新型DoubleClickjacking漏洞可绕过网站的点击劫持保护
发布时间 2025-01-031. 新型DoubleClickjacking漏洞可绕过网站的点击劫持保护
1月1日,安全专家揭示了一种新型漏洞DoubleClickjacking,这是一种普遍存在的基于时间的漏洞,通过利用双击操作推动点击劫持攻击,几乎影响所有大型网站。该漏洞由安全研究员Paulos Yibelo命名,它利用双击序列而非单一点击,能绕过现有点击劫持防护措施,如X-Frame-Options和SameSite cookie。DoubleClickjacking攻击中,攻击者控制的网站会诱导用户双击看似无害的元素,如CAPTCHA验证,期间利用JavaScript悄悄重定向至恶意页面,如批准恶意的OAuth应用程序,同时关闭顶层窗口,使用户在不知情下授予访问权限。Yibelo指出,大多数Web应用程序和框架未考虑双击风险,现有防御措施无效。网站所有者可通过客户端手段消除漏洞,如默认禁用关键按钮,在检测到鼠标手势时激活。长远来看,浏览器供应商应采纳新标准防御双击利用。DoubleClickjacking是点击劫持攻击的变种,利用点击间的时间差无缝替换良性UI元素为敏感元素。
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html
2. Brain Cipher勒索软件团伙泄露罗德岛RIBridges平台数据
1月2日,Brain Cipher 勒索软件团伙近期开始泄露在攻击罗德岛“RIBridges”社交服务平台时窃取的文件。RIBridges是一个综合资格系统,用于管理和提供包括医疗保健、食品援助、儿童保育等社会援助计划。罗德岛州于12月5日首次得知系统遭到攻击,但直到12月10日才确认数据可能已被窃取。12月13日,系统供应商德勤确认存在恶意代码,州政府随即指示关闭RIBridges系统。上周,Brain Cipher开始在其数据泄露网站上发布部分被盗数据,包括成年人和未成年人的个人数据。网络安全研究员Connor Goodwolf下载了这些数据并证实了其真实性。据估计,约有65万人受到此次攻击的影响,他们的敏感信息如姓名、地址、出生日期、社会安全号码和某些银行信息可能已被泄露。州政府官员建议罗德岛居民冻结并监控其信用,以防欺诈活动,并警惕利用被盗数据进行网络钓鱼诈骗。
https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-stolen-in-rhode-islands-ribridges-breach/
3. 日本移动运营商NTT Docomo遭DDoS攻击导致部分服务中断
1月2日,日本最大的移动运营商NTT Docomo遭遇分布式拒绝服务(DDoS)攻击,导致部分服务暂时中断,包括新闻网站、视频流媒体平台、移动支付和网络邮件服务以及高尔夫爱好者网站等。该公司在声明中确认了此次攻击,并表示正在努力恢复服务,大多数服务的访问已恢复,但部分内容更新可能延迟。NTT Docomo未将此事件归咎于任何特定的威胁行为者,但值得注意的是,该公司在2023年已成为Ransomed.vc团伙勒索软件攻击的受害者。最近几个月,日本多家公司也遭受了网络攻击,包括日本航空、三井住友海上保险公司、角川、卡西欧等知名企业,以及电动机制造商Nidec、汽车零部件制造商Yorozu和研发机构Monohakobi等。此外,日本主要金融机构如三菱日联银行、里索纳银行和瑞穗银行的网上银行服务也因涉嫌网络攻击而中断。
https://therecord.media/ntt-docomo-japan-mobile-carrier-ddos-incident
4. 超三百万邮件服务器未加密,易受网络嗅探攻击
1月2日,目前互联网上存在超过三百万个未采用TLS加密的POP3和IMAP邮件服务器,这些服务器容易遭受网络嗅探攻击。IMAP和POP3是访问电子邮件的两种方法,其中IMAP建议用于多设备同步,而POP3则下载邮件到本地设备。当TLS加密未启用时,邮件内容和凭据将以明文形式发送,增加了被攻击的风险。ShadowServer安全威胁监控平台的扫描显示,这些未加密的邮件服务器暴露了用户名和密码,使其易受攻击。ShadowServer正在通知相关运营商启用TLS支持,以保护用户数据。此外,随着TLS协议的不断发展,不安全的TLS 1.0和TLS 1.1协议已被淘汰,现代操作系统默认启用更安全的TLS 1.3版本。美国国家安全局也提供了替换过时TLS协议配置的指导,以防止攻击者利用这些配置访问敏感数据。
https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/
5. RansomHub声称入侵大都会人寿,保险巨头否认
12月31日,RansomHub组织声称在新年前夕入侵了全球最大保险、年金和员工福利计划提供商之一的大都会人寿保险公司(MetLife),并在其暗网博客上发布了攻击信息,声称窃取了1TB敏感数据。然而,大都会人寿否认发生勒索软件攻击,仅确认其子公司Fondo Genesis在厄瓜多尔遭遇网络事件,且与企业系统分开运营。RansomHub发布的样本文件多为西班牙语,据推测来自大都会人寿拉丁美洲分部。大都会人寿在全球115个国家为超过1亿客户提供服务,其中包括1000万美国以外地区客户。此外,根据以色列网络安全公司Hudson Rock 11 月份的报告,一名黑客泄露了近60万条据称属于大都会人寿的数据记录,研究人员怀疑这与 MOVEit 漏洞有关,但大都会人寿否认与Cl0p勒索软件组织的MOVEit黑客攻击有关。
https://cybernews.com/news/metlife-latin-america-claimed-by-ransomhub-group/
6. 以太坊开发人员遭遇利用恶意npm包的复杂供应链攻击
1月2日,据Socket研究团队披露,以太坊开发人员已成为复杂供应链攻击的目标,攻击者利用人们对开源生态系统的信任,在npm生态系统中发布了至少20个恶意Hardhat插件,这些插件名称与合法软件包和组织相似,例如@nomisfoundation/hardhat-configure和hardhat-deploy-others,其中一位作者的下载量超过1,000次。这些恶意软件包声称可以增强工作流程,实则秘密窃取受感染的开发环境中的敏感数据,如助记符和私钥等。攻击者采用多层次策略,包括从Hardhat运行环境中提取关键信息,使用AES密钥加密数据并传输到攻击者控制的端点,以及利用以太坊智能合约动态检索命令与控制(C2)服务器地址,实现C2基础设施的去中心化和不可篡改特性,增加了破坏难度。此次活动给以太坊开发社区带来了重大风险,强调了开源生态系统中的安全问题。
https://securityonline.info/supply-chain-attack-on-ethereum-developers-via-malicious-npm-packages/
京公网安备11010802024551号