Github は追いつくのに苦労しています タイポスクワッティングに新たな工夫を加えたマルウェア キャンペーン。やり方は簡単です。人気のあるリポジトリのクローンを作成し、マルウェアを追加し、フォークをオリジナルとして宣伝します。開発者の中には、フォークを実際のプロジェクトと間違えて、意図せずマルウェアを実行してしまう人もいます。明らかに名前の選択はフォークスクワッティングですが、 apiiro の研究者らは、「Repo Confusion」というより安全な名前を採用しました。

このキャンペーンは自動化されており、GitHub もそれを認識しており、これらの悪意のあるリポジトリの大部分はすぐに削除されています。何らかの理由で、GitHub アルゴリズムはすべての新しいリポジトリを捕捉していません。現在のキャンペーンでは、100,000 を超える正当なプロジェクトのコードを使用して、数百万のフォークが公開されているようです。不法占拠攻撃の家族がここにとどまっているように見え始めています。

RustDesk と奇妙な証明書

RustDesk リモート アクセス ソフトウェアは、オープン ソースであり、セルフホスティングが可能で、Rust で書かれているため、興味深いものです。私は長い間 Todo アイテムとして RustDesk を探索してきましたが、ちょっと気になるドラマがちょうど終わったところです。あるユーザーは 11 月に次のことを指摘しました テストルート証明書がRustDeskインストールの一部としてインストールされました。そのルート証明書は SHA1 で自己署名されています。 RustDesk バイナリが別の証明書で署名されているという懸念もあります。

あれからまた新たな出来事があった。まず、ありました ハッカーニューススレッド 今月初めの問題について。次の日、 CVE-2024-25140 は NIST に登録され、非常識な CVE 9.8 CVSS にランク付けされました。 FUD をいくつか取り上げて、実際に何が起こっているのかについて話しましょう。

まず、ルート証明書は SHA1 よりも安全なハッシュ関数で署名される必要があります。しかし、あなたが考えているような理由ではなく、この場合、それは問題ではありません。ルート証明書は定義上自己署名されており、署名される唯一の理由は、これらの証明書が有効であるためには署名が必要であるためです。子証明書はルートの署名によって保護されません。そのルート署名に依存する重要な機能は、失効リクエストを発行する機能です。これは、広く信頼されているルート証明書の XNUMX つにとっては非常に悪いことですが、このような信頼されていない証明書の場合はまったく問題ありません。

次に、RustDesk は実行可能ファイルに対する有効な署名付き証明書を持っています。自己署名ルート証明書はカーネル ドライバーに署名するためにのみ使用され、拡張検証 (EV) 証明書が必要です。アプリケーションのインストール中にルート証明書をインストールすることでこの要件を簡単に回避できるのは少し当惑しますが、それはRustDeskではなくMicrosoft側の話です。

ここでの最後の懸念は、この証明書がシステム全体の認証局 (CA) としてインストールされていることです。これがこの物語の最も懸念すべき要素ですが、証明書にはキー使用法 (KU) と拡張キー使用法 (EKU) を指定するフィールドがあります。 RustDesk CA はコード署名のみを目的としています。これにより、RustDesk またはこのキーを所有する人物が TLS を突破したり、Web サイトを偽装したりすることはできなくなります。コード署名は許可されており、これは正当な懸念である可能性がありますが、最初に現れたような危険な状況ではありません。

RustDesk はインストールからこのキーを抽出しましたが、これにより仮想ディスプレイ ドライバーが無効になります。これは、署名されたカーネル ドライバーを必要とする機能でした。最新のニュースは、RustDesk 開発者が何らかの支援を得て、EV コード署名証明書の取得を目指しており、そのプロセスが約 9.8 か月以内に完了する予定であるということです。そして、CVE の重大度は XNUMX でしょうか?完全に偽物のようです。

究極のメンバー SQL インジェクション

Ultimate Member WordPress プラグインがリリース 2.8.3 に更新されました。 SQLインジェクションの欠陥を修正する 認証されていないユーザーとしてアクセスできました。 アップデートの差分に基づいて、重要な問題が見落とされている可能性があります prepare() ああ、どうやら調査されており、実際に悪用される可能性があるため、パッチを適用してください。

WordPress で SQL インジェクション攻撃が非常に多い理由について話し合う良い機会かもしれません。まず、SQL インジェクションとは、ユーザーが指定したデータが実行する SQL コマンドの一部として解釈されることです。これは、予期しない文字を含めることによって実現されます。たとえば、セミコロンはステートメントの終わりを示し、次のステートメントの開始に使用できます。したがって、単純なプログラムが数値を期待する場合、次の入力が必要です。 15; DROP TABLE Students 1 つの SQL ステートメントを満たし、データベース上で実行される 2 番目のステートメントを挿入します。

大まかに言えば、SQL インジェクションを防ぐには、入力サニタイズとプリペアド ステートメントという 2 つのアプローチがあります。そして両方ともいいですね！まず、ユーザー入力をサニタイズします。 integer が実際に整数であり、単なる整数であることを確認してください。引用符、セミコロン、およびその他の潜在的に危険な文字を削除します。

2 番目のアプローチは、準備されたステートメントを使用することです。これにより、基本的な方法で SQL コマンドがデータから分離されます。それは次のようなものです $database->prepare("INSERT INTO Students (name, age) VALUES (?, ?)"); SQL コマンドを送信します。続いて、 $database->bind_param("si", $name, $age); 使用する値を設定します。そして最後に $database->execute(); 実際にクエリを実行します。コードと値は厳密に分離されているため、インジェクションは不可能です。

ここで WordPress について説明します。WordPress には独自の機能があります。 wpdb データベース呼び出し用のクラス。便利な機能が含まれており、 wpdb::prepare() これは、上に示した準備済みステートメントとほぼ同じように見えます。

$wpdb->prepare( "u.user_registered BETWEEN %s AND %s", $from_date, $to_date );

まったくそうではないことを除いて。の prepare() 関数は厳密にサニタイズ パスを実行し、 sprintf() 値の置換。の prepare() この関数は、実際には準備されたデータベース ステートメントを生成しません。 WordPress には、プリペアドステートメントを実際に使用する方法がありません。開発者を SQL インジェクションの問題から守るための基本的なパラダイムの 1 つが欠落しています。

M&Mたちは見ている

私には何か趣味があります。不正な動作をしているマシンを見つけて、光沢のある GUI の下でどの OS が実行されているかを把握しようとするのは楽しいと思います。私が見つけた最も奇妙な組み込みデバイスは、Windows のフルファット コピーを実行するページ スキャナーです。地元の大型店の価格スキャナーは、Windows CE を実行しているだけかもしれません。飛行機のシートバックのインフォテインメント センターでは、非常に古い Linux が実行されています。そしてどうやらウォータールー大学でM&Mの自動販売機が稼働しているようです。 Invenda.Vending.FacialRecognition.App.exe アプリケーションがインストールされた Windows.

私たちがそれを知っているのは、[SquidKid47] が自動販売機のディスプレイ画面で未知のソフトウェア例外をキャッチし、それを reddit で共有したためです。あ 学校新聞がその話を取り上げました (pdf) そして、この自動販売機は、ターゲットを絞った広告のために、スマート モーション センサーと人口統計検出器の組み合わせとしてカメラと顔検出を使用していると判断しました。はい、これらの自動販売機はターゲットを絞った広告を提供します。少なくとも彼らはそうでした。これらの自動販売機には、 彼らのワーテルローに出会った ウォータールー大学では現在、学校側が彼らの退去を正式に要請している。

ビットとバイト

Pwn へのドアベルを鳴らしてください: 判明したのは、 一部のスマートドアホンはそれほどスマートではありません。スマート ドアホンをリセットして別のアカウントに関連付けるプロセスがあることは驚くべきことではありません。このプロセスは、ドアホンの大きなボタン自体を 8 秒間押し続けるのと同じくらい簡単であることは、むしろ驚くべきことです。少なくとも、正当な所有者は変更に関する電子メールを受け取ります。

プリンターのセキュリティの不安は新しいことではありませんが、3D プリンターのセキュリティはまだニッチなアイデアです。今ではそれも変わってきているかもしれない 「greetings.txt」ファイルに相当するファイルが削除されました 多数の Anycubic プリンタ上で。どうやら Anycubic は実際には十分なアクセス制御を備えていない MQTT サーバーを使用しているようです。

またその時が来ました、そのとき GitLab の脆弱性修正がリリースされました、更新の時間になりました。今回目立ったのは、ユーザーのプロフィール ページにアクセスした際のクロス サイト スクリプティング (XSS) の欠陥です。読者の演習として、「samy is my hero」を各訪問者のプロフィール ページにコピーするサンプル コードを作成します。

そして最後に、皮肉の部分では、 アバストに罰金が科せられた ユーザーデータを収集および販売するためのプラットフォームとしてブラウザープライバシープラグインを使用するため。これは 2014 年から 2020 年にかけて行われ、実際のデータ販売には Jumpshot プラットフォームが使用されました。データは名目上匿名化されていますが、入手可能な情報の量と詳細は少し驚くべきものです。 Jumpshot はもう存在せず、Avast は現在別の会社の所有になっているということは指摘しておく価値があります。できればユーザー情報を収集しないでください。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://hackaday.com/2024/03/01/this-week-in-security-forksquatting-rustdesk-and-mms/