安全研究
全部分类

关键信息基础设施安全动态周报【2022年第34期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-09-02 14:40
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第34期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第34期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第34期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-09-02 14:40
  • 访问量:
详情

 

 

目   录

 

第一章 国外关键信息基础设施安全动态

(一)研究人员披露OPC UA多个漏洞详细信息

(二)意大利石油公司Eni遭受网络攻击

(三)台达电子工业自动化软件漏洞已在攻击中被利用

(四)黑山国家关键基础设施遭受大规模网络攻击

(五)勒索软件攻击呈上升趋势

(六)Atlassian的Bitbucket服务器和数据中心存在严重漏洞

(七)PyPI遭受网络钓鱼攻击并传播恶意更新

(八)Ragnar Locker勒索软件组织攻击葡萄牙航空最大公司TAP

(九)LockBit勒索软件组织添加DDoS攻击至其三重勒索策略

(十)TikTok存在高危漏洞可劫持用户账户

 

 

第二章 国外关键信息基础设施安全动态

(一)研究人员披露OPC UA多个漏洞详细信息

JFrog研究人员此前在Pwn2Own黑客竞赛中发现了两个漏洞,影响OPC UA协议,并在最近披露了这两个漏洞以及另外两个影响OPC UA服务器SDK的漏洞的详细信息。在Pwn2Own竞赛中披露的漏洞影响OPC UA C++服务器和OPC UA .NET服务器,可导致DoS攻击。而另外两个漏洞为越界读取信息泄露和堆溢出,可允许具有提升权限的攻击者在服务器上实现远程代码执行。

OPC UA(开放平台通信联合架构)是一种机器对机器通信协议,许多工业解决方案提供商使用该协议来确保各种类型ICS之间的互操作性。

软件开发和安全解决方案提供商JFrog研究人员在OPC UA中发现了多个漏洞,并在今年4月份的Pwn2Own Miami 2022黑客竞赛中披露了其中的两个漏洞。

Pwn2Own的参赛奖金共计为40万美元,在OPC UA服务器类别中,最高奖金为4万美元,用于绕过可信应用程序检查,远程代码执行漏洞奖金为2万美元。

JFrog研究人员针对OPC UA.NET标准服务器(GitHub上数百个其他存储库使用的开源服务器)和OPC UA C++演示服务器进行了两次拒绝服务(DoS)攻击,每个都获得了5000美元奖金。

JFrog研究人员在Pwn2Own中发现的两个漏洞可用于使OPC UA服务器崩溃。DoS漏洞可能会在ICS环境中产生重大影响,可能导致关键流程中断。

JFrog在一篇博客文章中详细披露了其发现。此外,JFrog研究人员还向Unified Automation报告了其他8个漏洞。这些漏洞是在基于US C++的OPC UA服务器SDK中发现的,并且在SDK的1.7.7版本中得到了修复。

其中两个漏洞可以允许具有提升权限的攻击者在服务器上实现远程代码执行。由于时间和稳定性限制,这些安全漏洞不符合Pwn2Own的条件,但在其博客文章中披露了这些漏洞的详细信息。远程代码执行漏洞并不稳定,但研究人员认为可以改进。

参考来源:SecurityWeek http://985.so/brtm3

 

(二)意大利石油公司Eni遭受网络攻击

意大利石油巨头Eni披露,其遭受了网络攻击,攻击者入侵了其计算机网络,获得了网络访问权限。然而Eni声称入侵的后果并不严重,其很快就发现了此次攻击。推测Eni可能遭受的是勒索软件攻击。

Eni一位发言人表示,最近几天,内部保护系统检测到对公司网络的未经授权的访问。该公司向意大利当局报告了这一事件,意大利当局展开了调查,以确定攻击的范围。

如果没有攻击技术细节,目前无法确定攻击者是如何入侵公司的、攻击的动机、以及进行攻击的威胁行为者。

据知情人士表示,Eni似乎受到了勒索软件攻击。勒索软件是一种恶意软件,会锁定计算机,并阻止对文件的访问,直到支付赎金。目前还没有威胁行为者对该事件负责。

意大利能源部门似乎也受到了攻击。此前意大利能源机构Gestore dei Servizi Energetici(GSE) SpA遭到网络攻击,GSE是经营意大利电力市场的政府机构。目前GSE的网站仍处于关闭状态,据知情人士声称,该公司的基础设施受到了破坏,对该机构的运营产生了影响。

公用事业和其他关键基础设施运营商遭受破坏的一个主要风险是,其IT系统遭到黑客攻击可能会导致为最终用户提供电力、水和其他服务的操作系统中断,即使黑客从未真正接触过这些敏感设备。

去年,位于美国乔治亚州阿尔法利塔的Colonial油气管道公司在勒索软件攻击导致其IT系统瘫痪后,关闭了美国最大的燃料管道。2月,总部位于德国汉堡的石油贸易商Mabanaft表示,其遭受了网络攻击,导致德国各地的燃料供应中断。

参考来源:Bloomberg http://985.so/brz85

 

(三)台达电子工业自动化软件漏洞已在攻击中被利用

台达电子(Delta Electronics)的工业自动化软件中存在的安全漏洞已被威胁行为者在攻击中利用,对此美国CISA敦促联邦机构在9月15日之前尽快采取行动解决这些漏洞。

台达电子中存在的漏洞编号为CVE-2021-38406,影响Delta DOPSoft 2软件,是高危远程代码执行漏洞,该软件用于设计和编程人机界面(HMI)。该漏洞是一个越界写入漏洞,可以通过让目标用户打开特制项目文件来利用该漏洞。

CISA于2021年9月发布了一份报告,披露了该漏洞和其他DOPSoft 2漏洞。当时CISA通知用户,由于产品已达到使用寿命,并且供应商一直在建议客户切换到受支持的软件,因此不会修补这些漏洞。CISA现在表示,如果该产品仍在使用中,则应将其移除。

除了Palo Alto Networks于8月19日发布的一篇博客文章外,似乎没有任何公开报告描述了该漏洞的利用。该文章根据公司在2022年2月至4月期间收集的数据,列出了一些在野外被利用的漏洞。Palo Alto在博客文章中列出了CVE-2021-38406,但没有提供有关利用它的攻击的信息。

威胁行为者进行互联网扫描活动并针对OT产品中的漏洞并不少见,但这并不意味着目标漏洞实际上已在攻击中被利用,只是可能被利用。工业控制系统中的漏洞在攻击中实际被利用的情况很少见。

然而CISA表示,只有可靠证据证明被利用的漏洞才会被添加到其“已知漏洞利用列表”中。

Palo Alto Networks报告表示,在2022年2月至4月期间收集的数据中,发现了利用Apache APISIX中的远程代码执行漏洞CVE-2022-24112和Grafana快照身份验证绕过漏洞CVE-2021-39226。

似乎没有任何其他报告描述了对这些漏洞的利用,因此CISA很可能根据网络安全公司的报告添加了这些漏洞。CISA还在其目录中添加了CVE-2022-26352,这是一个影响dotCMS的不受限制的文件上传漏洞。该漏洞可导致远程代码执行,是研究人员在参与银行的漏洞赏金计划时发现的。最近添加了一个针对该漏洞的Metasploit模块。

CISA还添加了两个影响PEAR Archive_Tar库的漏洞,该库设计用于处理PHP中的.tar文件。利用CVE-2020-28949可允许攻击者执行任意PHP代码或覆盖文件,而CVE-2020-36193允许路径遍历。

Drupal开发人员修补了这些漏洞,Drupal使用受影响的库。虽然还没有看到任何关于攻击中漏洞利用的报告,但由于漏洞的可用性,Drupal发布了CVE-2020-28949的带外补丁。

对于添加到CISA目录中的一些漏洞,主动利用报告已在数周或数月前发布,包括Apache CouchDB漏洞CVE-2022-24706、Spring漏洞CVE-2022-22963、Chrome(WebRTC)漏洞CVE-2022-2294、以及iOS和macOS漏洞CVE-2021-31010。

Apple于2021年9月与Forcedentry一起修补了macOS和iOS零日漏洞,但Apple在2022年5月悄悄更新了其公告,以添加此漏洞,并确认该漏洞已在攻击中被利用。

参考来源:SecurityWeek http://985.so/brttt

 

(四)黑山国家关键基础设施遭受大规模网络攻击

黑山国家正在遭受复杂且持续的网络攻击,关键基础设施受到影响,包括电力和供水系统、交通服务、公民用于访问各种国家服务的在线门户网站等。一些发电厂已改为手动运营,国家管理的IT基础设施已下线,以遏制攻击的影响。目前黑山政府官方网站无法访问。

黑山公共行政部长Marash Dukaj于8月26日在推特上发布警告称,有一波针对各个国家机构的网络攻击。“尽管出于安全原因,目前一些服务暂时被禁用,但公民和商业实体的账户及其数据的安全并没有受到任何威胁。”

黑山国防部长将这些攻击归咎于俄罗斯威胁行为者,并表示有足够的证据怀疑这次袭击是“由几个俄罗斯部门指挥的”。

对此美国驻黑山大使馆已发布安全警报,警告在该国的美国公民,注意这些网络攻击带来的风险。“黑山正在进行持续不断的网络攻击。”

攻击可能导致公用事业、交通(包括边境口岸和机场)和电信部门的服务中断。美国大使馆建议限制行动和旅行,审查个人安全计划,确保所有旅行证件有效,并监控当地媒体更新。

黑山是一个巴尔干小国,人口刚刚超过62万,正在经历一场严重的政治危机,支持加入欧盟的人和支持亲俄塞族的人正在发生冲突。

现任政府支持对俄罗斯实施制裁,也加剧了该国的两极分化问题,引起了一些人口群体的强烈抗议,现在甚至来自外部的攻击。

黑山正在北约盟国和美国的帮助下应对攻击。法国派遣了一个ANSSI(法国信息系统安全局)团队,来帮助保护关键系统并恢复受损网络。美国FBI的一个网络安全专家团队正在前往黑山,帮助当地政府调查攻击政府基础设施的大规模网络攻击。

随后,黑山政府提供了针对关键基础设施攻击的更多信息,称为勒索软件攻击。

公共行政部长Maras Dukaj在当地电视台上表示,这次攻击的背后是一个有组织的网络犯罪集团,影响已持续了十天。此次攻击是一种特殊病毒,及勒索软件,要求赎金为1000万美元。目前政府无法估计服务何时可以恢复。

该事件具有地缘政治色彩,并动员巴尔干国家的北约盟国帮助他们进行事件响应、防御和补救。然而第二天,古巴(Cuba)勒索软件组织将黑山议会Skupstina列为受害者,并声称窃取了财务文件、与银行的通信、资产负债表、税务文件、补偿,甚至源代码。这些数据免费发布在网站上,任何访问者都可以不受限制地使用。

古巴勒索软件最近表现出显著的发展。三周前,研究人员发现该组织使用一套新工具,包含以前没有见过的战术、技术和程序。

 

6月份,Cuba勒索软件更新了加密器,增加了额外选项,并为“现场受害者支持”建立了沟通渠道。另外该组织的目标范围有一个显著变化,2021年古巴重点关注美国组织。

参考来源:BleepingComputer http://985.so/brfjh

 

(五)勒索软件攻击呈上升趋势

NCC Group研究表示,7月份勒索软件攻击比6月份增加了47%,从135次上升至198次。其中最受关注的行业是工业32%、消费品17%和技术14%。Lockbit 3.0是最活跃的攻击者,攻击了52名受害者,其次是Hiveleaks(27)和BlackBasta(24)。

随着Conti停止运营,勒索软件威胁场景持续升级,伴随着几个新的威胁行为者的崛起,Lockbit 3.0位居榜首,其次是与Conti相关的威胁行为者Hiveleaks和BlackBasta,正在采用一种新的运营方式。

与此同时,Lazarus Group在今年早些时候发生了数起数百万美元的以加密货币为重点的攻击之后,重新崭露头角。

7月份的行业趋势保持一致,工业仍然是最受攻击的行业,占勒索软件攻击的三分之一(32%),其次是周期性消费品(17%)和技术(14%)。从区域角度来看,北美成为最受关注的地区(42%),两个月来首次超过欧洲(40%)。上一次北美成为首要目标是在5月。

随着进入7月,Lockbit 2.0逐步淘汰,并过渡到新变体Lockbit 3.0,因为Lockbit 3.0在7月份进行了52起攻击事件,成为最活跃的勒索软件变体。与此同时,Hiveleaks有27名受害者,BlackBasta有24名受害者,这些组织的知名度上升意味着Conti组织的前成员可能重组成为新的小组织。

与此同时,朝鲜支持的APT组织Lazarus在6月下旬对Harmony Bridge进行了1亿美元的加密抢劫,继续在网络威胁领域引起涟漪。Lazarus Group在今年早些时候发生了一系列金融网络犯罪,以帮助朝鲜政府,包括加密货币盗窃和疑似勒索软件使用。其中包括Axie Infinity上价值6亿美元的加密货币抢劫案,以及Harmony的Horizon Bridge上价值1亿美元的加密货币抢劫。

该组织的业务增加可能与朝鲜经济再次萎缩有关,可能迫使朝鲜更加依赖非法收入方式。将其与已经陷入困境的经济相结合,可以看出为什么他们会转向进攻性网络运营作为收入来源。

作为这项活动的结果,美国已做出回应,向任何能够提供有关Lazarus Group内任何运营商的宝贵情报的个人提供1000万美元。朝鲜显然看到了使用加密货币盗窃和可能的勒索软件操作来追求金融安全的优势。

NCC Group威胁情报全球负责人Matt Hull表示,“与6月份相比,7月份的威胁情报揭示了勒索软件威胁领域的一些重大变化,因为勒索软件攻击再次呈上升趋势。自从Conti解散以来,我们已经看到两个与该组织相关的新威胁行为者,Hiveleaks和BlackBasta,在LockBit 3.0之后占据了领先地位。在接下来的几个月里,我们很可能只会看到来自这两个组织的勒索软件攻击数量继续增加。继两次重大加密货币抢劫案之后,Lazarus Group似乎正在改进其加密货币盗窃和勒索软件业务,因此密切监控其活动比以往任何时候都更加重要。美国、日本和韩国的加密货币组织应保持高度警惕。”

参考来源:NCCGroup http://985.so/br5ab

 

(六)Atlassian的Bitbucket服务器和数据中心存在严重漏洞

Atlassian发布安全公告,警告Bitbucket服务器和数据中心用户存在一个严重安全漏洞,攻击者可利用该漏洞在易受攻击的实例上执行任意代码。该漏洞编号为CVE-2022-36804,是软件产品的多个API端点中的命令注入,CVSS评分为9.9分,是严重漏洞。

Bitbucket是一个基于Git的代码托管、管理和协作工具,集成了Jira和Trello。

Atlassian在公告中表示,“具有权访问公共存储库或对私有Bitbucket存储库具有读取权限的攻击者可以通过发送恶意HTTP请求来执行任意代码。”

该漏洞影响6.10.17之后的所有Bitbucket服务器和数据中心版本,包括7.0.0和最高8.3.0。解决该漏洞的版本是7.6.17、7.17.10、7.21.4、8.0.3、8.1.3、8.2.2和8.3.1。然而,6.x分支的旧版本和不受支持的版本将无法获得该漏洞的修复。

 

因此建议无法应用安全更新的用户通过使用feature.public.access=false关闭公共存储库来应用临时部分缓解措施。这样未经授权的用户将无法访问实例,但是授权用户仍然可能执行攻击,例如已泄露有效凭据的威胁行为者。

Atlassian表示,通过bitbucket.org域访问Bitbucket的人不受RCE漏洞影响,因为供应商托管了这些实例。

早在2022年7月,发现该漏洞的安全研究人员Max Garrett通过该公司在Bugcrowd上的漏洞赏金计划向Atlassian报告了该漏洞,并获得了6,000美元。

这位年轻的研究人员在Twitter上承诺,将在30天内发布针对该漏洞的概念验证(PoC)漏洞利用,让系统管理员有足够的时间来应用可用的修复程序。

PoC的发布势必会导致黑客对严重RCE漏洞的积极利用激增,但不能保证这不会很快发生。Garrett表示,逆向工程Atlassian的补丁对于熟练的黑客来说应该不会太难。

远程代码执行是所有漏洞类型中最有效的,使攻击者能够在绕过所有安全措施的同时造成广泛的破坏,因此动机是存在的。也就是说,建议Bitbucket服务器和数据中心用户尽快应用可用的安全更新或缓解措施。

参考来源:BleepingComputer http://985.so/br54m

 

(七)PyPI遭受网络钓鱼攻击并传播恶意更新

Python包索引(PyPI)警告称,其遭受了网络钓鱼活动,以窃取开发人员凭据,并向存储库中的软件包注入恶意更新。

PyPI在警告中表示,“今天,我们收到了针对PyPI用户的网络钓鱼活动的报告。这是已知的第一个针对PyPI的网络钓鱼攻击。”

网络钓鱼邮件旨在诱骗收件人点击链接,以符合所有包裹的新谷歌强制验证流程。因此敦促收件人在9月之前完成验证程序,以避免从PyPI中删除他们的包。

 

单击链接后,用户将被引导到一个模仿PyPI的登录页面,并托管在Google站点上。一旦攻击者获得用户账户凭据,就能够将恶意更新推送到合法软件包。

Checkmarx研究人员Aviad Gershon是第一个知道针对PyPI用户的网络钓鱼活动,他还知道数百个恶意程序包是这次攻击的一部分。

Checkmarx发布的分析表示,“网络钓鱼尝试和恶意包由域linkedopports[.]com链接,该域出现在恶意包代码中,并且还充当网络钓鱼站点试图将被盗凭据发送到的位置。”

此活动中使用的恶意程序包试图从URL hxxps://python-release[.]com/python-install.scr下载并执行文件。在发现时,这些包的检测率很低,恶意代码经过数字签名,并且非常大,大约63MB,以试图逃避AV检测。

研究人员还发现了与该攻击者的基础设施相关的另一个域ledgdown[.]com,注册在同一IP下。该域名伪装成加密资产应用程序ledger live的合法网站。

Checkmarx分析表示,“这是针对开源软件包和开源贡献者的攻击的又一步。我们建议根据IOC检查网络流量,并一如既往地鼓励贡献者使用2FA。”

在网络钓鱼攻击之后,PyPI表示,正在修改硬件安全密钥计划的资格要求。“任何关键项目的维护者,无论是否已经启用了基于TOTP的2FA,现在都符合条件。”

参考来源:SecurityAffairs http://985.so/br5yw

 

(八)Ragnar Locker勒索软件组织攻击葡萄牙航空最大公司TAP

Ragnar Locker勒索软件声称,其对葡萄牙旗舰航空公司TAP Air Portugal进行了网络攻击。TAP表示,攻击已被阻止,没有发现任何证据表明攻击者可以访问存储在受影响服务器上的客户信息。

TAP于第二天8月26日通过其官方推特账户发表声明表示,“TAP是网络攻击的目标,现已被阻止。运营完整性得到保证。没有发现任何事实可以让我们得出结论,存在对客户数据的不当访问。网站和应用程序仍然存在一些不稳定性。”

29日,该航空公司还发布了一条警报,由于8月25日发生的网络攻击,其网站和应用程序而无法使用。客户无需登录就可以预订航班、管理之前的预订、办理登机手续和下载登机牌。

尽管TAP尚未确认这是否是勒索软件攻击,但Ragnar Locker勒索软件组织在其数据泄露网站上发布了一个新条目,声称是上周攻击TAP网络的网络攻击的幕后黑手。

该勒索软件组织表示,它有理由相信数百GB的数据可能在事件中受到损害,并威胁要提供“无可辩驳的证据”来反驳TAP的说法,即其客户数据在事件中未被访问。

Ragnar Locker表示,“几天前,Tap Air Portugal发布了一份新闻稿,他们自信地声称他们成功击退了网络攻击,并且没有数据受到损害,但我们确实有理由相信数百GB可能会受到损害。”

Ragnar Locker还分享了一张电子表格的屏幕截图,其中包含看似从TAP服务器窃取的客户信息,包括姓名、出生日期、电子邮件和地址。

Ragnar Locker勒索软件有效载荷在2019年12月下旬针对多个目标的攻击中首次被观察到。

Ragnar Locker勒索软件攻击者还加密了葡萄牙跨国能源巨头EDP的系统,并索要1580 BTC的赎金,当时相当于超过1000万美元。Ragnar Locker过去的受害者名单还包括日本游戏制造商Capcom、计算机芯片制造商ADATA和航空巨头达索猎鹰。

3月份美国联邦调查局表示,自2020年4月以来,Ragnar Locker勒索软件已部署在美国多个关键基础设施部门的至少52个组织的网络上。

TAP是葡萄牙最大的航空公司,占2019年里斯本国际机场进出港航班的50%以上。

参考来源:BleepingComputer http://985.so/brzz8

 

(九)LockBit勒索软件组织添加DDoS攻击至其三重勒索策略

LockBit勒索软件组织声称,其正在提高对DDoS攻击的防御能力,并努力提升至三重勒索攻击,即加密+数据泄漏+DDoS。此前LockBit攻击了数字安全公司Entrust,并窃取了数据。在LockBit准备公布被盗数据之时,LockBit的泄密站点遭受了DDoS攻击,因此没有按时泄露Entrust的数据。随后LockBit在8月26日泄露了Entrust的343GB文件的种子文件。

LockBit勒索软件组织最近遭受了DDoS攻击,据称攻击者是数字安全巨头Entrust,该攻击阻止了对其泄密网站上发布的数据的访问。

据消息人士称,在6月18日,Entrust遭受了LockBit勒索软件攻击,其数据被窃取。Entrust证实了这一事件,并且数据已被盗。

Entrust没有支付赎金,LockBit宣布将在8月19日公布所有被盗数据。然而这并没有发生,因为LockBit的泄密站点遭到了与Entrust相关的DDoS攻击。

本周早些时候,LockBit勒索软件组织的面向公众的人物LockBitSupp宣布,该组织已重新开展业务,拥有更大的基础设施,可以访问不受DDoS攻击影响的泄漏。

上周末的DDoS攻击暂时阻止了Entrust的数据泄露,这被视为探索三重勒索策略的一个机会,以向受害者施加更大的压力,迫使他们支付赎金。

LockBitSupp表示,勒索软件运营商现在正在考虑在加密和泄露数据的基础上,添加DDoS作为另一种勒索策略。“我正在团队中寻找DDoSers,现在很可能会攻击目标,并提供三重勒索,加密+数据泄漏+DDoS,因为我已经感受到了DDoS的威力,以及它如何让生活变得更加有趣。”

LockBit组织还承诺分享从Entrust窃取的超过300GB的数据,以便“全世界都知道你的秘密”。LockBit发言人表示,他们将与任何私下与其联系的人分享Entrust数据泄漏,然后再通过泄露网站提供。LockBit似乎信守承诺,并在本周末发布了一个名为entrust.com的种子文件,其中包含343GB的文件。

LockBit希望确保Entrust的数据可以从多个来源获得,除了在他们的网站上发布之外,他们还通过至少两个文件存储服务共享了torrent,其中一个不再提供。

 

为了防止进一步的DDoS攻击,已经实施的一种方法是在受害者的赎金记录中使用唯一链接。

LockBitSupp表示,“LockBit勒索信件中的链接随机化功能已经实现,LockBit的每个版本都有一个独特的链接,DDoSer将无法识别。”

他们还宣布增加镜像和复制服务器的数量,并计划通过防弹存储服务,也可以通过clearnet访问被盗数据,从而提高被盗数据的可用性。LockBit已将被盗的Entrust数据通过clearnet提供在一个限时提供文件的网站上。

自2019年9月以来,LockBit勒索软件已经活跃了近三年目前LockBit的数据泄露站点已启动并运行。该组织列出了700多名受害者,Entrust就是其中之一,该公司的数据于8月27日泄露。

参考来源:BleepingComputer http://985.so/brzta

 

(十)TikTok存在高危漏洞可劫持用户账户

微软研究人员在Android应用程序TikTok中发现了一个高危漏洞CVE-2022-28799,该漏洞可能允许攻击者通过点击一键劫持用户账户。

研究人员表示,该漏洞需要与其他漏洞链接才能劫持账户。微软在2月份向TikTok报告了这个问题,该公司迅速解决了这个问题。微软目前还没有发现有利用该漏洞进行的野外攻击。

该漏洞影响了Android应用程序TikTok,已通过Google Play商店安装了超过15亿次。

微软发布的文章表示,“如果目标用户只是点击了一个特制的链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持账户。然后攻击者可以访问和修改用户的TikTok个人资料和敏感信息,例如公开私人视频、发送消息和代表用户上传视频。”

该漏洞允许攻击者绕过应用程序的深度链接验证。攻击者可以强制应用程序将任意URL加载到应用程序的WebView,从而允许URL访问WebView的附加JavaScript桥并将功能授予攻击者。

为了触发这个问题,研究人员依靠应用程序的JavaScript接口实现,这些接口由Android操作系统的一个名为WebView的组件提供。

应用程序可以通过WebView加载和显示网页,还提供桥接功能,允许网页中的JavaScript代码调用应用程序中特定类的特定Java方法。

微软表示,“使用通过JavaScript代码访问的应用程序级对象将不受信任的Web内容加载到WebView会使应用程序容易受到JavaScript接口注入的影响,这可能会导致数据泄漏、数据损坏,或者在某些情况下,会导致任意代码执行。”

在分析加载到WebView的网页中JavaScript代码可访问的功能时,研究人员发现了70多种公开的方法。

微软表示,利用该漏洞劫持WebView,可以调用这些方法向攻击者授予功能。一些公开的方法可以允许攻击者访问或修改用户的私人信息,而另一些可以对作为参数给出的任何URL执行经过身份验证的HTTP请求。该方法还接受JSON字符串形式的一组参数,这些参数可用于形成POST请求的主体,并返回服务器的回复,包括标头。

通过调用此类方法,攻击者可以通过触发对受控服务器的请求并记录cookie和请求标头来检索用户的身份验证令牌。通过触发对TikTok端点的请求并通过JavaScript回调检索回复,检索或修改用户的TikTok账户数据,例如私人视频和个人资料设置。

微软表示,“简而言之,通过控制任何能够执行经过身份验证的HTTP请求的方法,恶意行为者可能会破坏TikTok用户账户。”

参考来源:SecurityAffairs http://985.so/brzfs

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号