数週間前の締めくくりに LastPass の話について言及しましたが、詳細はまだ少し不足していました. LastPass が、何が起こったのか、アクセスされたアカウントの数について、より透明性の高い情報を公開することを期待していました。 残念ながら次のようです 22 月 XNUMX 日のニュース リリースだけで十分です。. LastPass ユーザーは、いくつかの決定を下す時が来ました。

要約すると、攻撃者は 2022 年 XNUMX 月の侵害からの情報を使用して、ソーシャル エンジニアリングの策略で LastPass の従業員を標的にしました。 これは成功し、攻撃者は LastPass のバックアップ、特に顧客アカウント データベースと顧客の保管庫にアクセスできました。 何人のユーザーのデータが含まれているかについての公式の言葉はありませんが、それはデータセット全体であったことを示しています. さらに悪いことに、暗号化されたボールトは部分的にしか暗号化されていません. ユーザー名とパスワードは引き続きマスター パスワードを使用して暗号化されますが、保存された URL は平文として攻撃者に公開されました。

では、LastPass ユーザーは今何をすべきでしょうか? 場合によります。 LastPass ボールト データを持っている人は誰でも、現在そこにあるすべてのパスワード リストを投げていると推測できます。 脆弱なパスワード (任意の言語の単語から派生したもの、または以前に侵害されたもの) を使用した場合は、保管庫にあったすべてのパスワードを変更する必要があります。 彼らはやけどを負っています。

LastPass を使い続けるか、別のソリューションを使用するかにかかわらず、金庫が破られるのは時間の問題です。 さらに悪いことに、一部の古い Lastpass アカウントでは PBKDF5,000 (パスワードベースのキー導出関数) ハッシュを 2 ラウンドしか使用していません。 新しいアカウントは 100,000 回以上の反復を使用するように設定されていますが、一部の古いアカウントは古い設定を引き続き使用できます。 その結果、暗号化されたボールトに対する攻撃がはるかに高速に実行されます。 反復回数はほぼ確実に盗まれたデータに含まれているため、これらのアカウントが最初にテストされる可能性があります。 長年のユーザーの場合は、ボールトに保存されているすべてのパスワードを変更してください。

良いニュースがあります。 ボールトはソルトを使用してパスワードを使用します。これは、PBKDF2 関数に組み込まれる追加データです。 これは、パスワード クラッキング手順をユーザーごとに個別に実行する必要があることを意味します。 あなたがただの興味のないユーザーであれば、クラッキングの標的にされることはないかもしれません。 しかし、あなたが興味を持っていたり、興味をそそるような URL を持っていたりすると、標的にされる可能性が高くなります。 残念ながら、これらはプレーンテキストでした。

では、数学はどのように積み重なっていくのでしょうか? 幸運なことに、[ウラジミール・パラント] 私たちのために数字を実行しました. LastPass パスワードに 2018 年のルールを使用した最小限の複雑さのパスワードでは、4.8×10^18 通りのパスワードの組み合わせが考えられます。 RTX 4090 は、PBKDF1.7 の反復を 5,000 回しか使用しないアカウントで 2 秒あたり 88,000 万回の推測、または適切に保護されたアカウントで 44,800 秒あたり 860,000 回の推測を維持できます。 4090 つの RTXXNUMX が作業していると仮定すると、XNUMX 年、金庫室を壊すのに XNUMX 年かかります。 いくつかの非常に大まかな計算 エージェンシーの XNUMX 文字のデータセンターのサイズ これらのデータセンターの 4 つ全体をこのタスクに専念させると、安全性の低いボールトが 1.5 か月以内にクラックされることが示唆されます。 完全なセキュリティ設定を使用するアカウントでは、これは XNUMX 年近くになります。 このアプローチは、攻撃者にとって最良のシナリオであり、XNUMX 億ドルのデータセンターを長期にわたってタスクに費やすことを意味することに注意してください。 ただし、パスワードをランダムに選択したことも前提としています。

しかし、問題は次のとおりです。リスクが行動を起こすのに十分な場合、LastPass のパスワードを変更するだけでは十分ではありません。 LastPass を使い続けるか、別のソリューションに移行するかにかかわらず、最初にマスター パスワードを変更する必要があります。次に、LastPass ボールト内のすべてのパスワードを変更するという大変なプロセスを経る必要があります。 この全体の混乱は確かに LastPass 側の失敗であり、彼らのインシデント後のレポートには確かにある程度の透明性が必要です. 保存された各パスワードに関連付けられた暗号化されていない URL は残念です。 しかし、LastPass でさえ保存されたパスワードにアクセスできないという中心的な信条は、持ちこたえているようです。

ビットコインハッカーがハッキング

Luke Dashjr は、Bitcoin Core 開発者であり、Bitcoin Knots ソフトウェアの主な署名者であり、 重大なセキュリティ侵害を受けました. これは、次のインシデントの後続の可能性があります。 XNUMX月の物理攻撃、誰かがフラッシュドライブから同じ場所にあるサーバーを再起動し、バックドアをインストールすることに成功しました。 それは捕らえられ、マルウェアは削除されたようです。 Luke は、アクティブな (ホット) ウォレットとオフライン (コールド) ウォレットの両方から、合計約 200 ビットコインを失いました。 彼はこれを完全な妥協と見なしており、彼の PGP キーも同様に疑わしいと警告しています。 つまり、ビットコイン ノットの最近のリリースも疑わしいということです。

納税義務を回避するための「ボート事故」から、彼が使用する Talos システムの乱数生成に関する既知の問題 (CVE-2019-15847) まで、いくつかの理論が浮上しています。 これはどれも、侵害されたサーバーでルートキットが見逃され、[Luke] のホーム ネットワークに戻ってきたという考えほどありそうにありません。 いずれにせよ、それはひどい混乱であり、前向きな解決策を期待しています.

PyTorch の夜間侵害

PyTorch-nightly パッケージは 依存関係混乱攻撃でヒット、25 月 30 日から XNUMX 月 XNUMX 日までアクティブです。 ここでの問題は、PyTorch が torchtriton パッケージはナイトリー リポジトリの一部であり、そのパッケージ名は PyPi で主張されていませんでした。 したがって、誰かがその名前でパッケージをアップロードするだけで済み、PyTorch-nightly の新しい pip インストールは PyPi バージョンを取得しました。 悪意のあるパッケージは、現在のネームサーバー、ホスト名、ユーザー名、作業ディレクトリ、環境変数などのシステム データを吸い上げ、h4ck[dot]cfd (アーカイブリンク）。 環境変数には必ず認証トークンが含まれていますが、そのビットはそれほど悪くはありません。 キッカーは、そのbash履歴です。 /etc/hosts, /etc/passwd, ~/.gitconfig, ~/.ssh、ホーム ディレクトリの最初の 1000 個のファイルもすべてパッケージ化されてアップロードされます。 現代のシステムでは、 passwd ファイルには実際にはパスワード ハッシュは含まれていませんが、 .ssh フォルダーには、秘密の SSH キーが含まれている可能性があります。 うわぁ。

今、 この偽のパッケージの背後にいる開発者が見つかりました、およびこれはセキュリティ研究を目的としたものであると主張し、すべてのデータが削除されることを約束します. 盗まれたデータは、おそらくバグ報奨金を収集する目的で、被害者を確実に特定するためのものであると主張されました。 これにはある程度の信ぴょう性の要素がありますが、実際には問題ではありません。この事件で漏えいした秘密はいずれにせよ取り消す必要があるからです。 希望の光は、パッケージをインストールするだけでは悪意のあるコードが実行されないことですが、Python スクリプトは明示的に実行する必要があります。 import triton ペイロードをトリガーするため。 PyTorch プロジェクトはパッケージの名前を pytorch-triton、インシデントの繰り返しを避けるために PyPi でそのプロジェクト名を予約しました。

脆弱な Citrix インストールのマッピング

最近、Citrix ADC と Citrix Gateway でいくつかの重大な脆弱性が修正されました。そのうちの XNUMX つは、APT (Advanced Persistent Threat) がバグでシステムを積極的に侵害しているという NSA からの通知を促しました。 修正されたバージョン番号は知られており、NCC Group の一部である Fox It の研究者を驚かせました。 リリース バージョンを確認する方法はありますか 事前認証 HTTP 応答からの Citrix デバイスの? スポイラー：あります。 の /vpn/index.html endpoint には、リリース バージョン間で異なると思われるハッシュが含まれています。 残された唯一のトリックは、ハッシュをバージョンにマップする簡単な方法を見つけることでした。

Google の Cloud Marketplace に入ります。ここには、新しい Citrix 仮想マシンを起動するためのワンクリック オプションがあります。 その後、ある SSH セッションで、バージョンと対応するハッシュが確認されました。 それはXNUMXつ下がっています。 また、Google のサービスの一部として、以前のバージョンを qcow2 仮想ディスク イメージ — そこからハッシュとバージョン番号を簡単に取得できます。 これらの画像と Citrix のダウンロード ページの間に、かなりの数の既知のハッシュが特定されましたが、奇妙なことに、既知のリリースとは一致しないように見えるいくつかのハッシュが実際に観察されています。 リモートからもアクセスできる特定の読み取り専用ファイルを見つけることで、特定のファームウェアがビルドされたときの正確なタイムスタンプを取得できます。 これにより、既知のバージョン番号のギャップが埋められ、実際に表示されていたバージョンを正確にグラフ化できます.

ハッシュは、Shodan などのスキャン サービスによって収集されたデータの一部であったため、現在の状態だけでなく、インストールされたバージョンの履歴も確認できます。 展開されたバージョンには非常に顕著な変更があり、NSA の警告にうまく対応しています。 それでも、脆弱なファームウェアを実行しているように見える多くの展開された Citrix サーバーがありますが、展開の詳細は、それらが差し迫った危険にさらされていないことを示している可能性があります。 このような統計がどのように得られるかは非常に興味深いものです。

ビットとバイト

Synology の VPN サーバー 重大な脆弱性 CVE-2022-43931 がある、これは CVSS スコア 10 をスコア付けし、認証されていない攻撃者が任意のコマンドを実行できるようにします。 パッチが適用されたリリースが利用可能です。 この脆弱性自体は、リモート デスクトップ サービスの境界外書き込みであるため、この脆弱なサービスがオープンなインターネットに広く公開されないことが期待されます。

これが、あなたが必要だと知らなかったエクスプロイトです。 シェルコードを取得するために Lua インタープリターから抜け出す 実行。 ここでのトリックは、シェルコードを数値としてエンコードし、ランタイムをだましてアライメントされていないアクセスにすることです。これにより、プログラムの実行がデータにジャンプします。 もう XNUMX つの楽しいトリックは、ターゲットの Lua インタープリターが Lua バイトコードを実行できるようにし、通常の Lua コードと同じようにそれを信頼することです。 それで、これらすべての目的は何ですか？ 楽しいことは旅にあることもあります。

退屈なセキュリティ研究者が電動スクーター用のモバイル アプリを試してみると、何が得られますか? 不思議なクラクションと点滅するスクーターがたくさん。 そして、同じ研究者が賭け金を上げて、車を鳴らそうとしたときは? リモート脆弱性の本当に印象的なリスト すべてのブランドの車両で。 ライブの GPS 追跡から、ライトの点灯、ドアのロック解除、リモートでの車両の始動まで、[Sam Curry] と彼の陽気なハッカーのバンドが実現させました。 影響を受けた多くのベンダーの功績として、ほぼすべての脆弱性が「すぐに修正された」という結論に達しました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://hackaday.com/2023/01/06/this-week-in-security-lastpass-takeaway-bitcoin-loss-and-pytorch/