聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

向家庭路由器提供免费且可定制的开源项目 OpenWRT 的weihure人员披露称,黑客在上周六下午4点(GMT)左右访问了论坛某名管理员的账户。

OpenWRT 论坛上发布并在 Linux 和 FOSS 邮件列表中分发的信息指出,“目前尚不清楚账户是如何遭访问的。该账户的密码设置很强壮,不过并未使用双因素认证机制”。

OpenWRT 团队表示,虽然攻击者无法下载数据库的完整副本,但确实下载了论坛用户列表,其中包含多种个人详情如论坛用户名和邮件地址。被下载数据中并不包含密码,但“出于谨慎考虑”,OpenWRT 管理员已重置所有论坛用户的密码和 API 密钥。

OpenWRT 项目目前正在通知用户在下次登录账户时,需要走密码恢复流程。如果用户使用 OAuth 令牌也需要走这个流程重新同步账户。

左中括号

发动供应链攻击的好机会

左中括号

此外,OpenWRT 项目管理员也向论坛用户发出警告称,可能会遇到钓鱼邮件尝试增多的情况。

有人或许认为 OpenWRT 论坛账户并没有那么重要,但实际上很多企业的开发人员会光顾该网站,而这些企业一般都是出售和 OpenWRT 兼容的路由器或软件。

攻陷 OpenWRT 上的论坛账户可能是提权访问很多硬件和软件开发企业内网的第一步。因此,OpenWRT 团队正在督促论坛用户不要点击所收到的声称源自 OpenWRT 的邮件,而是应当在浏览器地址栏中手动输入该论坛的 URL 地址 (forum.openwrt.org)。

OpenWRT 项目管理员表示,目前似乎只有论坛用户数据受影响。OpenWRT wiki 目前并未发现受影响迹象。OpenWRT wiki 旨在为用户提供关于如何在多种专有路由器型号上安装固件的官方下载链接和信息。

推荐阅读

2020年十大开源漏洞回顾

SolarWinds 供应链攻击中的第三款恶意软件

FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)

开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息

原文链接

https://www.zdnet.com/article/openwrt-reports-data-breach-after-hacker-gained-access-to-forum-admin-account/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击相关推荐

  1. redis 未授权访问详解

    一. 应用介绍 Redis是一个开源的使用ANSI C语言编写.支持网络.可基于内存亦可持久化的日志型. Key-Value数据库.和Memcached类似,它支持存储的value 类型相对更多,包括 ...

  2. 未授权访问漏洞原理及复现

    本文转自行云博客https://www.xy586.top/ 文章目录 未授权访问 前提知识 ssh免密登录 客户端 服务端 安装Redis数据库 Redis语法 原理 攻击复现 利用计划任务执行命令 ...

  3. Redis未授权访问攻击场景分析与防御

    主要从redis未授权访问入手,还原一些黑客的攻击场景,介绍一些常用的攻击方法和安全知识. 0x0 应用介绍 REmote DIctionary Server(Redis) 是一个由Salvatore ...

  4. Jenkins未授权访问

    Jenkins Jenkins简介 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,它能把软件开发过程形成工作流.默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一 ...

  5. 常用的端口及未授权访问漏洞

    ​ 一.介绍 用于快速定位端口,查找开放端口脆弱点,有利于外网渗透 1.1 具体端口 端口号 使用 弱点 21 telnet 22 SSH 28退格漏洞.OpenSSL漏洞 25 SMTP协议 53 ...

  6. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  7. CouchDB未授权访问漏洞记录(端口:5984、6984,CVE-2017-12635,CVE-2017-12636)复现失败

    复现exp失败 漏洞简介以及危害 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库".它是一个使用JSON作为存储格式,JavaScript ...

  8. Redis未授权访问漏洞记录(端口:6379)

    目录 Redis 扫描 未授权登录以及利用 写入SSH公钥,进行远程登录 定时任务反弹shell 写入一句话木马 其它一句话木马 ​ 写入/etc/passwd文件 利用主从复制RCE ​ 本地Red ...

  9. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

最新文章

  1. The Shortest Statement CodeForces - 1051F LCA+最短路
  2. 用VirtualBox在XP环境下虚拟Ubuntu的过程
  3. Scala AKKA入门示例
  4. UDP接收端和发送端_Socket编程
  5. hprof文件分析工具_【赵强老师】如何分析Java的内存溢出问题
  6. 静态链接库与动态链接库
  7. 【AC】九度OJ题目1153:括号匹配问题
  8. ios 倒数器_如何使用倒数计时器来停止游戏 – iOS [SWIFT] –
  9. 已知两点经纬度求球面最短距离的公式推导过程(几何法加向量法)
  10. C# 中,利用 Conditional 定义条件方法
  11. IPHONE手机知识大全(下)
  12. C语言班主任管家系统
  13. 香橙派的使用入门无屏幕安装系统
  14. java 自动判断文件编码_Java自动获取文件和文件流编码
  15. JAVA 9中module初探
  16. 我的冷笑话20100125
  17. Uva11500-Gambler's ruin
  18. Elasticsearch教程 | 第三篇:审计设置
  19. CCD视觉检测设备如何选择光源
  20. CSS2.1 第九章可视元素布局规则

热门文章

  1. pydev中使用wxpython找不到路径的问题
  2. 2012年开发者该做的11件事
  3. sudo: unable to resolve host iZ2zecsdy8flu603bmdg1bZ
  4. 数据结构和算法面试题系列—二叉树面试题汇总
  5. Android 中的线程池
  6. 编写高质量代码改善程序的157个建议:第87个建议之区分WPF和WinForm的线程模型...
  7. Java GC 原理
  8. Macaron的注入struct
  9. SQL2005服务器上安装SQL2008失败
  10. 用DELPHI中Canvas特性开发图形软件