据外媒 11 月 6 日报道,安全公司 Skyhigh 将管理员对亚马逊 AWS S3 存储器配置错误的情况命名为“ GhostWriter 漏洞 ”,其首席科学家兼总工程师 Sekhar Sarukkai 周五在博文中发布警告称 “ GhostWriter 漏洞或将允许黑客针对托管公司的客户/内部员工进行中间人(MitM)攻击后窃取用户敏感信息”。
研究人员表示,攻击者只需要通过互联网识别具有写入权限的公开 S3 存储器后就可访问目标服务器并覆盖所有数据与文件,或上传恶意软件至存储器。此外,存储 JavaScript 或其他代码的存储器管理人员更应该关注这个问题,以确保黑客不会为了分发恶意软件、挖掘比特币等操作默默覆盖原始内容。
一旦攻击者发现一台具有写入权限的公开 S3 存储器时,他就可以通过替换任一广告程序代码后将其重定向至恶意页面,从而进行中间人攻击或拦截流量的操作。此外,由于该攻击手段极其隐蔽且多数组织均依赖于亚马逊云服务商的信任,因此该类攻击活动并不容易被用户察觉。
目前,尚不清楚该漏洞是否已被利用,但它显然存在。好在研究人员在发现漏洞后立即通知了亚马逊并与其合作,以便迅速解决问题。另外,研究人员还提醒各企业管理员将公司托管的存储器设置为不可公开写入,并确保员工只能从安全的 S3 存储器中下载文件以避免来自外部的黑客攻击。
原作者:Kevin Townsend,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...
Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬...
Hackernews 编译,转载请注明出处: 一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击...
Hackernews 编译,转载请注明出处: 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能,以抗议乌克兰的战争,大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScrip...
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-202...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...