美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前發布資安指引,要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼,以提升資安保護層級。
資安專家指出,為了簡化生產與大量軟硬體裝置的管理與操作流程,很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼;這種做法雖然能夠大幅降低操作的複雜性,但卻會造成極大的資安風險。
一旦駭侵者利用往往廣為人知的預設密碼發動攻擊,除了採用預設密碼的設備或軟體本身可能遭到駭侵之外,駭侵者也可藉以發動進一步的攻擊,最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。
CISA 在其資安警訊中提出兩點要求,要求廠商必須對客戶可能發生的資安後果負起責任,同時必須在組織架構與領導兩方面來達成這個目標。
CISA 進一步指出,軟體開發廠商必須在設計、開發與出貨等階段嚴格落實上述要求,不提供產品的預設密碼,才能預防顧客因預設密碼而可能蒙受的攻擊損失。
CISA 說,多年以來的經驗證明,期待顧客在產品購入後變更預設密碼是不切實際的,因為顧客通常不會主動更改密碼;唯有在產品設計製造階段就消除預設密碼的存在,才能減少現今因未能更改預設密碼而導致的大量攻擊損失。
CISA 要求製造商須提供不重複的設定階段密碼,避免提供相同的預設密碼給顧客;製造商亦應提供單次有效密碼供顧客進行產品初次設定;一旦設定完成後,該密碼即行失效,無法再次用於登入。
CISA 也敦促各廠商應在流程上導引顧客使用多重登入驗證,以進一步保護軟體或裝置的登入安全。
各硬體設備或軟體系統廠商,建議可以參考 CISA 此次發布之資安指引,避免提供預設密碼,以強化使用者的資安防護能力。twcert 發表在 痞客邦 留言(0) 人氣(6)
美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前發布資安警訊,指出有駭侵者積極利用 Adobe ColdFusion 中的一個嚴重漏洞 CVE-2023-26360,針對多個美國政府包商發動攻擊。
CISA 在通報中指出,攻擊者可透過該漏洞,攻擊執行 Adobe ColdFusion 2018 Update 15 與先前版本,以及 2021 Update 5 與先前版本的伺服器,進而執行任意程式碼。Adobe 在 2023 年 3 月中推出 ColdFusion 2018 Update 16 與 2021 Update 6,解決了這個漏洞,不過駭侵者已先一步透過該 0-day 漏洞發動攻擊。
當時 CISA 已針對該漏洞發表資安通告,要求各單位立即套用更新,以解決該漏洞;但近期 CISA 再次發出通告,指出六月時仍有攻擊者利用該漏洞攻擊 2 個聯邦政府單位包商的系統。
CISA 指出,在這兩起攻擊事件中,Microsoft Defender for Endpoint 都發出了警訊,指出在包商的測試環境中,發現可能有駭侵者攻擊其公開在外網上的 Adobe ColdFusion 伺服器,並且利用 HTTP POST 指令在 ColdFusion 相關目錄中植入惡意程式碼。
CISA 表示,雖然在兩起攻擊事件中,駭侵者在試圖竊取資料前就被發現,且在攻擊發生後 24 小時,受影響的裝置就從關鍵內網中移除,但兩起事件的受攻擊伺服器,都尚未套用更新,仍在執行舊版 Adobe CodeFusion v2016.0.0.3 和 v2021.0.0.2。
各個使用 Adobe CodeFusion 的公私單位,應立即更新至最新版本,並且將關鍵主機網段與公眾網路隔開,並設置防火牆、設定更嚴格的執行權限要求等。twcert 發表在 痞客邦 留言(0) 人氣(35)
歐洲刑警組織(Europol)、歐洲檢察官組織(Eurojust)日前會同七國執法單位,在烏克蘭境內多處同步執行搜索,成功破獲一個大型勒贖集團,遭該集團攻擊的受害者多達 1,700 個,分布遍及全球 71 國。
超過 20 名來自挪威、法國、德國、美國的調查人員,在行動開始前夕於烏克蘭首都基輔會合,並在荷蘭設立協調行動用的虛擬指揮中心,會同烏克蘭警方於該國境內 30 處以上地點,於 2023 年 11 月 21 日同步展開執法行動。展開搜索行動的城市包括 Kiev、Cherkasy、Rivne、Vinnytsia 等地。
警方行動大有斬獲,不只成功逮捕該勒贖集團的 32 歲首腦,同時也逮捕其他四名集團成員,並扣押多種犯罪相關工具與證物,包括電腦系統、多片 SIM 卡與大量電子犯罪記錄等。
據 Europol 發表的新聞稿指出,該勒贖團體同時利用多種不同的勒贖工具進行攻擊,使用的惡意軟體包括 LockerGoga、MegaCortex、HIVE、Dharma 等;在進行攻擊後,該團體會要求受害企業以比特幣將贖款匯款到指定的加密貨幣交易所帳號,以換取解密用的金鑰。
Europol 也指出,該團體通常先透過暴力試誤法與 SQL 注入攻擊,以及夾帶惡意軟體附檔的釣魚信件,來取得受害企業系統的登入資訊,之後再利用 TrickBot、Cobalt Strike、PowerShell Empire 等惡意軟體來操控受害企業的內網,再啟動勒贖軟體。所有受害企業合計有超過 250 台伺服器遭到加密攻擊,損失高達數億歐元。
建議各公私單位必須強化資安防護與人員教育訓練,避免勒贖團體利用資安漏洞或釣魚成功,因而遭到攻擊,蒙受重大損失。twcert 發表在 痞客邦 留言(0) 人氣(2)
加拿大政府日前發表資安通報,指出兩家為加拿大政府處理員工轉調手續的外包廠商,日前遭到勒贖攻擊,致使加拿大政府雇員的多種個資外洩。
據加拿大政府的通報指出,兩家協助該國政府員工轉調手續的廠商,分別是 Brookfield Globla Relocation Services (BGRS) 與 SIRVA Worldwide Relocation & Moving Services,兩家公司自 1999 年起即承辦加拿大政府員工調任的相關事宜。
加拿大政府雖然沒有在通報中詳細說明兩家公司遭駭的詳情,但勒贖團體 LockBit 在其官網中表示是該組織犯下對 SIRVA 公司的勒贖攻擊;LockBit 也揚言已經取得該公司多達 1.5TB 的資料,並向該公司要求高達 100 萬美元的贖金,但 SIRVA 並未支付,因此該批被竊資料就遭到 LockBit 公開在暗網中。
另一方面,加拿大政府於 2023 年 10 月 19 日接獲兩家外包廠商遭駭的通報後,立即向該國資安主管機關加拿大資安中心(Canadian Centre for Cyber Security)與隱私保護官辦公室(Office of the Privacy Commissioner)通報事故。
在加拿大政府對外公開的資安通報中,並未提供本次事件的受害人相關資訊,包括潛在的加拿大政府雇員受害者人數在內;不過由於 BGRS 和 SIRVA 兩家公司自 1999 年開始就承接相關業務,因此包括個人資訊財務資訊遭竊的受害者人數可能不在少數。包括加拿大皇家警察(Royal Canadian Mounted Police)、加拿大空軍與多個政府單位從業人員都受到影響。
加拿大政府表示,已針對受害者提供信用監控服務,並對有需要的人員重新核發有效護照等證件;加拿大政府也將在案件調查告一段落後盡快公布調查報告。
建議各政府單位協力外包廠商,應加強資安防護能力,避免政府所屬各種機密文件與人員相關資料遭竊。twcert 發表在 痞客邦 留言(0) 人氣(1)
美國聯邦調查局(Federal Bureau of Investigation, FBI)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前聯合發表資安通報,指出一個名為 Royal 的勒贖團體,自 2022 年 9 月起犯下多起勒贖攻擊,總共要求的贖金高達 2.75 億美元。
FBI 在通報中更新了於 2023 年 3 月發出的資安指引,指出自 2022 年 9 月以來,Royal 勒贖團體的攻擊行動,至少有 350 個以上受害個人或團體。
如同其他勒贖團體的攻擊手法,Royal 勒贖團體會先竊取受害者的資料,然後再將其加密並要求高額解鎖贖金;如果受害者拒付贖金,被竊的資料就會遭到 Royal 公開在其網站上。
兩個單位也指出,Royal 勒贖團體最常用於入侵受害者電腦系統的手法,是藉由釣魚郵件來騙取受害者的系統登入資訊。
資安廠商 RedSense 旗下的資安專家也指出,Royal 在今年 9 月時更名為 BlackSuit,並放棄原先使用的駭侵工具與組織架構;新的組織架構更加企業化,更接近其來源駭侵團體 Conti2 的組織與運作方式。
今年 3 月時 FBI 與 CISA 已經在針對 Royal 勒贖團體發布的資安通報中,提供防範該團體進行駭侵攻擊的指引,包括該團體典型的攻擊手法、流程等詳細資訊,以協助各單位阻擋其攻擊,並且攔截進行攻擊用的惡意程式碼酬載。twcert 發表在 痞客邦 留言(0) 人氣(0)
全球 40 國將於華盛頓召開的第三屆國際反勒贖大會(International Counter-Ransomware Initiative Summit)上簽署協定,共同拒付贖金給勒贖團體,以扼止日益猖獗的勒贖攻擊。
本次大會將於 2023 年 10 月 31 日起在華盛頓舉辦,共有全球共 48 個國家與會,包括歐盟與國際刑警組織 (INTERPOL) 在內。會中將聚焦討論如何阻擋勒贖團體的資金流向,並發展出全球共同合作的架構,以阻擋勒贖團體資金的跨境流動。twcert 發表在 痞客邦 留言(0) 人氣(0)
奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路,該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開,除了逮捕 20 人之外,也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。
奧地利警方指出,該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務;奧國警方是在接獲德國方面的報案後開始進行調查,終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團,嫌犯全數為土耳其國籍。
警方指出,該盜版集團成員中有負責破解加密電視訊號的內容提供者,也有負責招募訂戶的經銷商;經銷商以一年 50 美元的價格購買盜播網會員資格後,再以一年 200 美元的價格販售給想看盜版電視節目的網友。
警方說,每名經銷商手上約有 300 到 2,500 名訂戶,經銷商雖然會使用 Facebook 廣告進行宣傳,但主要的客戶來源以口耳相傳為主。
警方破獲的設備,包括 35 台用於訊號解碼與 IPTV 廣播的伺服器,以及 55 台電腦、硬碟、智慧型手機等,甚至還包括一台 Audi A7 豪華轎車。
警方說,主要的嫌犯靠盜版生意賺取大筆不法收入,除了擁有多輛豪華轎跑車外,也擁有多筆豪宅、多家公司、俱樂部等。
警方表示遭到逮捕的嫌犯,包括 3 名內容提供者與 15 名經銷商,都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴,尚未落網的嫌犯主要都在德國境內,目前也已掌握其犯罪地點的相關情報。
建議使用網路影音的觀眾,不應安裝來路不明的盜版影音機上盒或加入盜版網站會員,以免同時吃上侵害著作權的官司,面臨鉅額罰款。twcert 發表在 痞客邦 留言(0) 人氣(0)
印度中央調查局(Central Bureau of Investigation, CBI)日前指揮多個印度執法單位,同步於全印度 76 個地點展開全國網路犯罪大型查緝活動,以扼止各種網路詐騙活動。
這波大規模查緝的行動代號為 Operation Chakra-II,主要目標是要阻斷各種透過網路進行的金融犯罪集團運作。CBI 會同多個國際、國內執法單位和 Microsoft、Amazon 等跨國科技巨頭,共同展開這次執法行動。
這次展開掃蕩活動的地點多達 76 處,分別位於印度 Tamil Nadu、Pubjab、Bihar、Delhi、West Bengal 等省分;執法人員一共緝獲 32 部行動電話、48 部筆記型電腦與硬碟,以及 33 張 SIM 卡。
據 CBI 指出,這次執行行動也破獲 2 個涉嫌假冒 Microsoft 和 Amazon 客服支援中心的攻擊活動。該攻擊活動已進行長達 5 年以上,受害者多達 2,000 人以上,且分布遍及美國、加拿大、德國、澳洲、西班牙、英國等。
這批駭侵者會利用惡意軟體,在訪客電腦中顯示詐騙支援訊息,謊稱客戶的系統發生問題,需要撥打免費客服專線電話。當受害者撥打該電話後,由駭侵者假冒的客服人員,就會謊稱客戶的電腦系統發生嚴重問題,藉以收取高額維護費用。
根據美國聯邦調查局在 2022 年的網路犯罪調查報告指出,假冒客服人員的詐騙案件,在 2018 年到 2022 年間高居各式網路犯罪的前五大類型之一。單在 2022 年一年之間,這類詐騙造成的財務損失就高達 8 億美元。
建議各公私單位應隨時加強資安防護,如遇疑似詐騙客服,要求高額維修費用,應立即洽詢原廠管道進行確認。twcert 發表在 痞客邦 留言(0) 人氣(0)
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前公布一批勒贖攻擊團體經常用於攻擊的漏洞與資安設定錯誤樣態, 目的是要協助關鍵基礎設施強化資安防護能力。
CISA 於 2023 年 1 月起開始推動「勒贖軟體漏洞警告先導計畫」(Ransomware Vulnerability Warning Pilot, RVWP)專案,並且經常新增相關資訊;本次公布的資訊即屬 RVWP 專案的防護資訊更新。
至今為止,CISA 的 RVWP 計畫已經公布超過 800 個經常遭到勒贖團體攻擊使用的各式軟體與系統的資安漏洞與錯誤資安設定,其目的在於提供各種經常遭勒贖攻擊鎖定的全球關鍵基礎設施或服務,依其指引提升資安防護量能,避免因為遭到勒贖攻擊而導致關鍵基礎設施服務中斷,因而造成重大影響。
CISA 指出,雖然該單位過去已經推出「遭攻擊已知漏洞」(Known exploited vulnerabilities, KEV)清單供各公私單位參考使用,且在該清單中額外加上一個欄位,專門標示易遭勒贖攻擊駭侵者使用的資安漏洞,但為因應日益猖獗的勒贖攻擊,CISA 決定推出 RWVP 通報,以強化針對勒贖攻擊的防護量能。
CISA 也同時推出一個專為防杜勒贖攻擊的入口網站「StopRansomware.gov」,其目的在於集中提供各種防範並處理勒贖攻擊的多種有用資訊。
建議各公私單位可參考 CISA 提供的各類資安防護通報,並依其指引提升防護能力,以提高安全性。twcert 發表在 痞客邦 留言(0) 人氣(2)
美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前聯合發表資安指引,列出前 10 大最常出現的資安設定錯誤;建議各公私單位參考該指引,強化自身資安防護能力。
NSA 和 CISA 的這份指引,係由兩個單位內的資安紅隊與藍隊,針對各大公私單位組織的資安防護設定進行模擬攻防後所擬定,詳細說明各種駭侵者如何利用這些錯誤設定,以發動資安攻擊的策略、技術與程序(TTP),進行各種目的的攻擊,包括取得存取或控制權、資料或資源的竊取,以及如何鎖定機敏資訊或系統等等。
NSA 指出,接受其評估的美國政府單位,包括美國國防部、聯邦政府各民事行政部門、各州政府、地區行政單位、海外行政組織,以及多個私部門單位。
報告列出的 10 大資安錯誤設定如下:twcert 發表在 痞客邦 留言(0) 人氣(2)
資安宣導 (2)