Jessica Haworth 24 Şubat 2023, 13:09 UTC
Güncellendi: 24 Şubat 2023, 13:15 UTC
AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini
Twitter, bu hafta Elon Musk’ın sosyal ağ platformunun SMS tabanlı 2FA’nın bundan sonra yalnızca ödeme yapan müşteriler tarafından kullanılabileceğini duyurmasıyla daha fazla eleştiriyle karşı karşıya kaldı.
Sosyal medya sitesi, cep telefonu numaralarını hesaplarına bağlamaları koşuluyla, tarihsel olarak tüm kullanıcılara iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdi.
Ancak bu hafta, kullanıcılar uyarıldı doğrulama için ödeme yapmayan kullanıcılar bu güvenlik seçeneğini artık kullanamaz.
Tabii ki, bu, özellikle ücretsiz hesapları olanların çoğunluğu arasında, çevrimiçi olarak büyük bir tepkiye yol açtı.
Bununla birlikte, kullanıcıların 2FA’yı Google Authenticate gibi üçüncü taraf kimlik doğrulama uygulamalarıyla kullanmaya devam edebileceğini belirtmekte fayda var.
En son web güvenlik haberlerinin doğrudan gelen kutunuza gelmesini ister misiniz? Bültenimize buradan kaydolun
Başka bir yerde, web barındırma sağlayıcısı GoDaddy bir siber saldırıya kurban gittiğini duyurdu… ve bu, neredeyse üç yıl süren bir kampanyanın parçasıydı.
Şirket yaptığı açıklamada, Aralık 2022’de “az sayıda müşterinin” web sitelerinin aralıklı olarak yeniden yönlendirilmesinden şikayet etmesiyle gerçekleşen bir izinsiz girişe dair kanıtları olduğunu duyurdu.
ABD Menkul Kıymetler ve Borsa Komisyonu’na (PDF) yapılan bir dosyada, Amerikan alan adı kayıt kuruluşu ayrıca bu saldırının Mart 2020’de bir saldırganın “yaklaşık 28.000 barındırma müşterisinin barındırma oturum açma kimlik bilgilerini ele geçirdiği” önceki bir olayla bağlantılı olduğuna dair kanıtları olduğunu açıkladı. az sayıda personelimizin oturum açma kimlik bilgilerinin yanı sıra barındırma hesaplarına”.
GoDaddy, barındırılan WordPress hizmetinin 2021 uzlaşmasıyla birlikte bu saldırıların “sofistike bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna” inandığını söylüyor.
ARKA PLAN Truffle Security, XSS Hunter aracını yeni özelliklerle yeniden başlattı
Son olarak, yeni ortaya çıkan XSS Hunter aracının geliştiricileri, gizlilik bilincine sahip kullanıcılardan gelen tepkinin ardından, isteğe bağlı uçtan uca (e2e) şifrelemenin çatalına getirildiğini duyurdu.
Orijinal yaratıcısı Matthew Bryant tarafından kullanımdan kaldırılmasının ardından açık kaynak yardımcı programının yeni bir çatalını başlatan Truffle Security, bu ayın başlarında, ortaya çıkarılan güvenlik açıkları hakkında anonimleştirilmiş istatistikleri paylaştıktan sonra kullanıcılar tarafından oluşturulan potansiyel olarak hassas verileri incelemekle eleştirildi.
tarafından bildirildiği gibi günlük yudumkullanıcılara artık Truffle Security’nin kurucusu tarafından yapılan bir açıklamada e2e şifrelemesinin çatala eklendiği konusunda güvence verildi.
Ayrıca kısa bir süre önce Belçika’nın etik hacker’lar için ulusal, kapsamlı bir güvenli liman çerçevesini benimseyen ilk Avrupa ülkesi olduğunu ve Frans Rosén’in ‘Sign-insignal’da kirli dans kullanarak hesap ele geçirme- OAuth akışlarında’.
Ziyaret ederek son haber kapsamımızın tamamını takip edebilirsiniz. günlük yudumana sayfası.
İşte son iki hafta içinde dikkatimizi çeken bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:
Web güvenlik açıkları
- FortiNAC / Kritik / Kimliği doğrulanmamış RCE / Belirli Fortinet FortiNAC sürümlerinde dosya adının veya yolunun harici kontrolü, saldırganların yetkisiz kod yürütmesine olanak tanır / Yama uygulandı ve 16 Şubat’ta açıklandı
- Node.js / Orta / CLRF enjeksiyonu / Node.js’deki getirme API’si, ana bilgisayar başlığına CRLF enjeksiyonunu engellemedi ve potansiyel olarak HTTP yanıtı bölme ve HTTP başlığı enjeksiyonu gibi saldırılara izin verdi / Yama uygulandı ve 16 Şubat’ta açıklandı
- Node.js / Yüksek / İzin politikaları atlanıyor / Potansiyel olarak erişilebilen yetkisiz modüller / Yama uygulandı ve 16 Şubat’ta açıklandı
- Kardex MLOG / Önem Derecesi TBC / RCE / Endüstriyel web arayüzündeki temizleme sorunu nedeniyle SSTI’den RCE’ye / 24 Ocak’ta yamalandı, 7 Şubat’ta açıklandı
- Apache Kerbisi / LDAP enjeksiyonu / Güvenlik açığı var / Yamalı ve 20 Şubat’ta açıklandı
Araştırma ve saldırı teknikleri
Bir güvenlik araştırmacısı, Apple’ın böcek ödül programını hacklemenin yararlarını övdü
Hata ödülü/güvenlik açığı açıklaması
- Bir HubSpot hesabını tamamen ele geçiren güvenlik araştırmacısı Omar Hashem’in yazdığı bir yazı, istismara giden yolda başarısızlıklarını ayrıntılarıyla anlatıyor. Araştırma, doğası gereği deneme yanılma ile ilgilidir, ancak çevrimiçi olarak paylaşılan çok az yazı, işe yaramayan şeyler hakkında konuşur.
- Kendilerini ‘infiltrateops’ olarak adlandıran bir araştırmacı, Apple’dan nasıl makul bir ödeme aldıklarına dair ayrıntıları paylaştı ve güvenlik ekibinin yanıtını övdü.
- Google, 2022’de güvenlik açığı ödül programında bulunan tüm hataların bir incelemesini yayınladı ve yalnızca o yıl içinde 2.900’den fazla sorunu çözdüğünü ortaya çıkardı.
Yeni açık kaynaklı güvenlik araçları
- GitHub ve GitLab varlıklarındaki güvenlik sorunlarını tespit edip düzeltmeye yönelik bir araç olan Legitify, GPT tabanlı yanlış yapılandırma taraması için destek ekledi.
- Semgrep ve paket meta veri analizi kullanarak kötü amaçlı Python paketlerini belirlemek için kullanılan bir araç olan GuardDog, npm desteği, yeni buluşsal yöntemler ve daha kolay CI entegrasyonu sağlayacak şekilde güncellendi.
*PortSwigger, The Daily Swig’in ana şirketidir.
ÖNCEKİ BASKI Serileştirilmiş web güvenliği toplaması: KeePass ‘güvenlik açığı’ raporunu reddediyor, OpenSSL yamalı ve Reddit kimlik avı saldırısını kabul ediyor