AppSec güvenlik açıkları, yeni bilgisayar korsanlığı teknikleri ve diğer siber güvenlik haberlerinin iki haftada bir özetini
Ankete katılan siber güvenlik uzmanlarının %93’üne ve iş liderlerinin %86’sına göre, “Önümüzdeki iki yıl içinde geniş kapsamlı, yıkıcı bir siber olay muhtemeldir”. Dünya Ekonomik Forumu (WEF).
WEF’in 300 uzman ve C-suite yöneticisinin görüşlerini içeren Küresel Siber Güvenlik Görünümü 2023 raporu, jeopolitik istikrarsızlık ve siber güvenlik becerilerinin süregelen eksikliğinin durumu daha da istikrarsız hale getirdiğini ve firmaların belirli bölgelerdeki varlıklarını yeniden düşünmelerine neden olduğunu ortaya koydu.
Bu arada, hala birçok çok çok kötü siber saldırı ve ihlal görüyoruz. Son zamanlarda, şu adreste başka bir mega ihlal oldu: T mobil (bu kez 37 milyon müşteri etkilendi), kaynak kodunun çalınması ve ardından video oyunları geliştiricisinden 10 milyon dolarlık fidye talebi İsyan Oyunlarıve ABD hükümetinin bir havayolu şirketi tarafından yanlışlıkla ifşa edilmesi Uçuş Listesi Yok2019’dan şüpheli teröristlerin yoklaması.
bu Son Geçiş kuşatma altındaki parola yöneticisinin yaptığı son güncellemenin “bir tehdit aktörünün üçüncü taraf bir bulut depolama hizmetinden şifrelenmiş yedekleri sızdırdığını” kabul etmesiyle, Kasım ayında şifre kasalarının Kasım ayında ihlal edilmesinin ardından durum gelişmeye devam ediyor.
Pazar liderinin itibarının düşmesi göz önüne alındığında, rakip hizmetler şüphesiz pazar paylarını büyütme fırsatı yakalayacak olsa da, hack aynı zamanda şimdiye kadar çok saygı duyulan alana eşi görülmemiş bir inceleme getiriyor. Aslında, günlük yudum yakın zamanda, birkaç popüler şifre yöneticisinin güvenilmeyen web sitelerinde kimlik bilgilerini nasıl otomatik olarak doldurduğunu bildirdi. Bitwarden varsayılan güvenlik yapılandırmasını geliştirerek şifreleme şemasına yönelik yenilenen eleştirilere yanıt verdi.
Verimli bir güvenlik denetimi git‘ın kaynak kodu, Deserialized’in son baskısından bu yana ele aldığımız bir başka dikkate değer hikaye.
İşte son iki hafta içinde dikkatimizi çeken bazı web güvenlik hikayeleri ve diğer siber güvenlik haberleri:
Web güvenlik açıkları
Araştırma ve saldırı teknikleri
- Popüler açık kaynaklı sağlık kayıtları ve tıbbi uygulama yönetimi platformundaki güvenlik açıkları AçıkEMR uzaktan saldırganların herhangi bir OpenEMR sunucusunda rasgele sistem komutları yürütmesine ve hassas hasta verilerini çalmasına izin verdi – ve daha da kötüsü, uzaktan kod yürütme (Sonar’ın izniyle)
- Jerry Shah, bir API hatalı yapılandırmasını nasıl bulduğunu anlatıyor. havalı kullanıcı arabirimi Yetkilendirme belirtecini yerel depolamadan sızdıran özel bir hata ödül programında adsız bir web uygulamasında uç nokta
- ChatGPT Recorded Future’a göre, sınırlı programlama veya teknik becerilere sahip tehdit aktörlerinin giriş engellerini azaltıyor, ancak devlet destekli kötü niyetli kişilerin sinir bozucu derecede gelişmiş sohbet robotu aracından operasyonel verimlilik elde etmesi pek olası değil.
- Maksym Yaremchuk – HackerOne’ın tüm zamanların lider tablosunda 80 numara, daha az değil – bir çift kritik önem derecesini detaylandırıyor hesap devralma özel bir bug bounty programıyla etkileşim sırasında ortaya çıkan istismarlar
- GitHub araştırmacısı Man Yue Mo, bir bilgisayarda keyfi çekirdek kodu çalıştırma ve köklendirme elde ediyor. Google Piksel 6 Android uygulamasından cep telefonu
ChatGPT, siber suçlar için giriş engellerini azaltır, ancak devlet destekli siber suçlular için çok az işe yarar
Hata ödülü / güvenlik açığı ifşası
- Güvenlik araştırmacıları şunları yapabilir: matematiksel olarak kanıtlamak Yakın tarihli bir New Scientist özelliği (ödeme duvarı) yanlış ellerde kötü amaçlı kullanıma yol açabilecek ayrıntıları açığa çıkarmadan bir yazılım güvenlik açığının varlığını açıklıyor
- Intigriti bir blog yazısı kaleme aldı. güvenli liman Bilgi Uçuranların Korunmasına İlişkin Belçika Yasası tarafından oluşturulan araştırmacılar için madde
- günlük yudum yakın zamanda yaklaşan üçüncü yıllık rapor Pentagon’u Hackleyin meydan okuma, Tesla’daki CORS yanlış yapılandırmaları ve araştırmacılara “birkaç bin dolar” kazandıran isimsiz programlar ve araştırmacılara 22.000 dolardan fazla net kazandıran Google Cloud Platform (GCP) projesi güvenlik açıkları
- Diğer yeni yazılar arasında, yansıyan bir XSS için 3.000 $’lık bir ödül yer alıyor. Microsoft FormlarıBug Bounty İsviçre’nin ilk “ayın güvenlik açığı”, sınırlı süreli özel bir program ve internete maruz kalan binlerce cihazla ilgiliydi.
- İngiliz hacker ve YouTuber ile böcek avcısı röportajları “İçeriden Doktora” ve “BugünYeni” sırasıyla HackerOne ve Bugcrowd tarafından yayınlandı
Yeni açık kaynaklı bilgi güvenliği/hackleme araçları
- Gato – veya GitHub Attack Toolkit – GitHub geliştirme ortamlarında güvenliği ihlal edilmiş kişisel erişim belirteçlerinin etkisini değerlendirir. GitHub’ın önerdiği, kendi kendine barındırılan çalıştırıcıları kullanan genel depoların izlenmesini etkinleştirir; aksi takdirde “genel deponuzun çatalları, kodu yürüten bir çekme isteği oluşturarak kendi kendine barındırılan koşucu makinenizde potansiyel olarak tehlikeli kod çalıştırabilir” bir iş akışında”
- Vurgulayıcı ve Çıkarıcı (HaE) – Paris merkezli kitle kaynaklı güvenlik platformu YesWeHack, savunmasız kod modellerini, hataları, yansımaları ve daha fazlasını pasif bir numaralandırma sürecinde tespit etmeye yardımcı olmak için istekleri ve/veya yanıtları toplayan, kategorilere ayıran ve vurgulayan bir Burp Suite uzantısı yayınladı.
- PyCript – Başka bir Burp Suite uzantısı, bu kez Python ve NodeJS ile manuel ve otomasyon testi için özel mantık yoluyla istemci tarafı şifrelemenin atlanmasına izin veriyor
- SeeProxy – CobaltStrike şekillendirilebilir profil doğrulaması ile Golang ters proxy
- CVE-2022-47966 Tarayıcı – En az 24 şirket içi ManageEngine ürününü etkileyen ve şu anda aktif olarak istismar edilen kritik RCE hatasına maruz kalma durumunuzu değerlendirin
Daha fazla endüstri haberi
- NIST, olası güncellemeleri (PDF) takip eder. NIST Siber Güvenlik Çerçevesi ve infosec topluluğunu geri bildirimde bulunmaya davet ediyor
- Diğer ABD federal ajansı haberlerinde, NSA sorunları IPv6 güvenlik kılavuzu (PDF), CISA, Mitre Attack Framework (PDF) ile eşleme için en iyi uygulamaları günceller ve CISA, NSA ve MS-ISAC, yasal uzaktan izleme ve yönetim (RMM) yazılımının kötü niyetli kullanımına karşı birlikte uyarır (PDF)
- Google dokümanları, etkiyi azaltmak için yetkili ad sunucularına gönderilen DNS sorgu adlarının büyük/küçük harf rasgeleleştirilmesinden yararlanma konusunda ilerleme kaydediyor. önbellek zehirlenmesi saldırıları
- Google ayrıca, TrustCor Systems’ı Chrome için kök sertifika yetkilisi (CA) olarak bırakma niyetini takip ederek, sertifikalarını tanımayı sonlandırmak için bir zaman çizelgesi onaylıyor
- Bulut tabanlı siber saldırılar Kötü niyetli bilgisayar korsanları dijital dönüşüm trendindeki fırsatları gözetledikçe yıldan yıla %48 arttı – Check Point raporu
ÖNCEKİ BASKI Serileştirilmiş web güvenliği toplaması – Slack ve Okta ihlalleri, gevşek ABD hükümeti şifreleri raporu ve daha fazlası