北京安域领创科技有限公司
安全通告
报告周期:2022年2月第三周
(2022年2月14日-2022年2月18日)
目 录
1本周漏洞通告
1.1漏洞一:Victor CMS posts.php SQL注入漏洞
1.2漏洞二:Cisco Umbrella信息泄露漏洞
1.3漏洞三:PrinterLogic Web Stack服务器端请求伪造漏洞
1.4漏洞四:Tensorflow输入验证错误漏洞
1.5漏洞五:Apache Dubbo格式化字符串错误漏洞
2本周病毒木马通告
2.1本周流行病毒木马统计
2.1.1现代前后端分离式应用API渗透测试探究
3安全事件通告
3.1本周国内外安全事件通告
3.1.1犯罪集团持有超过 250 亿美元加密货币 它们来自众多非法来源
3.1.2红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击
3.1.3研究报告显示 2021 年加密货币牛市使犯罪分子更加富有
3.1.4去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中
3.1.5FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
1 本周漏洞通告
1.1漏洞一:Victor CMS posts.php SQL注入漏洞
发布时间 |
2022-02-18 |
更新时间 |
2022-02-18 |
CNVD-ID |
CNVD-2022-11527 |
漏洞危害级别 |
高 |
影响产品 |
Victor CMS Victor CMS 1.0 |
漏洞类型 |
通用型漏洞 |
漏洞描述 |
Victor CMS是尼日利亚Victor Alagwu个人开发者的一套开源的内容管理系统。 Victor CMS在v1.0版本存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 |
漏洞解决方案 |
厂商已发布了漏洞修复程序,请及时关注更新: https://github.com/Nguyen-Trung-Kien/CVE/blob/main/CVE-2021-46458/CVE-2021-46458.pdf |
1.2漏洞二:Cisco Umbrella信息泄露漏洞
发布时间 |
2022-02-18 |
更新时间 |
2022-02-18 |
CNVD-ID |
CNVD-2022-11521 |
漏洞危害级别 |
高 |
影响产品 |
Cisco Umbrella Secure Web Gateway |
漏洞类型 |
通用型漏洞 |
漏洞描述 |
Cisco Umbrella是美国思科(Cisco)公司的一套云安全平台。该平台能够预防网络钓鱼、恶意软件和勒索软件等网络威胁。 Cisco Umbrella Secure Web Gateway存在安全漏洞,该漏洞源于文件检查特性中的限制不足造成的,攻击者可利用该漏洞绕过文件检查功能。 |
漏洞解决方案 |
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-swg-fbyps-3z4qT7p |
1.3漏洞三:PrinterLogic Web Stack服务器端请求伪造漏洞
发布时间 |
2022-02-17 |
更新时间 |
2022-02-17 |
CNVD-ID |
CNVD-2022-11102 |
漏洞危害级别 |
高 |
漏洞类型 |
通用型漏洞 |
影响产品 |
PrinterLogic Web Stack <=19.1.1.13 SP9 |
漏洞描述 |
PrinterLogic Web Stack(PrinterLogic Printer Installer)是美国PrinterLogic公司的一个本地Web应用程序。使It部门能够从单个管理控制台跨打印环境管理和自动创建/传播打印机Objects和打印机驱动程序。 PrinterLogic Web Stack存在安全漏洞,目前没有详细漏洞细节提供。 |
漏洞解决方案 |
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.printerlogic.com/security-bulletin/ |
1.4漏洞四:Tensorflow输入验证错误漏洞
发布时间 |
2022-02-17 |
更新时间 |
2022-02-17 |
CNVD-ID |
CNVD-2022-11209 |
漏洞危害级别 |
高 |
漏洞类型 |
通用型漏洞 |
影响产品 |
Google TensorFlow<2.8.0 Google TensorFlow<2.7.1 Google TensorFlow<2.6.3 Google TensorFlow<2.5.3 |
漏洞描述 |
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。 Tensorflow存在输入验证错误漏洞,该漏洞源于TensorFlow的er组件在估算crop和resize的成本时容易出现整数溢出,攻击者可利用该漏洞触发未定义的行为。 |
漏洞解决方案 |
厂商已发布了漏洞修复程序,请及时关注更新: https://github.com/tensorflow/tensorflow/security/advisories/GHSA-8jj7-5vxc-pg2q |
1.5漏洞五:Apache Dubbo格式化字符串错误漏洞
发布时间 |
2022-02-16 |
更新时间 |
2022-02-16 |
CNVD-ID |
CNVD-2022-10745 |
漏洞类型 |
通用型漏洞 |
漏洞危害级别 |
高 |
影响产品 |
Apache Dubbo >=2.7.0,<2.7.13 |
漏洞描述 |
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。 Apache Dubbo存在代码注入漏洞,该漏洞源于 Dubbo 中的某些组件会尝试打印输入参数的格式化字符串,这可能会导致具有特殊toString方法的恶意定制bean的RCE。目前没有详细的漏洞细节提供。 |
漏洞解决方案 |
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread.html/r40212261fd5d638074b65f22ac73eebe93ace310c79d4cfcca4863da%40%3Cdev.dubbo.apache.org%3E |
2本周病毒木马通告
2.1本周流行病毒木马统计
2.1.1现代前后端分离式应用API渗透测试探究
病毒危险级别:高
概述
得益于Node.js 的快速发展和应用,越来越多的国内互联网企业为了提高开发测试迭代速度以及前端统一的需求,搭上了前后端分离的快车。从团队分工上,前端团队更希望专注于页面样式设计和用户交互,而不用受限于后端应用如何运行以及后端服务是否支持最新的前端框架等问题。基本上只需要约定接口,返回数据类型和格式就可以了。以Java 应用为例,从早期的JSP 到后期的Thymleaf/FreeMarker 等模版引擎,无一例外的是都需要后端服务跑起来才行,前后端团队间如何高效协同一直是一个不可避免的难题,相对而言,前端开发”话语权”就显得有些不足了。
前端打包工具—Webpack
简单理解,它就是一个打包器。由于目前主流的前端框架,例如VUE 是.vue 作为扩展名,而React 则是.jsx,但是这种格式浏览器不认识,所以webpack就起了很大作用,按照”万物皆可打包,一切皆是文件”的理念,webpack成了主流打包器之一。这样浏览器引擎只要动态解析并渲染页面就可以了。
如何一眼就看出是使用Webpack 打包的前端应用?
方法1:查看页面源代码,发现几乎全部引用的js ,且js的名字很长(注:一般是模块名称+模块内容的 Hash 值),无论是在主页还是子页面/子菜单下基本都符合这个规律。
方法2:F12 调试大法,看最下面是否有Webpack图标(火狐浏览器)。需要注意的是,有些前端应用即使Webpack打包的,但由于关闭了SourceMap,也同样不会显示:
(图a productionSourceMap: true)
(图b productionSourceMap: false)
关闭SourceMap的代码示例:
方法3:人肉js ,查看js里面的内容开头是否有”webpackJsonp” 字样:
页面上直接表现为:有些前端应用不同的菜单会对应不同的chunk.js 。例如某系统默认用户只显示某几个菜单,加载了两个chunk.js ,但是当访问到除此之外的其它菜单后,又加载了新的chunk.js。
对比如下:https://a.testivy.cn/#/job 加载的js 结构如下:
但是当访问 https://a.testivy.cn/#/widget 加载的js 结构如下,发现多了一个chunk.js ,因此这个菜单下的功能实现接口(增删改查)几乎全部都在59.c6f3e4e9.chunk.js 里面。
因此,当遇到Webpack 站点时,如何高效进行测试成为了重点关注的问题。基于此,请求后端的接口就成为了突破点,绝大多数API都存在一些未授权访问漏洞,运气好的话还能遇到SQL注入等硬核漏洞。
Webpack 主动API收集
当使用主动方式进行API收集时,通过一系列正则表达式就能提取出大量的接口,推荐一个开源工具:Packer-Fuzzer,项目地址:https://github.com/rtcatc/Packer-Fuzzer,可以进行一键进行API收集&渗透。
场景一、GET还是POST
对API进行自动化测试,需要考虑这个接口的请求方法是否正确,如果后端只支持POST方式,GET请求可能会直接报错返回405状态码或者返回200状态码但是提示GET方法不支持,例如{“errorCode”:”1025”,”errorMsg”:”请求方法不允许”} Packer-Fuzzer 是根据状态码405 和SpringBoot 的一些特征做鉴别的,实际上笔者实践下来,其实对于POST方式自动化渗透是有很大难度的,一方面场景复杂,还有就是POST 方法的报文体很难自动构造,不同业务差别很大。
场景二、query
相对而言,GET请求的API参数发现容易,query一般为?xxid= ,而/xxlist 一般不需要加参数,直接跑一遍接口即可,若能检出问题的话一般都是垂直越权问题。同时也发现个别企业应用具备通用规范,这个需要根据不同行业和企业进行定制化,后面会从接口自动化发现、Get和Post 请求方法自动切换 、请求参数自动补全和数据项填充三个方面进行分析,总结《API-Service自动化渗透测试实践》。
场景三、提取规则
尽可能根据Webpack打包后的代码的一些特征来编写规则。例如原工程中使用axios 进行get 请求获取数据的代码片段如下所示:
经过Webpack 打包后可能就会变成下面的代码
基于此可以.get(“ 或.post(“ 等进行提取,各种可能情况可以参考Packer-Fuzzer 的 Apicollect.py 代码,几乎能匹配到大多数接口了,可以参考他们的文章-https://mp.weixin.qq.com/s/0YDXUbJuKue01H9w35xf-A。
Webpack 被动API收集
虽然主动式API收集更方便,但实践下来发现主动方式仍存在一定的局限性。一方面是前面说的延迟加载问题,当然Packer-Fuzzer针对这种场景做了一些尝试,但有些网站没有manifest或是app开头的js文件,但的确是异步加载的;另一方面,是主动检测效果并不好,因为请求参数自动补全和数据项填充方面通过fuzz的方式效果并不理想,有时候靠运气,一般对于大型网站而言这种方式非常困难。在测试过程中就遇到以下场景:当访问https://ab.testivy.com/index ,返回如下代码:
这种情况下Packer-Fuzzer 就几乎失效了,所以需要进一步优化,后面todo并反馈给开发者。下图为Packer-Fuzzer 匹配结果,发现输出了空的jsCodeList。
为了更好的知道接口的请求参数构造最大可能发现接口存在的安全漏洞,可以进一步优化。这种情况下,首先人工来分析下看,后面找出规律后再进行自动化。对于main chunk 来说,基本都会有path: 或 pathname: 。
这个定义了页面的路由。简单来说,就是https://ab.testivy.com/index/#/new 这个会跳到一个新的菜单页面,而这个时候就会加载新的chunk.js。同样地, 访问https://ab.testivy.com/index/#/market 也会进入新的页面并加载对应的chunk.js。
新页面下,一些可见的功能就会调用对应的接口,可以通过xray进行被动扫描,效果会更好。
3安全事件通告
3.1本周国内外安全事件通告
3.1.1犯罪集团持有超过 250 亿美元加密货币 它们来自众多非法来源
伦敦的大都会警察局(MPS)进行了英国有史以来最大的加密货币扣押,从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗,美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币,这是目前有史以来最大的加密货币或法币被盗资产的回收。
这些故事很重要,不仅因为它们允许对加密货币犯罪的受害者进行经济赔偿,而且还因为它们反驳了加密货币是一种无法追踪、无法确定的资产,非常适合犯罪的说法。如果网络犯罪分子知道执法部门有能力扣押他们的加密货币,这可能会降低他们在未来使用加密货币的动机。
这些案件也提出了一个重要问题。目前有多少加密货币被区块链上的已知犯罪实体持有,因此理论上可以被执法部门扣押?答案不仅是2021年基于加密货币的犯罪收入,而且是可见地址仍然持有的所有犯罪收入。下面,我们将分析可以追溯到非法来源的加密货币持有量总和,以及犯罪分子的总余额,即持有100万美元或以上加密货币的犯罪分子。
让我们先看一下过去五年的年终犯罪余额,按资金来源的非法活动类型进行细分。在这个分析中,犯罪余额指的是Chainalysis认为属于非法行为者的地址目前所持有的任何资金。这些地址可能属于犯罪服务,如暗网市场,但在某些情况下也可能由私人钱包托管,如涉及被盗资金的情况。
有两件事最为突出:第一是2021年犯罪余额的巨大增长,在年底,犯罪分子持有价值110亿美元的已知非法来源的资金,而在2020年底,这一数字仅为30亿美元。第二个是被盗资金的主导程度。截至2021年底,被盗资金占所有犯罪余额的93%,为98亿美元。暗网市场资金紧随其后,为4.48亿美元,其次是诈骗,为1.92亿美元,欺诈商店为6600万美元,勒索软件为3000万美元。
犯罪余额在全年也有波动,从7月的66亿美元的低点到10月的148亿美元的高点。这种波动提醒了加密货币调查中速度的重要性,因为在区块链上被成功追踪的犯罪资金可以被迅速清算。当然,犯罪余额的下降也可以有很好的理由。我们在上面看到的2022年2月犯罪余额的大幅下降是由于司法部扣押了2016年Bitfinex黑客攻击中被盗的36亿美元的比特币。在这次扣押之后,截至2022年2月9日,犯罪余额目前大约为50亿美元。
从历史趋势来看,暗网市场供应商和管理员往往在清算前持有其资金的时间最长,而被盗资金的钱包往往持有时间最短。最后一点可能令人惊讶,被盗资金的持有时间怎么会这么短,却占了犯罪余额的绝大部分?事实证明,这些持有的资金大多属于极其庞大的钱包,其持有时间比其他被盗资金类别中的典型时间要长。但真正突出的是持有时间全面减少,因为2021年的平均持有时间比所有类别的历史数据至少缩短75%。勒索软件运营商尤其体现了这一趋势,因为他们现在在清算前平均只持有资金65天。这可能是因为勒索软件攻击者面临的越来越大的执法压力。
3.1.2红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击
红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其系统的“高度复杂的”有针对性的攻击–而不是像红十字国际委员会最初所说的对第三方承包商系统的攻击。
红十字国际委员会表示,它知道这次攻击是有针对性的,“因为攻击者创建的代码只为在相关的红十字国际委员会服务器上执行。” 根据该更新,攻击者使用的恶意软件被设计为针对红十字国际委员会基础设施中的特定服务器。
黑客利用Zoho公司开发的单点登录工具中一个已知但未修复的关键等级漏洞进入红十字国际委员会的网络,该公司提供基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局(CISA)在9月发布的公告的主题,其CVSS严重性评分为9.8(满分10分)。
红十字国际委员会称,通过利用这一漏洞,这些不知名的国家支持的黑客随后发起攻击,如泄露管理员证书,在整个网络中移动,并渗入注册表和域文件。
“一旦进入我们的网络,黑客就能够部署进攻性安全工具,使他们能够将自己伪装成合法用户或管理员。”红十字国际委员会说:“这反过来又使他们能够访问数据,尽管这些数据是加密的。”该机构补充说,它没有确凿的证据表明在这次攻击中被盗的数据已被公布或被交易,也没有提出赎金要求,但它表示正在联系那些敏感信息可能被访问的人。
红十字国际委员会说,在攻击发生时,其在目标服务器上的反恶意软件工具处于激活状态,并阻止了攻击者使用的一些恶意文件,但部署的大多数文件是“专门制作的,以绕过”其反恶意软件保护。
红十字国际委员会指出,这些工具通常由高级持续性威胁(APT)组织或国家支持的攻击者使用,但该机构表示,它尚未正式将这次攻击归于任何特定组织。
由于网络攻击,红十字国际委员会说它不得不使用电子表格来开展其重要工作,其中包括让因冲突或灾难而分离的家庭成员团聚。
红十字国际委员会总干事Robert Mardini在一份声明中说:“我们希望这次对弱势人群数据的攻击能够成为变革的催化剂。我们现在将加强与国家和非国家行为者的接触,明确要求将对红十字和红新月运动的人道主义使命的保护延伸到我们的数据资产和基础设施。”
“我们认为,关键是要有一个坚定的共识–在语言和行动上–人道主义数据决不能受到攻击。”
3.1.3研究报告显示 2021 年加密货币牛市使犯罪分子更加富有
在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。
为了找到这些数字,研究人员研究了非法行为者的钱包里有多少加密货币,即那些从暗网市场、勒索软件操作、诈骗或加密货币盗窃等方面获得的资金。当网络犯罪分子从他们的非法活动中获得加密货币时,由于2021年的牛市,他们已经拥有的加密货币也越来越有价值。从2020年底到2021年底,热门币的价值跃升了很多。
换句话说,犯罪分子在2021年初拥有的大部分加密货币,如果他们保持在身边,到年底的价值会膨胀。与过去几年相比,犯罪分子在2021年似乎不太渴望保留他们的加密货币。报告指出,他们在2021年似乎比前几年更快地清算他们的不义之财。与它一直在跟踪的其他年份相比,犯罪分子持有资金的时间平均减少75%。
赎金软件运营商摆脱它们的速度最快,2021年平均保留资金65天,而历史上的平均时间是468天。即使是暗网市场运营商,其之前的平均数为1252天,也只持有250多天的资金,欺诈者和诈骗者介于两者之间,在2021年平均保持资金超过100天。
这些资金在犯罪分子的钱包里并不一定安全,因为执法机构并没有坐视不管,他们一直在进入这些钱包并扣押里面的加密货币。在整个2021年,我们看到执法部门拿走了据称与勒索软件集团或庞氏骗局发起人有关的资金。而在2022年的两个月里,我们看到了更多的活动;英国税务机关征用了一些NFT,美国司法部拿到了在Bitfinex黑客事件中被盗的价值36亿美元的比特币。
3.1.4去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中
一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。
它利用公共区块链交易记录,跟踪已知黑客组织的数字钱包的资金流向和流出。分析师说,他们知道哪些黑客组织是俄罗斯的,因为他们显示出各种特征,例如。
● 他们的勒索软件代码的编写是为了防止它在检测到受害者的电脑位于俄罗斯或独联体国家时破坏文件
● 该团伙在讲俄语的论坛上用俄语运作
● 该团伙与美国通缉的所谓网络犯罪集团 Evil Corp 有联系。
这项研究进一步证明,许多网络犯罪团伙在俄罗斯或周边的独立国家联合体(CIS)一个由讲俄语的前苏联国家组成的政府间组织–开展活动。然而,该报告只考察了网络犯罪团伙头目的资金流,许多人经营附属业务–基本上是将发动攻击所需的工具出租给他人。因此不知道为大团伙工作的个别黑客来自哪里。
3.1.5FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。
这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等,并能够在受感染的节点上运行任何恶意有效载荷。”
2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。
FritzFrog 在2020年8月首次记录,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。
安全研究员在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。”
僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。
感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。
值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。
这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。
“封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞,所以它可能是一个蜜罐,“研究人员说。“此外,第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明,操作人员试图逃避侦查和分析。”
包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。
第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分,其操作者于去年9月在中国被捕。
研究人员得出结论: “这些证据虽不确凿,但让我们相信,可能存在与在中国黑客或伪装成中国人的黑客之间的联系。”
文章评论