未启用身份验证的 Jupyter 服务器或造成数据泄露
原题:使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者:知道创宇404实验室 一.摘要 在使用Jupyter Notebook和JupyterLab 的过程中,有些用户缺乏安全意识,未启用身份验证功能,导致任何用户都可以直接访问自己的Jupyter服务器,并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎,通过特定搜索关键词,可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档,若被不法分子利用,可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户,在启动Jupyter服务的时候,遵循官方安全建议,设置成必须通过token或者password登录。 二.概述 ZoomEye [1] 是一款网络空间搜索引擎,通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测,构建互联网安全基础态势测绘地图,为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档,可在同一个页面中直接编写,便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境,是Jupyter Notebook的下一代产品,可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说,JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文,我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器,并通过Web浏览器访问其中的代码和文档。 三.Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节,我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook,以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式,参考其官方网站 [6]。只需要在命令行下输入一句话命令即可,简单方便。 pip install notebook 正常启动Jupyter Notebook的方式,也是输入一句话命令,默认在本机localhost的8888端口开启一个Web服务,并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时,生成的token值此时,在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候,页面会提示输入password 或者 token。 ① 访问服务时,页面提示输入password或token我们在页面上输入命令行启动时获取的token值,便可通过身份验证,使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务,并且为了避免输入password 或者 token的麻烦,会通过如下命令,将Jupyter Notebook服务暴露在互联网IP上,并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时,任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下,在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务,无需身份验证,便可以直接查看服务器上的代码和文件。注意,这种情况下,网页标题内容是:“Home Page – Select or create a notebook”。 ① 网页标题内容是:Home Page – Select or create a notebook 3.2 JupyterLab 本章节,我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab,以及对应的Web浏览访问的效果。 JupyterLab的安装方式,参考其官方网站 [7]。只需要在命令行下输入一句话命令即可,简单方便。 pip install jupyterlab 正常启动JupyterLab的方式,也是输入一句话命令,默认在本机localhost的8888端口开启一个Web服务,并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时,生成的token值此时,在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候,页面会提示输入password 或者 token。 ① 访问服务时,页面提示输入password或token我们在页面上输入命令行启动时获取的token值,便可通过身份验证,使用JupyterLab的产品功能。 网页标题内容是:JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务,并且为了避免输入password 或者 token的麻烦,会通过如下命令,将JupyterLab服务暴露在互联网IP上,并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时,任何用户在知晓JupyterLab服务所在互联网IP的前提下,在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务,无需身份验证,便可以直接查看服务器上的代码和文件。注意,这种情况的网页标题内容是:“JupyterLab”。 ① 网页标题内容是:JupyterLab 四.查找未启用身份验证的Jupyter服务器 如上一章节所述,未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”,未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索,查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口,总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为:title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索,查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口,总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为:title:”JupyterLab” ② 总计1597 条结果 五.Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候,未启用身份验证,虽然方便了日常使用,无需输入密码;但同时也相当于将自己的代码和文档公开在互联网上,供其他用户任意访问查看,其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用,可能会造成数据泄露和资产损失。 示例一: 如下图所示,该Jupyter服务器中的代码泄露了:bitFlyer加密货币交易所的用户API的key和secret,Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret,可以在交易所中创建交易、取消交易等操作,可能会造成资产损失;利用Gmail邮箱的用户名和口令,可以登录Gmail邮箱,可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二: 如下图所示,该Jupyter服务器中的代码泄露了:亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY,可以获取亚马逊AWS的该账号权限,上传文件至亚马逊S3云存储空间,甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六.结语 在使用Jupyter的时候,尽量不要将其Web服务公开在互联网上,而是开放在局域网中使用,避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上,则必须设置通过token或者Password登录,而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客:Please don’t disable authentication in Jupyter servers [8]。 七.参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6
黑客背后的猎人
作者:知道创宇404实验室 原文链接:https://paper.seebug.org/2053/ 一.摘要 在实现网络攻击的过程中,C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据,我们发现 9247 个 Cobalt Strike[2]控制端服务器中,有 6.53% 曾对外提供目录浏览和文件下载服务,涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据,我们针对重要网段进行高频测绘,可以发现更多的黑客“工作机”。 在研究过程中,我们还发现存在遍历下载黑客“工作机”所有文件的行为,推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式,窃取其攻击工具和工作结果。 二.概述 黑客在控制他人电脑窃取他人文件的同时,也会成为他人攻击的重点对象。例如,黑客下载被他人嵌入恶意木马的扫描工具,运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文,我们将从黑客开启的 Web 服务器入手,通过使用 ZoomEye 网络空间搜索引擎,成为黑客背后的“猎人”。 黑客攻击者在进行攻击时,会遇到各类环境,为保证攻击成功,会使用较常用的方式下发恶意样本。例如开启 Web 服务器,然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候,也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能,例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server,然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输,却给了其他人可趁之机。其他人若找到黑客使用的“工作机”,便可以获取其攻击工具,了解其攻击手法,甚至直接获取其窃取的数据。 三.利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外,我们还需要指定黑客“工作机”中经常出现的关键词特征,才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe,用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例:黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器,在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天(2023 年 2 月 15 日),创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为,并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日,服务器上新增了名为 fscan64.exe的工具 2023年2月15日,创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例:黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”,该文件出现在“工作机”上的时间为 2023 年 1 月 31 日;然后将其上传到 Virustotal 平台上进行验证,显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日,服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测,被识别为恶意 3.3 示例:我们可获取黑客使用的攻击工具 我们在黑客“工作机”上,可以获取黑客所使用的攻击工具, 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例:我们可获取黑客的工作结果 我们在黑客“工作机”上,可以获取黑客的工作成果,例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名,使用FFUF工具进行Web Fuzz的结果 四.测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果,2020年1月1日至2023年2月16日,一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务,占比 6.53%。我们根据探测到的文件名等信息进行判断,绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中,我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试,针对这30个B段IP地址的 3 个端口(8000、8080、8888)进行了持续 72 个小时的高频测绘,检测其是否对外提供目录浏览和文件下载服务,以及是否为黑客“工作机”。 结果是,在 72 个小时内,30 个 B 段的 196 万 IP 地址中,我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务, 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间,这 176 个 IP 地址 中,有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此,我们可以推断,与通过网空搜索引擎进行查询相比,针对重要网段进行高频测绘,可以发现更多的黑客“工作机”。 五.探寻互联网上已经存在的“猎人” 通过这种方式,作为黑客背后的“猎人”,可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”,我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件,我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中,我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日,遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级,发现该 IP 地址已被标记为恶意 IP 地址,标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等,且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP,因此我们推断它是一个“猎人 IP”。当然,它的目标可能不仅仅是针对黑客“工作机”,也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中,存在 3 个与 34.140.*.* 行为一样的 IP 地址,我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例,我们有理由推断,在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式,窃取其攻击工具和工作结果。 六.结语 黑客攻击者可能是一个人单打独斗,缺点是技术能力和实战经验有限,无法关注到方方面面的细节;也可能是团队合作,人员分工明确,各自负责编写工具、实施攻击、分析结果等,缺点是各自只关注自身负责的工作,未明确到位的工作或风险便无人关注。正是由于这些原因,使得我们通过 ZoomEye 网络空间搜索引擎,可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守,也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客,还是成为黑客背后的猎人,这是攻防对抗的升级,也是从上帝视角测绘网络空间的魅力所在。 七.参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/
盘点 2022 年全球网络安全热点新闻事件
本文回顾2022年网络安全领域热点新闻事件,涉及国际动态、黑客攻击、数据泄露、安全漏洞等方面,数据来源 https://hackernews.cc/。转载请注明出处。 · 美国国会网站遭亲俄黑客组织攻击 美国国会图书馆透露,有亲俄黑客团伙攻击了国会立法网站Congress.gov,导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet,曾向全球被认为对俄罗斯政府怀有敌意的国家目标,发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频,其中包含503错误页面以及拜登总统的图像。 详情阅读:https://hackernews.cc/archives/40006 · 美及欧洲执法机构联盟查封了黑客网站 RaidForums.com 一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据,据悉,其中就包括最近在2021年公开的T-Mobile数据泄漏。 详情阅读:https://hackernews.cc/archives/38224 · 南非总统的个人信贷数据泄露:该国已沦为“黑客乐园” 黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉,让人们关注南非安全系统,特别是政府部门(包括国防和国家安全部门)所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示,“南非已经成为黑客们的乐园,任何人都能轻松绘制出南非的数字基础设施分布。” 详情阅读:https://hackernews.cc/archives/39146 · 美军黑客为支持乌克兰而开展进攻性行动 美国网络司令部负责人告诉Sky News,美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中,Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 详情阅读:https://hackernews.cc/archives/39207 · 勒索软件攻击造成哥斯达黎加国家危机 自4月17日Conti勒索软件攻击爆发以来,已至少影响了哥斯达黎加27个政府机构,其中9个受到严重影响,如征税工作受阻碍、公务员工资发放金额错乱等;哥国新任总统日前表示,有证据显示,国内有内鬼配合勒索软件团队敲诈政府,这场危机是政府多年未投资网络安全的苦果;安全专家称,这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。 详情阅读:https://hackernews.cc/archives/38806 · 美国悬赏 1000万 美元,征集 Conti 成员信息 美国国务院宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息,包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划,会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息,现在已经扩大到为网络罪犯的信息提供奖励,如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 详情阅读:https://hackernews.cc/archives/40829 · 朝鲜黑客组织 Lazarus 利用 Log4J 攻击 VMware 服务器长达数月之久 作为朝鲜最著名的黑客组织之一,Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门,以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID,它影响了包括 VMware Horizon 在内的多种产品。 自2022年1月份以来,多个威胁参与者都在利用此漏洞,1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞,这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称,自 2022 年 4 月以来,Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。 详情阅读:https://hackernews.cc/archives/38921 · 因勒索软件攻击,芝加哥公立学校 50 万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件,近 50 万名学生和 6 万名员工的数据遭泄露,这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。5 月 20 日,芝加哥公立学校(CPS)学区披露,去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据,时间范围为 2015 学年至 2019 学年。 详情阅读:https://hackernews.cc/archives/38935 · 通用汽车遭撞库攻击被暴露车主个人信息 通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。 详情阅读:https://hackernews.cc/archives/38909 · Lapsus$ 再出手:泄漏 Globant 软件公司 70GB 数据 就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。该组织在其 Telegram 频道上发布了一个 70G 的种子文件,其中包括据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。 详情阅读:https://hackernews.cc/archives/38059 · RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据 RansomHouse 团伙声称入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据,并威胁说如果该公司不支付赎金,就会泄露或出售这些数据。 详情阅读:https://hackernews.cc/archives/39668 · 连锁酒店巨头万豪证实又一起数据泄露事件 酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 详情阅读:https://hackernews.cc/archives/39794 · 西门子工控系统暴露 15 个安全漏洞 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息,其中一些可能被攻击者混合使用,以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份新报告中表示:“这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 详情阅读:https://hackernews.cc/archives/39503 · 甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞 安全研究人员揭露甲骨文在今年1月及4月,所分别修补2项影响Fusion Middleware的重大漏洞细节,并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞,分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行(pre-auth RCE)漏洞,以及影响Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞。 详情阅读:https://hackernews.cc/archives/39590 · 邮件巨头 Zimbra 曝严重漏洞,黑客无需密码即可登录 邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。 详情阅读:https://hackernews.cc/archives/39462 · 360 万+ MySQL 服务器暴露在互联网上 至少有360万台MySQL服务器已经暴露在互联网上,这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。在这些暴露、可访问的MySQL服务器中,近230万台是通过IPv4连接,剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作,但是这些设备应该要进行锁定,保证只有经过授权的设备才能连接并查询。 详情阅读:https://hackernews.cc/archives/39197 · 黑客以 3 万美元兜售 Twitter 数据,称涉及 540 万用户 Twitter在2022年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 有黑客以3万美元(约合20万人民币)兜售540万Twitter账户数据。据了解,Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 详情阅读:https://hackernews.cc/archives/40401
安全预警 | 致远 OA 系统远程任意代码执行高危安全漏洞预警
昨日(2019年6月26日),互联网上有安全研究者预警并发布了关于致远OA系统的高危安全漏洞,攻击者可以通过某接口漏洞在未授权的情况下实现远程任意代码执行,最终控制整个系统权限。据悉致远OA系统是由用友致远互联旗下协同管理软件系统,在国内很多央企、大型公司都有广泛应用。 知道创宇404实验室立即启动漏洞应急流程,确定该漏洞存在致远OA系统某些型号及版本中某Servlet接口缺少必要的安全过滤,最终允许攻击者远程执行任意代码,并且该接口无需认证即可访问,危害巨大。 通过知道创宇旗下ZoomEye网络空间搜索引擎搜索结果,全球共有29,425个致远OA系统开放记录,中国为29,247个大部分分布在北京、广东、四川等省。 临时方案建议 1. 启用知道创宇旗下云安全防御产品“创宇盾”。 2. 积极联系致远OA系统 http://www.seeyon.com 获取技术支持或联系知道创宇404实验室提供临时解决方案(电话:4001610866)。
【再次预警】CVE-2019-0708 Windows 远程桌面服务远程代码执行漏洞预警通告及解决方案
2019年5月15日,微软官方发布5月安全补丁更新共修复了82个漏洞,其中包含一个针对远程桌面服务(RDP)的远程代码执行漏洞(编号为CVE-2019-0708 ),攻击者可以利用此漏洞远程发送构造特殊的恶意数据在目标系统上执行恶意代码,无需用户验证即可以实现目标机器的完全控制权。 此漏洞影响Windows XP、Window 2003、Windows 7、Window Server 2008系列操作系统。由于该漏洞影响及危害巨大,根据微软安全响应中心( MSRC )发布的博客文章提醒该漏洞有被蠕虫病毒利用再次导致WannaCry类似全球事件可能。 随后知道创宇404实验室及产品相关团队第一时间发布了漏洞预警及解决方案并密切关注该漏洞利用演变及进展,目前可确定部分安全研究机构及个人宣称已经复现并实现了远程真实利用程序。在此,我们再次预警提醒广大用户注意防御,及时更新修复该漏洞规避安全风险。 漏洞影响: 受影响系统及版本 ● Windows 7 for 32-bit Systems Service Pack 1 ● Windows 7 for x64-based Systems Service Pack 1 ● Windows Server 2008 for 32-bit Systems Service Pack 2 ● Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) ● Windows Server 2008 for Itanium-Based Systems Service Pack 2 ● Windows Server 2008 for x64-based Systems Service Pack 2 ● Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) ● Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 ● Windows Server 2008 R2 for x64-based Systems Service Pack 1 ● Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) 需要注意的是: Windows 8 和 Windows 10 及之后版本的用户不受此漏洞影响。 网络空间影响: 知道创宇旗下网络空间搜索引擎ZoomEye 通过 app:”Microsoft Terminal Service” 查询到,截至目前全球有7,824,306条微软远程桌面服务对外开放的记录,主要分布在美国(2093963)及中国(1777045): 解决方案 漏洞检测方案: 1、目前知道创宇SeeBug漏洞平台推出了基于PocSuite框架的漏洞远程无害扫描检测程序(免费):https://www.seebug.org/vuldb/ssvid-97954。 2、使用知道创宇网络空间安全资产管理系统ZoomEye BE 进行内部资产普查及时发现并修复漏洞。 漏洞修复及拦截方案: 1、参考微软官方安全通告下载并安装最新补丁: https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 补丁下载链接: ● Windows 7 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu ● Windows 7 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Embedded Standard 7 for x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Embedded Standard 7 for x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu ● Windows Server 2008 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu ● Windows Server 2008 Itanium http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu ● Windows Server 2008 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu ● Windows Server 2008 R2 Itanium http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu ● Windows Server 2008 R2 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu ● Windows Server 2003 x86 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe ● Windows Server 2003 x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe ● Windows XP SP3 http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe ● Windows XP SP2 for x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe ● Windows XP SP3 for XPe http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe ● WES09 and POSReady 2009 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe 2、启用知道创宇联合腾讯研发的终端安全产品:御点终端安全管理系统,提供一键修复、针对没办法打补丁重启的设备并提供无补丁漏洞防御。 如有更多疑问,可向知道创宇寻求技术支持,联系电话:400-060-9587
安全预警 | 多个国内网站遭土耳其政治黑客攻击
近日,创宇盾网站安全舆情监测平台发现多个国内党政机关、民营企业网站遭受土耳其黑客部队(代号Ayyıldız Tim)的攻击。 据知道创宇安全专家分析,此次攻击主要特性为爆破攻击、弱口令攻击、通用应用漏洞攻击及针对性应用渗透攻击。 目前已经发现多个网站首页遭篡改,或被上传黑页面。 部分被篡改页面 安全提示 近期请重点关注来自中东地区特别是土耳其地区的异常访问或攻击情况,提前做好安全防护措施或应急保障方案,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全。
漏洞预警:Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令
2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。 随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本),到本预警发布时,官方仍然没有发布对应修复补丁,属于“0day安全”漏洞。 值得注意的是,知道创宇旗下创宇盾监控发现,该漏洞最早在4月17日存在漏洞扫描痕迹,另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据,其中中国30,600条 主要分布在北京、广东、上海等省市。 由此知道创宇404实验室发出紧急漏洞预警,建议所有使用Oracle WebLogic的用户引起重视,注意防范。目前经过确认,知道创宇旗下云安全防御产品“创宇盾”无需升级即可防御该漏洞。临时解决方案: 方案1:找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务 方案2:通过访问策略控制禁止 /_async/* 及 /wls-wsat/* (注意) 路径的URL访问。 方案3:启用部署“创宇盾”(https://www.yunaq.com/cyd/) 知道创宇404实验室后续将发布更多漏洞细节和漏洞应急方案,敬请关注。 知道创宇404实验室,是国内黑客文化深厚的网络安全公司知道创宇最神秘和核心的部门,在知道创宇CSO、404实验室负责人周景平(黑哥)的带领下,知道创宇404实验室长期致力于Web、IoT、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作,团队曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞,多次获得相关致谢,在业内享有极高的声誉。