Nobelium 也称为 APT29 和 Cozy Bear,是一个疑似俄罗斯支持的高级网络犯罪团伙。两年前,他们发起的 SolarWinds 攻击使得无数防御团队夜以继日的工作。最近,APT29 又转换了攻击目标,将视线转移到了大使馆。
研究人员发现,APT29 正在冒充与土耳其大使馆有关的人员进行钓鱼邮件攻击。钓鱼邮件以 Omicron/Covid-19 疫情为诱饵,督促与大使馆有关的人应该格外注意。
钓鱼邮件
电子邮件源地址是一个专注于社会事务的政府部门泄露的电子邮件账户。邮件从非洲一个法语国家发出,伪装成土耳其大使馆的邮件发送到讲葡萄牙语的国家,邮件本身是用英文写的。
邮件带有 .html 的附件,样本文件会创建恶意 JavaScript 文件。
CybelAngel公司发表了一项研究,揭示了数据泄漏和影子资产是全球大型组织面临网络攻击的最大来源。该报告还强调了2021年的市场压力导致了此类风险的增加,与2020年相比,云存储数据泄漏机率增加了150%。
研究报告显示,根据客户群体的数据样本,总体而言,数据泄露事件增加了63%,易受攻击的影子资产风险事件在2021年增长了40%。这证明了企业在不断数字化的过程种,攻击面也不断扩大。
开发商因人员短缺导致开发项目的外包率上升,现在86.2%的招聘经理和技术招聘人员发现雇用开发商是一项挑战。与此同时,数字化转型的加速意味着需要开发更多的项目,2020年至2021年间,在GitHub上创建的新的公共存储库增加了47.3%。
外包开发项目的增加导致源代码泄漏增加了66%。与上一季度相比,2021年最后一个季度,发送给CybelAngel样本客户群的GitHub事件报告数量大幅增加,上涨了117%。
网络安全中由暴露的凭据引起的数字风险继续困扰着企业,包括帐户接管、凭据填充、网络渗透和勒索软件攻击。在示例公司组中,暴露的凭据占发送的所有事件报告的 25%。
最重要的发现之一是,暴露的凭据事件的严重程度发生了巨大变化,"重大"事件的数量增加了50%,这些事件被定义为因帐户接管有可能导致的中断业务运营事件。
随着数字化转型、在家办公革命的继续,云存储泄露专有数据或机密信息的事件同比增长了150%。
随着云的日益普及,应用程序和服务在没有IT部门批准的情况下易于使用,易受攻击的影子资产数量在2021年下半年增长了40%。在2021年发送给CybelAngel客户的影子资产事件中,有17%被评为"重大"或"严重"。
CybelAngel网络运营总监兼首席研究员Pauline Losson在评论调查结果时表示:“该报告重点关注了工作世界发生巨大变化后,发生的数字风险的安全影响。“
“云采用的巨大增长以及组织对外包开发工作的日益依赖,意味着所有风险实际上都转移到了云中。保护边界的想法不再站得住脚。组织正面临着系统性的网络风险,这些风险是由复杂的犯罪集团利用外部威胁以致于风险无法避免这一事实所驱动的。“
“对组织来说,好消息是,如果及早处理,报告中确定的每个威胁都可以相对快速地以低成本得到补救。关键是威胁的可见性和处理速度,在恶意行为者破坏与组织攻击面相关的所有暴露资产之前找到它们。随着风险每天都在变化,组织需要准备好通过持续监控来做出响应。“
据Security affairs消息,日本汽车制造商丰田汽车由于其供应商小岛工业遭受网络攻击,导致位于本土的工厂被迫停止生产
小岛工业是丰田的一级供应商之一,主要为汽车提供内外饰塑料部件。一位小岛工业的相关人员告诉日经:“我们确实受到了某种网络攻击。我们迅速做出了反应,目前仍在确认受损情况,当务之急是尽快恢复丰田的生产系统。”
受攻击影响,丰田公司从3月1日(本周二)起暂停日本14家工厂共计28条生产线的运营。据NikkeiAsia称,停产将影响约13,000辆汽车的生产,占丰田在日本月产量的4%至5%。
停产还影响丰田子公司大发汽车和日野汽车,但目前尚不清楚对两家汽车制造商生产的影响。日野汽车和大发汽车宣布将关闭三个工厂。
日本首相岸田文雄在本周一表示,已经注意到媒体对这一事件的报道,政府将尽力确认具体情况。有记者询问这是否与日本对莫斯科的制裁有关,岸田文雄表示目前没有迹象表明和俄罗斯存在联系。
.png)
这份澳大利亚数据中心市场报告中包含对新冠状病毒影响的深入分析和数据驱动的见解
澳大利亚数据中心市场规模将见证 4000 万美元的投资 到 2026 年
,随着全球和本地数据中心供应商为扩展现有设施和新设施而购买数据中心开发土地,绿地开发正在增加。例如,Digital Realty 在悉尼收购了 16.2 公顷的土地。澳大利亚数据中心市场拥有大量基础设施供应商,他们提供安装和调试服务,例如 Everett Smith等。
该报告考虑了澳大利亚数据中心市场的现状及其在2021-2026年预测期间的市场动态。它详细概述了市场中的几个增长推动因素、限制因素和趋势。该研究包括市场的需求和供应方面。
报告的主要亮点:
澳大利亚数据中心市场洞察
澳大利亚数据中心市场供应商格局
澳大利亚数据中心市场拥有多家 IT 基础设施供应商、建筑承包商、支持基础设施供应商和投资者。该地区见证了边缘数据中心等新参与者进入边缘数据中心领域,他们将在新南威尔士州、维多利亚州和昆士兰州投资边缘设施。例如,澳大利亚运营的批发数据中心提供商。他们参与了 SYD02 设施的建设,该设施预计将于 2022 年投入运营。
这份中东数据中心市场报告中包含对新冠状病毒影响的深入分析和数据驱动的见解 预计2020-2026年期间,
中东数据中心投资市场将以7%的复合年增长率增长。
由于新冠状病毒的爆发,数据中心市场稳步增长,在全国范围内的封锁和限制措施的帮助下,人们对互联网相关服务的访问增加了。在大流行期间,支持物联网的设备在监测和监视目的方面得到了高度认可,特别是在医疗保健领域。政府机构也为中东基于云的服务的增长做出了贡献。在科威特,卫生部 (MoH)、中央信息技术局 (CAIT) 与 Zain 合作推出了一款应用程序 - Shlonik,以监控返回该国的公民。在新冠状病毒之后,云、物联网、大数据的日益普及增加了该地区的托管投资。云、社交媒体、和视频会议服务提供商对数据生成做出了重大贡献。许多在云中运营的企业正在迁移到托管数据中心以运营混合基础设施服务。
在预测期内,以下因素可能有助于中东数据中心市场的增长:
该研究考虑了中东数据中心市场的现状及其2020-2026年期间的市场动态。它详细概述了几个市场增长的推动因素、限制因素和趋势。该报告提供了市场的需求和供应方面。它对市场上的领先公司和其他知名公司进行了概况和审查。
中东数据中心市场细分
中东数据中心市场研究报告包括按 IT 基础设施、电气基础设施、机械基础设施、冷却技术、冷却系统、一般建筑、等级标准、地理划分的详细细分。中东 IT 基础设施市场预计在2020-2026年期间的复合年增长率将超过 6%。服务器市场正在缓慢地从基于机架的服务器转向刀片服务器,以支持高密度的操作环境。这是因为整个中东市场的企业越来越多地使用物联网、大数据分析、人工智能和机器学习。企业更喜欢可以在不影响性能的情况下减少数据中心环境空间的服务器。
在预测期内,中东的UPS市场预计将超过8900万美元。边缘计算的部署稳步上升;此外,托管运营商正在该地区投资,这增加了该地区对大容量 UPS 的需求。750-1,500 kVA 系统的使用已被广泛采用,而小于 500 kVA 的 UPS 系统则被广泛采用。在预测期内,锂离子电池的采用也可能会增加,因为这些电池的价格预计在预测期内将下降。
冷却系统,包括水冷式冷水机组、CRAH 和冷却塔,在中东地区安装了 N+20 冗余。该地区的大多数设施都设计为通过水基冷却技术冷却服务器。阿联酋数据中心建设的不断增长是开发多台冷水机组、冷却塔和 CRAH 装置的关键因素。在沙特阿拉伯,数据中心的建设将增加多台冷水机组、冷却塔和 CRAH 机组的采用。由于高温,新建的数据中心设施将使用先进的空气冷却技术。土耳其的数据中心采用 CRAC & CRAH 机组和冷水机组。在冗余方面,大多数运营商使用N+1和N+2冷却冗余。此外,运营商可能会部署双供水系统以实现高效和不间断的运营。
在中东,棕地开发比绿地开发更具成本效益。在中东地区,数据中心调试服务提供商遵循标准操作程序,具体取决于设施所需的调试深度。中东数据中心市场主要由功率中心小于 15 兆瓦的小型数据中心主导。预计到 2026 年,建筑和工程设计市场将超过 3200 万美元,复合年增长率约为 7%。服务运营商对可靠、高效和灵活的建筑基础设施的需求不断增长,预计将影响其增长。越来越多地采用物理安全设备来保护数据和信息。BFSI、电信和医疗保健是最容易受到入侵和破坏的部门。该地区的数据中心安装了传感器和摄像机用于监控。在数据中心使用人工智能和机器学习正在推动 DCIM 解决方案市场。DCIM 解决方案可提高效率、监控功耗并预测系统故障。它们正在成为数据中心运营的重要组成部分,因为它们监控电力、冷却和 IT 基础设施等关键要素。
阿联酋的大多数数据中心都经过 Tier III 认证或根据 Tier III 标准建造。沙特阿拉伯的几个数据中心是根据 Tier III 或 Tier IV 标准建造的,并且在电力和冷却基础设施方面具有至少 N+1 的冗余。Tier III 数据中心配备了 N+1 的 UPS 系统冗余。土耳其的大多数现代数据中心都是根据 Tier III 标准开发的,电力基础设施至少有 N+1 冗余。少数数据中心运行 2N 电力基础设施或具有额外容量,可根据客户需求调试 2N 基础设施解决方案。土耳其的大多数开发项目都是新建项目,而模块化数据中心仅限于企业内部部署。
按 IT 基础架构
按电气基础设施
按机械基础设施
通过冷却技术
按一般建设
按等级标准
地理洞察
土耳其、阿联酋和沙特阿拉伯是中东数据中心市场份额的三大贡献者。基于云的服务的日益普及导致阿联酋零售和批发托管服务的增长。市场见证了现有和即将推出的数据中心对托管空间的需求增加。对 5G 技术及其部署的快速投资正在增加对数据中心的投资。迪拜是阿联酋数据中心最受青睐的地点之一,其次是阿布扎比。同样,沙特阿拉伯正在观察商业活动的快速数字化和自动化。2020 年,超过 75% 的公司在其应用程序中实施了物联网。2020年沙特阿拉伯的互联网普及率约为 95%。各行业的企业,如银行、金融服务、保险、
按地理
供应商的见解
AWS、Cisco和 Dell Technologies 是扩大其在中东地区的业务的主要 IT 供应商之一。他们在该地区拥有强大的实体存在,并且是高密度、关键任务服务器、存储基础设施和网络基础设施的主要采用者。供应商正在关注可持续数据中心。他们与当地服务提供商合作采购可再生能源。建设和设计对于数据中心运营商来说至关重要,因为他们需要遵守 Uptime 标准。
关键数据中心关键 (IT) 基础设施提供商
托管是一个与物理服务器本身一样古老的概念。事实上,裸机解决方案需要专门的空间和经验丰富的技术人员。当需要理想条件来保持服务器平稳运行时,为什么不将您的硬件委托给围绕其维护而构建的设施呢?通过将您的服务器安置在更大的提供商的数据中心,您不仅可以获得高级安全、冷却和可能的最快网络,还可以获得大量相关的财务节省。对于许多组织而言,托管几十年来一直是一种久经考验的真正解决方案。
但随着AWS,阿里云,和Azure等公共云提供商的兴起,托管服务器是否已成为过时的基础设施解决方案?
十年前,有很多人会告诉你“是的”。然而,正如这些早期采用者已经意识到的那样,云并不是什么完美的灵丹妙药:尽管它有很多好处,但它的缺陷同样普遍。事实是,按需租用您的数字基础设施总是比直接拥有您的服务器更昂贵。即使在您签署合同时看起来不是这样,费用最终也会加起来。
现在,随着许多早期采用者的公共云解决方案接近或超过十年大关,市场趋势显示越来越多的主机托管、专用裸机服务器解决方案的复苏以及对混合云基础架构的日益依赖。
在这篇文章中,我们将着眼于支持托管发展的一些证据、未来几年的预计市场潜力,以及为什么您的组织将受益于快米云的混合云托管解决方案。
托管正在蓬勃发展。根据最新报告,全球主机托管市场正以 12.44% 的复合年增长率 (CAGR) 增长。假设这一趋势持续到 2028 年,该报告预测托管行业的全球市场增长将从 2020 年的约 410 亿增长到 2028 年的 1010 亿。Grand View Research 的另一份报告将这些数字更高,估计当前市场价值为托管数量为 440 亿,复合年增长率为 13.3%。
换句话说,尽管有云,对托管的依赖仍在增长。
但为什么?为什么越来越多的公司开始为他们的数字基础设施重新使用基于托管的解决方案?
事实是,按需租用您的数字基础设施总是比直接拥有您的服务器更昂贵。
公司转向托管的原因有很多。无论是希望降低公共云成本和减少整体依赖,转向更小、更环保的替代方案来膨胀超大规模数据中心,还是需要更新边缘设施的特定位置优势,有许多因素促成了这种转变来自纯粹基于云的解决方案。
最后,问题不是,“为什么这么多公司选择托管?”,而是“我的公司是否也该考虑托管?”
托管有许多优点。在本地服务器时代,托管的主要好处是减少物理空间需求。与其在现场建造服务器机房来容纳您的服务器,托管服务允许公司利用现有供应商的现有面积。这意味着您不仅可以节省建造和维护服务器机房的成本,还意味着未来的增长机会不会因缺乏可扩展的物理空间而受到限制。
除了空间问题之外,利用真正数据中心的更大设施还可以降低电力成本和访问优质网络的价格。由于这些设施传输大量数据,因此在与电力和网络服务提供商进行谈判时,它们会发挥更大的作用。这可能会导致重大的价格中断,这些价格通常会转移给客户,作为使用他们服务的激励。
此外,重要的是要记住数据中心的业务依赖于其声誉。错误代价高昂,第二次机会很少。出于这个原因,托管设施强调可靠性,实施各种故障保险和必要的紧急预防措施以减轻灾难。这不仅可以保护他们的业务,还可以保护您的业务,确保为您的服务器和数据提供最佳保护。这也意味着这些数据中心寻找业内最优秀的人才, 聘用在各自领域真正成为专家的技术人员。现场有 24×7 的支持人员,可以在出现问题时解决问题,在时间紧迫时提供即时响应。通过托管服务包,这些熟练的技术人员通常充当客户的重要生命线,让他们高枕无忧并提供他们的专业知识。更好的是,由于这些设施的运营规模,零售托管服务提供商能够以雇佣您自己的全职内部技术人员的一小部分成本提供这种水平的支持。这意味着您可以节省成本并减轻员工的压力。
现在,在云时代,这种“本地服务器”的概念基本上已经不复存在了。通过各种云服务存储和运行所有内容,物理空间限制的风险几乎不存在。因此,托管的新兴起不是由于人们将服务器移到异地,而是从按需虚拟实例转移到专用裸机资源。换句话说,当今托管的最大优势围绕着卓越的计算能力和节省成本的机会。
尽管有云,但对托管的依赖仍在增长。
但是ZZQIDC等提供商提供的裸机选项呢?
虽然确实越来越多的云提供商正在为其客户提供裸机解决方案,但可用的选项通常是有限的。毕竟,云商业模式是围绕销售预制包而建立的。开箱即用的功能通常会失去灵活性。
相反,通过零售托管设施购买和安装服务器,组织能够指定其底层硬件和软件的每个元素。更喜欢特定的控制面板或服务器品牌?通过托管服务提供商购买或存储服务器时,您的选择不仅限于提供商的偏好。想要将您的数据存储在特定国家/地区吗?通过将裸机解决方案存放在边缘数据中心,您可以将服务器保留在客户端所在的位置,从而减少延迟并改善用户体验。简而言之:当您与物理服务器托管时,您可以控制所有这些选择以及更多。
现在,云的支持者将很快指出其便利性、易用性和可扩展性是公共云解决方案的明显优势。毕竟,这些要素已成为构建现代数字基础设施的重要因素。裸机真的可以提供相同级别的功能吗?
简单地说——是的。归根结底,每个云解决方案都在裸机资源之上运行。差异归结为访问问题:您实际上能够与底层硬件交互或操作多少。作为公共云客户,这种访问非常有限。但是,当您拥有服务器时,您可以完全访问所有内容。
真正让云如此方便的原因归结为虚拟化和容器化、集群管理的编排工具以及按需升级基础设施的能力的结合。这三个组件对于动态创建和管理实例至关重要,但这些工具不仅限于云。借助物理服务器,Proxmox VE和Kubernetes等免费解决方案可以为您提供相同程度的自定义实例管理。Terraform和Ansible等编排工具让您使用简单的代码集成和自动化这些实例,有助于全面统一您的基础架构。更好的是,其中许多解决方案的开源、与供应商无关的状态意味着您不受所使用工具的限制。API 挂钩让您可以轻松地与第三方应用程序集成,并从同一个地方控制您的每一寸数字基础设施。
归根结底,每个云解决方案都在裸机资源之上运行。差异归结为访问问题。
除了这些相似之处,真正的裸机解决方案的独特之处在于您还可以选择完全放弃虚拟化,直接在服务器的操作系统上运行应用程序。对于资源密集型流程,尤其是那些使用 AI 的流程,消除管理程序可以显着提高输出速度和更高的可靠性。最重要的是,您仍然可以使用即时部署的云产品,物理服务器根据需要扩展和缩减您的基础架构。这种按需增长的能力甚至可以自动化,让您的集群资源以最高效率运行。
事实是,就其便利性和知名度而言,云并不完美。数据传输成本高昂,复杂工作负载的压力会迅速使系统陷入停顿。随着许多早期云采用者使用这些服务达到十年大关,市场趋势显示出越来越多地转向更传统的托管解决方案。这些公司意识到,将其当前云解决方案的元素与真正的裸机服务器的底层资源相结合,可以为他们提供两全其美的混合解决方案。通过这样做,他们证明了您不必完全消除对云的依赖即可重新控制不断上升的成本。通过战略性地实施正确的混合解决方案,您每月可以节省多达几百元,或者,根据您的使用情况,可能更多。适合您组织的正确解决方案已经存在——它可能不是公共云提供商推出的万能包。
裸机可以做云可以做的所有事情——通常只是价格的一小部分。
相反,通过融合托管、裸机服务器和公共云集成,您的数字基础架构可以在未来几年保持领先,所有这些都不会超出您的预算。
2 年多来的多次黑客攻击揭示了有关武器和通信平台的敏感信息。
联邦政府周三表示,由俄罗斯政府支持的黑客在一场持续的活动中侵入了多家美国国防承包商的网络,该活动泄露了有关美国武器开发通信基础设施的敏感信息。
根据FBI、国家安全局和网络安全和基础设施安全局的联合咨询,该活动不迟于 2020 年 1 月开始,并一直持续到本月。黑客一直瞄准并成功入侵经过批准的国防承包商或 CDC,这些承包商支持美国国防部和情报界的合同。
官员们在公告中写道:“在这两年期间,这些行为者一直保持对多个 CDC 网络的持续访问,在某些情况下至少持续了六个月。” “在攻击者成功获得访问权限的情况下,FBI、NSA 和 CISA 已经注意到电子邮件和数据的定期和反复泄露。例如,在 2021 年的一次妥协中,威胁者泄露了数百份与公司产品、与其他国家的关系以及内部人员和法律事务相关的文件。”
泄露的文件包括未分类的 CDC 专有和出口控制信息。这些信息让俄罗斯政府对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方正在使用的特定技术有了“重要的了解”。这些文件还包括员工及其政府客户之间讨论有关技术和科学研究的专有细节的非机密电子邮件。
该咨询说:
这些持续的入侵使行为者能够获得敏感的、非机密的信息,以及 CDC 专有和出口控制的技术。获得的信息提供了对美国武器平台开发和部署时间表、车辆规格以及通信基础设施和信息技术计划的重要见解。通过获取专有的内部文件和电子邮件通信,对手可能能够调整自己的军事计划和优先事项,加快技术开发努力,告知外交政策制定者美国的意图,并瞄准潜在的招募来源。鉴于在非机密 CDC 网络上广泛提供的信息的敏感性,FBI、NSA 和 CISA 预计俄罗斯国家支持的网络攻击者将继续针对美国的 CDC 在不久的将来提供国防信息。这些机构鼓励所有 CDC 应用本公告中建议的缓解措施,无论是否存在妥协的证据。
鱼叉式网络钓鱼、被黑客入侵的路由器等
黑客使用了多种方法来破坏他们的目标。这些方法包括通过鱼叉式网络钓鱼、数据泄露、破解技术和利用未修补的软件漏洞来获取网络密码。在目标网络中站稳脚跟后,威胁参与者通过映射 Active Directory 并连接到域控制器来提升他们的系统权限。从那里,他们能够窃取所有其他帐户的凭据并创建新帐户。
延伸阅读
感染 500,000 台设备的 VPNFilter 恶意软件比我们想象的还要糟糕该公告补充说,黑客利用虚拟专用服务器来加密他们的通信并隐藏他们的身份。他们还使用“小型办公室和家庭办公室 (SOHO) 设备作为逃避检测的操作节点”。2018 年,俄罗斯被发现感染了超过 500,000 台消费者路由器,因此这些设备可用于感染它们所连接的网络、泄露密码并操纵通过受感染设备的流量。
这些技术和其他技术似乎已经成功。
“在多种情况下,威胁行为者至少保持了六个月的持续访问权限,”联合公告称。“尽管攻击者使用了各种恶意软件来维持持久性,但 FBI、NSA 和 CISA 也观察到了不依赖于恶意软件或其他持久性机制的入侵。在这些情况下,威胁行为者很可能依靠拥有合法凭证来保持持久性,使他们能够根据需要转向其他帐户,以保持对受感染环境的访问。”
该公告包含一个技术指标列表,管理员可以使用这些指标来确定他们的网络是否在活动中受到损害。它继续敦促所有 CDC 调查其企业和云环境中的可疑活动。
在 FBI 警告称一个名为 BlackByte 的勒索软件组织破坏了美国的关键基础设施几天后,该组织入侵了旧金山 49 人队的服务器,并持有该队的一些数据以勒索赎金。
NFL 特许经营权的媒体代表在 BlackByte 的黑暗网站上发布帖子后的电子邮件声明中证实了安全漏洞,黑客组织在该帖子上试图羞辱和恐吓受害者支付巨额费用,以换取不泄露数据的承诺,并提供允许数据恢复的解密密钥。最近的帖子可供下载一个名为“2020 Invoices”的 379MB 文件,该文件似乎显示了 49 人队向合作伙伴发送的数百份账单,包括 AT&T、百事可乐和 49 人队主场比赛的圣克拉拉市。
特许经营代表在一封电子邮件声明中表示,调查人员仍在评估违规行为。
声明说:“虽然调查仍在进行中,但我们认为事件仅限于我们的企业 IT 网络。” “迄今为止,我们没有迹象表明此事件涉及我们公司网络之外的系统,例如与李维斯体育场运营或持票人相关的系统。”
该团队表示已通知执法部门,并正在与第三方网络安全公司合作进行调查。声明说:“[W]e 正在努力尽快和尽可能安全地恢复相关系统。”
UpdraftPlus 漏洞允许不受信任的访问者下载完整的数据库备份
数以百万计的 WordPress 网站在过去一天收到了强制更新,以修复名为 UpdraftPlus 的插件中的一个严重漏洞。
强制性补丁是应 UpdraftPlus 开发人员的要求发布的,因为该漏洞的严重性允许不受信任的订阅者、客户和其他人只要在易受攻击的站点上拥有帐户,就可以下载该站点的私有数据库。数据库经常包含有关客户或站点安全设置的敏感信息,使数百万个站点容易遭受严重的数据泄露,导致密码、用户名、IP 地址等泄露
UpdraftPlus 简化了备份和恢复网站数据库的过程,是 Internet 上使用最广泛的 WordPress 内容管理系统计划备份插件。它简化了到 Dropbox、Google Drive、Amazon S3 和其他云服务的数据备份。它的开发人员表示,它还允许用户安排定期备份,并且比竞争的 WordPress 插件更快并且使用更少的服务器资源。
“这个漏洞很容易被利用,如果被利用会产生非常糟糕的后果,”发现漏洞并私下向插件开发人员报告的安全研究员 Marc Montpas 说。“它使低权限用户可以下载站点的备份,其中包括原始数据库备份。低权限帐户可能意味着很多事情。定期订阅者、客户(例如在电子商务网站上)等。”
网站安全公司Jetpack的研究员 Montpas表示,他在对插件进行安全审计时发现了该漏洞,并于周二向 UpdraftPlus 开发人员提供了详细信息。一天后,开发人员发布了一个修复程序,并同意在安装了插件的 WordPress 网站上强制安装它。
WordPress.org 提供的统计数据 显示,周四有 170 万个网站收到了更新,截至发稿时还有超过 287,000 个网站安装了它。WordPress 表示该插件有 3+ 百万用户。
在周四披露该漏洞时,UpdraftPlus 写道:
此缺陷允许任何在 UpdraftPlus 处于活动状态的 WordPress 安装上登录的用户行使下载现有备份的权限,该权限本应仅限于管理用户。这是可能的,因为与检查当前备份状态相关的代码缺少权限检查。这允许获得一个内部标识符,该标识符在其他情况下是未知的,然后可用于在允许下载时通过检查。
这意味着,如果您的 WordPress 站点允许不受信任的用户使用 WordPress 登录,并且如果您有任何现有备份,那么您可能容易受到技术熟练的用户的攻击,该用户正在研究如何下载现有备份。如果您的网站包含任何非公开内容,则受影响的网站可能会因攻击者访问您网站的备份副本而导致数据丢失/数据被盗。我说“技术熟练”是因为那时还没有公开证明如何利用这个漏洞。目前,它依靠黑客对最新 UpdraftPlus 版本中的更改进行逆向工程来解决问题。但是,您当然不应该依赖这需要很长时间,而应该立即更新。如果您是 WordPress 网站上的唯一用户,或者如果您的所有用户都是可信的,那么您就不会受到攻击,
黑客听心跳
在他自己的披露中,蒙帕斯说这个漏洞源于几个缺陷。第一个是WordPress心跳功能的UpdraftPlus 实现。UpdraftPlus 没有正确验证发送请求的用户是否具有管理权限。这代表了一个严重的问题,因为该函数会获取所有活动备份作业的列表以及站点最新备份的日期。该数据中包含插件用于保护备份的自定义随机数。
“因此,攻击者可以针对这个心跳回调制定恶意请求,以获取有关该站点迄今为止最新备份的信息,其中将包含备份的随机数,”Montpas 写道。
下一个薄弱环节是
maybe_download_backup_from_email函数。用于在允许用户下载备份之前验证用户是管理员的函数的变量容易受到黑客攻击,从而允许不受信任的人对其进行修改。在另一项分析中,网络安全公司 Wordfence 的研究员 Ram Gall 写道:
问题是
UpdraftPlus_Options::admin_page() === $pagenow支票。这要求将 WordPress$pagenow全局变量设置为options-general.php. 通常不允许订阅者访问此页面。但是,可以在某些服务器配置上欺骗此变量,主要是 Apache/modPHP。与该研究人员也发现的 WordPress < 5.5.1 中的先前漏洞类似,可以向例如wp-admin/admin-post.php/ /wp-admin/options-general.php?page=updraftplus.虽然订阅者不能访问
options-general.php,但他们可以访问admin-post.php。通过将请求发送到此端点,他们可以欺骗$pagenow检查,认为该请求是针对 的options-general.php,而 WordPress 仍然认为该请求是针对admin-post.php.一旦通过此检查,攻击者将需要提供备份随机数和
type参数。最后,由于所有备份都按时间戳索引,因此攻击者需要添加一个时间戳,该时间戳要么是暴力破解的,要么是从之前获得的备份日志中获得的。如果您在 WordPress CMS 上运行一个站点并且它安装了 UpdraftPlus,那么它很可能已经更新。可以肯定的是,请检查插件版本号是否为免费版本的 1.22.4 或更高版本,或高级版本的 2.22.4 或更高版本
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
