反序列化网络安全综述——Fortinet、Citrix漏洞；另一个优步违规行为；在黑帽大会上破解NFT等。

我们的网络安全综述以Fortinet和Citrix产品中的一系列网络安全漏洞分别受到积极攻击的消息开始。这些攻击分别由FortiOS SSL-VPN中的内存损坏漏洞以及Citrix ADC和Citrix Gateway中的关键任意代码执行风险(CVE-2022-27518)引发。目前尚不清楚这些攻击是否相互关联，但它们的发生仍然可以说强调了修补SSL VPN设备的重要性，这些设备以前曾是将勒索软件推向企业网络以及其他攻击的载体。由于第三方供应商的网络安全事件，优步本周遭遇数据泄露，导致员工个人信息暴露。该事件只是影响这家叫车应用公司的最新安全漏洞，该公司此前因延迟披露2016年泄露客户和司机账户记录的漏洞而受到指责。最近，早在9月份，Uber的内部IT系统就遭到社会工程攻击的破坏。在欧洲黑帽大会上，安全研究员Nitesh Dhanjani讨论了不可替代代币(NFT)集合底价的影响，以及针对业务动态的攻击如何有可能对市场造成严重破坏。Dhanjani还谈到了链下和链上同步算法，以及如何滥用两个区块链相关环境之间的差异。

最近安全研究员Daniel Cuthbert的主题演讲，他说业界对零日漏洞的固定只是使互联网从根本上安全的部分解决方案。我们还介绍了此次活动中的一些顶级黑客工具。

最近几天其他报道包括通过Spring Boot绕过Akamai WAF、通过WAF走SQL注入有效负载，以及加密货币维护者拒绝在ChatGPT的帮助下提交的虚假加密货币“漏洞” 。

以下是过去两周引起我们注意的其他一些网络安全故事和其他网络安全新闻：

• 1.解析XOP的href属性时的Apache CXF/严重/SSRF（服务器端请求伪造）漏洞/随补丁一起披露，12月13日。

• 2.Grails Spring Security Core插件/CVE-2022-41923/严重/“漏洞允许攻击者使用不同端点的授权要求访问一个端点（即目标端点）”/随补丁一起披露，11月22日。

• 3.Microsoft .NET/CVE-2022-41089/严重/“恶意行为者可能导致用户在解析恶意制作的xps文件后运行任意代码”/随补丁一起披露，12月13日。

• 4.Ping/CVE-2022-23093/涉及FreeBSD网络协议实现的内存处理漏洞促使其开发人员测试他们自己的软件，结果发现OpenBSD的Ping实现中存在缺陷，该缺陷可追溯到24年前引入的软件更改。

• 5.Planet eStream/严重/面向在线学习的视频平台中的漏洞使攻击者能够接管具有管理权限的用户帐户并执行任意JavaScript代码，以及其他攻击/供应商已发布软件更新。

一位研究人员记录了如何利用跨源资源共享(CORS)中的错误配置——一种控制从外部域访问受限网站资源的机制——来运行各种攻击。CORS配置错误问题在历史上一直被淡化，但似乎可以被利用来绕过CSRF保护或运行跨站点跟踪(XST)攻击。

Lightspin发现了AWS托管服务中的一个严重缺陷，该服务允许软件开发人员查找和共享公共容器映像。攻击者可能会删除AWS Elastic Container Registry(ECR)公共库中的所有图像或更新图像内容以注入恶意代码，促使AWS在其披露后的一天内解决问题。

Synopsys网络安全研究中心(CyRC)曝光了三个允许将Android设备用作远程键盘和鼠标的流行应用程序中的一系列缺陷，身份验证、授权和不安全的通信缺陷可能会引发包括击键嗅探在内的攻击。

据推测，无法直接访问互联网的“气隙”网络通常需要DNS服务来解析公司的内部DNS记录——正如Pentera的博客文章所解释的那样，潜在的黑客可能会利用这一弱点。

SALT实验室使用LEGO运行站点作为测试平台来说明API安全问题带来的一般风险。研究人员在LEGO的Brick Lane中发现了各种与API相关的安全问题，包括内部生产数据和系统的潜在载体或操纵用户交出对其帐户的控制权。

ackerOne透露，基于云的漏洞在漏洞赏金猎人报告的漏洞中所占比例越来越大，目前在2022年总计65000个，同比增长 21%。

一位安全研究人员发现了一种方法来实现对存储在LinkedIn上的简历进行未经授权的访问，可能对他因发现而获得的5000美元赏金感到不知所措，因为该问题对微软拥有的以业务为中心的社交网络用户的潜在影响。2022年10月无意中引入的不安全直接对象引用(IDOR)安全漏洞可能允许招聘人员和可能更令人讨厌的各方未经许可下载简历。

瑞典视频监控巨头Axis Communications与Bugcrowd一起推出了一项私人漏洞赏金计划等。

Node Security Shield – 一种防御工具，采用允许列表方法来保护NodeJS应用程序的零日保护。该工具的灵感来自臭名昭著的Log4Shell漏洞，这是流行的Java日志记录框架Log4j中的一个零日漏洞。

Invoke-DNSSteal – 允许渗透测试人员使用DNS协议作为隐蔽的通信通道来执行文件传输。

Kubeshark – Kubernetes的API流量查看器，提供“对进出Kubernetes集群内容器和pod的所有API流量和有效负载的深度可见性和监控”

谷歌宣布了一款免费扫描器，允许开源开发人员检查他们的软件项目是否存在易受攻击的依赖项。这个名为OSV-Scanner的工具建立在谷歌开发开源漏洞数据库的基础上。

OWASP以其“十大Web应用程序安全风险”框架而闻名，它正在支持创建类似的方案来索引AppSec和DevSecOps领域的安全风险类别。十大CI/CD安全风险分类法旨在对CI/CD管道中的风险进行分类。“流量控制机制不足”位居新名单之首。

美国国家标准与技术研究院(NIST)宣布，自1995年开始使用的SHA-1密码算法已达到使用寿命，联邦政府应在2030年之前逐步停止使用该算法。

Endor Labs的研究发现，绝大多数(95%)的漏洞都“存在于传递依赖项中——开发人员未选择但间接拉入项目的开源代码包”。

ChatGPT——来自OpenAI的人工智能聊天工具——是目前以信息安全为中心的社交媒体圈中最热门的东西。我们没有提出代码中可能存在的漏洞，而是想知道当被要求以已故David Bowie的风格为一首关于SQL注入的歌曲写歌词时，ChatGPT 会让人联想到什么。

在计算机领域，数据像流一样流动
有些人试图利用并让我们所有人尖叫
他们是黑客，密码破解者，恶意者
他们最喜欢的技巧之一是 SQL 注入艺术

合唱：

SQL injection, SQL injection
一个危险的游戏，数字感染
SQL injection, SQL injection
提防黑客和他们狡猾的发明

用伟人自己的话说，我仍然不知道我在等什么……但绝对不是这个。

原文始发于微信公众号（郑州网络安全）：反序列化网络安全综述——Fortinet、Citrix漏洞；另一个优步违规行为；在黑帽大会上破解NFT等。