Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn)，美國(guó)國(guó)家安全委員會(huì) (NSC) 網(wǎng)站上存在的一個(gè)漏洞，暴露了大約 2000 家公司和政府機(jī)構(gòu)員工的憑證。

NSC 是美國(guó)的一個(gè)非營(yíng)利組織，提供工作和駕駛安全方面的培訓(xùn)。在其數(shù)字平臺(tái)上，NSC 為不同企業(yè)、機(jī)構(gòu)近 5.5 萬(wàn)名會(huì)員提供在線資源，這些企業(yè)、機(jī)構(gòu)可能在該平臺(tái)上持有帳戶，以獲取培訓(xùn)材料或參加國(guó)家安全委員會(huì)組織的活動(dòng)。

這一長(zhǎng)串暴露的憑證涉及多家知名企業(yè)或機(jī)構(gòu)，包括：

• 化石燃料巨頭：殼牌、BP、?？松?、雪佛龍
• 電子制造商：西門(mén)子、英特爾、惠普、戴爾、英特爾、IBM、AMD
• 航空航天公司：波音公司、聯(lián)邦航空管理局 (FAA)
• 制藥公司：輝瑞、禮來(lái)
• 汽車制造商：福特、豐田、大眾、通用汽車、勞斯萊斯、特斯拉
• 政府實(shí)體：司法部 (DoJ)、美國(guó)海軍、FBI、五角大樓、NASA、職業(yè)安全與健康管理局 (OSHA)
• 互聯(lián)網(wǎng)服務(wù)提供商：Verizon、Cingular、沃達(dá)豐、ATT、Sprint、康卡斯特
• 其他：亞馬遜、家得寶、霍尼韋爾、可口可樂(lè)、UPS

該漏洞不僅對(duì) NSC 系統(tǒng)造成風(fēng)險(xiǎn)，也對(duì)使用 NSC 服務(wù)的公司造成風(fēng)險(xiǎn)。暴露的憑據(jù)可能被用于撞庫(kù)攻擊，這種攻擊試圖登錄公司的VPN 門(mén)戶、人力資源管理平臺(tái)或公司電子郵件。

此外，這些憑證還可以用于獲得對(duì)公司網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，以部署勒索軟件、竊取或破壞內(nèi)部文檔，或者訪問(wèn)用戶數(shù)據(jù)。

暴露的文件夾列表

暴露目錄文件

Cybernews 研究團(tuán)隊(duì)于2023年3月4日首次發(fā)現(xiàn)該漏洞。他們發(fā)現(xiàn)了 NSC 網(wǎng)站的一個(gè)子域，該子域可能用于開(kāi)發(fā)目的，并將 Web 目錄列表進(jìn)行了公開(kāi)，使攻擊者能夠訪問(wèn)對(duì) Web 服務(wù)器操作至關(guān)重要的大部分文件。

在可訪問(wèn)的文件中，研究人員還發(fā)現(xiàn)了存儲(chǔ)用戶電子郵件和散列密碼的數(shù)據(jù)庫(kù)備份。該數(shù)據(jù)公開(kāi)訪問(wèn)時(shí)間為 5 個(gè)月，總共存儲(chǔ)了大約 9500 個(gè)帳戶及其憑證，以及屬于各行業(yè)近2000 家公司的電子郵件地址。物聯(lián)網(wǎng)搜索引擎于 2023 年 1 月 31 日首次將泄漏數(shù)據(jù)編入索引。

包含用戶憑證的暴露表

出現(xiàn)可供公眾訪問(wèn)的開(kāi)發(fā)環(huán)境表明了糟糕的開(kāi)發(fā)實(shí)踐，此類環(huán)境應(yīng)與生產(chǎn)環(huán)境的域分開(kāi)托管，并且必須避免托管實(shí)際的用戶數(shù)據(jù)。由于大量電子郵件被暴露，平臺(tái)用戶可能會(huì)面臨垃圾郵件和網(wǎng)絡(luò)釣魚(yú)電子郵件的激增。建議用戶從外部驗(yàn)證電子郵件中包含的信息，并在單擊鏈接或打開(kāi)附件時(shí)小心謹(jǐn)慎。

可破解的密碼

暴露的密碼使用 SHA-512 算法散列，該算法被認(rèn)為是安全的密碼散列算法。此外，還使用了額外的安全級(jí)別--鹽。不過(guò)，鹽值與密碼哈希值存儲(chǔ)在一起，而且只使用 base64 編碼。這使得潛在攻擊者很容易檢索到鹽的明文版本，從而簡(jiǎn)化了密碼破解過(guò)程。

破解數(shù)據(jù)庫(kù)中的一個(gè)密碼可能需要長(zhǎng)達(dá) 6 小時(shí)的時(shí)間，這取決于密碼強(qiáng)度以及攻擊者使用的先前泄露的密碼或單詞組合列表。

這并不意味著找到的數(shù)據(jù)庫(kù)中的每個(gè)密碼都能被破解，但能夠破解的可能涉及大多數(shù)。研究表明，成功破解此類數(shù)據(jù)轉(zhuǎn)儲(chǔ)中約 80% 的哈希值是比較常見(jiàn)的。

Cybernews 建議在 NSC 上擁有賬戶的用戶更改他們?cè)谄渚W(wǎng)站上的密碼，并更改可能使用同一套密碼的其他賬戶密碼。