一篇来自Security Week的文章，讨论凭证泄漏导致的API漏洞不断增长。最近的一项调查发现，超过一半的美国专业人士曾遭受过API漏洞，但77％人认为他们的组织有效地管理了API令牌。这听起来有点矛盾，因为很多专业人士对他们的凭证管理很有信心，但还是会发生凭证相关的API漏洞情况。研究结果表明，这种明显的矛盾背后有三个主要原因：缺乏对现有API组合的可视性；使用的API数量太多难以跟踪；低估了管理API凭证所需的时间和精力。这项调查可以看出凭证管理成本在不断上升，但问题只会加剧，因为API扩散不断增加，构建环境变得更加分散，需要更多的凭证分发和管理。面对这些挑战，组织只能选择忽略问题或投入更多的金钱来解决凭证管理所带来的问题。

近日，奇安信威胁情报中心通过日常分析运营发现多款二次打包并携带木马后门的恶意安装包样本，恶意安装包内包含“向日葵远控”、“钉钉”、“WPS”等常用工具软件，攻击者伪造官网界面网页诱使用户下载，上述木马化安装包样本与之前奇安信威胁情报中心2023年4月上旬发现的被恶意重新打包加入了木马的“企业微信”安装包样本恶意代码逻辑、恶意行为高度相似，判断攻击者属于同一个黑产组织。上述三个恶意安装包样本与被重新打包加入木马的“企业微信”样本恶意行为如下：搭建阿里云服务器提供下载、伪造官网诱使用户下载。用户安装过程中会释放多个恶意文件并在内存中加载BigWolf RAT，实现对受害主机窃取浏览器记录、聊天软件记录、窃取按键记录等窃密行为。

研究人员最近发现了一种新的攻击方法，通过使用iphone或商业监控系统中的摄像头，记录下读卡器或智能手机打开时显示的电源LED，可以恢复存储在智能卡和智能手机中的秘密加密密钥。这些攻击提供了一种利用两个先前披露的侧信道的新方法，侧信道攻击是通过加密软件或硬件运行时产生的各种泄漏信息获取密文信息。在狭义上讲，侧信道攻击特指针对密码算法的非侵入式攻击，通过加密电子设备在运行过程中的侧信道信息泄露破解密码算法，狭义的侧信道攻击主要包括针对密码算法的计时攻击、能量分析攻击、电磁分析攻击等，这类新型攻击的有效性远高于密码分析的数学方法，因此给密码设备带来了严重的威胁。通过仔细监控功耗、声音、电磁发射或操作发生所需的时间等特征，攻击者可以收集足够的信息来恢复支撑加密算法安全性和机密性的密钥。

近日，安识科技A-Team团队监测到一则Grafana组件存在身份认证绕过漏洞的信息，漏洞编号：CVE-2023-3128，漏洞威胁等级：高危。该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的，容易被修改。攻击者可在未授权的情况下，利用该漏洞构造恶意数据，执行身份认证绕过攻击，最终接管受影响的Grafana账户。Grafana是一款开源的数据可视化和监控平台，它可以帮助用户通过各种数据源创建和共享交互式、可定制的仪表盘和报表。主要用于监控和分析Graphite、InfluxDB和Prometheus等。该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的，容易被修改。目前受影响的Grafana版本：10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

6月30日，网宿科技子品牌网宿安全在线上召开2022年度互联网安全报告发布会，正式发布《2022年Web安全观察报告》(以下简称《报告》、《零信任安全白皮书》以及《SASE安全访问服务边缘白皮书》。

《报告》折射出Web安全面临的威胁愈发严峻，主要体现在几大方面：一是高危Web漏洞持续爆发；二是API已成灰黑产的头号攻击目标；三是DDoS攻击翻番增长，Tbps级别成为常态；四是Bot攻击成倍攀升，自动化攻击强度加大；五是在线业务欺诈风险显著提高；六是多样化威胁层出不穷，亟需新的安全防护方案。

具体来看，2022年，网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用，并且诸如Apache Fineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞等大量新的高危漏洞不断涌现。而针对API的攻击占比首次突破50%，达到了58.4%，API上升为黑产攻击的头号目标。

近期，研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕，该版本具有改进的能力，可以建立持久性并避免被安全软件发现。安全实验室的研究人员在本周发表的一份报告中表示：RustBucket的变种是一个针对macOS系统的恶意软件集合，它增加了持久隐藏能力，同时利用动态网络基础设施方法进行指挥和控制。该恶意软件于2023年4月曝光，当时Jamf威胁实验室将其描述为一个基于AppleScript的后门，能够从远程服务器检索第二级有效载荷。第二阶段的恶意软件是用 Swift 编译的，旨在从命令和控制 （C2） 服务器下载主要恶意软件，这是一种基于 Rust 的二进制文件，具有收集大量信息以及在受感染系统上获取和运行其他 Mach-O 二进制文件或 shell 脚本的功能。BlueNoroff恶意软件是第一个专门针对macOS用户的例子，现在.NET版本的RustBucket已经以类似的功能在野外浮出水面。

流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击，导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击，影响了政府、金融、IT服务、能源、大学等多个行业的众多组织，受害者遍布美国、英国、加拿大、法国、以色列等20多个国家和地区，暴露了数百万人的个人敏感数据。

最近备受瞩目的受害者包括大型能源公司施耐德电气、西门子能源和霍尼韦尔自动化。三家公司均已确认成为MOVEit泄露事件的目标，但数据泄露的程度仍不清楚。

政府机构也因该漏洞而遭受损失。美国能源部在内的联邦机构已报告受到MOVEit漏洞的影响。美国卫生与公共服务部(HHS) 披露了一起涉及超过10万人敏感信息泄露的事件。

教育行业也未能幸免。美国国家学生信息交换所是一个与数千所学校合作的非营利组织，发现自己处于潜在重大违规行为的中心，45,000名纽约市公立学校学生的信息因该漏洞而被泄露。