Serileştirilmiş web güvenliği toplaması – Slack ve Okta ihlalleri, gevşek ABD hükümeti şifreleri raporu ve daha fazlası

Jessica Haworth 13 Ocak 2023, 18:31 UTC

Güncellendi: 16 Ocak 2023, 14:29 UTC

AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini

Gevşek mesajlaşma platformuna göre yakın zamanda “Slack’in kod havuzlarının bir alt kümesine yetkisiz erişimi içeren” bir güvenlik ihlali yaşadı.

Şirket, hiçbir müşterinin etkilenmemesine rağmen, bir iç soruşturmanın, bilinmeyen bir aktörün 27 Aralık’ta veya buna yakın bir tarihte özel kod depolarını indirdiğini ortaya çıkardığını söyledi.

Açıklamada, “Sınırlı sayıda Slack çalışan jetonunun çalındığını ve harici olarak barındırılan GitHub depomuza erişim sağlamak için kötüye kullanıldığını keşfettik” denildi.

“İndirilen depoların hiçbiri müşteri verilerini içermiyordu, bu da müşteri verilerine veya Slack’in birincil kod tabanına erişim anlamına geliyor.”

Kimlik yönetimi şirketi Okta ayrıca bilinmeyen bir aktör kod havuzlarına eriştiğinde bir ihlalin kurbanı oldu.

Satıcı, herhangi bir verinin çalınıp çalınmadığını doğrulamadan olayın “2022 Aralık ayı başlarında” meydana geldiğini söyledi.

“Okta GitHub depolarına erişime derhal geçici kısıtlamalar getirdiğini ve üçüncü taraf uygulamalarla tüm GitHub entegrasyonlarını askıya aldığını” doğruladı.

Ve üzerinde BİZbir hükümet bekçisi bir parola kırma programı oluşturmak için 15.000 dolar harcadı – yalnızca çalışanların başından beri kolayca tahmin edilebilir kimlik bilgileri kullandığını keşfetti.

İçişleri Bakanlığı tarafından finanse edilen karmaşık yazılım, karma şifreleri kurtarmak gibi görevleri üstlenecek şekilde tasarlandı.

Ancak nihayetinde, “kolayca kırılan parolalar, çok faktörlü kimlik doğrulama eksikliği ve diğer hatalar” nedeniyle yaklaşık 14.000 çalışan parolasını, yani tüm departman hesaplarının %16’sını kurtarabildiğini buldu.

Diğer hikayeler arasında günlük yudum Son günlerde, yazılımındaki kusurların ciddiyetini tartışan güvenli mesajlaşma uygulaması Threema, bir güvenlik ihlali nedeniyle geliştiricilerin CircleCI’deki sırları döndürmeye teşvik edilmesi ve Tesla da dahil olmak üzere işletmelerin ortamlarında dahili olarak bırakılan çapraz kaynak kaynağı (CORS) yanlış yapılandırmaları vardı. ağlar savunmasız.

İşte son iki hafta içinde dikkatimizi çeken diğer bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:

Web güvenlik açıkları

Araştırma ve saldırı teknikleri

• Sonarsource araştırmacıları, açık kaynaklı web tabanlı izleme aracında bir komut enjeksiyon güvenlik açığı ve kimlik doğrulama atlama güvenlik açığı keşfetti kaktüsler kimliği doğrulanmamış sömürüye izin verdi.
• kötü niyetli Piton ReversingLabs’teki araştırmacıların bildirdiğine göre, PyPi deposunda bulunan dosya, güvenlik firması SentinelOne’dan meşru bir SDK (yazılım geliştirme kiti) istemcisi gibi görünen şeye arka kapı ve veri hırsızlığı özellikleri ekliyor.
• Ayrıca PyPi ile ilgili olarak araştırmacı Tom Forbes, PyPi’ye ait Python paket dizininde 57 geçerli AWS anahtarı buldu. Amazon, bilgive diğer kuruluşlar, GitHub Actions ile yeni paketleri tarayarak.
• dan bir araştırma ekibi Imperva Google Chrome’da kripto cüzdanları ve bulut sağlayıcı kimlik bilgileri gibi hassas dosyaların çalınmasına yol açan bir güvenlik açığını nasıl keşfettiklerini gösterdi.
• Ve Sert Bothra Kobalt kalem testçilerinin prototip kirlilik tarzı saldırıları nasıl tespit edebileceğine dair bu kullanışlı yazıyı yayınladı.

Hata ödülü/güvenlik açığı açıklaması

• Araştırmacı Matt Kunze, Microsoft’tan 107.500 $’lık bir böcek ödülü kazandı. Google Google Home Mini akıllı hoparlörde, cihazdaki mikrofona erişmesine ve yerel ağda rastgele HTTP istekleri yapmasına izin veren güvenlik açıklarını bildirdiği için.
• Güvenlik firması BulutSek hata ödül avcılarının mobil uygulamalardaki güvenlik açıklarını bulmasını ve bildirmesini sağlayan bir araç olan BeVigil’i piyasaya sürdü.
• Ve bilgisayar korsanı Jerry Gamblin bu kapsamlı kılavuzu yayınladı. özgeçmiş 2022 yılına ait atanmış güvenlik açıklarıyla ilgili verileri içeren inceleme yılı.

Yeni açık kaynaklı bilgi güvenliği/hackleme araçları

• GCP Goat, en son yayınlananları içeren savunmasız bir bulut altyapı aracıdır. OWASP Test geliştiricilerin kodlarını bir bulut ortamında test etmelerine yardımcı olmak için tasarlanmış en önemli 10 web uygulaması güvenlik riski ve diğer yanlış yapılandırma.
• Başka bir bulut tabanlı araç olan PEACH, örneğin aşağıdaki gibi durumlarda “diğer müşterilere ait verilere” erişen kötü niyetli aktörlere karşı korunmaya yardımcı olan bulut uygulamaları için bir kiracı izolasyon çerçevesidir. KaosDB, Ekstra Kopyave Beni Ekle.
• Standartlaştırılmış SBOM’leri doğrulamak, sorgulamak, güncellemek ve yönetmek için bir API platformu olan açık kaynak aracı sbom-utility piyasaya sürüldü.

geliştiriciler için

• tam emlak geliştiricilerin siteler arası istek sahteciliği (CSRF) güvenlik açıklarını web sitelerine sokmaya karşı nasıl savunma yapabileceklerini açıklayan bu blog gönderisini yayınladı.
• Google‘ın Chromium projesi artık C++’dan üçüncü taraf Rust kitaplıklarının kullanımını destekliyor ve Rust kodunu “önümüzdeki yıl içinde” Chrome ikili dosyasına dahil edecek.

Eğlence için

Nihayet, SplendidDataçılgınlar hata ödül programı politikası son zamanlarda çevrimiçi infosec incelemesine tabi tutuldu.

Kurallar en azından 2021’in başlarına kadar uzanıyor, ancak yine de tartışmalı bazı terimlerin vurgulanmasıyla geçen hafta Twitter’da canlı bir tartışma dizisine yol açtı.

Politikası, “talebinize yanıt vermeyeceğiz” ve şirketin, güvenlik açığı sorumlu bir şekilde ifşa edilmiş olsa bile hiçbir yasal işlem yapılmayacağını “garanti edemeyeceği” gibi yönlendirmelerle övünür.

Şaşırtıcı olmayan bir şekilde, bu durum infosec Twitter’da orman yangını gibi yayıldı ve TJ adlı bir kullanıcı şaka yaptı: “‘Sizi dava edebiliriz, idk’ yönünü seviyorum … hayata biraz heyecan katıyor.”

ÖNERİLEN Python’da keşfedilen prototip kirlilik benzeri böcek varyantı