关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;|2025年首个满分漏洞,PoC已公布,可部署后门
关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;|2025年首个满分漏洞,PoC已公布,可部署后门
黑白之道 2025-01-18 09:40
关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;
近期,广西桂林公安网安部门工作发现,桂林市阳朔县某景点票务预约平台存在被滥用痕迹。经查,系“
黄牛
”
团伙利用平台的验证码组件缺陷,实施非法抢票行为。广西桂林公安网安部门
通过调查,
成功抓获
该“黄牛”团伙
,缴获电脑等作案工具一批。同时发现,部分图形类验证码组件风险隐患突出,极易被不法分子利用,提醒广大单位
、个人
加强防范。
01
案件情况
2024
年国庆节假期期间,广西桂林公安网安部门
工作
发现,大量网民反映
某
景点“
一票难求”
,旅游社和“
黄牛”
勾结在
社交平台
大肆发布代抢票广告。广西桂林公安网安部门高度重视,立即成立专案组开展调查。经对该票务预约平台运行日志进行分析,发现存在预约行为频次高、时间连续不间断等明显被“
外挂”
软件滥用痕迹。通过进一步侦查,成功锁定实施犯罪的“
黄牛”
团伙,
专案组分赴
北京、重庆、四川、广西抓获犯罪嫌疑人12
名,缴获电脑等作案工具一批。经核查,该“
黄牛”
团伙利用外挂软件在2024
年国庆节假期期间
非法
抢票约1
万张。
02
犯罪手法
经查,犯罪嫌疑人
预先在外挂软件中录入
游客姓名、手机号等
必要信息,平台放票时外挂软件自动发起请求
抢票。经分析,发现该外挂软件的技术核心在于自动快速
回答票务
预约平台的图形类验证机制。正常情况下,游客预约门票需手动选中随机排列的图案以通过验证。犯罪嫌疑人提前通过发起频繁的注册请求,下载了数万张同类型的验证码图片,人工对验证图片中的正确答案进行标注,再利用标注的数据训练出高准确度的图像识别模型,在抢票时利用该模型自动快速推测正确验证码。
03
风险提示
此次涉案的图形类验证码组件使用范围较广,加之当前图像识别工具普及易得,相关网络应用验证机制被破解(绕过)风险突出。春节假期临近,为防止同类案件再次发生,提示相关单位、个人加强防范:
一是
广大网络运营单位、个人用户应对网络
应用的
注册、登录、关键业务操作等环节的验证码组件进行排查,特别是采用图案点选、文字点选类型的验证方式,评估
验证码方案的
安全风险,并同步加强对短时间、高频次的网络请求等异常行为的监测和阻断,及时封禁异常IP
。
二是
验证码服务提供者应采取增加噪音、变形扭曲、更换字体等措施提升验证码复杂性
,
使自动化工具难以识别,并持续排查验证码组件存在的安全缺陷、风险漏洞,提供升级完善方案,履行法定的告知义务。
2025年首个满分漏洞,PoC已公布,可部署后门
云攻击者正在大肆利用名为Max – Critical Aviatrix RCE漏洞(编号CVE-2024-50603),此漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码,网络犯罪分子借此漏洞植入恶意软件。
最坏的情况下,该漏洞会让未经身份验证的远程攻击者在受影响系统上运行任意命令,进而完全掌控该系统。目前,攻击者利用此漏洞在易受攻击的目标上部署XMRig加密货币挖矿恶意软件和Sliver后门。
CVE-2024-50603:高风险漏洞
研究人员于1月10日在博客中警示,该漏洞在亚马
逊Web服务(AWS)云环境中尤为危险,因为在此环境中,Aviatrix Controller默认允许权限提升。
“依据我们的数据,约3%的云企业环境部署了Aviatrix Controller。在这些环境里,托管Aviatrix Controller的虚拟机中有65%存在通向管理云控制平面权限的横向移动路径。”
数百家大型企业运用Aviatrix的技术管理AWS、Azure、谷歌云平台(GCP)以及其他多云环境中的云网络。常见应用场景包括自动化部署与管理云网络基础设施,以及管理安全、加密和连接策略等,其客户包括不少大型集团企业。
CVE – 2024 – 50603是由于Aviatrix Controller未能正确检查或验证用户,通过其应用程序编程接口(API)发送的数据而产生。这是最新暴露出来的一个与各类组织(不论规模大小)日益增多的API使用相关的安全风险漏洞。其他常见的API相关风险还包括因配置错误、缺乏可见性以及安全测试不足而产生的风险。
该漏洞存在于所有版本低于7.2.4996或7.1.4191的受支持Aviatrix Controller版本中。Aviatrix已经发布了针对该漏洞的补丁,并且建议相关组织进行补丁安装或者升级到Controller的7.1.4191或7.2.4996版本。
Aviatrix公司指出:“在某些情形下,补丁在控制器升级过程中并非完全持久有效,即便控制器状态显示为‘已打补丁’,也必须重新应用,例如在不受支持的控制器版本上应用补丁这种情况。”
黑客发动机会性云攻击
安全研究员Jakub Korepta(来自SecuRing)发现了这一漏洞并向Aviatrix报告,于1月7日公开披露了该漏洞的详细信息。
仅一天之后,一个针对该漏洞的概念验证利用程序就在GitHub上可获取,随即引发了近乎立即利用的网络攻击与入侵活动。
Wiz人工智能与威胁研究副总裁Alon Schindel表示:“自概念验证发布以来,Wiz观察到大多数易受攻击的企业都未曾更新修复补丁。目前我们也看到,客户正在对自己的系统进行修补,从而抵御攻击者的攻击。”
Schindel将到目前为止的利用活动描述为主要是一种机会性的活动,是扫描器和自动化工具集在互联网上搜寻未打补丁Aviatrix企业的结果。
他表示:“尽管在某些情况下,所使用的有效载荷和基础设施表明在一些案例中有更高的复杂性,但大多数尝试看起来像是广泛的扫描,而非针对特定组织的高度定制化或者有针对性的攻击。”
现有的数据表明,多个威胁行为者(包括有组织的犯罪团伙)正在以多种方式利用该漏洞。“依据环境的设置,攻击者可能会窃取敏感数据、访问云或本地基础设施的其他部分或者扰乱正常运营。”
API相关网络风险的警示
Ray Kelly称,Aviatrix Controller漏洞再次让人们意识到API端点日益增长的风险,以及应对这些风险所面临的挑战。
该漏洞表明仅仅一个简单的网络调用就可能攻破服务器,凸显了对API进行彻底测试的必要性。
鉴于API的规模、复杂性以及相互依赖性,并且许多API是由外部软件和服务提供商开发和管理的,这样的测试可能极具挑战性。
Kelly进一步表示:“缓解这些风险的一个有效方法是建立针对第三方软件明确的‘治理规则’。这包括实施针对第三方供应商的全面审查流程、执行一致的安全措施以及持续监控软件性能和漏洞。”
Schindel表示,受新Aviatrix漏洞影响的组织最佳应对策略是尽快应用该漏洞的补丁。无法立即打补丁的组织应该立即限制对Aviatrix Controller的网络访问,仅允许受信任的来源进行访问。他们还应当密切监控日志和系统行为中的可疑活动或者已知利用指标,针对与Aviatrix相关的异常行为设置警报,并减少云身份之间不必要的横向移动路径。
Aviatrix发言人Jessica MacGregor表示,鉴于该漏洞潜在的严重性,公司在2024年11月就发布了针对该漏洞的紧急补丁。该安全补丁适用于所有受支持的版本,并且对已经结束两年支持的Aviatrix Controller版本同样适用。该公司还通过多个有针对性的活动私下联系客户,以确保受影响的组织应用了补丁,MacGregor称。
虽然相当一部分受影响的客户已经应用了补丁并采取了推荐的加固措施,但仍有一些组织尚未进行操作。MacGregor指出,正是这些客户正在遭受当前的攻击。“虽然我们强烈建议客户保持软件的最新状态,但在Controller版本6.7 +上应用了安全补丁的客户,即使没有升级到最新版本也能够得到保护。”
文章来源 :公安部网安局、freebuf****
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!
始于猎艳,终于诈骗!带你了解“约炮”APP