Aggregator
微软集成服务漏洞或可导致集群全面受控
1 year 6 months ago
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞,这些漏洞若被成功利用,可能使攻击者能够执行多种隐秘操作,包括数据窃取和恶意软件部署。 “利用这些漏洞,攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限,成为影子管理员,”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性,但其具体问题包括: – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外,攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志,以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图(DAG)文件并将其上传至连接到Airflow集群的私人GitHub存储库,或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点,攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名(SAS)令牌获得对存储DAG文件的存储账户的写权限。或者,他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行,其权限有限,但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误,加上Pod可通过互联网访问,使得攻击者能够下载Kubernetes命令行工具kubectl,最终通过部署特权Pod并突破底层节点,实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机(VM)的Root权限进一步深入云环境,未经授权访问Azure托管的内部资源,包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境,”研究人员Ofir Balassiano和David Orlovsky表示。“例如,攻击者可以创建新的Pod和服务账户,甚至修改集群节点,并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性,也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现,即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容,例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于,虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据,但该角色被发现具有添加自身至Key Vault访问策略的权限,从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力,”研究人员Katie Knowles解释道。“这导致了一个场景:Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据,但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档,强调访问策略风险:“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书,必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际,亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型(LLM)的恶意查询与合法查询变得困难,从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说,失败的Bedrock API调用与成功调用记录方式相同,未提供任何特定错误代码,”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节,安全工具可能会误将正常活动解读为可疑行为,从而导致不必要的警报并可能忽视真正的威胁。” 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
微软集成服务漏洞或可导致集群全面受控
1 year 6 months ago
error code: 521
美国司法部新规:限制敏感个人数据向特定国家的转移
1 year 6 months ago
HackerNews 编译,转载请注明出处: 美国司法部(DoJ)发布了一项最终规则,以落实第14117号行政命令(EO 14117),该命令旨在防止美国公民的个人数据大规模转移至包括中国(含香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的特定关注国家。 “这一最终规则是解决国家安全重大威胁的重要进展,这些威胁源于我们的对手可能利用美国人最敏感的个人数据,”司法部国家安全司助理检察长马修·G·奥尔森表示。 这一强有力的国家安全新计划旨在确保美国人的个人数据不再通过直接购买或其他商业渠道被敌对势力获取。 早在2024年2月,美国总统乔·拜登签署了一项行政命令,旨在应对未经授权访问美国人敏感个人数据及政府相关数据所带来的国家安全风险。这些恶意活动可能包括间谍、影响力行动、物理攻击或网络攻击。 此外,该行政命令指出,特定关注国家可能利用获得的大量数据开发或改进人工智能及其他先进技术,还可以从商业数据经纪人及其他公司购买此类信息。 司法部进一步表示,这些国家及其相关人员还可能利用这些数据搜集活动家、学者、记者、异议人士、政治对手或非政府组织成员及边缘化群体的信息,以威胁、压制政治反对意见,限制言论自由、和平集会或结社自由,或实施其他形式的公民自由打压。 司法部发布的规则预计将在90天后生效。规则明确了某些类别的禁止交易、受限交易和豁免交易;设定了触发规则限制的大量敏感个人数据交易阈值;并建立了包括民事和刑事处罚在内的执行机制。 该规则涵盖了六类数据:个人标识符(如社会安全号码、驾驶执照等)、精确地理位置数据、生物识别标识符、人类组学数据(包括基因组、表观基因组、蛋白质组和转录组数据)、个人健康数据和个人财务数据。 需要注意的是,该规则既未强制要求数据本地化,也未禁止美国公民在特定关注国家进行医疗、科学或其他研究。 司法部表示,最终规则同样未全面禁止美国个人与特定关注国家或相关人员进行商业交易,包括在出售商业商品和服务的过程中交换金融及其他数据,也未采取旨在广泛脱钩美国与其他国家在消费、经济、科学及贸易关系的措施。 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
美国司法部新规:限制敏感个人数据向特定国家的转移
1 year 6 months ago
error code: 521
新型“双击劫持”漏洞可绕过主流网站的点击劫持防护
1 year 6 months ago
HackerNews 编译,转载请注明出处: 安全研究人员披露了一种名为“双击劫持”(DoubleClickjacking)的新型攻击技术,这是一种“基于时间的广泛漏洞类别”,通过利用双击操作实现点击劫持攻击,并可能导致账户接管,几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。 “不同于传统的单击攻击,这种技术利用双击序列,”Yibelo 表示,“虽然看似只是微小的变化,却使得攻击者能够实施全新的用户界面操纵攻击,绕过所有已知的点击劫持防护措施,包括 X-Frame-Options 标头和 SameSite:Lax/Strict cookie。” 点击劫持(Clickjacking),又称用户界面重定向攻击,是一种诱导用户点击看似无害的网页元素(如按钮),从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进,通过双击操作中的时间间隙绕过防护,以更低的用户交互成本实现攻击目标。 具体的攻击步骤如下: 1. 用户访问由攻击者控制的站点,该站点会通过单击按钮或无交互直接打开一个新窗口(或标签页)。 2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面,提示用户完成双击操作。 3. 在双击过程中,攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接,例如批准恶意 OAuth 应用的授权。 4. 同时,顶层窗口自动关闭,用户在不知情的情况下完成授权,授予攻击者访问权限。 “目前,大多数网络应用和框架仅针对单次强制点击进行了防护,”Yibelo 指出,“而双击劫持通过引入时间间隙,使现有防御机制(如 X-Frame-Options、SameSite cookie 或 CSP)失效。” 网站所有者可以采用客户端防护策略,例如默认禁用关键按钮,只有在检测到鼠标手势或按键操作后才启用。据悉,Dropbox 等服务已采用类似的预防措施。 从长远来看,建议浏览器开发商引入类似 X-Frame-Options 的新标准,以应对双击劫持攻击。 “通过利用点击事件之间的时间差,攻击者可以在用户毫无察觉的情况下,将无害的界面元素替换为敏感内容,”Yibelo 补充道,“这一攻击手法是对已知漏洞类别的全新变种。” 此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造(Gesture-jacking)有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键,触发恶意操作。 例如,在 Coinbase 和 Yahoo! 等网站中,如果受害者已登录账户,攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用,并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识,从而使攻击者能够轻松获取受害者账户的访问权限。 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
新型“双击劫持”漏洞可绕过主流网站的点击劫持防护
1 year 6 months ago
error code: 521
CVE-2010-1177 | Apple iOS 3.1.3 code injection (EDB-33811 / BID-38994)
1 year 6 months ago
A vulnerability was found in Apple iOS 3.1.3. It has been classified as very critical. Affected is an unknown function. The manipulation leads to code injection.
This vulnerability is traded as CVE-2010-1177. It is possible to launch the attack remotely. Furthermore, there is an exploit available.
It is recommended to upgrade the affected component.
vuldb.com
CVE-2019-20215 | D-Link DIR-859 1.05/1.06B01 Beta01 urn /htdocs/cgibin ssdpcgi Shell Metacharacter os command injection (ID 156250 / EDB-48037)
1 year 6 months ago
A vulnerability classified as critical was found in D-Link DIR-859 1.05/1.06B01 Beta01. This vulnerability affects the function ssdpcgi of the file /htdocs/cgibin of the component urn. The manipulation as part of Shell Metacharacter leads to os command injection.
This vulnerability was named CVE-2019-20215. The attack can be initiated remotely. Furthermore, there is an exploit available.
vuldb.com
.NET 第52期 红队武器库和资源汇总
1 year 6 months ago
.NET 内网攻防实战电子报刊
1 year 6 months ago
.NET | WMI横向移动在红队实战中的应用
1 year 6 months ago
.NET 第52期 红队武器库和资源汇总
1 year 6 months ago
01阅读须知此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直
.NET 内网攻防实战电子报刊
1 year 6 months ago
01.NET内网安全攻防报刊小报童电子报刊【.NET内网安全攻防】也正式上线了,引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足,为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高,那么
.NET | WMI横向移动在红队实战中的应用
1 year 6 months ago
环境异常 当前环境异常,完成验证后即可继续访问。 去验证
Is a Pi4 using OpenWRT as a router AP, is that better then a Name Brand Travel router?
1 year 6 months ago
特朗普酒店外一辆Cybertruck爆炸,马斯克回应;鱿鱼游戏2首周观看打破奈飞记录;百度25周年李彦宏发全员信 | 极客早知道
1 year 6 months ago
阿里巴巴宣布与大润发分手:以 131.38 亿港元出售所持 78.7% 高鑫零售全部股权阿里巴巴集团发布公告,宣布子公司及 New Retail 与德弘资本订立协议,出售所持高鑫零售全部股权,合计占高
特朗普酒店外一辆Cybertruck爆炸,马斯克回应;鱿鱼游戏2首周观看打破奈飞记录;百度25周年李彦宏发全员信 | 极客早知道
1 year 6 months ago
《黑神话:悟空》制作人冯骥吐槽 Xbox 主机 10G 共享内存「没个几年优化经验拿不下来」; 2024 年全国电影票房 425.02 亿,8 部影片破 10 亿; 特斯拉中国首批 V4 超级充电站今年落地,将向更多三方车型开放。
agneyastra: A firebase Misconfiguration Detection Toolkit
1 year 6 months ago
agneyastra – A firebase Misconfiguration Detection Toolkit Firebase, a versatile platform by Google, powers countless web and mobile applications with its extensive suite of services including real-time databases, authentication, cloud storage, and hosting. Its...
The post agneyastra: A firebase Misconfiguration Detection Toolkit appeared first on Penetration Testing Tools.
ddos
喜报 | 《网络空间安全科学学报》被兰州理工大学计算机与通信学院认定为创新性成果A2级
1 year 6 months ago