漏洞情报｜YAPI远程代码执行0day漏洞风险预警

近日，腾讯主机安全（云镜）捕获到YAPI远程代码执行0day漏洞在野利用，该攻击正在扩散。受YAPI远程代码执行0day漏洞影响，大量未部署任何安全防护系统的云主机已经失陷。

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

YAPI使用mock数据/脚本作为中间交互层，其中mock数据通过设定固定数据返回固定内容，对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容，本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，因此可以在脚本中植入命令，等用户访问接口发起请求时触发命令执行。

普普点评：

该漏洞暂无补丁，普普建议受影响的用户参考以下方案缓解风险：

1.部署防火墙实时拦截威胁；

2.关闭YAPI用户注册功能，阻断攻击者注册；

3.删除恶意已注册用户，避免攻击者再次添加mock脚本；

4.删除恶意mock脚本，防止被再次访问触发；

卡巴斯基密码管理器或生成“弱密码”？

近日，一位安全研究人员称，卡巴斯基密码管理器中的一个漏洞导致其创建的密码安全性降低，攻击者可以在几秒钟内对其进行暴力破解。由俄罗斯安全公司卡巴斯基开发的卡巴斯基密码管理器(KPM)不仅能让用户安全地存储密码和文档，还能在需要时生成密码。存储在KPM保管库中的所有敏感数据均受主密码保护。该应用程序适用于Windows、macOS、Android和iOS，即使是敏感数据也可以通过网络访问。

KPM能够默认生成12个字符的密码，但允许用户通过修改KPM界面中的设置（例如密码长度、大小写字母、数字和特殊字符的使用）来进行密码个性化修改。

该漏洞被跟踪为CVE-2020-27020，与使用非加密安全的伪随机数生成器(PRNG)有关。桌面应用程序使用Mersenne Twister PRNG，而网络版本使用Math.random()函数，这些函数都不适合生成加密安全信息。

普普点评：

这一漏洞造成的后果显然很糟糕，每个密码都可能被暴力破解。例如，2010年和2021年之间有315619200秒，因此KPM最多可以为给定的字符集生成315619200个密码，暴力破解它们只需要几分钟时间。这一漏洞造成的后果显然很糟糕，每个密码都可能被暴力破解。例如，2010年和2021年之间有315619200秒，因此KPM最多可以为给定的字符集生成315619200个密码，暴力破解它们只需要几分钟时间。

Android加密货币欺诈APP泛滥 已窃取用户大量金钱

以比特币为代表的加密货币近年来一直受到投资者的追捧，并让数字资产真正成为主流。即便相较于 4 月的最高峰已损失了一半的价值，但一枚比特币的价值依然超过 32000 美元。这让不少人心动参与到挖矿大潮中，但其中也充斥着各种骗局，成千上万的用户的钱因此被盗。

近日，网络安全公司 Lookout 发布了一份关于恶意加密货币挖矿应用程序的详细报告。他们的安全研究人员确定了170多个诈骗应用程序，这些应用程序声称提供云加密货币采矿服务，并收取费用。他们实际上没有开采任何东西，但他们会拿你的钱。

在报告中写道：“这些应用程序的全部理由是通过合法的支付程序从用户那里偷钱，但从不提供承诺的服务。根据我们的分析，他们诈骗了超过 93000 人，在用户支付应用程序和购买额外的假升级和服务之间至少盗取了 35 万美元”。

普普点评：

许多应用程序都有预付费用，所以即使你从未使用它们，骗子也已经拿到了你的钱。为了让用户继续使用，他们会在其应用程序内出售升级和订阅服务。用户也不允许提取他们的收入，直到他们达到最低余额。即使他们达到了提现余额，这些应用程序也只是显示错误信息或重新设置余额。

摩根斯坦利遭黑客攻击发生数据泄漏美元

摩根士丹利(Morgan Stanley)公司在其上周四的报告中声称，攻击者通过入侵第三方供应商的Accellion FTA服务器窃取了属于其客户的个人信息，导致数据泄漏。

摩根士丹利是一家领先的全球金融服务公司，在全球范围内提供投资银行、证券、财富和投资管理服务。这家美国跨国公司的客户包括超过41个国家的公司、政府、机构和个人。

Guidehouse是一家为摩根士丹利的StockPlan Connect业务提供账户维护服务的第三方供应商，该公司今年5月通知摩根士丹利，攻击者入侵了其Accellion FTA 服务器，窃取了属于摩根士丹利股票计划参与者的信息。

Guidehouse服务器在今年1月因Accellion FTA漏洞被利用而遭到入侵，Guidehouse在3月发现了这一漏洞，并于5月发现了对摩根士丹利客户的影响，并通知对方，目前没有发现被盗数据在线传播的证据。

到目前为止，此类攻击的受害者包括能源巨头壳牌、网络安全公司Qualys公司、新西兰储备银行、新加坡电信、超市巨头克罗格、澳大利亚证券和投资委员会(ASIC)，以及多所大学和其他组织。

普普点评：

该事件涉及Guidehouse拥有的文件，其中包括来自摩根士丹利的加密文件。虽然被盗文件以加密形式存储在受感染的Guidehouse Accellion FTA服务器上，但攻击者在攻击过程中还获得了解密密钥。

《网络产品安全漏洞管理规定》将于9日1日起施行

7月13日下午消息，工业和信息化部、国家互联网信息办公室、公安部三部门联合印发《网络产品安全漏洞管理规定》。该规定旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，并且规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务。

通知如下：

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、公安厅(局)，各省、自治区、直辖市通信管理局：

现将《网络产品安全漏洞管理规定》予以发布，自2021年9月1日起施行。

                                           工业和信息化部 国家互联网信息办公室 公安部

                                                                                            2021年7月12日

普普点评：

该规定旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，并且规范漏洞发现、报告、修补和发布等行为，明确网络组织或个人等各类主体的责任和义务。

今年第三次了！LinkedIn 6亿用户资料被兜售

短短四个月来，LinkedIn已经经历了两次大规模数据泄露事件，如今第三次泄露又“如约而至”。近日，数亿名LinkedIn用户的个人资料再度出现在黑客论坛上，不过销售价格暂未公开。

这一次，论坛用户发帖称出售的信息来自共6亿份LinkedIn个人资料。

对方表示，此次出售的数据是最新的，而且质量要比之前收集的数据“更好”。

在论坛公布的样本数据中，可以看到相关用户的全名、邮件地址、社交媒体账户链接以及用户在自己LinkedIn个人资料中公开的其他数据等。虽然看似不太敏感，恶意攻击者仍然可以利用这些信息通过社会工程方式轻松找到新的侵扰目标。LinkedIn拒绝将恶意抓取视为安全问题，但这显然会令犯罪分子更加肆无忌惮，以不受任何惩罚的方式收集更多受害者的数据。

算上这一次，LinkedIn公司在短短四个月当中已经遭遇三轮大规模数据抓取事件，但这家职场社交巨头对此似乎仍然态度消极。犯罪分子仍能够在几乎毫无反抗的情况下收集用户相关信息，很难理解LinkedIn为什么不上线强大的反抓取机制以打击这批恶意第三方。

普普点评：

如果您怀疑自己的LinkedIn个人资料数据可能已经被恶意人士抓取，我们建议您：在公开的LinkedIn个人资料中删除电子邮件地址及电话号码，避免后续再次被恶意第三方所窃取；更换LinkedIn与电子邮件账户密码；在所有在线账户上启用双因素身份验证（2FA）功能；当心社交媒体上的可疑消息与来自陌生人的连接请求；考虑使用密码管理器创建唯一强密码并安全存储。

零日漏洞攻击持续高发，谷歌又发现4个被在野利用

2021年上半年，全球公开披露有33个零日漏洞被用于网络攻击，比2020年全年总数还多了11个。

谷歌安全最新披露4个已遭在野利用的零日漏洞，其中前三个疑似由某漏洞经纪人多次售卖，第四个被用于攻击西欧国家；

据谷歌安全统计，2021年上半年，全球公开披露有33个零日漏洞被用于网络攻击，比2020年全年总数还多了11个；

虽然公开披露被在野利用的零日漏洞数量大量增加，但谷歌安全团队认为，更多的检测和披露工作也促成了这种上升趋势。

7月14日消息，谷歌安全团队发布新博客，就今年网络攻击活动中出现的四个零日漏洞进行了技术细节披露，并提醒已经有黑客利用这些漏洞向部分用户发动高度针对性攻击。

谷歌表示，以下几个零日漏洞已被用于攻击Chrome、IE以及iOS浏览器Safari的用户：

CVE-2021-21166、CVE-2021-30551 ：针对Chrome；

CVE-2021-33742：针对IE；

CVE-2021-1879 ：针对WebKit (Safari)。

普普点评：

有多种因素可能会导致被披露在野零日漏洞数量的上升。一方面，是各方检测和披露越来越多，比如苹果今年就开始披露漏洞是否遭在野利用，研究人员也变得更多；另一方面，为了提高利用成功率，基于平台安全成熟度提升、移动平台的增加、漏洞经纪人增多、安全防护水平的提升等原因，攻击者也可能使用更多的零日漏洞。