编译:代码卫士
影响多家敏感行业企业的数千个凭据、认证密钥和配置数据,位于可公开访问的、被提交到在线工具 JSONFormatter 和 CodeBeautify (负责格式化和结构化代码)中的 JSON 代码片段中。
研究人员通过这两款任何人可访问的服务提供的特性“最近的链接”,发现了总计5GB大小的超过8万份用户粘贴记录。其中敏感数据遭泄露的一些企业和组织机构位于高风险行业如政府、关键基础设施、银行、保险、航空、医疗、教育、网络安全和电信行业。
在线保存机密信息
外部攻击面管理公司 WatchTowr 的研究人员审计了在线平台 JSONFormatter 和 CodeBeautify 后发现,它们的“最近链接”特性提供了对JSON代码片段的访问权限,而这些代码片段正是用户为了分享目的而保存在服务器上的。
当点击“保存”按钮时,平台会生成一个指向该页面的唯一URL并将其添加到用户的“最近链接”页面,但无任何保护层,因此导致任何人均可访问其中的内容。由于“最近链接”遵循结构化、可预测的URL格式,因此可轻松通过一个简单的爬虫检索到该URL。
暴露程度
研究人员通过抓取这些公开的“最近链接”页面,并利用平台的getDataFromID API接口提取原始数据,收集了超过80000条用户粘贴记录,涵盖JSONFormatter平台五年及CodeBeautify平台一年的敏感信息。
被暴露的敏感数据类型包括:
活动目录凭据
数据库与云服务凭据
私有密钥
代码仓库令牌
CI/CD 流水线密钥
支付网关密钥
API 令牌
SSH 会话记录
大量包含 KYC 资料的个人身份信息
某国际证券交易所 Splunk SOAR 系统使用的 AWS 凭据集
通过 MSSP 入职邮件暴露的银行凭据
研究人员在某网络安全公司的案例中发现了可轻松识别的"重大敏感信息”,包括"高度敏感配置文件的加密凭据"、SSL 证书私钥密码、内外网域名与 IP 地址,以及密钥/证书/配置文件的存储路径。
某政府机构的粘贴数据包含1000行 PowerShell 代码,内容涉及通过获取安装程序配置新主机:"配置注册表键、强化安全配置,最终部署网络应用程序"。研究人员指出,即使脚本未包含敏感数据,其中关于内部终端节点、IIS 配置参数、强化配置及对应注册表键等情报仍具有攻击价值。
某提供数据湖即服务的技术公司暴露出云基础设施配置文件,内含域名、邮箱地址、主机名及 Docker Hub、Grafana、JFrog 和 RDS 数据库的访问凭据。
研究人员还从一家“大型金融交易所”找到了与 Splunk SOAR 自动化系统关联的有效生产环境 AWS 凭据。某托管安全服务提供商泄露其活动目录凭据,同时暴露其"规模最大、宣传力度最高的"美国银行客户的邮箱与身份凭据。
仍可公开访问,多数未修复
为验证攻击者是否持续扫描公开 JSON 数据,研究人员通过 Canarytokens 服务生成伪造但逼真的 AWS 访问密钥,将其植入 24 小时有效期的 JSON 链接中。实验结果显示:在链接失效 24 小时后(即上传 48 小时后),蜜罐系统仍记录到针对这些失效密钥的访问尝试。
截至目前,两家代码格式化平台的"最近链接"功能仍可公开访问,持续为威胁行为者提供数据搜集渠道。虽然 watchTowr 已向多家受影响组织发送预警邮件,但仅部分组织机构完成修复,多数机构尚未作出回应。
原文链接
https://www.bleepingcomputer.com/news/security/code-beautifiers-expose-credentials-from-banks-govt-tech-orgs/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
