Cybernews 研究团队发现,美国国家安全委员会 (NSC) 网站上存在的一个漏洞,暴露了大约 2000 家公司和政府机构员工的凭证。
NSC 是美国的一个非营利组织,提供工作和驾驶安全方面的培训。在其数字平台上,NSC 为不同企业、机构近 5.5 万名会员提供在线资源,这些企业、机构可能在该平台上持有帐户,以获取培训材料或参加国家安全委员会组织的活动。
这一长串暴露的凭证涉及多家知名企业或机构,包括:
- 化石燃料巨头:壳牌、BP、埃克森、雪佛龙
- 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD
- 航空航天公司:波音公司、联邦航空管理局 (FAA)
- 制药公司:辉瑞、礼来
- 汽车制造商:福特、丰田、大众、通用汽车、劳斯莱斯、特斯拉
- 政府实体:司法部 (DoJ)、美国海军、FBI、五角大楼、NASA、职业安全与健康管理局 (OSHA)
- 互联网服务提供商:Verizon、Cingular、沃达丰、ATT、Sprint、康卡斯特
- 其他:亚马逊、家得宝、霍尼韦尔、可口可乐、UPS
该漏洞不仅对 NSC 系统造成风险,也对使用 NSC 服务的公司造成风险。暴露的凭据可能被用于撞库攻击,这种攻击试图登录公司的VPN 门户、人力资源管理平台或公司电子邮件。
此外,这些凭证还可以用于获得对公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文档,或者访问用户数据。
暴露的文件夹列表
暴露目录文件
Cybernews 研究团队于2023年3月4日首次发现该漏洞。他们发现了 NSC 网站的一个子域,该子域可能用于开发目的,并将 Web 目录列表进行了公开,使攻击者能够访问对 Web 服务器操作至关重要的大部分文件。
在可访问的文件中,研究人员还发现了存储用户电子邮件和散列密码的数据库备份。该数据公开访问时间为 5 个月,总共存储了大约 9500 个帐户及其凭证,以及属于各行业近2000 家公司的电子邮件地址。物联网搜索引擎于 2023 年 1 月 31 日首次将泄漏数据编入索引。
包含用户凭证的暴露表
出现可供公众访问的开发环境表明了糟糕的开发实践,此类环境应与生产环境的域分开托管,并且必须避免托管实际的用户数据。由于大量电子邮件被暴露,平台用户可能会面临垃圾邮件和网络钓鱼电子邮件的激增。建议用户从外部验证电子邮件中包含的信息,并在单击链接或打开附件时小心谨慎。
可破解的密码
暴露的密码使用 SHA-512 算法散列,该算法被认为是安全的密码散列算法。此外,还使用了额外的安全级别--盐。不过,盐值与密码哈希值存储在一起,而且只使用 base64 编码。这使得潜在攻击者很容易检索到盐的明文版本,从而简化了密码破解过程。
破解数据库中的一个密码可能需要长达 6 小时的时间,这取决于密码强度以及攻击者使用的先前泄露的密码或单词组合列表。
这并不意味着找到的数据库中的每个密码都能被破解,但能够破解的可能涉及大多数。研究表明,成功破解此类数据转储中约 80% 的哈希值是比较常见的。
Cybernews 建议在 NSC 上拥有账户的用户更改他们在其网站上的密码,并更改可能使用同一套密码的其他账户密码。
