HackerNews 编译，转载请注明出处： 网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。 Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。” 这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下： sisaws (201次下载) secmeasure (627次下载) Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。 “当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。” 同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。 该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点： /checkin：验证连接 /comando：请求执行命令 /respuesta：发送状态消息 /archivo：发送命令输出或窃取数据 该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。 Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击通过冒充可信软件提供商，对毫无戒心的用户实施侵害。FortiGuard实验室研究人员表示，威胁行为者通过SEO插件和注册仿冒域名操纵搜索算法。受害者访问这些网站后，会被诱骗下载木马化安装程序。被冒用的知名平台包括：Signal、WhatsApp、Deepl、Chrome、Telegram、Line、VPN服务商、WPS Office等。 这些欺诈网站会分发多种恶意软件家族，最值得注意的是Hiddengh0st和Winos新变种。攻击者将恶意组件捆绑在看似提供真实应用程序的安装包中。 安装程序一旦启动，便会将恶意DLL文件释放到隐藏目录，获取管理员权限，并执行旨在规避检测的功能。该恶意软件使攻击者能够收集详细的系统与受害者信息、枚举杀毒软件和安全工具、记录键盘输入和剪贴板数据、捕获前景窗口标题和屏幕活动、加载额外插件以扩展监控与控制能力等。 恶意软件投放的插件还表明，攻击者可能截获Telegram通信。 此次攻击活动加剧了SEO投毒技术的泛滥，该技术通过操纵搜索引擎将欺诈网站推至搜索结果前列。即使坚持查看”可信”搜索排名的警惕用户，也可能因此类攻击措手不及。 报告显示，该活动主要针对中文用户。FortiGuard实验室研究人员表示，“安装包同时包含合法应用程序和恶意载荷，使用户难以察觉感染”，“即使高排名搜索结果也以这种方式被武器化，这凸显了下载软件前仔细检查域名的重要性”。 思科、Talos此前研究已发现多起SEO投毒活动，攻击者使用流行AI应用引诱受害者。多个勒索软件团伙曾通过ChatGPT、InVideo等平台伪装恶意软件。另一起欺诈活动则冒用PayPal、苹果、美国银行、Netflix和微软名义，网络罪犯通过购买谷歌赞助广告伪装成大品牌，将受害者诱导至虚假网站以下载恶意软件。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一次大规模数据泄露事件导致超过2.5亿条身份记录在七个国家遭到曝光。 超过2.5亿条身份记录被公开访问，波及至少七个国家的公民，包括土耳其、埃及、沙特阿拉伯、阿拉伯联合酋长国（UAE）、墨西哥、南非和加拿大。 三个托管在巴西和阿联酋注册的IP地址上的配置错误的服务器包含了详细的个人信息，这些信息类似于政府级别的身份档案。泄露的信息包括身份证号码、出生日期、联系方式和家庭住址。 发现此次数据暴露的Cybernews研究人员表示，这些数据库似乎共享相同的结构和命名约定，这可能表明它们源自同一处。然而，目前无法最终确定是谁在运营这些服务器。 “由于数据结构相似，这些数据库很可能由单一方操作，但没有证据表明谁控制了数据，也没有任何确凿线索证明这些实例属于同一方，”我们的研究人员表示。 此次泄露对土耳其、埃及和南非的公民尤其严重，因为这些数据库包含了全方位的身份详细信息。详细信息的泄露为各种滥用行为打开了大门，从金融欺诈和冒名顶替到有针对性的网络钓鱼活动和诈骗。 Cybernews已联系相关托管提供商，截至目前，数据已不再公开可访问。 整个国家受到数据泄露影响 这并非首次在线发现存有公民数据的巨大数据集。Cybernews的研究表明，巴西全国人口可能都曾受到一次数据泄露的影响。 一个配置错误的Elasticsearch实例包含了包含全名、出生日期、性别和自然人登记号（CPF）的数据。这个11位数字用于识别巴西的个人纳税人。 同年，一场与Bankingly有关的数据泄露影响了多米尼加共和国、墨西哥、厄瓜多尔、萨尔瓦多、玻利维亚、哥斯达黎加和多米尼加共和国的公民。Bankingly是一家为拉丁美洲金融机构提供网络服务和移动应用程序的金融科技平台。 据Cybernews研究人员称，这家总部位于乌拉圭的公司因配置错误的Azure Blob Storage存储桶，暴露了七家金融机构的数据。 此前，Cybernews曾报道据称属于政府实体的海量数据集被在线出售。2024年，威胁行为者列出了涉及10亿中国公民的23太字节数据以及上海警察局的数十亿条案件记录。 1.05亿印度尼西亚公民的个人数据，包括身份证号码、全名、出生日期和其他个人身份信息（PII），也已被泄露并在线出售。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）于周二宣布，迪士尼公司已同意支付1000万美元，以和解有关其在未通知父母或获得同意的情况下，从观看YouTube视频的儿童那里收集个人数据的指控。 根据FTC的移交，美国司法部提起了诉讼，指控迪士尼违反了《儿童在线隐私保护规则》（COPPA），因其未将“大量”上传至YouTube的视频标注为“面向儿童”。 被指定为面向儿童的视频会禁用定向广告。诉状称，迪士尼的行为使得儿童在未经父母通知或同意的情况下被收集个人数据，并据此成为定向广告的目标。 FTC在一份新闻稿中表示，其拟议的命令将要求迪士尼改变在流媒体服务上指定面向儿童视频的方式，并将推动YouTube开始使用年龄验证技术。 COPPA规则于今年1月更新，要求父母选择同意第三方向儿童投放广告。该规则强制要求网站和在线服务在收集、使用或分享13岁以下儿童的个人信息之前，必须获得可验证的父母同意。 诉状称，自2020年以来，迪士尼已向超过1250个YouTube频道上传了数万个视频。仅2020年三个月内，上传到三十多个迪士尼频道的视频就在美国获得了12亿次观看。 其中许多视频未被正确标注为面向儿童。诉状称，这家娱乐巨头从此做法中获利颇丰。 迪士尼从YouTube在这些视频上投放的广告中获得部分广告收入。它也会在一部分视频上投放自己的广告。 2019年11月，YouTube告知迪士尼，必须上报其上传的内容是否面向儿童，以确保符合COPPA。YouTube根据迪士尼是否将内容标注为“面向儿童”来决定允许哪些广告行为。 诉状称，迪士尼以“非面向儿童”标签发布的视频包括米老鼠卡通片段以及《冰雪奇缘》、《魔法满屋》、《海洋奇缘》、《赛车总动员》、《魔发奇缘》、《美食总动员》和《玩具总动员》等面向儿童电影的片段。 诉状称，YouTube早在2020年6月就告知迪士尼其未能正确标注视频，但迪士尼未能解决此问题。 迪士尼的一位发言人没有回复置评请求。 FTC主席安德鲁·弗格森在一份预备声明中表示：“此案强调了FTC执行COPPA的决心，该法案由国会颁布，旨在确保由父母而非迪士尼等公司来决定其孩子个人信息在网上的收集和使用。” 除了1000万美元的罚款外，拟议的和解方案还要求迪士尼在收集13岁以下儿童的个人数据前开始通知父母，并根据COPPA获得他们的同意。 迪士尼还被要求启动一个项目，以确保其上传到YouTube的视频被正确指定为面向儿童。然而，如果YouTube部署了自己的年龄验证技术，该命令的此条款将被取消。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴尔的摩市监察长表示，该市向一名诈骗者支付了超过150万美元的欺诈款项；此人成功冒充某供应商，并骗过了市政府员工，使其更改了该承包商的银行账户信息。 巴尔的摩监察长伊莎贝尔·梅赛德斯·卡明（Isabel Mercedes Cumming）在对此事件的事后分析中表示，该市应付账款部门未能在此前的欺诈事件后实施纠正措施，也没有建立适当的保护措施来核实供应商详细信息。 2024年12月，诈骗者使用一名合法公司员工的姓名提交了一份供应商联系表，以获取该供应商Workday系统的访问权限。被冒充的这名人员并无权访问公司财务信息，且诈骗者提供的电子邮件地址也非公司官方地址。然而，应付账款部门的一名员工并未联系供应商以确认此人身份。 诈骗者多次提交请求，要求更改Workday中关联的银行账户，这些请求最终获得两名员工的批准。在2月和3月，巴尔的摩应付账款部门向所谓的供应商支付了两笔款项——分别超过80万美元和72.1万美元——之后在收到收款方银行关于可疑活动的通知后，他们才发现这可能是一场欺诈。该市成功追回了数额较小的那笔付款。 这起供应商诈骗案至少是自2019年以来巴尔的摩市政府遇到的第三起同类事件。2022年，市长儿童与家庭成功办公室一笔超过376,213美元的款项，在诈骗者说服市财政部门更改账户信息后，最终流入了一个诈骗者的账户。三年前，在对某供应商的信息进行修改后，有62,377美元被汇入一个欺诈账户。 根据监察长关于2022年事件的一份报告，该市财务总监曾表示，事发后已制定了新政策，要求部门员工“独立地向请求更改银行的供应商的高管级别员工核实变更信息”。 应付账款总监小蒂莫西·戈德斯比（Timothy Goldsby, Jr.）在给最新报告的书面回应中表示，在此办公室于2023年1月从财政部迁至审计长办公室之前，先前的控制措施“并未完全制度化”。 他写道：“应付账款部门同意监察长的评估，即该事件的发生是由于验证程序存在漏洞以及供应商账户保障措施不足所致。” 他表示，事件发生后，该部门正在修订其供应商联系和银行信息更新的操作流程，并要求对任何银行信息的更改进行交叉验证。他们还在加强Workday系统内的保障措施，包括创建一个受限用户角色来管理账户的敏感更改，并加强员工培训，以提高对社交工程欺诈的识别能力。 巴尔的摩市曾经历过几起具有重大影响的网络事件，其中包括2019年的一次勒索软件攻击，该攻击造成了约1900万美元的损失，并导致服务中断数月。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号，该措施显著降低了平台内的恶意软件比例，但未覆盖应用商店外的大量开发者生态。 “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。” 尽管外部威胁更为普遍，新规要求同时适用于Google Play及第三方应用商店托管的应用。自2026年起，所有安装于“认证安卓设备”的应用必须来自已完成谷歌身份验证的开发者。 开发者验证计划将于2025年10月开放早期测试，2026年3月全面开放注册。2026年9月，巴西、印度尼西亚、新加坡和泰国将率先强制执行身份验证要求，2027年起全球推广。届时，未通过验证的侧载应用在认证设备上将被系统拦截并显示安全警告。 “认证安卓设备”指通过谷歌兼容性测试套件（CTS）认证、预装Google Play服务、Play商店及Play Protect的设备，涵盖三星、小米、摩托罗拉、一加、OPPO、vivo及谷歌Pixel等主流品牌。而华为设备、亚马逊Fire平板，以及采用深度定制系统、组件来源存疑的山寨电视盒或手机等“非认证设备”不受新规约束，用户仍可自由侧载未经验证的匿名开发者应用。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于Discord的在线工具开发者声称，他们获取了数十亿条用户消息、大量语音会话、文件及用户资料。这些所谓泄露的数据是通过爬取平台获得的。 攻击者在一个知名数据泄露论坛发布服务广告，声称用户可通过付费筛选数十亿条Discord记录，用于骚扰平台用户。 目前我们已联系Discord寻求回应，收到回复后将更新本文。 该数据抓取服务宣称付费用户可查看以下内容： 18亿条Discord消息 3,500万用户数据 2.07亿次语音会话 6,000个Discord服务器 网络安全研究团队指出，攻击者可能获取了公开及潜在私密服务器的数据，但未订阅该犯罪团伙控制的服务则无法验证真实性。攻击者声称实时更新索引消息，表明数据处于最新状态。 Discord消息如何被滥用？ 攻击者可通过多种方式利用泄露的用户消息。除明显的隐私问题外，恶意分子常利用Discord活动骚扰个人及少数群体。 2024年，名为Spy.Pet的灰色网站声称爬取了近6.2亿用户的数十亿条公开Discord消息。 Spy.Pet不仅收集消息记录，还整合用户的Steam账号等关联平台，向有意用其数据训练AI模型的客户提供“企业选项”，据称包括联邦机构。 “该服务原理类似去年被Discord关停的Spy.Pet，但新服务进一步整合了泄露数据库和FiveM服务器，很可能旨在助长网络骚扰。”研究团队解释称。 2024年初，Discord封禁了Spy.Pet相关账户，切断了数据抓取机器人与平台服务器的连接。当时Discord声明此类抓取行为违反公司规定。 研究分析认为，新服务试图通过两种渠道牟利：付费查阅他人消息者，以及付费要求删除自身数据者。 该服务的条款页面显示其运营于欧盟成员国爱沙尼亚，需遵守全球最严格的隐私法。 “此工具极大简化了为骚扰或网络论战而进行的人肉搜索。虽可手动实现同等操作，但该服务大幅降低了人力成本。”研究人员指出。 值得注意的是，服务条款透露数据实际存储于俄罗斯联邦境内。运营者可能认为，将数据存于欧盟关系欠佳的国家可规避法律追责。 然而正如Spy.Pet案例所示，此类服务违反GDPR多项条款（如第17条“被遗忘权”）。 由于庞大的用户基数及紧密社群特性，Discord常成为攻击目标。例如今年初某团伙声称从近1,000个公开Discord服务器抓取3.48亿条消息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万网站表面采用现代安全协议，实则仍在代理链中降级至陈旧的HTTP/1.1协议。安全研究人员警告，黑客可利用该协议固有缺陷完全接管这些网站。 当用户访问网站时，其HTTP请求需经过反向代理、负载均衡器等组件转发至目标服务器。应用安全软件商PortSwigger发现，逾2400万网站在请求路径中仍使用“古老”的HTTP/1.1协议。黑客可通过请求走私（request smuggling）手段，将恶意代码植入合法用户请求以完全控制网站。 “HTTP/1.1存在致命且极易利用的缺陷——请求间边界极度脆弱。所有请求在底层TCP/TLS套接字上直接串联，既无分隔符又存在多种长度定义方式。攻击者可借此制造请求起始位置的严重歧义。”最新研究报告指出。更令人担忧的是，多数主流云服务商内部仍默认使用HTTP/1.1。即便Google或Cloudflare的管理员也需手动配置才能实现全链路HTTP/2。Nginx、Akamai、CloudFront和Fastly等软件尚未支持HTTP/2上游连接。 PortSwigger研究总监詹姆斯·凯特尔指出，该漏洞波及多数成熟且注重安全的机构。他在黑帽大会和DEF CON披露的协议缺陷已为其赢得超35万美元漏洞赏金。“若想建立安全网络，HTTP/1.1必须淘汰，”其强调，“单个恶意请求即可导致网站混淆响应归属，引发大规模敏感数据泄露，通常表现为用户被随机登录至他人账户。” 攻击者还可通过恶意JavaScript污染网站缓存，持久控制用户访问的每个页面，实现流量劫持、密码窃取或信用卡信息盗用等操作。研究人员曾两度利用请求走私技术攻破PayPal，窃取用户明文密码，仅此漏洞就获3.9万美元赏金。 攻击原理剖析 凯特尔解释，反向代理通常将不同用户请求通过共享连接池路由至后端服务器。只要攻击者在服务器链中发现“最微小的解析逻辑偏差”，即可引发去同步化（desync），将恶意载荷附加至其他用户请求中。“这导致攻击者请求与合法用户请求相互混杂。” 请求分隔缺陷是该协议的“致命伤”。HTTP/1.1作为古老的文本协议，具有宽松规范与数千种实现方式，寻找解析差异点并非难事。“此类攻击利用两个服务器（通常为前端代理与后端服务器）对同一请求的解析差异，使攻击者能将恶意请求’走私’至后端服务器，进而危害其他应用用户。” 例如，HTTP请求可同时包含定义字节总量的”Content-Length”标头，以及指示分块传输的“Transfer-Encoding: chunked”标头。不同服务器对同一请求的解析结果可能截然不同。攻击者通过构造含矛盾标头的畸形请求，使一台服务器认为请求已结束，而另一台仍等待更多数据，从而将恶意代码预置到合法用户请求前。 凯特尔认为该协议缺陷无法简单修补：“时间证明我们无法通过补丁拯救HTTP/1.1——更多漏洞正在路上。”虽然无代理环节时HTTP/1.1仍可安全使用，但现实场景极少满足此条件。其敦促企业升级至HTTP/2上游连接，该协议通过明确请求边界使去同步漏洞大幅减少。若无法升级，管理员需严格配置服务器以验证并拒绝歧义请求，同时定期扫描漏洞。研究人员已开源自动化检测工具HTTP Request Smuggler v3.0，可探测多种高级去同步攻击技术。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文