使用者若是忘记密码,透过电子邮件来重设是相当常见的做法,但这样的机制若是不够严谨,很有可能遭到滥用,而成为攻击者夺取帐号的管道。
例如,近期GitLab修补的CVE-2023-7028,就是这样的例子。起因是开发团队在今年5月引入新的机制,不再限制只能使用主要的电子邮件信箱来二次验证用户身分,而产生了漏洞。对此,他们也新增额外的测试机制,来检验密码重设的流程是否存在瑕疵,来防范类似弱点再度出现。
【攻击与威胁】
Sucuri研究人员指出,12月11日,提供弹出式视窗功能的外挂程式Popup Builder,被资安业者WPScan揭露具有跨网站指令码(XSS)漏洞CVE-2023-6000(CVSS风险评分8.8),13日骇客就将其用于散布Balada Injector。攻击者触发该外挂程式的sgpbWillOpen事件,然后在弹出视窗启动的过程当中,会到网站资料库执行恶意JavaScript程式码,挖掘网站管理相关的cookie,从而载入指令码来注入后门程式。 此后门会伪装名为wp-felody.php的外挂程式,声称是WordPress制作,但不会在WordPress的外挂程式列表出现。完成植入程序之后,攻击者可借此从特定URL取得恶意程式码,并将这些内容存放在名为sasas的档案、再予以执行。除此之外,对方也利用相同的外挂程式漏洞,窜改wp-blog-header.php档案,以便注入前述的后门程式。 截至1月15日为止,当我们透过网站原始码搜寻引擎PublicWWW来寻找受害系统,可发现有多达7,147个网站遭到注入攻击。而对于骇客的目的,另一名研究人员Randy McEoin认为,很可能是将网站使用者重新导向,进行推播通知诈骗。 资料来源 资安业者Akamai揭露名为NoaBot的僵尸网路,此为Mirai的变种,并具备蠕虫的功能,其存在的目的是将受害的电脑用来挖矿牟利。 而该僵尸网路病毒入侵受害伺服器的管道,主要是透过SSH扫描器寻找容易受到字典攻击的主机,从而进行暴力破解,并加入特定的SSH公钥,而能让骇客远端存取,或是部署其他恶意程式。研究人员总共侦测出849个受害的IP位址,这些主机尤其在中国的密度较高。 特别的是,此僵尸网路病毒是以uClibc编译而成,使得防毒引擎侦测的难度变高,有别于其他Mirai变种通常是以Mirai的特征码识别,NoaBot的特征码通常被归类为SSH扫描软体,或是木马程式。