AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

谷歌已修复 Android 设备中一个可能“受到有限、有针对性利用”的“高严重性”漏洞。 谷歌在周一的公告中表示，该漏洞编号为CVE-2024-36971，影响 Linux 内核——操作系统的核心组件，是软件和计算机物理硬件之间的桥梁。 谷歌表示，该漏洞允许黑客在受影响的设备上远程执行代码。该公司尚未提供有关具体攻击以及幕后威胁者的任何详细信息。 为了成功利用该漏洞，攻击者需要拥有系统级权限，即最高级别的访问权限。 谷歌 8 月份的补丁共修复了 47 个漏洞，包括 Arm、Imagination Technologies、联发科和高通组件中的漏洞。其中大多数漏洞被评为“高严重性”。 新的 Android 0day漏洞是由 Google 威胁分析小组的 Clement Lecigne 发现的。他之前主要报道间谍攻击中利用的0day漏洞。 今年早些时候，谷歌的研究人员警告称，0day漏洞已变得越来越普遍，因为国家黑客和网络犯罪分子已经找到了实施攻击的复杂方法。 谷歌在 3 月份的一份报告中表示，它观察到 2023 年有 97 个0day漏洞被利用，而 2022 年只有 62 个，增长了 50%。其中 48 个漏洞归因于间谍行为者，其余 49 个漏洞归因于以经济为目的的黑客。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/K-H7sGAjR_4u_iScnfRYOw 封面来源于网络，如有侵权请联系删除

黑客入侵了全球使用的数字教室管理平台 Mobile Guardian，并远程抹去了至少 13,000 名学生的 iPad 和 Chromebook 上的数据。 Mobile Guardian 是“Google for Education”合作伙伴，是针对 K-12 学校的跨平台（Android、Windows、iOS、ChromeOS、macOS）一对一解决方案，提供全套设备管理、家长监控和控制、安全网络过滤、课堂管理和通信等功能。 该平台宣布于 2024 年 8 月 4 日遭遇安全漏洞，一名黑客未经授权访问其平台，影响其北美、欧洲和新加坡实例。 Mobile Guardian 表示，由于此次入侵，一小部分 iOS 和 ChromeOS 设备被远程清除数据，但没有证据表明存在数据访问或泄露。 公告中写道：“此次事件导致一小部分设备从 Mobile Guardian 中取消注册，设备中的内容被远程清除。”并补充道，“没有证据表明犯罪者可以访问用户的数据。” 该服务目前已暂停，因此用户无法登录移动监护平台，学生也只能在其设备上进行受限访问。 该漏洞仍在调查中，但该公司目前就该事件发表的声明称，没有证据表明攻击者获取了用户数据。北美、欧洲和新加坡的实例均受到影响。 受影响设备的确切数量尚不清楚，但 Mobile Guardian 称其只占“一小部分”。受影响的客户之一新加坡教育部表示，26 所学校的 13,000 名学生的设备已被攻击者远程清除。 该事件给新加坡造成了严重混乱，学生无法访问存储在 iPad 和 Chromebook 上的应用程序和信息。 新加坡教育部表示，此次事件发生后，将从所有 iPad 和 Chromebook 中删除“Mobile Guardian”应用程序。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NsbOWU_rwqLtg5FwVM_pCw 封面来源于网络，如有侵权请联系删除

有报道称针对上周末被披露的Apache OFBiz 安全漏洞（CVE-2024-38856）的攻击企图日益增多，使用 Apache OFBiz 的组织被敦促修补一个严重漏洞。 Apache OFBiz 开发人员称，18.12.14 之前的版本都受到影响，18.12.15 包含一个修复程序。 开发人员在一份咨询报告中表示： “如果满足某些先决条件（例如，当屏幕定义没有明确检查用户的权限，因为它们依赖于其端点的配置时），未经身份验证的端点可能会允许执行屏幕的屏幕渲染代码。” 发现该漏洞的 SonicWall 威胁研究人员将其描述为一个严重问题，可能允许未经身份验证的远程代码执行。 SonicWall 解释称：“漏洞的根本原因在于身份验证机制存在缺陷。该缺陷允许未经身份验证的用户访问通常需要用户登录才能使用的功能，从而为远程代码执行铺平了道路。” SonicWall 尚未发现利用 CVE-2024-38856 的攻击。 然而，最近发现的另一个 Apache OFBiz 漏洞似乎已被恶意攻击者利用。该漏洞于 5 月被发现，编号为 CVE-2024-32113，是一个路径遍历错误，可能导致远程命令执行。 SANS 技术研究所的互联网风暴中心报告称，7 月底发现攻击尝试有所增加。 有证据表明攻击者正在试验该漏洞并可能将其添加到 Mirai 僵尸网络变种的攻击中。 Apache OFBiz 是一个用于创建企业资源规划 (ERP) 应用程序的免费框架。OFBiz被多家大型公司使用。大多数用户在美国，其次是印度和欧洲。 SANS 的 Johannes Ullrich 指出：“OFBiz 似乎远不如商业替代方案那么流行。然而，就像任何其他 ERP 系统一样，组织依靠它来存储敏感的业务数据，而这些 ERP 系统的安全性至关重要。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_RfZplteHa9jDl1FXXRqtA 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

关键的 API 安全漏洞（在跟踪和记录网络用户活动的 Hotjar 服务和广受欢迎的 Business Insider 全球新闻网站中发现的）利用现代身份验证标准复活了一个长期存在的漏洞，使数百万用户面临账户被接管的风险。 API 安全公司 Salt Security 的 Salt Labs 发现，通过将 OAuth 标准与这两个网站的跨站脚本 (XSS) 漏洞相结合，攻击者有可能暴露敏感数据，并冒充 100 多万个网站的合法用户开展恶意活动。 Hotjar 是一款通过记录用户活动来分析行为的工具，是对谷歌分析（Google Analytics）的补充，它为 100 多万个网站提供服务，其中包括 Adobe、微软、松下、哥伦比亚、RyanAir、迪卡侬、T-Mobile 和任天堂等知名品牌。 “由于 Hotjar 解决方案的性质，它收集的数据可能包括大量个人敏感数据，如姓名、电子邮件、地址、私人信息、银行详细信息，甚至在某些情况下还包括凭证。”Salt Labs 博客文章中关于这项研究的帖子说。 另外，在 Business Insider 网站上发现的另一个同样危险的漏洞也可被利用来执行跨站脚本 (XSS) 攻击，并接管该网站上的账户，而该网站在全球拥有数百万用户。 研究人员警告说，同样的漏洞组合可能在互联网大范围内潜伏，这使得更多的在线服务可能面临同样的问题。 现代身份验证标准 OAuth 是一个相对较新的标准，越来越多地被用于无缝跨网站认证，因为它是许多网站中“用 Facebook 登录”或“用 Google 登录”功能背后的引擎而被人熟知。该标准驱动着负责网站间身份验证切换的机制，允许网站间共享用户数据。但该标准在实施过程中被错误配置，从而创建了跨越多个站点的严重漏洞，影响众多网站。 XSS 作为最常被利用和最古老的网络漏洞之一，它允许攻击者将恶意代码注入合法的网页或应用程序中，以便在网站访问者的浏览器中执行脚本，用于数据盗窃等。 Salt Security 公司副总裁 Yaniv Balmas 表示，一个成功利用结合了这两种攻击手段的攻击者将获得与受害者相同的权限和功能。换句话说，潜在的风险将等同于普通系统用户实际能够进行的操作。 Salt Labs 于 3 月 20 日发现了 Business Insider 网站上的漏洞，并立即通知了该公司，该公司在 3 月 30 日修复了漏洞。而 Hotjar 的漏洞是在 4 月 17 日发现的，披露后两天就得到了缓解。 Salt 研究人员认为，允许攻击者利用 OAuth 和 XSS 组合的漏洞可能在其他网站上潜伏而未被发现，从而使数百万毫无戒心的用户面临潜在的账户被接管风险。 “我们坚信这是一个非常普遍的问题，而且很有可能许多其他在线服务也存在同样的问题。” Balmas 说。 Hotjar 攻击 鉴于 XSS 已经存在了很长时间，大多数网站都有针对利用这种漏洞攻击的内置保护措施。Salt 的研究人员利用 OAuth 在 Hotjar 和 Business Insider 网站的两个独立实例中避开了这些保护。 研究人员操纵了 Hotjar 的社交登录功能，该功能重定向到 Google，通过 OAuth 接收秘密令牌以完成 Hotjar 上的认证。该令牌是一个包含秘密代码的 URL，JavaScript 代码可以读取该 URL，从而创建了一个 XSS 漏洞。 “为了将 XSS 与这个新的社交登录功能结合起来并实现有效的利用，我们使用 JavaScript 代码在新窗口中启动一个新的 OAuth 登录流程，然后从该窗口读取令牌，” 帖子中说。“使用这种方法，JavaScript 代码会在 Google 打开一个新标签页，Google 会自动将用户重定向回 [Hotjar 网站]，并在 URL 中加入 OAuth 代码。” 代码会读取新标签页中的 URL 并从中提取 OAuth 凭证。一旦攻击者获得了受害者的代码，他们就可以在 Hotjar 中启动一个新的登录流程，用受害者的代码替换他们的代码，从而完全接管账户，因此可能暴露 Hotjar 收集的所有个人数据。 利用移动登录 研究人员还设法利用了Business Insider网站代码中集成的社交登录功能，特别是通过移动身份验证，该功能会打开一个新的 Web 浏览器对用户进行身份验证。用户在网络上完成身份验证后，会被重定向到一个端点，而其凭证将作为参数通过网络发送到移动站点。 这个端点仅创建用于支持使用移动应用程序进行身份验证，容易受到 XSS 攻击。因此，如果攻击者能够从 URL 中读取凭证，就可以实现账户接管。 “我们需要做的是编写 JavaScript 代码，启动登录流程，等待令牌在 URL 中可见，然后读取该 URL，”帖子中说。“如果受害者点击了该链接，他们的凭证将被传递给恶意域。” Balmas 强调，虽然在 Hotjar 和 Business Insider 网站上发现的具体漏洞已经得到缓解，但其他网站上也可能存在类似的潜在漏洞，这就意味着网站管理员在实施 OAuth 时需要十分小心，以免被用于类似的攻击场景。 他说：”在实施任何新技术时需要考虑很多问题，当然也包括安全问题。考虑到所有可能选项的可靠实施应该是安全的，不应该让攻击者有机会滥用这种攻击载体”。   转自Freebuf，原文链接：https://www.freebuf.com/news/407325.html 封面来源于网络，如有侵权请联系删除