普普每日安全咨询一周概览(06.08—06.14)

作者:

时间:
2020-06-19

2020.06.08 周一



01

 欧洲交通灯曝出严重安全漏洞,可导致道路混乱

德国工业网络安全咨询公司ProtectEM在对德国某城市进行安全审核时发现部署在欧洲道路上的交通信号灯控制器存在一个严重漏洞,可能导致“持续的交通混乱”。

默认情况下,控制交叉路口交通信号灯的硬件调试端口为打开状态,从而使攻击者无需旁路访问控制即可获得root用户访问权限。

该漏洞技术门槛较低而且可以远程利用,其仅是一个配置错误而不是软件bug。ProtectEM演示了一种利用配置错误进行自动攻击可能同时停用所有交通信号灯的情况,交通信号灯将从闪烁的黄灯灯变为红色,这可能导致持续的交通混乱。但不能将所有指示灯设置为绿色,此设置被基本的安全机制阻止了。

通过路由驱动程序来访问内部设备,就可以访问应用程序控制和I/O级别,无需特定领域知识,攻击者只需要具备一般的嵌入式编程和系统技能就可以实现。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

任何系统只要放在开放的互联网上,利用就会变得容易,日益连接的系统忽略了网络安全性,因此供应商必须加强他们的关注点、专业知识和流程。


2020.06.09 周二


01

 API的安全危机

1、损坏的对象级别授权:API倾向于暴露那些处理对象识别的端点,造成了广泛的攻击面访问控制问题;

2、损坏的用户身份验证:身份验证机制通常实施不正确,从而使攻击者可以破坏身份验证令牌或利用实施缺陷来临时或永久地假冒其他用户的身份;

3、数据泄露过多:开发人员倾向于公开所有对象属性而不考虑其个体敏感性,依靠客户端执行数据过滤并显示;

4、缺乏资源和速率限制:API不会对客户端/用户可以请求的资源大小或数量施加任何限制;

6、批量分配:将客户端提供的数据绑定到数据模型,而没有基于白名;单的适当属性过滤;

7、注入:当不受信任的数据作为命令或查询的一部分发送到解释器时会发生注入缺陷,例如SQL、NoSQL的命令注入等。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

API连接的已经不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态,但是API面临的安全威胁,却很容易被决策者忽视或轻视。


2020.06.10 周三


01

 过去一年半80%的企业遭受云数据泄露

调查显示,云安全问题正在急剧恶化,在过去的18个月中,近80%的公司至少经历了一次云数据泄露,而43%的公司报告了10次或更多泄露。

接受调查的大多数公司已经在使用IAM、数据防泄漏、数据分类和特权帐户管理产品,但仍有超过一半的公司声称这些产品不足以保护云环境,事实上,三分之二的受访者将云原生授权和许可管理,以及云安全配置列为高度优先事项。

调查反馈,安全相关的配置错误(67%),对访问设置和活动缺乏足够的可见性(64%)以及身份和访问管理(IAM)许可错误(61%)是他们最关注的云生产环境安全问题,有80%的人报告他们无法识别IaaS / PaaS环境中对敏感数据的过度访问,在数据泄露的根源方面,只有黑客攻击排名高于配置错误。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

云安全为诸多企业提供了便利性,同时也面临着风险和挑战,当前首要安全挑战是专业人才的不足,而且没有满足需求的云安全解决方案。


2020.06.11 周四


01

 合法软件沦为勒索工具

近日,安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索工具。

黑客通过RDP暴破等方式远程登录目标服务器后,上传合法加密软件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及脚本文件copys.bat,人工运行BestCrypt Volume Encryption进行勒索加密,通过对磁盘进行加密卸载,然后运行copys.bat复制勒索信息文件到指定目录并关机。由于用于加密的是正规软件而非病毒,整个过程不存在病毒文件,通过文件查杀的方式通常无法进行防御。

勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,应严格注意日常防范,不要点击来源不明的邮件附件,不从不明网站下载软件,尽量关闭不必要的文件共享权限,更改账户密码,设置强密码,避免使用统一密码。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

建议企业用户及时为电脑打补丁,修复漏洞,对重要的数据文件定期进行非本地备份,企业应对全网进行安全检查和杀毒扫描,加强防护工作。


2020.06.12 周五


01

 安卓手机主流解锁方法安全性分析

图案解锁:用户在屏幕上滑动出预先设定的线条图案来解锁手机,其强度取决于图案的复杂程度,图案模式越简单,越容易被他人偷窥或“暴力破解”;

PIN/密码:在开机密码之外设置SIM卡PIN码,最大限度防止SIM卡被未授权使用或者复制,四位数密码聊胜于无,应当选择6-8位屏幕解锁密码;

指纹识别:指纹识别技术卖点五花八门,但总体上属于同一种生物识别技术,指纹识别解锁依然是公认的最快捷最安全的方式之一,指纹识别并非万无一失,攻击者可从照片和其他来源窃取指纹;

面部识别:面部识别可能是最不安全的技术之一,2019 年人脸识别技术相关的安全和隐私问题已经多次曝光,尽管普遍认为人脸识别过程相当复杂,但事实是它基本上取决于前置摄像头和某些软件。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

安卓手机目前有很多屏幕解锁技术可选,最安全的做法是选择两种或者多种安全技术组合,最安全的选择是足够长且复杂的PIN或密码,其次是指纹扫描,人脸识别是最不安全的选择。


2020.06.13 周六


01

 福昕软件曝出大量高危漏洞

近日,福昕软件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的远程代码执行漏洞。

据悉,福昕软件已经发布了补丁,修补了Windows版Foxit Reader和Foxit PhantomPDF中与20个CVE相关的严重漏洞,其中一些漏洞使远程攻击者可以在易受攻击的系统上执行任意代码。

Foxit Reader是流行的PDF软件,其免费版本的用户群超过5亿,它提供了用于创建,签名和保护PDF文件的工具,同时,PhantomPDF使用户可以将不同的文件格式转换为PDF,除了数以百万计的品牌软件用户外,亚马逊,谷歌和微软等大型公司还许可福昕软件技术,从而进一步扩大了攻击面。

根据趋势科技ZDI 漏洞分析,在针对这些漏洞的攻击情形中,“需要用户交互才能利用此漏洞,因为目标必须访问恶意页面或打开恶意文件” 。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

近年来,多款办公软件被爆出存在高危漏洞,对企业和个人来说应提高警惕,从正版厂商购买只是方式之一,还应注意下载办公软件的来源,避免捆绑下载。


2020.06.14 周日


01

 APP端常见漏洞与实例分析

1、逻辑漏洞:这类漏洞包括水平越权、任意密码重置、任意用户登录、薅羊毛、验证码回传等漏洞。要仔细观察数据在交互的时候,更改某些参数,返回的数据是否会发生改变,或验证码回传,接收短信验证码观察前端源代码看短信验证码是否存在源码当中,或是否存在验证码生成函数。这类漏洞往往会造成任意大量信息泄露、可登录任意用户账号执行危险操作等危害;

2、短信验证码可进行爆破:发送短信验证码时,如果发出的验证码太短,设置验证时间较长,且输入验证码次数不限,那么我们就可以进行爆破验证码;

3、xss漏洞:这类漏洞常见于留言、邮件、评论等地方,由于对传入的内容没有进行过滤,导致此漏洞的产生。


普普评述

普普每日安全咨询一周概览(06.08—06.14)

由于现在APP开发随处可见,但是懂安全的程序员屈指可数,APP端上出现漏洞的概率大于web端,尤其是某些小众的APP,出现上述漏洞的现象数不胜数。