一篇來(lái)自Security Week的文章，討論憑證泄漏導致的API漏洞不斷增長(cháng)。最近的一項調查發(fā)現，超過(guò)一半的美國專(zhuān)業(yè)人士曾遭受過(guò)API漏洞，但77％人認為他們的組織有效地管理了API令牌。這聽(tīng)起來(lái)有點(diǎn)矛盾，因為很多專(zhuān)業(yè)人士對他們的憑證管理很有信心，但還是會(huì )發(fā)生憑證相關(guān)的API漏洞情況。研究結果表明，這種明顯的矛盾背后有三個(gè)主要原因：缺乏對現有API組合的可視性；使用的API數量太多難以跟蹤；低估了管理API憑證所需的時(shí)間和精力。這項調查可以看出憑證管理成本在不斷上升，但問(wèn)題只會(huì )加劇，因為API擴散不斷增加，構建環(huán)境變得更加分散，需要更多的憑證分發(fā)和管理。面對這些挑戰，組織只能選擇忽略問(wèn)題或投入更多的金錢(qián)來(lái)解決憑證管理所帶來(lái)的問(wèn)題。

近日，奇安信威脅情報中心通過(guò)日常分析運營(yíng)發(fā)現多款二次打包并攜帶木馬后門(mén)的惡意安裝包樣本，惡意安裝包內包含“向日葵遠控”、“釘釘”、“WPS”等常用工具軟件，攻擊者偽造官網(wǎng)界面網(wǎng)頁(yè)誘使用戶(hù)下載，上述木馬化安裝包樣本與之前奇安信威脅情報中心2023年4月上旬發(fā)現的被惡意重新打包加入了木馬的“企業(yè)微信”安裝包樣本惡意代碼邏輯、惡意行為高度相似，判斷攻擊者屬于同一個(gè)黑產(chǎn)組織。上述三個(gè)惡意安裝包樣本與被重新打包加入木馬的“企業(yè)微信”樣本惡意行為如下：搭建阿里云服務(wù)器提供下載、偽造官網(wǎng)誘使用戶(hù)下載。用戶(hù)安裝過(guò)程中會(huì )釋放多個(gè)惡意文件并在內存中加載BigWolf RAT，實(shí)現對受害主機竊取瀏覽器記錄、聊天軟件記錄、竊取按鍵記錄等竊密行為。

研究人員最近發(fā)現了一種新的攻擊方法，通過(guò)使用iphone或商業(yè)監控系統中的攝像頭，記錄下讀卡器或智能手機打開(kāi)時(shí)顯示的電源LED，可以恢復存儲在智能卡和智能手機中的秘密加密密鑰。這些攻擊提供了一種利用兩個(gè)先前披露的側信道的新方法，側信道攻擊是通過(guò)加密軟件或硬件運行時(shí)產(chǎn)生的各種泄漏信息獲取密文信息。在狹義上講，側信道攻擊特指針對密碼算法的非侵入式攻擊，通過(guò)加密電子設備在運行過(guò)程中的側信道信息泄露破解密碼算法，狹義的側信道攻擊主要包括針對密碼算法的計時(shí)攻擊、能量分析攻擊、電磁分析攻擊等，這類(lèi)新型攻擊的有效性遠高于密碼分析的數學(xué)方法，因此給密碼設備帶來(lái)了嚴重的威脅。通過(guò)仔細監控功耗、聲音、電磁發(fā)射或操作發(fā)生所需的時(shí)間等特征，攻擊者可以收集足夠的信息來(lái)恢復支撐加密算法安全性和機密性的密鑰。

近日，安識科技A-Team團隊監測到一則Grafana組件存在身份認證繞過(guò)漏洞的信息，漏洞編號：CVE-2023-3128，漏洞威脅等級：高危。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。攻擊者可在未授權的情況下，利用該漏洞構造惡意數據，執行身份認證繞過(guò)攻擊，最終接管受影響的Grafana賬戶(hù)。Grafana是一款開(kāi)源的數據可視化和監控平臺，它可以幫助用戶(hù)通過(guò)各種數據源創(chuàng )建和共享交互式、可定制的儀表盤(pán)和報表。主要用于監控和分析Graphite、InfluxDB和Prometheus等。該漏洞是由于Grafana和AzureAD配置文件的電子郵件字段不是唯一的，容易被修改。目前受影響的Grafana版本：10.0.0 <= Grafana < 10.0.1,9.5.0 <= Grafana < 9.5.5,9.4.0 <= Grafana < 9.4.13,9.3.0 <= Grafana < 9.3.16,9.2.0 <= Grafana < 9.2.20,6.7.0 <= Grafana < 8.5.27。

6月30日，網(wǎng)宿科技子品牌網(wǎng)宿安全在線(xiàn)上召開(kāi)2022年度互聯(lián)網(wǎng)安全報告發(fā)布會(huì )，正式發(fā)布《2022年Web安全觀(guān)察報告》(以下簡(jiǎn)稱(chēng)《報告》、《零信任安全白皮書(shū)》以及《SASE安全訪(fǎng)問(wèn)服務(wù)邊緣白皮書(shū)》。

《報告》折射出Web安全面臨的威脅愈發(fā)嚴峻，主要體現在幾大方面：一是高危Web漏洞持續爆發(fā)；二是API已成灰黑產(chǎn)的頭號攻擊目標；三是DDoS攻擊翻番增長(cháng)，Tbps級別成為常態(tài)；四是Bot攻擊成倍攀升，自動(dòng)化攻擊強度加大；五是在線(xiàn)業(yè)務(wù)欺詐風(fēng)險顯著(zhù)提高；六是多樣化威脅層出不窮，亟需新的安全防護方案。

具體來(lái)看，2022年，網(wǎng)宿安全平臺共檢測到2700萬(wàn)次針對Log4shell各個(gè)變種漏洞的利用，并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗證錯誤漏洞等大量新的高危漏洞不斷涌現。而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產(chǎn)攻擊的頭號目標。

近期，研究人員已經(jīng)揭開(kāi)了蘋(píng)果macOS惡意軟件RustBucket更新版本的序幕，該版本具有改進(jìn)的能力，可以建立持久性并避免被安全軟件發(fā)現。安全實(shí)驗室的研究人員在本周發(fā)表的一份報告中表示：RustBucket的變種是一個(gè)針對macOS系統的惡意軟件集合，它增加了持久隱藏能力，同時(shí)利用動(dòng)態(tài)網(wǎng)絡(luò )基礎設施方法進(jìn)行指揮和控制。該惡意軟件于2023年4月曝光，當時(shí)Jamf威脅實(shí)驗室將其描述為一個(gè)基于A(yíng)ppleScript的后門(mén)，能夠從遠程服務(wù)器檢索第二級有效載荷。第二階段的惡意軟件是用 Swift 編譯的，旨在從命令和控制 （C2） 服務(wù)器下載主要惡意軟件，這是一種基于 Rust 的二進(jìn)制文件，具有收集大量信息以及在受感染系統上獲取和運行其他 Mach-O 二進(jìn)制文件或 shell 腳本的功能。BlueNoroff惡意軟件是第一個(gè)專(zhuān)門(mén)針對macOS用戶(hù)的例子，現在.NET版本的RustBucket已經(jīng)以類(lèi)似的功能在野外浮出水面。

流行的文件傳輸工具M(jìn)OVEit Transfer中的漏洞引發(fā)了廣泛的后利用攻擊，導致網(wǎng)絡(luò )安全形勢岌岌可危。黑客利用這一安全漏洞發(fā)起了一系列攻擊，影響了政府、金融、IT服務(wù)、能源、大學(xué)等多個(gè)行業(yè)的眾多組織，受害者遍布美國、英國、加拿大、法國、以色列等20多個(gè)國家和地區，暴露了數百萬(wàn)人的個(gè)人敏感數據。

最近備受矚目的受害者包括大型能源公司施耐德電氣、西門(mén)子能源和霍尼韋爾自動(dòng)化。三家公司均已確認成為MOVEit泄露事件的目標，但數據泄露的程度仍不清楚。

政府機構也因該漏洞而遭受損失。美國能源部在內的聯(lián)邦機構已報告受到MOVEit漏洞的影響。美國衛生與公共服務(wù)部(HHS) 披露了一起涉及超過(guò)10萬(wàn)人敏感信息泄露的事件。

教育行業(yè)也未能幸免。美國國家學(xué)生信息交換所是一個(gè)與數千所學(xué)校合作的非營(yíng)利組織，發(fā)現自己處于潛在重大違規行為的中心，45,000名紐約市公立學(xué)校學(xué)生的信息因該漏洞而被泄露。