Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn)，美國國家安全委員會 (NSC) 網(wǎng)站上存在的一個漏洞，暴露了大約 2000 家公司和政府機(jī)構(gòu)員工的憑證。

NSC 是美國的一個非營利組織，提供工作和駕駛安全方面的培訓(xùn)。在其數(shù)字平臺上，NSC 為不同企業(yè)、機(jī)構(gòu)近 5.5 萬名會員提供在線資源，這些企業(yè)、機(jī)構(gòu)可能在該平臺上持有帳戶，以獲取培訓(xùn)材料或參加國家安全委員會組織的活動。

這一長串暴露的憑證涉及多家知名企業(yè)或機(jī)構(gòu)，包括：

• 化石燃料巨頭：殼牌、BP、?？松?、雪佛龍
• 電子制造商：西門子、英特爾、惠普、戴爾、英特爾、IBM、AMD
• 航空航天公司：波音公司、聯(lián)邦航空管理局 (FAA)
• 制藥公司：輝瑞、禮來
• 汽車制造商：福特、豐田、大眾、通用汽車、勞斯萊斯、特斯拉
• 政府實(shí)體：司法部 (DoJ)、美國海軍、FBI、五角大樓、NASA、職業(yè)安全與健康管理局 (OSHA)
• 互聯(lián)網(wǎng)服務(wù)提供商：Verizon、Cingular、沃達(dá)豐、ATT、Sprint、康卡斯特
• 其他：亞馬遜、家得寶、霍尼韋爾、可口可樂、UPS

該漏洞不僅對 NSC 系統(tǒng)造成風(fēng)險(xiǎn)，也對使用 NSC 服務(wù)的公司造成風(fēng)險(xiǎn)。暴露的憑據(jù)可能被用于撞庫攻擊，這種攻擊試圖登錄公司的VPN 門戶、人力資源管理平臺或公司電子郵件。

此外，這些憑證還可以用于獲得對公司網(wǎng)絡(luò)的初始訪問權(quán)限，以部署勒索軟件、竊取或破壞內(nèi)部文檔，或者訪問用戶數(shù)據(jù)。

暴露的文件夾列表

暴露目錄文件

Cybernews 研究團(tuán)隊(duì)于2023年3月4日首次發(fā)現(xiàn)該漏洞。他們發(fā)現(xiàn)了 NSC 網(wǎng)站的一個子域，該子域可能用于開發(fā)目的，并將 Web 目錄列表進(jìn)行了公開，使攻擊者能夠訪問對 Web 服務(wù)器操作至關(guān)重要的大部分文件。

在可訪問的文件中，研究人員還發(fā)現(xiàn)了存儲用戶電子郵件和散列密碼的數(shù)據(jù)庫備份。該數(shù)據(jù)公開訪問時間為 5 個月，總共存儲了大約 9500 個帳戶及其憑證，以及屬于各行業(yè)近2000 家公司的電子郵件地址。物聯(lián)網(wǎng)搜索引擎于 2023 年 1 月 31 日首次將泄漏數(shù)據(jù)編入索引。

包含用戶憑證的暴露表

出現(xiàn)可供公眾訪問的開發(fā)環(huán)境表明了糟糕的開發(fā)實(shí)踐，此類環(huán)境應(yīng)與生產(chǎn)環(huán)境的域分開托管，并且必須避免托管實(shí)際的用戶數(shù)據(jù)。由于大量電子郵件被暴露，平臺用戶可能會面臨垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件的激增。建議用戶從外部驗(yàn)證電子郵件中包含的信息，并在單擊鏈接或打開附件時小心謹(jǐn)慎。

可破解的密碼

暴露的密碼使用 SHA-512 算法散列，該算法被認(rèn)為是安全的密碼散列算法。此外，還使用了額外的安全級別--鹽。不過，鹽值與密碼哈希值存儲在一起，而且只使用 base64 編碼。這使得潛在攻擊者很容易檢索到鹽的明文版本，從而簡化了密碼破解過程。

破解數(shù)據(jù)庫中的一個密碼可能需要長達(dá) 6 小時的時間，這取決于密碼強(qiáng)度以及攻擊者使用的先前泄露的密碼或單詞組合列表。

這并不意味著找到的數(shù)據(jù)庫中的每個密碼都能被破解，但能夠破解的可能涉及大多數(shù)。研究表明，成功破解此類數(shù)據(jù)轉(zhuǎn)儲中約 80% 的哈希值是比較常見的。

Cybernews 建議在 NSC 上擁有賬戶的用戶更改他們在其網(wǎng)站上的密碼，并更改可能使用同一套密碼的其他賬戶密碼。