动向一览
数据安全
金融软件公司Finastra正在调查数据泄露事件
福特指责第三方供应商造成数据泄露
Propertyrec泄密事件曝光了超过50万份背景调查记录
安德鲁·泰特大学数据泄露:100万条用户记录和聊天记录遭泄露
美国和英国军事社交网络“军队笔友”泄露SSN、PII数据
Microsoft Power Pages配置错误导致全球数百万条记录泄露
数据维吉兰特泄露亚马逊、惠普等公司800万份员工记录
Microlise承认黑客在网络攻击中窃取了公司数据
勒索软件团伙利用云服务窃取数据
法国医院遭受网络攻击,75万名患者健康数据遭泄露
诺基亚调查数据泄露事件,IntelBroker涉嫌出售源代码
实用研究
Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现
Diskover:一款基于Elasticsearch的开源文件系统索引工具
GraphQL Cop:一款针对GraphQL API的安全审计工具
如何使用ADcheck快速检测活动目录的安全性
蓝队技术——Sysmon识别检测宏病毒
绕过Apache Superset限制执行SQL注入
网络安全
网络攻击致使英国司法部囚车追踪报警系统瘫痪
本月,一次针对一家提供车辆追踪解决方案公司的网络攻击,导致英国囚车追踪系统和报警系统陷入瘫痪,但目前尚无证据表明犯罪分子试图利用这一情况。
作为当事者公司,Microlise已于近期向伦敦证券交易所通报了此次事件,但未提供有关客户可能受到连锁反应影响的详细信息。Microlise在11月6日发表声明,表示攻击者可能已获取了员工数据,不过其相信客户的系统数据未受到泄露。该公司补充称,其在事发后便开始努力恢复服务,恢复工作预计将持续数天,有望于11月中旬基本恢复正常。
作为Microlise公司的客户,Serco是一家为英国司法部运营囚犯押送服务的外包公司。据《金融时报》报道,Serco的员工于11月4日接到通知,因Microlise事件影响,车辆追踪、紧急报警、导航和预计到达时间通知等功能均已暂停使用。
据悉,英国司法部对此事拒绝发表评论。但据了解,相关官员认为此次事件对英国的囚犯押送服务没有实质性影响。尽管此次供应链事件暴露出第三方供应商遭受网络攻击带来的风险,但目前没有迹象表明攻击者意识到Microlise与Serco囚犯运输服务之间的关联。
英国政府目前正在试点一项“Cyber Essentials”认证计划来保护供应链,该项目初期将要求英国最大的银行,将网络安全标准纳入对供应商的要求中。根据英国政府即将出台的《网络安全与弹性法案》,其他关键基础设施运营商以及公共部门承包商也可能会被要求引入类似的供应商安全标准。相关法案预计将于明年提交议会审议。
发布平台:The Record
阅读原文:https://therecord.media/british-prison-vans-cyberattack
网络攻击扰乱美国超市药房运营,超2000家门店受影响
经国际零售巨头皇家阿霍德德尔海兹集团(Ahold Delhaize)确认,持续的“网络安全问题”引发了其旗下Food Lion、Stop & Shop等多个美国超市品牌的系统中断。该公司表示,其已关闭了一些系统,相关网络安全事件对其部分药房及电商业务造成了影响。
该公司总部位于荷兰的跨国企业,其在欧洲以阿尔伯特·海恩(Albert Heijn)和德尔海兹(Delhaize)等品牌闻名,在美国市场则拥有Stop & Shop、Hannaford、Giant和Food Lion四大品牌在内的多个品牌。
据悉,Stop & Shop、Hannaford、Giant和Food Lion四大零售品牌共拥有约2000家店铺,均可能受到此次网络安全事件的影响。其中,Food Lion拥有超过1000家门店,员工人数超过8.2万人,每周服务超过1000万名顾客。若问题持续影响这些店铺,则潜在影响规模将非常大。
该公司在2024年11月8日发布的声明中指出,在问题首次被发现时,其安全团队便立即在外部网络安全专家的协助下展开了调查并通知了相关执法部门。另外,该公司表示,其对于此次事件可能给客户和合作伙伴带来的不便深感抱歉,其美国分公司旗下的所有品牌店铺仍正常营业,能够继续为客户提供服务,其将持续采取措施,以进一步保护系统。
据悉,截止至2024年11月14日,美国零售店面临的问题已经持续了一周。由于网络安全调查通常需要较长时间,案件的具体细节仍在收集中。
据悉,在本次攻击后,关于交货延迟或缺失的报告频繁出现,且部分到货物资供应不足,不同商店受到影响的程度有所差异。据部分顾客反映,超市药房因IT问题暂时无法补充药品、Food Lion To Go和Instacart的订单无法处理、部分支付服务受到了限制等诸多问题。为应对暂时无法补充药品的问题,药品被转移至附近的沃尔格林药房,但由于药店的电话线路也出现了问题,处理过程受到了影响。另外,一位自称负责向商店运送物资的人员表示,其发现了发票上的价格与实际成本不符的问题。但据地方新闻报道称,相关药房的IT问题已经得到解决,现在可以正常补充处方药。截至11月9日,部分商店的服务已经恢复正常,而另一些商店仍然没有互联网连接,只能依靠员工的个人热点来维持运营。
此外,该公司的一名员工还表达了对财务数据可能被影响的担忧。该员工声称,在事件发生几天后,他的借记卡被用于多次欺诈性消费,但目前尚不清楚这两件事是否有关联。
发布平台:The Register
阅读原文:https://www.theregister.com/2024/11/12/ahold_delhaize_cybersecurity_issue_blamed/
Oracle警告称,Agile PLM文件泄露漏洞在攻击中被利用
Oracle修复了Oracle Agile Product Lifecycle Management(PLM)中一个未经身份验证的文件泄露漏洞,该漏洞被跟踪为CVE-2024-21287,该漏洞被积极用作零日下载文件。
Oracle Agile PLM是一个用于企业管理全球团队之间的产品数据、流程和协作事项的软件平台。
2024年11月19日,Oracle敦促Agile PLM客户安装最新版本以修复CVE-2024-21287缺陷。Oracle表示,这一漏洞无需身份验证即可被远程利用,即无需用户名和密码即可通过网络利用。如果成功利用,此漏洞可能会导致文件泄露,Oracle强烈建议客户尽快应用此安全警报提供的更新。
虽然Oracle表示该漏洞是由CrowdStrike的Joel Snape和Lutz Wolf披露的,但相关公告并未表明该漏洞已被积极利用。然而,根据Oracle安全保障副总裁Eric Maurice在随后发布的一篇博客文章证实,相关漏洞已被用于攻击。
Eric Maurice表示,此漏洞会影响Oracle Agile Product Lifecycle Management(PLM),据报道,该漏洞被CrowdStrike未经官方许可的外部环境中被频繁利用。
据悉,此漏洞的CVSS基本评分为7.5,若被成功利用,未经身份验证的犯罪者便可以从目标系统下载根据PLM应用程序使用的权限访问的文件。但目前尚不清楚该漏洞目前是如何被利用的,以及这些攻击是否归因于特定的威胁行为者。
发布平台:Bleeping Computer
阅读原文:https://www.bleepingcomputer.com/news/security/oracle-warns-of-agile-plm-file-disclosure-flaw-exploited-in-attacks/
ZYXEL防火墙在最近的勒索软件攻击中成为目标
Zyxel警告称,其观察到了一个勒索软件团伙利用其防火墙中最近修补的命令注入漏洞(CVE-2024-42057)。未经身份验证的远程攻击者可以利用此漏洞在易受攻击的设备上执行操作系统命令。
据悉,某些防火墙版本的IPSec VPN功能中存在一个命令注入漏洞,可能允许未经身份验证的攻击者通过向受影响设备发送伪造的用户名来执行某些操作系统命令。但只有当设备配置为使用基于用户的PSK身份验证,并且有一个用户名超过28个字符的有效用户时,攻击才可能发生。
Zyxel的EMEA团队报告称,威胁者正在瞄准易受的Zyxel安全设备。Zyxel EMEA团队一直在跟踪威胁者最近针对先前存在漏洞的Zyxel安全设备的活动,且在跟踪的全过程中,管理员密码并没有被更改。该公司建议用户更新所有管理员和所有用户帐户,以获得最佳保护。
据该公司调查,威胁行为者能够从以前的漏洞中窃取有效凭据信息,并且相关凭据没有被更改,使他们现在能够与临时用户创建SSL VPN隧道,如“SUPPOR87”“SUPPOR817”或“VPN”,并修改安全策略,以便他们访问设备和网络。
篡改防火墙或VPN网关是勒索软件集团常见的入侵技术,因为其能够通过监控不佳的设备为组织的系统提供了一个立足点,并提供了对关键资源的访问。网络安全公司Sekoia对Helldown勒索软件团伙实施的一系列攻击进行了详细的描述。专家推测,勒索软件集团企图通过针对Zyxel防火墙,以获得对目标组织的初始访问权限。
以上证据表明,Zyxel防火墙已经成为Helldown的目标。关于妥协后活动的详细信息进一步表明了,在至少一次入侵中,攻击者的策略与典型的勒索软件方法一致。
据悉,供应商已通过发布适用于ATP、USG FLEX和USG FLEX 50(W)/USG20(W)-VPN系列的固件版本5.39解决了这些漏洞。该公司建议用户立即升级到补丁固件,且暂时禁用对易受的防火墙的远程访问。此外,该公司还敦促用户更新管理员和用户账户密码以增强保护。
发布平台:Security Affairs
阅读原文:https://securityaffairs.com/171382/cyber-crime/zyxel-firewall-ransomware-attacks.html
微软查封了240个网站,以破坏网络钓鱼工具包的全球分发
Microsoft(微软)查获了240个欺诈性网站,相关网站与全球网络犯罪分子用来侵入客户帐户的“自己动手”网络钓鱼工具包有关。
据悉,该项行动是由弗吉尼亚州东区的一项民事法院命令促成的,该命令允许将恶意技术基础设施定向到Microsoft,该行动将永久阻止相关域名在将来的网络钓鱼攻击中被使用。
据报道,相关网站与埃及的Abanoub Nady有关,Abanoub Nady是一名埃及人,其在网络上被称为“MRxC0DER”,其开发且向全球威胁行为者出售了网络钓鱼工具包,并欺诈性地使用了“开放神经网络交换”(ONNX)来销售这些服务。Nady和其同伙通过品牌店面营销和销售非法产品,包括欺诈性的ONNX商店。
ONNX是一种合法的开放标准格式和开源运行库,用于表示机器学习模型,支持不同硬件、框架和工具之间的互操作性,从而更轻松地进行部署和扩展。
除了没收域名之外,Linux基金会(实际注册的“ONNX”名称和徽标的商标所有者)以及Microsoft还起诉了Nady和四名运行ONNX的身份不明者。法院已通知被告,要求被告必须在本案庭审中出庭,否则Microsoft和Linux将自动胜诉。
微软表示,此次行动将大大阻碍MRxC0DER的欺诈操作,与此同时,向那些选择复制其的服务以伤害其在线用户的群体及个人发出了一个强烈的信息:微软将积极寻求补救措施来保护其服务及其客户,不断改进其技术与法律策略以产生更大的影响,微软也承认其他提供商将填补这一空白,并预计威胁行为者会调整他们的技术来应对。
微软表示,其早在2017年就追踪了与Nady的运营相关的活动。其中,与ONXX一起用于销售网络钓鱼套件的其他品牌店面包括了“Caffeine”和“FUHRER”,而Nady运行的网络钓鱼操作占其每月看到的数千万到数亿条网络钓鱼消息的很大一部分,ONXX业务在2024年上半年的电子邮件量中名列前五。微软还指出,由于ONXX上出售的网络钓鱼工具包处理敏感数据和交易,金融服务行业成为其网络钓鱼的重要目标。
网络钓鱼工具包旨在大规模发送电子邮件,专门用于协调网络钓鱼活动。它们使网络犯罪客户能够使用提供的模板和欺诈性ONNX技术基础设施(包括网站域)进行网络钓鱼攻击。网络犯罪分子还可以使用其在其他地方购买的域并连接到欺诈性的ONNX技术基础设施,从而使其网络钓鱼操作能够发展和扩展。据悉,相关工具包还促进了中间对手(AiTM)网络钓鱼技术,攻击者通过该技术秘密地将自己注入网络通信中以窃取凭据和cookie,从而绕过多因素身份验证(MFA)防御。
据报道,网络钓鱼工具包几乎完全通过Telegram进行推广、销售和配置。此外,欺诈性ONXX操作还为客户提供了订阅模式,其中包括了基本、专业和企业选项,每个选项都用于不同级别的访问和支持。企业用户可以购买“无限VIP支持”的附加功能,该功能提供了有关如何成功使用网络钓鱼工具包实施网络犯罪的分步说明。
发布平台:Infosecurity Magazine
阅读原文:https://www.infosecurity-magazine.com/news/microsoft-seizes-websites-phish/
超过2,000个Palo Alto防火墙被黑客利用修补的漏洞攻击
黑客通过利用近期修补的两个零日漏洞,在攻击中破坏了数千个Palo Alto Networks防火墙。
这两个安全漏洞是PAN-OS管理Web界面中的身份验证绕过(CVE-2024-0012),远程攻击者可以利用该漏洞来获取管理员权限,以及PAN-OS权限提升(CVE-2024-9474),帮助他们以root权限在防火墙上运行命令。
虽然CVE-2024-9474已于2024年11月18日披露,但该公司于11月8日便首次警告客户,由于潜在的RCE漏洞(2024年11月15日被标记为CVE-2024-0012),请限制对其下一代防火墙的访问。
据悉,Palo Alto Networks仍在调查相关的攻击,其通过将这两个漏洞链接起来,以针对“有限数量的设备管理Web界面”,并且已经观察到威胁行为者丢弃恶意软件并在受感染的防火墙上执行命令,并警告说链式漏洞可能已经可用。
该公司于11月20日表示,“2024年11月18日报告的这一原始活动主要来源于已知的匿名VPN服务的代理/隧道流量的IP地址,目前,Unit42以中等到高度的置信度评估了链接CVE-2024-0012和CVE-2024-9474的功能性漏洞利用是否已公开可用,是否会造成更广泛的威胁活动。”
尽管该公司表示这些攻击只影响了“极少数PAN-OS”防火墙,但据威胁监控平台Shadowserver于11月20日报告称,其正在跟踪2,700多台易受攻击的PAN-OS设备。Shadowserver表示,自该项活动开始以来,大约有2,000个防火墙被黑客入侵,其仍在跟踪受感染的Palo Alto Networks防火墙的数量。
CISA已将这两个漏洞添加到其已知利用漏洞目录中,并要求联邦机构在12月9日之前的三周内修补其防火墙。据CISA于11月初发出的警告,攻击者利用Palo Alto Networks Expedition防火墙配置迁移工具中的另一个关键的缺失身份验证漏洞(CVE-2024-5910),该漏洞在7月修补,可用于重置暴露在Internet上的应用程序管理员凭据Expedition服务器。
Palo Alto Networks于2024年11月20日“强烈”建议其客户通过限制对内部网络的访问来保护其防火墙的管理界面。该公司表示:若客户根据其推荐的最佳实践部署指南,通过限制仅访问受信任的内部IP地址来保护对管理Web界面的访问,则可以大大降低相关问题的风险。
发布平台:Bleeping Computer
阅读原文:https://www.bleepingcomputer.com/news/security/over-2-000-palo-alto-firewalls-hacked-using-recently-patched-bugs/
博彩巨头IGT遭受重大网络攻击,致其系统脱机
美国最大的博彩公司之一International Game Technology(IGT)确认了一起重大网络安全事件,导致其运营中断。IGT在2024年11月17日遭受的网络攻击影响了该公司部分内部信息技术系统和应用程序,迫使其将一些系统下线,以应对这一事件。
IGT总部位于伦敦,在全球拥有11,000多名员工。该公司是为彩票、赌博机和体育博彩提供系统和技术的全球领导者,据该公司报告,其在2024年前9个月收入达19亿美元,这反映了其在全球赌博技术市场中的重要作用。
在IGT提交给美国证券交易委员会(SEC)的一份文件中,该公司披露,其检测到对某些系统进行了未经授权的访问,导致运营中断,随后,其迅速启动了其网络安全事件响应计划,并招募了外部顾问,以调查和缓解IGT数据泄露。
据悉,此次攻击影响了该公司运营中至关重要的各种应用程序和内部IT系统,其中包括为彩票、赌博机和体育博彩提供系统和技术。虽然调查正在进行,但IGT尚未确定该事件是否会对其财务产生重大影响。
为了遏制威胁并保护其系统,IGT主动将一些IT基础设施下线。此外,该公司还实施了业务连续性措施,以最大限度地减少中断并尽可能维持客户服务。
截至2024年11月21日,还没有黑客组织声称对此次攻击负责。
发布平台:The Cyber Express
阅读原文:https://thecyberexpress.com/igt-cyberattack/
Blue Yonder勒索软件攻击破坏了英国杂货店供应链
据供应链管理公司Blue Yonder表示,勒索软件攻击对其服务造成了重大破坏,影响了英国的杂货连锁店。
Blue Yonder(前身为JDA Software)是Panasonic的子公司,年收入超过10亿美元,拥有6,000名员工。该公司主要业务为:为零售商、制造商和物流提供商提供AI驱动的供应链解决方案,包括需求预测、库存优化和运输管理。在其所拥有的3000家客户中,包括了如DHL、雷诺、拜耳、莫里森、雀巢、3M、乐购、星巴克、Ace Hardware、宝洁、塞恩斯伯里和7-Eleven等知名企业。
托管服务环境是指Blue Yonder代表其客户运营的基础设施和系统,通常包括SaaS平台和用于供应链运营的云托管解决方案。正如预期的那样,此次安全事件直接影响了客户,经英国杂货连锁店Morrisons的发言人向媒体证实,他们已经恢复了较慢的备份过程。英国杂货商Sainsbury对此向CNN表示,其已经制定了连续计划来克服中断。
2024年11月22日,Blue Yonder表示,由于11月21日发生的勒索软件事件,其托管服务托管环境被迫中断。事后,Blue Yonder团队便与外部网络安全公司开展合作,实施了多项防御和取证协议,努力恢复其服务。据报道,Blue Yonder表示,其在其公共云环境中没有检测到可疑活动,并且仍在处理多种恢复策略。该公司在11月23日、24日表示,其仍在恢复受此次攻击影响的服务,尚无法分享完全恢复的具体时间表,其呼吁客户在未来几天内关注Blue Yonder网站上的客户更新页面。
截止至11月25日,该公司尚未发布有关情况的更新,因此其托管服务环境可能仍然受到影响。目前,尚未发现勒索软件团伙对Blue Yonder的攻击负责的任何公告。
另外,据11月26日的报道,Blue Yonder此次遭受的网络攻击也影响了星巴克,致使星巴克现在不得不通过手动程序支付员工工资。
发布平台:Bleeping Computer
阅读原文:https://www.bleepingcomputer.com/news/security/blue-yonder-ransomware-attack-disrupts-grocery-store-supply-chain/
警惕消费技术武器化:热门手游Pokémon Go或危害国家安全
本月,热门手游Pokémon Go(精灵宝可梦)母公司Niantic的工程师自曝其地理空间数据可能被政府和军方购买用于军事用途。该研究揭示了一个令人担忧的趋势:热门消费技术正在以我们始料未及的方式改变全球安全格局,可能给国家安全带来新的隐患,其危害甚至不亚于关键基础设施漏洞。
早在2020年,美国国家安全局(NSA)就被曝光通过数字广告经纪人收集个人数据,用于追踪几乎任何使用智能手机的目标(包括军事人员和政府工作人员)。相关事件让人们意识到,大规模的消费级数据采集与分析不仅能服务于市场营销,还可能成为监控与情报工作的强大工具。而今,类似的担忧从数字广告扩展到新兴的空间计算(Spatial Computing)技术和增强现实(AR)游戏中。
在2024年11月14日的Bellingcat调查记者大会上,Niantic工程副总裁布莱恩·麦克伦登(Brian McClendon)发表了关于空间计算技术的演讲,提出了一个可能的场景:政府和军方可能会购买基于Pokémon Go玩家生成的扫描数据开发的人工智能模型。这一模型被称为“大型地理空间模型”(Large Geospatial Model,简称LGM),能够通过分析大量实地数据生成高精度的地理空间映射模型。
麦克伦登明确表示,尽管LGM的初衷是服务消费者或研究机构,但如果其用途转向军事领域,特别是用于“增加战争强度”,这将是一个“显然的问题”。他并未排除将LGM或相关数据出售给政府或军方的可能性。
Niantic的LGM项目依赖于玩家扫描的真实世界数据,例如Pokémon Go中的“AR映射任务”和“Pokémon Playgrounds”功能。这些功能激励玩家扫描公共场所,生成大量独特的地理数据。
据该公司表示,Niantic的LGM建立在其Lightship视觉定位系统(VPS)之上。麦克伦登表示,相关系统已扫描全球1000万个位置,其中超过100万个位置已激活并可通过其公司的VPS服务进行使用。其每周收到大约100万张新扫描,每张都包含数百张离散图像。这些数据从步行视角获取,与传统车辆导航系统(如Google Street View)有显著不同,甚至包括常规导航系统无法覆盖的步行路径。军方一旦获取这些高精度、低成本的数据,将显著提高其侦察与规划能力,因而具有极高的战术价值。
更为令人担忧的是,Niantic的LGM技术不仅可应用于游戏领域,在商业领域和科技发展方面也充满潜力,是未来AR眼镜、机器人、内容创建和自主系统等多个领域的基础技术。因此,这种技术的武器化势必会引发广泛而影响深远的伦理和国家安全问题。虽然Niantic称其扫描功能基于用户自愿且“完全可选”,并且强调数据的应用仅限于增强用户体验的AR功能。然而,大规模数据采集与分析的风险在于,这些技术可能被重新利用于超出公司初衷的用途。正如麦克伦登所提到的,政府和军方已经对这类消费技术表现出浓厚兴趣,可能会将其用于军事战略、侦察和情报工作。
发布平台:安全内参
阅读原文:https://www.secrss.com/articles/72783
全球最大盗版IPTV网络被清剿
本月,包括中国在内的多国执法机构联合行动成功摧毁了一个覆盖全球的超大规模盗版流媒体(IPTV)服务网络,该网络为超过2200万用户提供非法内容,每月非法收入高达2.5亿欧元(约合2.63亿美元)。
据报道,此次行动代号为“Taken Down”,由意大利邮政和网络安全警察局主导,联合Eurojust、Europol以及多个欧洲国家共同执行,成为意大利乃至国际上规模最大的非法IPTV打击行动。
据悉,被捣毁的盗版IPTV服务由一个层级分明的跨国组织运营,非法采集并转售知名内容平台的节目。被盗版的内容包括IPTV、直播和点播节目,涉及Sky、Dazn、Mediaset、Amazon Prime、Netflix、Disney+和Paramount等主要广播公司。该组织通过非法手段获取这些平台的版权内容,并以低价向用户提供,形成庞大的非法市场。
在此次行动中,超过270名邮政警察与外国执法机构合作,在意大利15个地区进行了89次搜查,并在英国、荷兰、瑞典、瑞士、罗马尼亚、克罗地亚和中国等地进行了14次大规模搜查,抓获102名嫌疑人,查获了超过2500个非法频道及其服务器,其中包括位于罗马尼亚和中国香港的9台服务器。其中,克罗地亚警方根据卡塔尼亚检察官办公室和意大利邮政警察的调查线索,执行了11份逮捕令。此外,在英格兰和荷兰确定了三名IT网络的高级管理员,并在意大利境内发现了80个由嫌疑人管理的IPTV频道控制面板。
意大利警方表示,这些非法直播是通过多个直播网站进行的,但并未公布任何域名。被捕人员目前面临通过IPTV非法播放视听内容、未经授权的系统访问、计算机欺诈和洗钱等指控。
发布平台:安全内参
阅读原文:https://www.secrss.com/articles/72839
数据安全
金融软件公司Finastra正在调查数据泄露事件
英国金融科技巨头Finastra正在调查一起数据泄露事件,一名黑客在地下论坛上出售据称从该公司窃取的数据。
Finastra为全球约8,000家金融机构提供软件和服务,其中包括全球50大银行中的45家。该公司总部位于伦敦,在42个国家设有办事处。根据Bitsight的数据,全球金融机构高度依赖Finastra。超过20%的信用合作社、约50%的会计师事务所和近50%的投资银行公司都使用Finastra。总体而言,全球超过10%的金融机构使用Finastra技术。
Finastra在声明中表示,他们立即与第三方网络安全公司展开了调查,并采取预防措施,隔离并控制了该平台。该公司还指出,没有发现任何证据表明威胁行为者横向移动到受影响的文件传输平台之外的其他系统,也没有对Finastra的客户运营或系统造成直接影响。
Finastra证实,它已经意识到一名黑客在暗网论坛上声称他们从其系统中窃取了数据,并指出它已将这一说法告知客户并与他们保持联系,回答与发布数据相关的问题并分享妥协指标(IoC)。
该公司表示,受影响的平台不是用于数据交换的默认文件传输应用程序,并且并非所有客户都在使用它。他们正在尽快排除受影响的客户。这是一个耗时的过程,因为有许多大客户,他们在业务的不同部分使用不同的Finastra产品。
调查记者Brian Krebs首次报道了这一事件,此前一名使用昵称“abyss0”的威胁行为者在暗网网络犯罪论坛上宣布,他们正在出售据称在攻击中窃取的400GB数据,这些数据属于这家金融科技巨头的客户。
发布平台:Security Week
阅读原文:https://www.securityweek.com/financial-software-firm-finastra-investigating-data-breach/
福特指责第三方供应商造成数据泄露
名为IntelBroker和EnergyWeaponUser的黑客于11月17日在BreachForums网络犯罪论坛的一篇帖子中声称,他们获得了44,000份福特客户记录,其中包括姓名,实际地址和收购信息。黑客公开的数据样本代表了来自世界各地的汽车经销商的实际地址,这些信息并不被视为敏感信息,而且很可能已经公开。
福特汽车已证实了这一点,并表示,调查已确定其系统或客户数据并未遭到泄露,并指出泄露的信息来自第三方供应商。此事涉及第三方供应商和一小部分公开的经销商营业地址。据了解,此事现已解决。
据悉,IntelBroker曾泄露过知名组织的数据,虽然大多数受害者都确认遭受了某种类型的数据泄露,但许多人认为黑客的说法有些夸大。
发布平台:Security Week
阅读原文:https://www.securityweek.com/ford-says-leaked-data-comes-from-supplier-and-is-not-sensitive/
Propertyrec泄密事件曝光了超过50万份背景调查记录
重大数据安全漏洞导致大量个人信息易受攻击,引发身份盗窃和有针对性攻击的担忧。泄露的数据属于SL Data Services,LLC,该公司以Propertyrec的名义开展业务,提供房地产和犯罪记录搜索服务。
安全研究员Jeremiah Fowler发现了一个可公开访问的数据库,其中包含超过644,000个文件,总计高达713GB的数据。值得注意的是,该数据库甚至缺乏基本的密码保护,任何人都可以访问。
这些个人数据宝库描绘了人们生活的完整图景,使他们容易受到多种威胁。此外,数据的泄漏导致他们有了大量的个人信息,网络犯罪分子可以创建高度个性化的网络钓鱼电子邮件或社交工程骗局。这些骗局可能会诱骗受害者透露密码或财务详细信息等敏感信息。而且,犯罪分子可以利用暴露的信息冒充个人并从朋友、家人或雇主那里获取其帐户或个人信息。
此次事件反映出处理敏感数据的公司采取更强有力的安全措施的重要性。Fowler建议,即使文件已加密,组织也应避免将个人信息存储在文件名中,实施强大的访问控制,并定期进行安全审计以识别和解决安全漏洞。
发布平台:HACK READ
阅读原文:https://hackread.com/propertyrec-leak-exposes-background-check-records/
安德鲁·泰特大学数据泄露:100万条用户记录和聊天记录遭泄露
备受争议的社交媒体影响者安德鲁·泰特(Andrew Tate)目前被软禁,他是黑客行动主义的最新受害者。据报道,身份不明的黑客成功入侵了他的在线自助平台“真实世界”(The Real World,原名“骗子大学”)。
此次事件发生时,Tate正忙着直播他在Rumble上播出的节目《紧急会议》的最新一集。此次攻击导致敏感用户数据泄露,包括用户名、电子邮件地址和私人聊天消息。
The Real World是一所专注于健康、健身、金融投资和电子商务业务的在线大学,拥有超过113,000名活跃用户。它以每月50美元的价格提供高级培训和指导,还教用户如何掌握赚钱技能。
黑客利用了该平台的一个严重安全漏洞。成功攻击后,他们在主聊天室中充斥了支持女权主义者和LGBTQ+表情符号,暂时封禁了用户,并删除了附件。他们发布的表情符号包括跨性别旗帜、女权主义拳头等。
更令人担忧的是,根据DDoSecrets的说法,黑客还成功访问了大量用户数据,包括超过794,000个现任和前任会员的用户名、The Real World的221个公共聊天服务器和395个私人聊天服务器的内容(覆盖大约十几个校园),以及近325,000个从平台上删除的用户的电子邮件地址。
发布平台:HACK READ
阅读原文:https://hackread.com/andrew-tate-university-breach-user-records-chats-leak/
美国和英国军事社交网络“军队笔友”泄露SSN、PII数据
军队笔友(Forces Penpals)是一家为美国和英国武装部队成员及其支持者提供约会服务和社交网络的公司,自2002年以来,该公司被发现泄露了超过110万名注册用户的个人信息。
该问题是由Jeremiah Fowler发现的,他是一位著名的网络安全研究员,因发现和建议如何保护配置错误的云服务器和数据库而闻名。
根据Fowler为VPNmentor撰写的报告表示,这些数据属于Conduitor Limited,该公司的公开名称为Forces Penpals。分析显示,泄露的信息包括个人身份信息(PII)和敏感图像。此外,泄露的数据还包含毫无戒心的用户的社会安全号码(SSN)。
在Forces Penpals案例中,服务器暴露了以下数据:图片、位置、全名、邮寄地址、社会保障号码、国民保险号码(类似于英国的SSN)。Fowler指出,服务器还包含其他不应泄露的数据。其中包括服役证明、军衔、个人所属部队等文件以及其他敏感信息。
Forces Penpals已承认存在数据泄露,并将其归咎于编码错误,导致文件被误传,目录列表被公开。该公司已采取措施保护数据库。然而,目前尚不清楚是否有恶意行为者访问了这些被曝光的信息。Forces Penpals尚未透露信息被曝光的持续时间,也未报告任何可疑活动的迹象。
目前还不清楚这些数据是通过网站还是通过该公司的iOS和Android应用程序泄露的。不过,这一事件提醒类似的服务机构要注重数据安全,保护用户的隐私,免受日益严重的网络威胁。
发布平台:HACK READ
阅读原文:https://hackread.com/us-uk-military-forces-penpals-exposes-ssn-pii-data/
Microsoft Power Pages配置错误导致全球数百万条记录泄露
SaaS安全公司AppOmni最近发现,Microsoft Power Pages存在安全漏洞,这是一个每月有超过2.5亿人使用的低代码平台。AppOmni的SaaS安全研究主管Aaron Costello表示,这个问题导致公共和私营部门各个组织的数百万条敏感数据记录被曝光,涉及金融服务、医疗保健、汽车等行业。
据研究人员称,其中包括英国国家医疗服务体系(NHS),其泄露了超过110万NHS员工的信息,包括电子邮件地址、电话号码和家庭住址。
这些数据泄露的根本原因在于Power Pages中用于开发Dataverse集成应用程序(如Web门户)的访问控制配置错误。然而,其可定制特性可能会将敏感数据暴露给公众。
Power Pages是一款用于构建自定义网站的强大工具,它采用分层方法进行访问控制。这包括站点级、表级和列级权限。但是,当组织错误配置这些设置时,他们会无意中将敏感数据暴露给公共互联网。组织可以通过向Web API公开比必要更多的列来增加潜在的攻击面。AppOmni表示,通过将值设置为*可以允许访问表内的所有列,从而使敏感信息容易受到攻击。启用开放注册和外部身份验证可能会允许未经授权的用户访问敏感数据。这是因为,在部署时,网站默认会自动允许自我注册和登录,尽管这些页面可能在平台上不可见。用户可以通过API注册和身份验证,其中“经过身份验证的用户”比“匿名用户”拥有更多权限。
另一个常见错误是向匿名用户授予全局访问权限,允许任何人查看并可能利用敏感信息。即使正确配置了表级权限,如果未能实现列安全性,也会导致敏感列容易受到攻击。最后,不使用数据屏蔽技术可能会以纯文本形式暴露PII等敏感信息。
正如NHS数据泄露事件所示,这些错误配置的后果可能非常严重。通过泄露敏感信息,组织可能会损害其声誉、面临法律后果,并可能使其系统遭受进一步攻击。此漏洞还表明,SaaS应用程序中访问控制管理不善会带来风险,尤其是在处理敏感数据时。组织应采取适当的安全措施来管理SaaS平台的安全性,因为如今SaaS平台保存着大量机密的公司数据。
此外,定期审核访问控制、限制对敏感数据的访问、实施强大的身份验证和授权机制以及及时了解新出现的安全威胁和漏洞,可以显著降低数据泄露的风险并保护敏感信息。
发布平台:HACK READ
阅读原文:https://hackread.com/microsoft-power-pages-misconfigurations-data-leak/
数据维吉兰特泄露亚马逊、惠普等公司800万份员工记录
一名使用别名Nam3L3ss的“数据卫士”泄露了全球行业巨头的数百万员工记录,这与广泛传播的MOVEit漏洞有关。MOVEit漏洞是MOVEit文件传输软件中的一个安全漏洞,许多组织都使用该软件来共享敏感数据。
Nam3L3ss否认自己是黑客,他于2024年11月8日开始泄露数据。到目前为止,已有27家公司的敏感和非敏感记录被泄露,共计7,952,414条员工记录。其中包括2,861,111条来自亚马逊员工的记录,该公司承认了这一泄露事件。
亚马逊和AWS系统仍然很安全,还没有遇到过安全事件,但亚马逊的一家物业管理供应商发生了一起安全事件,影响了包括亚马逊在内的多家客户,涉及的亚马逊信息只有员工的工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。
研究团队对Nam3L3s泄露的每个文件进行了深入分析,发现数据包括全名、电子邮件地址、电话号码、办公地址、住宅地址、公司名称、位置坐标等。
在Breach Forums上的一篇帖子中,Nam3L3ss解释了他们是谁以及他们为什么要泄露数据。根据该帖子,他们监控各种服务中配置错误和不安全的云数据库,包括AWS Buckets、Azure、Digital Ocean、Google以及FTP和MongoDB服务器,以提取并公开这些数据。Nam3L3ss还声称会监视勒索软件团体,分析被盗数据,通过删除重复和不相关信息进行清理,然后将其发布到网上。例如,泄露的大都会人寿员工名录源自2023年遭受勒索软件攻击的全球金融服务公司大都会人寿。
Black Kite首席研究和情报官Ferhat Dikbiyik对最近的亚马逊数据泄露事件进行了评估,他解释说,亚马逊最近的数据泄露可以追溯到第三方供应商使用MOVEit工具,这再次敲响了供应链隐藏漏洞的警钟。
据推测,有200到400家组织支付了赎金,但实际影响远不止这些数字。在当今的生态系统中,风险管理必须扩展到整个供应链,才能真正抵御下一次大规模攻击。
尽管泄露的文件中没有包含密码和财务详细信息,但此次泄露对公司和员工构成了重大风险。威胁行为者,尤其是朝鲜的Lazarus Group等受国家支持的团体,会利用这些数据发起网络钓鱼诈骗、窃取加密货币并获取可能有助于其国家经济的财务信息。
发布平台:HACK READ
阅读原文:https://hackread.com/data-vigilante-employee-records-amazon-hp-others/
Microlise承认黑客在网络攻击中窃取了公司数据
Microlise是一家总部位于诺丁汉的远程信息处理公司,专门提供运输管理解决方案。Microlise的网络攻击暂时中断了客户运营,目前已基本得到控制,大多数系统已恢复正常功能。
Microlise公司于11月18日向伦敦证券交易所发表声明,披露了此次网络攻击事件,攻击导致Microlise总部的公司数据被泄露。
该公司强调,此次入侵事件中没有任何客户系统数据受到泄露,这减轻了人们对可能造成大规模运营影响的担忧。尽管有这样的保证,Microlise的网络攻击对一些客户还是产生了重大影响。例如,英国的监狱车在中断期间失去了跟踪系统或警报器。这些服务现已恢复,该公司正在努力确保全面运营稳定。
Microlise报告称,大多数客户系统已恢复在线,但少数客户在重新激活用户访问权限之前正在进行自己的安全验证。该公司表示,绝大多数客户系统已恢复在线,一些剩余客户在启用用户之前正在进行自己的安全验证。
在早些时候的更新中,Microlise宣布员工数据可能在此次泄露事件中被泄露。为了解决这个问题,该公司已根据监管要求通知了受影响的个人,并与信息专员办公室(ICO)进行了沟通。
该公司正在继续评估网络攻击的更广泛影响,但仍对其财务稳定性持乐观态度。Microlise 董事会表示,预计2024财年的交易预测或财务状况不会受到重大不利影响。Microlise已与国际机构取得联系,并正在与执法部门合作调查此次泄密事件。其中包括向监管机构通报公司总部数据被泄露的情况。
发布平台:The Cyber Express
阅读原文:https://thecyberexpress.com/microlise-cyberattack-confirmed/
勒索软件团伙利用云服务窃取数据
entinelOne称,云勒索软件攻击已成为恶意行为者破坏目标IT系统的常用方法。
根据SentinelLabs的新报告,攻击者越来越多地利用云提供商的服务来直接攻击受害者或窃取数据。
一方面,他们瞄准云存储服务,对受害者进行攻击和勒索;另一方面,他们利用云服务窃取他们想要勒索的数据。
网络安全提供商研究部门SentinelLabs的威胁研究员Alex Delamotte于11月14日发布了《2024年云勒索软件的现状》。
与端点和基于Web服务器的服务相比,云服务具有攻击面较小、更具优势。然而,云服务的广泛使用对攻击者来说非常有吸引力,攻击者已经开发出新的方法来攻击云服务。尽管旨在安全地存储、管理和检索大规模非结构化数据,但基于云的存储服务(例如Amazon Web Services(AWS)简单存储服务(S3)或Microsoft AzureBlob存储)已成为主要目标。
S3存储桶是恶意活动最常攻击的目标之一。Delamotte表示,攻击者利用过于宽松的S3存储桶,在其中拥有写级别访问权限,这通常是由于配置错误或通过其他方式(例如有效凭证)在目标环境中访问造成的。
其中一项技术利用了云服务提供商(CSP)实施的数据保留措施。例如,AWS密钥管理服务(KMS)在密钥删除请求和永久删除之间定义了一个七天的窗口,为用户提供了检测和纠正针对S3实例的加密勒索攻击的时间。攻击者可以安排删除KMS密钥,并在受害者的环境中永久删除密钥之前等待七天。他们可以利用这一点来威胁受害者删除数据。
另一种技术针对Amazon Elastic Block Store(EBS)卷,它是高度可用、持久的块存储设备,您可以通过类似的方法将其连接到Amazon EC2(弹性计算云)实例。通常,攻击者会创建一个新的KMS密钥,创建EBS卷的快照,加密卷,然后删除原始未加密的卷。
为了缓解针对云的勒索软件攻击,SentinelOne建议采取两项基本的安全措施:使用云安全态势管理(CSPM)解决方案来发现和评估云环境,并警告配置错误和存储桶过于宽松等问题;始终执行良好的身份管理实践,例如要求所有管理员帐户都进行多因素身份验证 (MFA),并针对所有云工作负载和资源部署运行时保护。
发布平台:Infosecurity Magazine
阅读原文:https://www.infosecurity-magazine.com/news/ransomware-groups-cloud-services/
法国医院遭受网络攻击,75万名患者健康数据遭泄露
一家未透露姓名的法国医院发生数据泄露,威胁行为者获取了该医院电子病历系统的访问权限,导致75万名患者的医疗记录被泄露。
一名使用昵称“nears”(之前名为near2tlg)的威胁行为者声称已经攻击了法国的多家医疗机构,并声称这些机构可以访问超过1,500,000人的患者记录。
黑客声称他们入侵了Software Medical Group的MediBoard,该公司是一家在欧洲提供电子病历(EPR)解决方案的公司。Softway医疗集团已确认黑客入侵了MediBoard账户。不过,该集团指出,这不是黑客软件漏洞或配置错误造成的,而是黑客利用医院使用的被盗凭证造成的。Softway医疗集团表示,被泄露的数据并非由他们直接管理,而是由医院托管。
这一切都发生在威胁行为者开始出售他们所声称的多家法国医院的MediBoard平台访问权限之后,这些医院包括Centre Luxembourg、Clinique Alleray-Labrouste、Clinique Jean d'Arc、Clinique Saint-Isabelle和Hôpital Privé de Thiais。
据称,这种访问权限将允许买家查看医院的敏感医疗保健和账单信息、病人记录以及安排和修改预约或医疗记录的能力。为了证明他们获得了MediBoard账户的访问权限,黑客还出售了一家未具名法国医院的758,912名患者的记录。据称这些记录包含以下信息:姓名、出生日期、性别、家庭地址、电话号码、电子邮件、医生、处方、健康卡历史记录等,该数据可供三位用户购买,目前,销售清单上尚未有任何买家。即使数据不被出售,也存在被免费泄露到网上的风险,从而被更广泛的网络犯罪社区所利用。
此次事件中暴露的数据类型增加了受影响人员遭受网络钓鱼、诈骗和社会工程攻击的风险。
发布平台:Bleeping Computer
阅读原文:https://www.bleepingcomputer.com/news/security/cyberattack-at-french-hospital-exposes-health-data-of-750-000-patients/
诺基亚调查数据泄露事件,IntelBroker涉嫌出售源代码
在臭名昭著的黑客IntelBroker宣布出售据称被盗的源代码和敏感信息后,诺基亚目前正在调查重大数据泄露事件。
该黑客与另一个名为EnergyWeaponUser的威胁行为者合作,声称通过直接参与公司内部工具开发的第三方承包商获取了大量诺基亚专有数据。
据报道,泄露的数据包括SSH密钥、源代码、RSA密钥、Bitbucket凭据、SMTP帐户、webhook和硬编码凭据。诺基亚已承认此事,并发表声明,诺基亚已获悉有报道称,未经授权的行为者已获取部分第三方承包商数据,甚至可能是诺基亚自身数据。诺基亚严肃对待这一指控,并正在展开调查。
到目前为止,调查没有发现任何证据表明系统或数据受到影响。诺基亚将继续密切关注事态发展。
此次入侵事件的潜在影响范围超出了诺基亚现有的系统。此次事件可能影响了诺基亚与Vodafone Idea Limited(VIL)相关的4G/5G产品数据,Vodafone Idea Limited是印度最大的电信供应商之一,拥有超过2.17亿用户。
这一事态发展引发了人们对其可能对印度关键基础设施和电信网络产生影响的担忧。IntelBroker正在网络犯罪论坛BreachForums上以20,000美元的价格出售据称被盗的数据,接受加密货币支付。黑客声称没有直接获取客户信息,但被盗的内部数据可能会进一步导致对诺基亚系统的未经授权的访问或促成其他类型的网络攻击。
这一事件凸显了供应链攻击日益增长的趋势,网络犯罪分子以安全性较低的第三方供应商为目标,以获取更大、防御更强的组织的访问权限。它还强调了在所有开发和数据处理层面加强网络安全协议的必要性,特别是在电信等关键领域。随着调查的继续,如果此次涉嫌入侵事件得到证实,其潜在影响将十分深远。源代码和内部凭证的曝光可能导致诺基亚产品被逆向工程,从而可能暴露出未来攻击中可能利用的漏洞。该事件严厉提醒各组织重新评估其第三方风险管理策略,并确保实施强有力的网络安全实践,以防范内部威胁和外部攻击者。
发布平台:Cyber Security News
阅读原文:https://cybersecuritynews.com/nokia-investigating-data-breach/
实用研究
Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现
Xlight FTP Server是Xlight FTP公司的一款高性能且易于使用的FTP服务端软件。Xlight FTP Server支持FTP协议和SSH2协议认证,在使用SSH2进行登录认证时,从客户端算法协商数据包中读取4个字节的数据作为数据的长度,在验证长度和分配所需内存时发生整数溢出,导致可控内容的堆溢出,可以覆盖内存中的其他数据,结合程序中的多线程特性,可能实现远程代码执行。
Windows堆溢出漏洞,一般可覆盖其他堆块的结构,以获得任意地址读写的能力,从而劫持程序EIP,获取任意代码执行能力。或者使用堆喷技术,覆盖大量堆空间,劫持虚函数调用等,从而获取任意代码执行能力。
Xlight FTP Server 32位程序整数溢出后,导致堆溢出,堆内容可控。但是在溢出时,即复制堆内容时会覆盖到非法内存,导致异常,进程崩溃,难以利用。况且在溢出覆盖数据时,时间较短,其他线程难以获得CPU时间片执行代码,尝试多线程执行函数调用失败。另外也未找到合适的方法进行堆喷,利用较难。
Xlight FTP Server 64位程序整数溢出后,不会导致堆溢出,只会读取到非法内存,导致异常,进程崩溃,利用较难。
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/vuls/415001.html
Diskover:一款基于Elasticsearch的开源文件系统索引工具
Diskover是一款由Elasticsearch提供支持的开源文件索引器、文件搜索引擎及数据管理和分析工具。该工具使用Elasticsearch来索引和管理异构存储系统中的数据,可以更有效地搜索和组织文件,系统管理员可以管理存储基础架构、高效配置存储、监控和报告存储使用情况,并有效地做出有关新基础架构使用的决策。
使用Diskover,用户可以识别旧的和未使用的文件,并更好地了解数据变化、文件重复和浪费的空间。Diskover支持抓取本地文件系统、抓取NFS/SMB、云存储等。插件可用于添加额外的元数据。
Diskover可在Linux、macOS和Windows上运行,并且使用Python编写。Diskover的Web应用程序diskover-web使用PHP、Javascript、HTML5和CSS编写。
功能介绍:
1、管理存储基础架构;
2、监控和报告存储使用情况;
3、文件索引;
4、文件搜索与识别;
5、文件变化监控;
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/sectool/416013.html
GraphQL Cop:一款针对GraphQL API的安全审计工具
GraphQL Cop是一个小型Python实用程序,用于针对GraphQL API运行常见的安全测试。GraphQL Cop非常适合在GraphQL中运行CI/CD检查。
GraphQL Cop是一个轻量级工具,并且涵盖了GraphQL中有趣的安全问题。值得一提的是,GraphQL Cop允许广大研究人员通过在任何已发现的漏洞上提供cURL命令来重现调查结果。
功能介绍:
当前版本的GraphQL Cop支持执行下列检测:
1、别名过载(DoS);
2、批量查询(DoS);
3、基于GET的查询(CSRF);
4、使用urlencoded负载的POST查询(CSRF);
5、GraphQL跟踪/调试模式(信息泄漏);
6、字段重复(DoS);
7、字段建议(信息泄露);
8、GraphiQL(信息泄露);
9、自省(信息泄露);
10、指令重载(DoS);
11、使用内省(DoS)的循环查询;
12、通过GET方法支持变异(CSRF);
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/sectool/415876.html
如何使用ADcheck快速检测活动目录的安全性
ADcheck是一款功能强大的活动目录AD安全性检测工具,该工具基于Python开发,可以帮助广大研究人员使用部分或全部权限评估Active Directory的安全性。
当前版本的ADcheck已具备79项检测功能,支持收集的信息包括:
1、用户帐户管理;
2、审计和政策管理;
3、计算机和域管理;
4、特权和信任管理;
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/sectool/415706.html
蓝队技术——Sysmon识别检测宏病毒
在不断变化的网络安全环境中,提前防范威胁是非常重要的。本文将以Microsoft Office宏病毒钓鱼为例,介绍如何使用Sysmon来获取和分析Windows系统日志,揭示隐藏的恶意或异常活动,了解入侵者和恶意软件如何在网络上运行。
Sysmon(系统监视器)是一项Windows系统服务,用以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建、进程篡改、管道连接、注册表更改等29种类型事件的详细信息,可以作为SIEM代理的一个重要探针。Sysmon的安装和卸载相当简洁,以管理员身份在命令提示符中执行下列命令即可,无需重启电脑。
基于Office宏病毒攻击,攻击者可能采取各式各样的利用方式,当然最直接的是钓鱼。本文我们使用Office宏文件进行钓鱼测试,钓鱼文件可以基于工具msfconsole生成,同时Kali上使用reverse_tcp等待反连。
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/articles/network/415513.html
绕过Apache Superset限制执行SQL注入
在现代数据驱动的世界中,数据安全和隐私保护变得越来越重要。Apache Superset作为一个广泛使用的开源数据探索和可视化平台,其安全性尤其受到关注。本文将详细介绍我们在一次审计过程中发现的一个严重漏洞,以及如何利用这一漏洞绕过Apache Superset的安全措施,执行任意SQL查询。
Apache Superset是一个开源平台,用于数据探索和可视化。它提供了一个无需编码的界面,用于快速图表制作,使用户能够在不编写复杂SQL查询的情况下探索数据。此外,Superset还提供了一个基于Web的SQL编辑器,用于更高级的分析。尽管可以执行SQL查询,但并非所有操作都对用户开放,因为安全性和数据隔离是考虑的重要因素。
发布平台:FreeBuf
阅读原文:https://www.freebuf.com/articles/web/415727.html
- E N D -
本篇推文内容来源于网络
如有侵权
请联系删除
往期回顾
美国水务巨头遭网络攻击:水计费系统瘫痪,导致无法处理账单
黑客入侵乐高官网并对顾客进行加密货币骗局
伊朗政府部门和核设施遭受大规模网络攻击
日本电子巨头卡西欧遭遇勒索软件攻击
墨西哥大型机场集团遭勒索攻击,旗下13个机场紧急切换备用系统
阿肯色市应对水务设施网络安全事件,确保饮用水安全
金融服务巨头MoneyGram系统遭遇网络攻击
OpenAI成为加密货币骗局的受害者:15个月内第四个账户被黑
印度最高法院YouTube频道遭黑客攻击后被关闭,XRP诈骗视频出现
人工智能安全警钟:ChatGPT漏洞暴露
法国博物馆、奥运会场馆遭到网络攻击
黑客入侵了MDM公司Mobile Guardian并擦除了数千台设备
制造公司在BEC骗局中损失了6000万美元
新的网络钓鱼攻击使用复杂的信息窃取恶意软件
澳大利亚黄金生产商Evolution Mining受到勒索软件的攻击
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...