微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击

admin 2025年6月7日09:25:33评论0 views字数 2287阅读7分37秒阅读模式

微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击

网络安全预警通报

安全新闻    2025年3月7日

01
微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击
微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击

近日,软件开发者从公开资源中使用已泄露的 ASP.NET 机器密钥,可能会使应用程序面临攻击风险。该公司威胁情报团队发现,2024 年 12 月曾有未知攻击者利用公开的静态 ASP.NET 机器密钥注入恶意代码,并投递名为 Godzilla 的后利用框架。

微软指出,此类密钥可能被用于 ViewState 代码注入攻击,目前已发现超过 3000 个公开披露的密钥存在被利用的风险。与以往常见的 ViewState 代码注入攻击使用被盗或被泄露的密钥不同,这些公开披露的密钥风险更高,因为它们广泛存在于多个代码仓库中,且可能未经修改就被直接用于开发代码。

ViewState 是 ASP.NET 框架中用于在页面回发之间保存页面和控件值的方法,通常以隐藏字段形式存储在页面中,并使用 Base64 编码,同时通过机器身份验证码(MAC)密钥生成的哈希值来确保数据未被篡改。然而,如果这些密钥被盗或被未经授权的第三方获取,攻击者可以利用这些密钥发送恶意 ViewState 请求并执行任意代码。

微软已提供公开披露机器密钥的哈希值列表,建议用户检查其环境中使用的密钥是否匹配,并警告称,如果公开披露的密钥被成功利用,仅旋转密钥可能不足以解决问题,因为攻击者可能已在主机上建立了持久性。为降低此类攻击风险,建议不要从公开来源复制密钥,并定期更换密钥。此外,微软还从其文档中删除了一些包含密钥的“有限实例”,以进一步阻止攻击者。

02
大规模暴力破解攻击利用 280 万 IP 地址瞄准 VPN 设备器
微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击

一场利用近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行,试图猜测多种网络设备的登录凭证,包括Palo Alto Networks公司、Ivanti 公司以及 SonicWall 公司的设备。

暴力破解攻击是指威胁分子尝试用大量用户名和密码反复登录账户或设备,直到找到正确的组合。一旦他们获得了正确的登录凭证,这些威胁分子就可以利用这些凭证来劫持设备或获取网络访问权限。

据威胁监测平台 “影子服务器基金会”(The Shadowserver Foundation)称,自上个月起,这种暴力破解攻击一直在持续,每天动用近 280 万个源 IP 地址来实施攻击。

其中大多数(110 万个)来自巴西,其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥,但总体上参与这一活动的来源国家数量非常多。

这些是诸如防火墙、VPN、网关以及其他安全设备之类的边缘安全设备,通常暴露在互联网上以方便远程访问。

发起这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴的路由器以及物联网设备,这些设备通常被大型恶意软件僵尸网络攻陷。

“影子服务器基金会” 在给 BleepingComputer 的一份声明中证实,这一活动已经持续了一段时间,但最近规模大幅扩大。

“影子服务器” 还表示,攻击 IP 地址分布在许多网络和自治系统中,很可能是僵尸网络或与住宅代理网络相关的某种操作。

住宅代理是互联网服务提供商(ISP)分配给消费者客户的 IP 地址,因其在以下方面用途广泛而备受青睐:网络犯罪、网页抓取、地理限制绕过、广告验证、球鞋 / 票务倒卖等。

这些代理通过住宅网络路由互联网流量,使用户看起来像是普通家庭用户,而非机器人、数据抓取者或黑客。

此次攻击所针对的网关设备,如防火墙等,可能会被用作住宅代理操作的代理出口节点,通过组织的企业网络路由恶意流量。

这些节点被认为是 “高质量” 的,因为组织通常声誉良好,攻击更难被发现和阻止。

保护边缘设备免受暴力破解攻击的措施包括:将默认管理员密码更改为强密码且独一无二的密码、强制执行多因素身份验证(MFA)、使用可信 IP 的允许列表,以及如果不需要则禁用网络管理界面。

最后,对这些设备应用最新的固件和安全更新至关重要,因为这可以消除威胁分子可利用来获得初始访问权限的漏洞。

去年 4 月,思科曾警告称,针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动在全球范围内展开。

去年 12 月,Citrix 也曾警告称,针对 Citrix Netscaler 设备的密码喷射攻击在全球范围内发生。

能信安——新一代网络安全领先企业!

微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击
公司简介

深圳市能信安科技股份有限公司,是以安全、移动、泛在和大数据为主要方向的专业技术公司,致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。

公司是公安部、工信部网络安全技术支撑单位,国家网络安全威胁和漏洞信息共享平台技术支撑单位,是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业,中国移动安全十强企业,全国网络安全百强企业,具有良好的品牌影响力。

公司为中国新一代网络安全领先企业。在移动安全领域,公司可提供业界最先进、完整的技术、产品与解决方案,引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域,提供业界领先的数据安全治理、数据安全合格产品与服务。

公司依托于多年网络安全领域的技术经验及专业资质,向各类政府机关及企事业单位提供等级(分级)保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。

原文始发于微信公众号(能信安资讯):微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日09:25:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软发现3000个泄露的ASP.NET密钥可被用于代码注入攻击https://cn-sec.com/archives/3810941.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息