在本周的文摘中,我们将讨论以下内容:
- Rancher 储存明文凭证,允许集群接管;
- ModSecurity的WAF绕过;
- BIND中的六个漏洞;以及
- 今年迄今为止,Akamai每月将1300多万个域名标记为恶意域名。
Rancher 存储明文凭证,允许群集接管
Rancher 是一个开源 Kubernetes 平台,允许用户跨提供商部署和运行容器集群。最近的一份漏洞报告显示,密码、API 密钥和账户令牌等敏感字段被以明文形式直接存储在 Kubernetes 对象上,任何可以访问给定对象的人都可以使用。这对Rancher 所有的 Kubernetes 对象内部的安全控制造成了严重影响。Linux 系统工程师马可-斯图尔曼(Marco Stuurman)解释道:
"攻击者只需要对一个集群Rancher 管理的尽可能少的权限。例如,我们的监控机器人用户的唯一权限是将HTTP请求从Rancher 代理给运行在目标集群中的监控实例。"
以下是供应商目前为补救这些问题而提出的有效建议。
- 旋转Rancher 服务账户令牌;Ranchers的维护者已经提供了一个脚本。
- 限制对下游Rancher 实例的访问。
- 检查下游群组是否有潜在的破坏迹象。
- 改变任何可能被泄露的凭证。
ModSecurity的WAF旁路
在最近对OWASP ModSecurity核心规则集(CRS)的评估中,发现了13个新的发现,包括特殊、关键和高度的漏洞,用于其Web应用防火墙(WAF)。
其中两个发现是基于内容类型的混淆,即由于ModSecurity推荐的规则集规则,WAF和后端服务器对请求内容的解释不同。
其中一个漏洞特别利用了XML注释被WAF忽略的方式,能够注入有效的 "x-www-form-urlencoded "数据,而WAF由于被解析为XML注释而忽略了该数据。
另一组发现是基于 "multipart/form-data "内容类型,其中通过使用 "Content-Dispositions "头允许绕过,这使得攻击者可以注入破碎的恶意字符串。
CVE-2022-39955是这次评估中出现的漏洞之一的另一个例子。使用 "utf-7 "作为额外的字符集,并对主体进行编码,可以实现模糊的绕过。
在ModSecurity和CRS的最新补丁中,这些漏洞和更多的漏洞都得到了修复。
BIND中的六个漏洞
互联网系统联盟(ISC)已经在BIND中发布了与解析器性能下降、缓冲区超读、内存泄漏和意外终止有关的信息。
CVE-2022-2795是一个漏洞,它用利用这个缺陷的查询淹没了目标解析器;一个咨询可以严重降低解析器的性能--可能会导致DOS攻击。
CVE-2022-2881是一个潜在的错误,允许读取超过指定的缓冲区。这可能导致不应读取的内存被读取,甚至使进程完全崩溃。
CVE-2022-2906、CVE-2022-38177和CVE-2022-38178都与内存泄漏有关。这些内存泄漏是由畸形的ECDSA或EdDSA签名和其他缺陷引起的,这使得运行中的进程所占用的内存超过了它所需要的内存,从而使系统上的可用内存被侵蚀,并可能因资源不足而导致进程崩溃。
CVE-2022-3080是一个漏洞,允许攻击者发送一个特定的查询,导致解析器进程完全崩溃。
这些漏洞在最新的BIND 9.18和9.16稳定版中得到了修复。
1个月内标记了1300万个恶意域名
自2022年年初以来,Akamai已经标记了超过7900万个域名,每月约1300万个域名。总体而言,这一数字占所有成功解决的新域名的20%以上。
这些检测是基于被称为新观察域名(NOD)的东西。Akamai将NOD定义为60天内未被解决的域名。这可能包括新买的域名或新使用的域名。类似的检测是看一个域名是什么时候注册的,这是一个有限的系统,因为一些恶意行为者在域名注册后,仅仅能够在一定的时间内坐等使用,逃避该系统。同样,其他监测NOD的组织也没有Akamai的规模;他们的监测时间限制在30分钟到72小时,与Akamai的60天相去甚远。
NODs本身并不完全有用,但当与其他情报相结合时,它们可以提供对领域的巨大洞察力以及它们是如何被利用的。NODs的应用是诸如网络钓鱼和快速威胁检测。然而,这些NOD不限于恶意活动检测目的,如启发式分析。
总的来说,似乎这些NOD在威胁猎取以及确定恶意行为和Akamai目前为铺设前进道路所采取的措施方面将持续发挥重要作用。
注释