ronin’in yeni API kitaplıklarıyla geliştirilmiş en son sürümü, birçok farklı CLI komutu ve web güvenlik açıklarını tarama ve açıklardan yararlanma gibi çeşitli görevleri gerçekleştirmek için optimize edilmiş Ruby kitaplıkları içerir.
• Geliştiriciler yeni bir sürümünü yayınladı EMBA – penetrasyon test cihazlarının ihtiyaçlarına göre ayarlanmış bir gömülü cihaz ürün yazılımı güvenlik analizörü. İşlevselliği bir GitHub sayfasında açıklanmıştır.
• SH1MMERkurumsal olarak yönetilen Chromebook’ların kaydını tamamen iptal edebilen bir istismar.