一篇來自Security Week的文章，討論憑證泄漏導致的API漏洞不斷增長。最近的一項調(diào)查發(fā)現(xiàn)，超過一半的美國專業(yè)人士曾遭受過API漏洞，但77％人認為他們的組織有效地管理了API令牌。這聽起來有點矛盾，因為很多專業(yè)人士對他們的憑證管理很有信心，但還是會發(fā)生憑證相關的API漏洞情況。研究結(jié)果表明，這種明顯的矛盾背后有三個主要原因：缺乏對現(xiàn)有API組合的可視性；使用的API數(shù)量太多難以跟蹤；低估了管理API憑證所需的時間和精力。這項調(diào)查可以看出憑證管理成本在不斷上升，但問題只會加劇，因為API擴散不斷增加，構(gòu)建環(huán)境變得更加分散，需要更多的憑證分發(fā)和管理。面對這些挑戰(zhàn)，組織只能選擇忽略問題或投入更多的金錢來解決憑證管理所帶來的問題。

近日，奇安信威脅情報中心通過日常分析運營發(fā)現(xiàn)多款二次打包并攜帶木馬后門的惡意安裝包樣本，惡意安裝包內(nèi)包含“向日葵遠控”、“釘釘”、“WPS”等常用工具軟件，攻擊者偽造官網(wǎng)界面網(wǎng)頁誘使用戶下載，上述木馬化安裝包樣本與之前奇安信威脅情報中心2023年4月上旬發(fā)現(xiàn)的被惡意重新打包加入了木馬的“企業(yè)微信”安裝包樣本惡意代碼邏輯、惡意行為高度相似，判斷攻擊者屬于同一個黑產(chǎn)組織。上述三個惡意安裝包樣本與被重新打包加入木馬的“企業(yè)微信”樣本惡意行為如下：搭建阿里云服務器提供下載、偽造官網(wǎng)誘使用戶下載。用戶安裝過程中會釋放多個惡意文件并在內(nèi)存中加載BigWolf RAT，實現(xiàn)對受害主機竊取瀏覽器記錄、聊天軟件記錄、竊取按鍵記錄等竊密行為。

研究人員最近發(fā)現(xiàn)了一種新的攻擊方法，通過使用iphone或商業(yè)監(jiān)控系統(tǒng)中的攝像頭，記錄下讀卡器或智能手機打開時顯示的電源LED，可以恢復存儲在智能卡和智能手機中的秘密加密密鑰。這些攻擊提供了一種利用兩個先前披露的側(cè)信道的新方法，側(cè)信道攻擊是通過加密軟件或硬件運行時產(chǎn)生的各種泄漏信息獲取密文信息。在狹義上講，側(cè)信道攻擊特指針對密碼算法的非侵入式攻擊，通過加密電子設備在運行過程中的側(cè)信道信息泄露破解密碼算法，狹義的側(cè)信道攻擊主要包括針對密碼算法的計時攻擊、能量分析攻擊、電磁分析攻擊等，這類新型攻擊的有效性遠高于密碼分析的數(shù)學方法，因此給密碼設備帶來了嚴重的威脅。通過仔細監(jiān)控功耗、聲音、電磁發(fā)射或操作發(fā)生所需的時間等特征，攻擊者可以收集足夠的信息來恢復支撐加密算法安全性和機密性的密鑰。

近日，安識科技A-Team團隊監(jiān)測到一則Grafana組件存在身份認證繞過漏洞的信息，漏洞編號：CVE-2023-3128，漏洞威脅等級：高危。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。攻擊者可在未授權(quán)的情況下，利用該漏洞構(gòu)造惡意數(shù)據(jù)，執(zhí)行身份認證繞過攻擊，最終接管受影響的Grafana賬戶。Grafana是一款開源的數(shù)據(jù)可視化和監(jiān)控平臺，它可以幫助用戶通過各種數(shù)據(jù)源創(chuàng)建和共享交互式、可定制的儀表盤和報表。主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。目前受影響的Grafana版本：10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

6月30日，網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報告發(fā)布會，正式發(fā)布《2022年Web安全觀察報告》(以下簡稱《報告》、《零信任安全白皮書》以及《SASE安全訪問服務邊緣白皮書》。

《報告》折射出Web安全面臨的威脅愈發(fā)嚴峻，主要體現(xiàn)在幾大方面：一是高危Web漏洞持續(xù)爆發(fā)；二是API已成灰黑產(chǎn)的頭號攻擊目標；三是DDoS攻擊翻番增長，Tbps級別成為常態(tài)；四是Bot攻擊成倍攀升，自動化攻擊強度加大；五是在線業(yè)務欺詐風險顯著提高；六是多樣化威脅層出不窮，亟需新的安全防護方案。

具體來看，2022年，網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個變種漏洞的利用，并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗證錯誤漏洞等大量新的高危漏洞不斷涌現(xiàn)。而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產(chǎn)攻擊的頭號目標。

近期，研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕，該版本具有改進的能力，可以建立持久性并避免被安全軟件發(fā)現(xiàn)。安全實驗室的研究人員在本周發(fā)表的一份報告中表示：RustBucket的變種是一個針對macOS系統(tǒng)的惡意軟件集合，它增加了持久隱藏能力，同時利用動態(tài)網(wǎng)絡基礎設施方法進行指揮和控制。該惡意軟件于2023年4月曝光，當時Jamf威脅實驗室將其描述為一個基于AppleScript的后門，能夠從遠程服務器檢索第二級有效載荷。第二階段的惡意軟件是用 Swift 編譯的，旨在從命令和控制 （C2） 服務器下載主要惡意軟件，這是一種基于 Rust 的二進制文件，具有收集大量信息以及在受感染系統(tǒng)上獲取和運行其他 Mach-O 二進制文件或 shell 腳本的功能。BlueNoroff惡意軟件是第一個專門針對macOS用戶的例子，現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面。

流行的文件傳輸工具MOVEit Transfer中的漏洞引發(fā)了廣泛的后利用攻擊，導致網(wǎng)絡安全形勢岌岌可危。黑客利用這一安全漏洞發(fā)起了一系列攻擊，影響了政府、金融、IT服務、能源、大學等多個行業(yè)的眾多組織，受害者遍布美國、英國、加拿大、法國、以色列等20多個國家和地區(qū)，暴露了數(shù)百萬人的個人敏感數(shù)據(jù)。

最近備受矚目的受害者包括大型能源公司施耐德電氣、西門子能源和霍尼韋爾自動化。三家公司均已確認成為MOVEit泄露事件的目標，但數(shù)據(jù)泄露的程度仍不清楚。

政府機構(gòu)也因該漏洞而遭受損失。美國能源部在內(nèi)的聯(lián)邦機構(gòu)已報告受到MOVEit漏洞的影響。美國衛(wèi)生與公共服務部(HHS) 披露了一起涉及超過10萬人敏感信息泄露的事件。

教育行業(yè)也未能幸免。美國國家學生信息交換所是一個與數(shù)千所學校合作的非營利組織，發(fā)現(xiàn)自己處于潛在重大違規(guī)行為的中心，45,000名紐約市公立學校學生的信息因該漏洞而被泄露。