جیمز کتل، (James Kettle)، مدیر تحقیقات در شرکت امنیتی انگلیسی PortSwigger از روشی جدید سخن به میان آورد و گفت:
روش جدید حمله موسوم به « HTTP request smuggling » به محقق اجازه می دهد سرورهای Apache را به خطر بیندازد، به Akamai و Amazon نفوذ کند و چندین VPN وب را در معرض خطر قرار دهد.
روش HTTP request smuggling تکنیکی برای تداخل در نحوه پردازش توالی درخواست های HTTP از طریق یک یا چند کاربر می باشد.
این ترفند در حملات همگامسازی مبتنی بر مرورگر (browser-powered desync attacks) نهفته است که محدودیتهای روشهای سنتی را که فقط به آنها اجازه میدهد روی وبسایتهایی که از معماری front-end/back-end استفاده میکنند، دور بزنند.
از سوی دیگر، Front-end یک وب سایت را از مرورگر بازدیدکننده غیر همگامسازی میکند و طبق نظر برخی کارشناسان، طیف جدیدی از وبسایتها را در معرض قاچاق درخواستهای سمت سرور (server-side request smuggling) قرار میدهد. همچنین به مهاجم اجازه میدهد مرورگر قربانی را مجبور به انجام این کار کند و درخواست های مخرب را از طرف آنها ارائه کند.وی اعلام کرد اکسلپویت هایی را در این زمینه کشف کرده است:
- یک اکسپلویت اعتبار سنجی درخواست که در آن یک مهاجم دو درخواست را از همان اتصال ارسال می کند تا در درخواست دوم به میزبان دسترسی پیدا کند.
- یک اکسپلویت مسیریابی درخواست اول که front-end را فریب می دهد تا تمام درخواست های بعدی را به همان backend درخواست اول ارسال کند.
- یک آسیبپذیری به نام CL.0/H2.0 که به دستهای از حملات تعلق دارد که از درخواستهای قفلشده (connection-locked requests) اتصال سوءاستفاده میکنند.
وی در ادامه اعلام کرد توانسته از زنجیره بهره برداری در آمازون برای دسترسی به حساب های کاربری و سرقت درخواست های آنها از جمله توکن های ورود (login tokens) استفاده کند.
او خاطر نشان ساخت: وقتی سرورها با درخواستهایی که از مبهمسازی هدر برای ضربه زدن به « مورد لبهای » استفاده میکنند، قابل درک است، اما غیرهمگامسازی با یک درخواست HTTP کاملاً معتبر و سازگار با RFC چیز دیگری است.
کریس کربز، مدیر سابق سازمان CISA در ادامه کنفرانس بلک هت اظهار کرد:
زمان سازماندهی مجدد دولت آمریکا و ایجاد یک آژانس جدید است که فقط بر خدمات مدیریت ریسک دیجیتال متمرکز باشد. من آماده رهبری این مسئولیت هستم.بهتر است حداقل CISA را از وزارت امنیت داخلی خارج کنند و آن را به یک سازمان زیرمجموعه کابینه تبدیل کنند که اجازه فعالیت مستقل را دارد.وقت آن رسیده است که در نحوه تعامل دولت با فناوری تجدید نظر کنیم.
دامنه این آژانس مدیریت ریسک فراتر از امنیت سایبری خواهد بود. من فقط در مورد سایبری صحبت نمی کنم، من در مورد حریم خصوصی صحبت می کنم، در مورد اعتماد و مسائل ایمنی صحبت می کنم. ما در جایی که باید باشیم نیستیم. ما در حال عقب افتادن هستیم و آمریکایی ها در نتیجه رنج می برند.
دولت و بخش خصوصی به دلیل افزایش باج افزار در چند سال گذشته محکوم است و این نشان دهنده بزرگترین سقوط جمعی دولت و صنعت است.مجرمان وابستگی ها و ارتباطات اعتمادی که ما به خدمات نرم افزاری و ارائه دهندگان فناوری خود داریم را درک و آنها از طریق زنجیره تامین پله های ترقی را طی می کنند.
هنگامی که سازمانها مورد حمله باجافزار یا حمله سایبری دیگری قرار میگیرند، آیا FBI است؟ آیا CISA است؟ آیا وزارت انرژی؟ آیا خزانه داری است. هنوز کار با دولت بسیار سخت است و ارزش حمایت آنچنان که لازم است روشن نیست.
دربلک هت لاس وگاس چه محصولات معرفی شد:
معرفی پلتفرم آموزشی امنیت سایبری شرکت ایتالیایی Cybrary
شرکت کرود استرایک (CrowdStrike)، نشانگرهای حمله (IoA) مبتنی بر هوش مصنوعی را برای پلتفرم Falcon خود معرفی کرده است. قابلیت تشخیص و پاسخ تهدید جدید به گونه ای طراحی شده است که پیشگیری از حملات بدون فایل (fileless attack prevention) و بینش بیشتر برای نفوذهای مخفی به ابر را فراهم کند.
شرکت امنیتی آمریکایی Defiant، پلتفرم Wordfence Intelligence را برای حفاظت از برنامه های وب برای سازمان ها و ارائه دهندگان هاست طراحی کرده است.
راه اندازی مدیریت کد منبع باز از سوی شرکت IBM: آیبیام یک جعبه ابزار مدیریت کد منبع (SCMKit) راهاندازی کرده است که به کاربران اجازه میدهد حملات شبیهسازی شده را علیه پلتفرمهای SCM (زنجیره تأمین) انجام دهند. این جعبه ابزار از ماژول های حمله برای شناسایی پشتیبانی می کند.
شرکت آمریکایی تست نفوذ سازمانی و مدیریت سطح حمله NetSPI دو ابزار منبع باز به نامهای PowerHuntShares و PowerHunt را راهاندازی کرده است.
شرکت آمریکایی امنیت سفت افزار، NetRise از انتشار پلتفرم NetRise خبر داد که راه حلی را برای آسیب پذیری های مشترک در تصاویر سفت افزار XIoT در یک سازمان ارائه می دهد.
معرفی پلتفرم NetWitness Platform XDR 12 از سوی شرکت آمریکایی امنیت شبکه NetWitness: دارای قابلیت های تجزیه و تحلیل جدید و پیشرفته ای است که می تواند تهدیدهای شناخته شده و ناشناخته را سریعتر پیدا کند، تا زمان ماندن را کاهش دهد و امکان پاسخگویی و اصلاح سریع را فراهم کند.
معرفی شرکت آمریکایی حفاظت از زیرساخت های دیجیتال «OPSWAT»: این شرکت، قابلیت های جدید تجزیه و تحلیل بدافزار را برای فناوری اطلاعات و فناوری عملیاتی (OT) اعلام کرده است. این قابلیت ها شامل OPSWAT Sandbox برای فناوری عملیاتی، با شناسایی ارتباطات مخرب در پروتکلهای شبکه OT و پشتیبانی از ابزارهای شخص ثالث منبع باز در روش MetaDefender Malware Analyzer شرکت است.
