AppSec の脆弱性、新しいハッキング手法、およびその他のサイバーセキュリティ ニュースの隔週の概要
サイバーセキュリティの専門家の 93% とビジネス リーダーの 86% は、「今後 2 年間で広範囲に及ぶ壊滅的なサイバー イベントが発生する可能性が高い」と回答しています。 世界経済フォーラム (WEF).
地政学的な不安定さとサイバーセキュリティスキルの永続的な不足により、状況がより不安定になり、企業が特定の地域でのプレゼンスを再考するようになっていることが、300人の専門家と経営幹部の意見を集めたWEFのグローバルサイバーセキュリティアウトルック2023レポートで明らかになりました。
それまでの間、非常に悪質なサイバー攻撃や情報漏えいが依然として数多く見られます。 ごく最近、別の大規模な侵害がありました Tモバイル (今回は 3,700 万人の顧客が影響を受けました)、ソース コードの盗難とそれに続くビデオ ゲーム開発者からの 1,000 万ドルの身代金要求 暴動ゲーム、および米国政府の航空会社による不注意な暴露 フライリストなし、2019年からのテロ容疑者の点呼。
お茶 ラストパス 11 月にパスワード ボールトが侵害された後も状況は変化し続けており、苦境に立たされていたパスワード マネージャーからの最新の更新では、「脅威アクターがサードパーティのクラウド ストレージ サービスから暗号化されたバックアップを盗み出した」ことが認められています。
市場リーダーの評判が急落したことを考えると、ライバルのサービスが市場シェアを拡大する機会をうかがうことは間違いありませんが、ハッキングはおそらく、これまで高く評価されていた分野に前例のない精査をもたらしています. それはそう、 デイリースイング 最近、いくつかの一般的なパスワード マネージャーが、信頼されていない Web サイトで資格情報を自己入力する方法について報告されましたが、 ビットワーデン は、デフォルトのセキュリティ構成を強化することで、暗号化スキームに対する新たな批判に対応しました。
実りあるセキュリティ監査 ギットのソース コードは、前号の Deserialized 以来取り上げたもう 1 つの注目すべき話です。
ここでは、過去 2 週間で注目を集めた Web セキュリティ ストーリーとその他のサイバーセキュリティ ニュースをいくつか紹介します。
ウェブの脆弱性
技術研究と攻撃
- 一般的なオープンソースの健康記録と医療行為管理プラットフォームの脆弱性 OpenEMR リモートの攻撃者が任意の OpenEMR サーバーで任意のシステム コマンドを実行し、患者の機密データを盗むことを可能にしました。さらに悪いことに、リモートでコードを実行することもできました (Sonar 提供)。
- Jerry Shah は、API の設定ミスをどのように発見したかについて語っています。 SwaggerUI ローカル ストレージから認証トークンを漏えいしたプライベート バグ報奨金プログラムの名前のない Web アプリケーションのエンドポイント
- チャットGPT レコーデッド フューチャーによると、プログラミングや技術スキルが限られている脅威アクターの参入障壁は低くなりますが、国家が支援する悪党は、恐ろしく洗練されたチャットボット ツールから運用効率を上げられる可能性は低いとされています。
- Maksym Yaremchuk – HackerOne の史上最高のリーダーボードで 80 位にランクされています – 重要な重大度のペアについて詳しく説明しています アカウント乗っ取り プライベート バグ報奨金プログラムとの関与中に作成されたエクスプロイト
- GitHub の研究者である Man Yue Mo は、任意のカーネル コードの実行とルート化を実現しました。 Google ピクセル 6 Android アプリからの携帯電話
ChatGPT はサイバー犯罪の参入障壁を下げますが、国家が支援するサイバー犯罪者にはほとんど役に立ちません
バグ報奨金 / 脆弱性の開示
- セキュリティ研究者は次のことができます 数学的に証明する 最近の New Scientist 機能 (ペイウォール) は、ソフトウェアの脆弱性の存在を詳細を明らかにせずに、悪意のある人の手に渡って悪用される可能性があると説明しています。
- Intigriti は、 セーフハーバー 内部告発者の保護に関するベルギー法によって作成された研究者のための条項
- デイリースイング 最近、次の第3回年次報告書が報告されました ペンタゴンをハック 課題、テスラやその他の名前のないプログラムでの CORS の構成ミスにより、研究者は「数千ドル」を獲得し、Google Cloud Platform (GCP) プロジェクトの脆弱性は研究者に 22,000 ドル以上をもたらしました
- その他の最近の記事には、反映された XSS に対する 3,000 ドルの報奨金が含まれています。 マイクロソフト フォームBug Bounty Switzerland が初めて発表した「今月の脆弱性」は、期間限定のプライベート プログラムと、インターネットに公開された数千のアプライアンスに関連しています。
- 英国のハッカーと YouTuber へのバグ ハンター インタビュー 「インサイダー博士号」 と 「TodayIsNew」 HackerOne と Bugcrowd からそれぞれ公開されています
新しいオープンソースの情報セキュリティ/ハッキング ツール
- 我戸 – または GitHub Attack Toolkit – は、GitHub 開発環境内で侵害された個人アクセス トークンの影響を評価します。 セルフホスト ランナーを使用するパブリック リポジトリの追跡を有効にします。これはプライベート リポジトリにのみデプロイすることを GitHub が推奨しています。ワークフローで」
- ハイライターとエクストラクター (HaE) – パリを拠点とするクラウドソーシング セキュリティ プラットフォーム YesWeHack は、脆弱なコード パターン、エラー、リフレクションなどを受動的な列挙プロセスで検出するために、リクエストやレスポンスを収集、分類、強調表示する Burp Suite 拡張機能をリリースしました。
- パイソン – もう 1 つの Burp Suite 拡張機能。今回は、Python と NodeJS を使用した手動および自動テスト用のカスタム ロジックを介してクライアント側の暗号化をバイパスできます。
- プロキシを参照 – CobaltStrike 順応性プロファイル検証を使用した Golang リバース プロキシ
- CVE-2022-47966 スキャナー – 少なくとも 24 のオンプレミスの ManageEngine 製品に影響を及ぼし、現在積極的に悪用されている重大な RCE バグへの露出を評価します
その他の業界ニュース
- NIST は、潜在的な更新 (PDF) を NIST サイバーセキュリティ フレームワーク 情報セキュリティ コミュニティにフィードバックを提供するよう呼びかけます
- 他の米国連邦機関のニュースでは、NSA の問題 IPv6 セキュリティ ガイダンス (PDF)、CISA がマイター攻撃フレームワークへのマッピングに関するベスト プラクティスを更新 (PDF)、および CISA、NSA、および MS-ISAC が共同で、正規のリモート監視および管理 (RMM) ソフトウェアの悪用について警告 (PDF)
- Google のドキュメントでは、権限のあるネームサーバーに送信される DNS クエリ名の大文字と小文字のランダム化を活用して、影響を軽減することを進めています。 キャッシュポイズニング攻撃
- グーグル また、TrustCor Systems を Chrome のルート認証局 (CA) から除外するという意図を貫き、証明書の認識を停止する予定を確認しています。
- クラウドベースのサイバー攻撃 悪意のあるハッカーがデジタル トランスフォーメーション トレンドの機会を狙っているため、前年比で 48% 増加 – Check Point レポート
前の版 デシリアライズされた Web セキュリティの総まとめ – Slack と Okta の侵害、手ぬるい米国政府のパスワード レポートなど