На этой неделе в разделе «Безопасность»: React, форматирование в формате JSON и возвращение Шаи Хулуда
После недельного перерыва, в течение которого мы объедались запеканкой из индейки и сладкого картофеля, мы возвращаемся, чтобы узнать больше новостей о безопасности! И если вам нужно что-то, чтобы вывести вас из этой индюшачьей комы, React Server имеет ошибку удаленного выполнения кода с одним запросом в версиях 19. 0. 1, 19. 1. 2 и 19. 2. 1.
Проблема заключается в небезопасной десериализации в протоколе полета, реализованной непосредственно в React Server, и примечательно, что также используется в Next. js. Обе эти организации выпустили рекомендации по безопасности для CVSS 10. 0 CVEs.
Есть сообщения о публичном доказательстве концепции (PoC), но в репозитории, на который была дана ссылка, явно указано, что это не настоящий PoC, а просто исследование того, как может работать уязвимость. Насколько я могу судить, публичного PoC пока нет, но авторитетные исследователи смогли разобраться в проблеме. Это означает, что попытки массовой эксплуатации не за горами, если они еще не начались.
Юридический искусственный интеллект нарушает адвокатскую тайну
Мы часто скрываем недостатки в системе безопасности, которые обнаруживаются простым просмотром исходного кода веб-интерфейса. [Алекс Шапиро] вышел за рамки служебного долга, вручную просмотрев сокращенный JS, чтобы обнаружить крупную утечку данных в легальном ИИ Filevine. И что самое приятное, на этот раз проблема даже не в ИИ-агенте.
История начинается с перечисления поддоменов — процесса поиска в записях DNS, результатах Google и других источниках допустимых поддоменов. В результате был получен допустимый поддомен и не совсем допустимая конечная веб-точка. Именно здесь [Алекс] начал копаться в Javascript и нашел конечную точку Amazon AWS и ссылку на BOX_SERVICE. Выполнение запросов к указанной конечной точке привело к появлению в ответе как boxFolders, так и boxToken. Что это такое и что такое Box?Box — это система обмена файлами, похожая на Google Drive или даже Microsoft Sharepoint. И этот boxToken был действительным токеном уровня администратора для реальной юридической фирмы, содержащим множество конфиденциальных записей. Именно в этот момент [Алекс] перестал взаимодействовать с конечными точками Filevine и связался с их службой безопасности. Решение было принято довольно быстро, и когда [Алекс] месяц спустя повторно протестировал ошибку, она была исправлена.
Форматирование в формате JSON как услуга
В Интернете полно полезных инструментов, и я конечно, все мы пользуемся ими время от времени. Или, может быть, я единственный ленивый, который вводит математическую задачу в Google вместо того, чтобы открыть специальную программу-калькулятор. Я также виноват в том, что вставил данные base64 на веб-сайт для преобразования вместо того, чтобы просто передать их через base64 и xxd в терминале. Исследователи Watchtowr, по-видимому, знакомы с такой эффективностью, как JsonFormatter и CodeBeautify. У этих двух инструментов есть интересная особенность: функция онлайн-сохранения.
Вы можете увидеть, к чему это приводит. Многие из нас используют Github Gists, который поддерживает секретные файлы, защищенные длинными случайными URL-адресами. JsonFormatter и CodeBeautify не подходят. Эти URL-адреса достаточно короткие, чтобы их можно было перечислить, не говоря уже о том, что на обоих сайтах есть страница с недавними ссылками. На обоих сайтах сохранено более 80 000 фрагментов JSON. Что может пойти не так? Не весь этот JSON был предназначен для публичного использования. Нетрудно предположить, что JSON, содержащий секреты, просочился через эти сайты.
А затем перейдем к главному вопросу: кто-нибудь следит за этим? Исследователи Watchtowr дополнили файл JSON, содержащий Canarytoken, учетными данными AWS. Файл JSON был сохранен с учетом 24-часового тайм-аута, а 48 часов спустя был активирован Canarytoken. Это означает, что кто-то просматривает и собирает эти фрагменты JSON и ищет секреты. Мораль? Не загружайте свои пароли на общедоступные сайты.
Шаи Хулуд восстает снова
В NPM по-прежнему происходят сбои в системе безопасности, и червь Шаи Хулуд снова появляется, обладая некоторыми улучшенными возможностями. На этот раз автоматизированному червю удалось заразить 754 посылки. В нем есть новый трюк: передача украденных секретных данных непосредственно в хранилища GitHub, чтобы преодолеть ограничение скорости, с которым этот червь столкнулся в первый раз. В ходе этой волны было зарегистрировано более 33 000 уникальных учетных данных. Когда исследователи из GitGuardian проверили этот список пару дней спустя, около 10% из них все еще были действительны.
Эта волна была запущена с помощью учетных данных PostHog, которые позволили вредоносному по обновить пакет PostHog NPM. Природа Node. js означает, что этот червь смог очень быстро распространиться по пакетам, в которых разработчики использовали этот пакет. Версия 2. 0 Shai Hulud также содержит еще один неприятный сюрприз в виде механизма дистанционного управления, тайно установленного на взломанных компьютерах. Это означает, что это не последний раз, когда мы увидим, как Shai Hulud создает проблемы.
Биты и байты
[Vortex] из ByteRay изучили промышленный сотовый маршрутизатор и обнаружили пару серьезных проблем. У этого маршрутизатора ALLNET есть RCE из-за обработки CGI не прошедших проверку подлинности HTTP-запросов. Для запуска кода от имени root требуется буквально /cgi-bin/popen. cgi?command=whoami. Это не единственная проблема, поскольку есть также жестко запрограммированные имя пользователя и пароль. [Vortex] смог получить информацию об учетной записи с черного хода и использовать hashcat для взлома пароля. Мне не удалось подтвердить, доступна ли исправленная прошивка.
Google устала от того, что ее пользователи становятся жертвами телефонных звонков и текстовых сообщений, связанных со спамом. Их последним шагом в борьбе с подобными мошенничествами является защита от мошенничества при звонках. По сути, это позволяет обнаружить банковское приложение, которое было открыто в результате телефонного звонка. При обнаружении этого сценария отображается диалоговое окно с предупреждением, в котором пользователю предлагается завершить вызов и ввести 30-секундный период ожидания. Хотя это может показаться ужасным для искушенных пользователей, это, вероятно, поможет предотвратить мошенничество с нашими родителями, бабушками и дедушками.
То, что казалось всего лишь сетью сайтов, занимающихся незаконными азартными играми, теперь, похоже, является прикрытием для расширенной постоянной угрозы (APT). Кстати, этот термин обычно относится к хакерским атакам, спонсируемым правительством. В данном случае, вместо мошенничества с азартными играми, направленного против индонезийцев, речь, по-видимому, идет о западной инфраструктуре. Одним из самых веских аргументов в пользу этого утверждения является тот факт, что эта сеть работает уже более 14 лет и включает в себя ошеломляющие 328 000 доменов. Довольно странный домен.
Другие статьи: