美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA) 日前發表資安通報,公告有 4 個分別屬於 Windows 與 iOS 的 0-day 漏洞,由於設備採用數量眾多,目前已遭駭侵者用於攻擊行動;該告也通令美國聯邦各單位機關,須於三週內完成資安修補。
這次由 CISA 公告的 4 個 0-day 漏洞,前兩個是發生在 Microsoft Windows 系統中,其一 CVE-2023-21823 存於 WIndows Graphics Component,可用以遠端執行任意程式碼;其二 CVE-2023-23376 是存於 Windows Common Log File System Driver 中,駭侵者可藉以提升自身執行權限。
CISA 公告的第三個 0-day 漏洞 CVE-2023-21715 同樣針對 Microsoft 產品,是發生在 Microsoft Office 中的 Microsoft Publisher 中,屬於資安防護功能略過漏洞。而第四個 0-day 漏洞 CVE-2023-23529 則發生在 Apple iOS、iPadOS、macOS 中的 WebKit,是一種型別混淆漏洞,可用於執行任意程式碼。
發生在 Microsoft 產品的 3 個 0-day 漏洞,已在本月 Microsfot Patch Tuesday 資安修補包中修復;而 Apple iOS、iPadOS、macOS 的 0-day 漏洞也已推出更新版本予以修復。
根據公告於 2021 年 11 月的具約束力操作指引 (binding operational directive) BOD 22-01 規定,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯邦政府民事機關,都必須針對相關漏洞進行處理。
關於本次公布的四個 0-day 漏洞,CISA 要求各機關須於三個星期內完成修補工作,最遲不可超過 2023 年 3 月 7 日。此外,雖然 CISA 的規定只生效於美國聯邦機關,但該單位強烈建議所有公私單位,都應該依照 CISA 的指引,立即修補漏洞,以免遭到攻擊。
建議各公私單位的系統管理員與個人用戶,都應隨時注意所用系統軟硬體的更新訊息,儘速更新到最新版本,以避免駭侵者利用未及時更新的已知漏洞發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 CheckPoint 旗下的資安研究人員,近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件,表面上無害,但實際上會盜用受害電腦的資源,為駭侵者挖掘加密貨幣。
NPM 是網路上著名的開源 JavaScript 程式庫,內含 220 萬種以上的開源 JavaScript 程式套件,提供開發人員自由使用,以加速程式開發的速度。
CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件,全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中;該公司立即通報 NPM,NPM 則在隔日將這 16 個惡意程式套件下架。
這 16 個惡意 NPM 程式套件,名稱大多和網路速度測試有關,列表如下:
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 2 月例行資安更新修補包「Patch Tuesday」,共修復多達 77 個資安漏洞,其中有 9 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 3 個 0-day 漏洞也獲得修復,這些漏洞已知遭用於攻擊活動。
本月 Patch Tuesday 修復的漏洞數量較上個月(2023 年 1 月)的 98 個資安漏洞略少一些,但也達 77 個;其中 9 個屬於嚴重等級的漏洞,分類上均為遠端執行任意程式碼類型。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 日前緊急推出新版 iOS、iPadOS、macOS,以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529;該漏洞可讓駭侵者用於執行任意程式碼。
編號 CVE-2023-23529 的這個全新 0-day 漏洞,是一個存於 WebKit 瀏覽器引擎的錯誤,駭侵者可利用特製的網頁內容來誘發此錯誤發生,並且執行任意程式碼,以發動進一步的駭侵攻擊。
Apple 在資安通報中也表示,該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。
目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。
為修補此一漏洞,Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1;適用機種十分廣泛,包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型,以及所有執行 macOS Ventura 的 Mac 電腦。
在這次發行的更新版 iOS、iPadOS、macOS 中,除了上述的 CVE-2022-23529 外,Apple 也同時修補另一個漏洞 CVE-2023-23514;該漏洞存於記憶體管理機制中,屬於使用已釋放記憶體漏洞,可讓駭侵者以核心權限執行任意程式碼。
twcert 發表在
痞客邦
留言(0)
人氣()
美國大型社群論壇網站 Reddit 日前傳出遭到駭侵攻擊。據 Reddit 指出,駭侵者以高度目標釣魚手法,取得員工對內部系統的登入資訊後,入侵 Reddit 後台系統,取得部分內部資料與程式碼。
Reddit 在近日發表的資安通報中表示,該網站在 2 月 5 日稍晚發現遭到駭侵攻擊。駭侵者以高度成熟的釣魚攻擊手法,複製了 Reddit 內部專用系統的頁面,因此成功從某一 Reddit 員工處取得內部系統的登入資訊與二階段登入驗證碼,隨即取得 Reddit 的部分內部文件、程式碼,以及某些後台儀表板和管理系統資訊。
Reddit 表示,在該名員工主動通報後,該公司立即展開行動與調查,以防受害範圍擴大。目前沒有跡象顯示用戶的帳號與密碼遭竊,而 Reddit 產品系統(即用以執行 Reddit 主要功能並儲存多數資料的主機系統) 也並未遭受攻擊。
Reddit 也指出,在被竊的內部資料,可能包括數百名員工的個人資訊,以及某些廣告客戶的相關資料,但不包括信用卡、密碼與廣告績效表現等資料在內。該公司在經過內部調查後,目前認為並沒有任何公眾相關資料遭到駭侵者存取。
Reddit 指出,該公司認為這次攻擊的手法類似先前 Riot Games 遭到攻擊的事件;在該事件中,Riot Games 最熱門的「英雄聯盟」(League of Legends)原始程式碼也遭到竊取,駭侵者很快要求該公司支付 1000 萬美元贖金,但遭到 Riot Games 拒絕。隨後 League of Legends 程式碼就出現在駭侵相關論壇中求售。
針對企業員工發動社交或釣魚攻擊,以取得內部系統登入資訊的攻擊手法日漸普遍,因此建議各單位組織除了須加強內部系統的資安防護層級外,也應加強員工、供應商等的資安教育訓練,避免成為攻擊破口。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Sophos 日前發表研究報告,指出 2022 遭到勒贖攻擊最嚴重的 14 大目標,分別是媒體、娛樂與休閒產業、零售業、能源與公用事業、物流與運輸、企業與專業服務、醫療產業、高等教育、營建業與物業管理、IT 科技與電信業、中央及聯邦政府、地方與州政府、初級教育、製造業、金融業等。
媒體、娛樂與休閒產業高居 14 大目標的第一位。據統計指出,2022 年這些產業遭勒贖攻擊較前一年上升高達 147%,且在 12 個月內有高達 79% 曾遭勒贖攻擊。第二名的零售業在 2022 年中有 77% 曾遭勒贖攻擊,其中包括瑞典連鎖超市 Coop,曾因勒贖攻擊其收銀系統而被迫關閉 800 家門市達 3 天之久。
第三名是能源與公用事業,2022 年有 75% 業者曾遭勒贖攻擊;最著名的案例就是 Colonial Pipeline 遭駭,造成美國東岸的燃油供應中斷數日之久。第四名的物流與運輸業,在 2022 年有 74% 業者亦曾遭勒贖攻擊;而在 Sophos 的調查中,物流運輸業在支付贖金後,能救回的資料比例也最低,僅能救回 50% 資料。
第五名的企業、專業與法律服務業,也有高達 73% 在去年曾遭攻擊。資安專家指出多數企業未能隨時更新其使用軟硬體,同時也缺乏資安人員,以致經常遭到損失或快速支付贖款。
之後的行業排名與其遭勒贖攻擊比例如下:
twcert 發表在
痞客邦
留言(0)
人氣()
美國新任命的最高資安外交官 Nate Fick 日前表示,其個人使用的 Twitter 帳號遭到駭入;他稱此事為「因工作而帶來的威脅」。
Nate Fick 是由現任美國總統 Joe Biden 於去年 6 月宣布提名為新成立的「網路空間與數位政策局」(Bureau of Cyberspace and Digital Policy),該單位直屬於美國國務院,由美國副國務卿擔任其主管,主要推動三方面的政策宣導與國際合作,包括國際資安 (International Cyberspace Security)、國際資訊與通訊政策 (International Information and Communication Policy) 以及數位自由 (Digital Freedom)。
目前尚不清楚駭侵者的身分、動機與背景,也沒有駭侵者利用遭駭 Twitter 帳號擅自發送貼文的跡象;不過 Nate Fick 指出他很少使用個人 Twitter 發文,如有必要發文,通常都使用美國國務院申請的單位官方帳號來發表推文。
Nate Fick 是美國海軍陸戰隊退役軍人,也曾擔任某民間資安公司執行長;目前是網路空間與數位政策局的局長。他在去(2022)年 9 月上任,成為美國首位網路空間與數位政策無任所大使。
據 CNN 指出,該局的目標是結合美國的外交政策,在網路上提倡各種數位人權議題,以對應極權國家在網路上日漸擴張的聲量。
社群媒體帳號的安全性總有多種漏洞存在,也可能因各種原因遭到駭入或挾持,建議用戶避免在社群媒體上透漏各種機敏資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
荷蘭警方於近日公開表示,成功駭入並破獲犯罪者愛用的 Exclu 加密通訊平台,透過監控其上通訊活動,結合多國警方通力合作,跨國逮捕多名嫌犯到案。
荷蘭警方說,該行動實際上包括兩波調查,分別在 2020 年 9 月與 2022 年 4 月進行;警方一共進行 79 次目標搜索行動,執行範圍遍及荷蘭、德國、比利時,一共逮捕 42 名嫌犯。
參與這次行動的,還包括歐洲檢察官組織 (Eurojust)、歐洲刑警組織 (Europol),以及義大利、瑞典、法國、德國警方,有賴歐洲各國警力與檢調機關通力合作,才能成功緝獲這些犯罪份子。
在被捕的 42 人中,有兩人是該加密通訊平台 Exclu 的擁有人與營運者,其餘 40 人則是該平台的用戶,其中有人開設毒品製造地下工廠,不但擁有大量毒品,甚至還有許多槍械彈藥,以及高達 400 萬歐元的現金。
僅在荷蘭一地,警察就對 22 個地點發動搜索行動,逮捕 11 人。
荷蘭警方表示,Exclu 為完全會員制的加密通訊平台,半年使用費為 800 歐元,讓用戶可以透過加密方式互傳訊息與媒體檔案;由於該平台宣稱具備較熱門通訊服務更強的隱私保護,因此吸引許多需要秘密通訊的用戶,除犯罪分子外,也有一些律師、醫師、調查人員等使用該平台。
警方表示這次出擊係利用各種駭侵破解技術,成功掌握 Exclu 上的所有通訊內容,再加以一一查核,才能成功逮捕多名犯嫌;但非犯罪份子的通話記錄也同時為警方掌握,引發隱私外洩疑慮。荷蘭警方說,Exclu 上的正常用戶可向警方申請,自伺服器上刪除其相關內容。
小型加密通訊平台或相關社群論壇,經常成為犯罪份子利用的工具;平台經營業者應思考如何避免成為犯罪工具,並以適當機制,在不影響用戶隱私的前提下,提早發現不法活動的跡象並及早通報。
twcert 發表在
痞客邦
留言(0)
人氣()
以色列資安廠商 SaiFlow 近日發表研究報告,指出該公司發現多種電動車充電系統的舊版通訊協定,內含兩個資安漏洞,可能導致駭侵者遠端關閉充電樁,甚至用以竊取資料與電力。
被發現存有漏洞的電動車充電通訊協定為 Open Charge Point Protocol (OCPP) 1.6J 版本;該通訊協定使用 WebSocket ,讓電動車充電樁與管理系統 (Charging Station Management System, CSMS) 服務提供者進行溝通。
SaiFlow 指出,OCPP 標準並未明確定義在已啟用與充電樁連線的情形下,CSMS 應如何接受來自充電樁的新連線要求;這種對於多個已啟用連線操作方式缺乏明確定義的情形,導致駭侵者有機會藉由充電樁和 CSMS 間的通訊連線來下手發動攻擊。
SaiFlow 說,攻擊者可以冒充為一個已經建立連線的充電樁,對 CSMS 發動兩種攻擊:在 CSMS 供應商關閉原有連線並建立新連線時,對 CSMS 發動服務阻斷攻擊 (Denial of Service, DoS)、以及侵入並攔截 CSMS 與已連線充電樁之間的連線,以竊取充電中車主的各種個資,包括駕照資訊、信用卡號、CSMS 登入資訊等。
SaiFlow 也指出,新版的 OCPP 2.0.1 已經修補好這兩個漏洞,其做法為當單一充電樁同時進行多個連線時,進行更頻繁的充電樁登入資訊提供要求。
隨著電動車的快速普及,其相關基礎設施的資安也將更為重要。建議公用充電樁業者應加強充電樁暨管理系統的資安防護與軟硬體升級作業,以免成為駭侵攻擊的受害者。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 WithSecure 日前發表研究報告,指出該公司旗下的資安研究人員,發現 Lazarus 駭侵團體涉嫌於 2022 年第四季針對印度公私立醫療、科技與能源研究單位和其供應鏈發動駭侵監控攻擊,其主要目的推定為情報收集分析。
報告詳細描述 WithSecure 觀察到的駭侵程序;首先是以 Zimbra mail server 軟體中已知的漏洞 CVE-2022-27925 和 CVE-2022-37042 侵入受駭單位的內部網路,並利用另一個已知漏洞「pwnkit」 CVE-2021-4034 來提升自我執行權限到 root 等級。
接著駭侵者利用 shelf webshell 和自製駭侵工具來安裝 proxy、tunnel 和連線中繼工具,並利用受駭者 Windows 網域中使用老舊作業系統 Windows XP 的主機來進一步安裝其他駭侵工具如 Grease、Minikatz 和 Cobalt Strike 等。駭侵者最後取得約 100GB 資料傳送到其設立的控制伺服器,但沒有進行任何破壞行為。
整個駭侵過程自 2022 年 8 月 22 日起,到 2022 年 11 月 11 日為止,約近三個月時間。
WithSecure 的報告指出,由駭侵者的作案手法與駭侵過程途中犯下的各種錯誤,研判後認定該駭侵活動 Lazarus 駭侵團體有高度相關性。
由此份報告中可獲知,駭侵者均使用各種軟硬體的已知漏洞進行攻擊,因此各公私單位的系統管理者,必須隨時更新使用中的各種軟硬體到最新版本,並列入定期維護的標準作業程序,以防駭侵者利用已知漏洞發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
SaaS 大廠 Atlassian 日前發表資安通報,指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501;該漏洞在某些情形下,可導致未授權駭侵者假冒其他用戶登入,並取得遠端連線能力以存取系統。
Atlassian 在資安通報中指出,在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下,Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號,以傳送給用戶的註冊 token 取得系統存取權限,而駭侵者可以透過兩種方式輕易取得該註冊用 token。
該 CVE-2023-22501 漏洞據 Atlassian 自行評估,其 CVSS 危險程度評分高達 9.4 分(滿分為 10 分),其危險程度評級也高居最危險等級的「Critical」。
Atlassian 指出,這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等,將此漏洞修補完成;如果無法立即升級版本,Atlassian 也備有對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。
Atlassian 指出,即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內,或透過單一登入 (SSO) 存取外部用戶目錄者,也應立即套用更新。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyble 旗下的資安研究人員,近來發表研究報告指出,該公司發現在俄羅斯駭侵相關論壇中,有一組名為「InTheBox」的駭侵團體,在論壇上出售一批多達 1,894 種網頁注入型手機惡意畫面覆疊模組;這些惡意畫面覆疊專門用於在 Android 手機上假冒各式服務官方網站,用以竊取用戶各類機敏資訊。
報告指出,這些假冒官網的覆疊畫面,主要用以竊取用戶在各大銀行、加密貨幣交易所或電子商務網站輸入的機敏資訊為主。
這批為數龐大的假冒網站惡意畫面覆疊和多種惡意軟體相容,包括有 814 種相容於 Alien、Ermac、Octopus、MetaDroid 惡意軟體(要價 6,512 美元)、495 種相容於 Cerberus 惡意軟體(要價 3,960 美元)、585 種相容於 Hydra 惡意軟體(要價 4,680 美元)。該駭侵者也提供單一網頁注入覆疊畫面銷售,一個要價 30 美元。
據 Cyble 的分析報告指出,InTheBox 的惡意畫面覆疊模組包含一個 App 用 PNG 圖檔,以及內含可竊取用戶機敏資訊 JavaScript 指令的 HTML 檔案。在大多數情形下,這些覆疊模組會蓋掉正牌官網的登入或資料輸入畫面,並且竊取用戶輸入的資訊;該段 JavaScript 甚至能夠驗證用戶輸入的信用卡資訊是否有效。
Cyble 也指出,InTheBox 販售這類惡意覆疊畫面已有相當長的時間,這些惡意畫面也曾用於多次攻擊行動,最近一次是在 2023 年 1 月針對西班牙的銀行。
鑑於 Android 系統上這類假冒官網畫面覆疊的攻擊十分頻繁,建議 Android 用戶在點按任何連結或安裝應用程式時,都應特別提高警覺,檢查連結的正確性,並且避免下載來路不明或評價偏低的 App。
twcert 發表在
痞客邦
留言(0)
人氣()
