透過 API 進行的資安駭侵攻擊,2021 年大增 681%.jpg

資安廠商 Salt Security 旗下的資安研究人員,日前發表研究報告,指出在 2021 年間,透過 API 進行的各式資安攻擊,較 2020 年增加了 681%。
根據該報告指出,Salt Security 觀察到的各種 API 呼叫中,正常目的的 API 呼叫次數成長了 321%,但用於惡意資安駭侵攻擊的 API 呼叫則成長了 681%,呈現完全不成比例的巨幅增加。
API(Application Programming Interfaces)是許多網路與軟體服務相互溝通、交換資料的介面;為確保資料傳輸過程的安全性,通常必須要有強度足夠的安全認證與傳輸加密;不過顯然在這方面仍有許多尚待補強之處,才導致各種 API 駭侵攻擊以如此高的速度成長。
報告指出,不安全的 API 介接、認證與傳輸流程,可能導致多種形態的駭侵攻擊,包括分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)、SQL 指令注入、中間人攻擊(Man-in-the-middle attack)、惡意軟體感染擴散,以及不當登入與資料存取等。
Salt Security 也指出,多數 API 的開發流程中的資安保護,有嚴重的資源錯置問題。據該公司的報告指出,多家公司對 API 的資安保護資源,往往集中在設計規畫(47%)、測試(59%)與初期部署(26%)階段;在該 API 正式上線運作後,多數公司並未針對 API 的執行安全性投注足夠資源(僅有 26%),但絕大多數透過 API 的資安攻擊,都發生在 API 上線運作後的 Runtime 階段。


twcert 發表在 痞客邦 留言(0) 人氣()

TP-Link無線路由器RCE漏洞的攻擊程式已遭公開,建議用戶立即進行更新

TP-Link旗下一款無線路由器Archer C20i存有嚴重RCE資安漏洞,可能導致用戶遭到駭客進行遠端執行任意程式碼攻擊。
該漏洞發生在路由器設備的X_TP_ExternalIPv6Address HTTP參數,駭客可以觸發這個漏洞執行遠端身分驗證及作業系統命令注入,並允許駭客在路由器上以root權限遠端執行任意命令。

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出,8 個字元長度的複雜密碼,最新繪圖卡僅需一小時即可破解

資安廠商 HIVE SYSTEMS  日前發表研究報告指出,運用市場上最新的強大繪圖卡,來模擬進行密碼 MD5 比對,駭侵者將能在 1 小時內破解包含大小寫字母與數字的 8 位數字元密碼。
HIVE SYSTEMS 的報告中指出,由於當代繪圖卡上的繪圖處理器計算能力大幅提升,因此能在更短的時間內,利用暴力試誤法與 MD5 雜湊值比對,快速破解字元數不足或複雜度不足的密碼。
舉例來說,同樣是 8 個字元,含有大小寫英文字母、特殊符號與數字的密碼,使用 2020 年時的高效能繪圖卡(內建 NVIDIA RTX 2080 繪圖處理器),需要耗費 8 小時才能破解;但在現今使用最新高效能繪圖卡(內建 NVIDIA RTX 3090 繪圖處理器),則只需要 5 個小時。
除了使用現今的主流繪圖卡外,HIVE SYSTEMS 也使用目前處理速度最快的雲端運算服務,使用 8 個 NVIDIA A100 Tensor Core 繪圖處理器的 Amazon 高效能運算叢集來進行模擬破解,結果顯示,同為 8 個字元,含有大小寫英文字母、特殊符號與數字的密碼,只花了 39 分鐘就成功破解。
HIVE SYSTEMS 的報告也指出,若將密碼以較強的 bcrypt salting 方式進行加密,使用上述 Amazon 高效能雲端運算服務,破解同為 8 個字元,含有大小寫英文字母、特殊符號與數字的密碼,將需時 36 年。
不過報告也指出,如果用戶使用的密碼在多個服務中使用相同密碼,因而曾遭外洩的話,即使是長達 18 個字元,且混雜使用大小寫字母、數字與特殊符號,都會立即遭到破解。


twcert 發表在 痞客邦 留言(0) 人氣()

多組駭侵者假借「金援烏克蘭」為由,設立加密貨幣詐騙捐款專戶

在烏俄交戰之際,開始有駭侵者設立假冒的烏克蘭政府捐款帳戶,利用各種管道詐騙不知情用戶捐給烏克蘭的加密貨幣。
烏克蘭政府於日前公開設立官方的加密貨幣捐款方式,並且呼籲全球踴躍捐款,以加密貨幣援助烏克蘭對抗俄羅斯的入侵;目前已成功募得約 3,700 萬美元的加密貨幣捐款。
正因該捐款活動十分熱烈成功,在短期間內就為烏克蘭政府募得相當多的資金,因此近來開始有多組不法分子,在網路上透過各種管道,包括釣魚網頁、論壇貼文、垃圾郵件等方式,假冒為烏克蘭政府的募款專戶,引誘不查的用戶轉帳到指定的加密貨幣錢包。
據各方資安專家與媒體收集到的資訊表示,這些貼文多半都會以聳動的文句來試圖打動同情烏克蘭處境的網友,促使他們將捐款轉到詐騙集團設立的加密貨幣錢包;也有資安專家指出,包括 savelideinukraine.app-en.com、donateukarine.sbs、shelterukarine.org、UkarineGlobalAid.com 等,都是詐騙集團設立的假網站。
事實上烏克蘭政府在 Twitter 上經過認證的官方帳號,貼出了官方收取比特幣、以太幣、USDT 等加密貨幣的捐款錢包網址,但仍有人擔心該國官方 Twitter 帳號可能遭駭侵者盜用,因為先前亦有多位經過官方認證的 Twiiter 名人與重要組織帳號曾遭駭侵者盜用於加密貨幣詐騙。
資安專家呼籲用戶,如果要進行加密貨幣捐款給烏克蘭或任何組織,必須先確認訊息來源確實來自可信賴的官方管道,以免愛心遭到濫用。


twcert 發表在 痞客邦 留言(0) 人氣()

TeaBot 木馬惡意軟體再次出現在 Google Play Store 中,目標鎖定美國用戶進行金融駭侵攻擊

資安廠商 Cleafy 旗下的資安研究人員,日前發表研究報告,指出之前曾在 Google Play Store 中出現,以金融相關攻擊為主的 TeaBot 木馬惡意軟體,現在又在 Google Play Store 中出現,主要攻擊美國的 Android 用戶。
報告指出,TeaBot 這次是藏身在一支名為「QR Code & Barcode - Scanner」的 App 中,之前這個惡意木馬軟體,也曾在一月時出現在 Google Play Store 中,當時相關軟體曾遭 Google 下架,事隔一個多月後又再度出現。
研究人說,TeaBot 的幕後駭侵團體,似乎找到了再次混入 Google Play Store 的有效方法;該單位認為駭侵者在首次上架軟體時,提供的是不含惡意程式碼,且具備所宣稱正常功能,且要求權限不多的版本;這不但可以騙過 Google Play Store 的審核,同時也能幫 App 累積相當多的正面評價。
一但用戶自 Google Play Store 中安裝了看似正常的 QR Code & Barcode - Scanner 後,接著該 App 會自外部連結下載更新版本,而這個外部連結,就是位於 Github 上的惡意軟體程式碼;會有一個名為「QR Code Scanner: Add-On」的新 App 安裝到用戶手機上,其中就內含 TeaBot 木馬惡意軟體。
該 App 接著會向用戶要求各種輔助使用權限,以便截取用戶的螢幕顯示畫面中的各種雙重驗證碼、簡訊內容等等,還會自動打開各種權限,開始攔截用戶通訊內容中的各種金融相關關鍵字,包括網路銀行、保險、加密貨幣錢包、加密貨幣交易所等。


twcert 發表在 痞客邦 留言(0) 人氣()

烏克蘭網軍宣布駭入多個俄羅斯關鍵網站,使其下線

烏克蘭政府日前宣布,作為烏克蘭對抗俄羅斯入侵戰爭的反抗,軍方所屬的網路作戰單位,已經「攻下」俄羅斯多個重要網站,使其無法運作。
烏克蘭於 2 月 26 日發布通告成立「IT 軍種」,徵求全球駭客加入,以資安攻擊手法協助烏克蘭在網路上對抗入侵該國的俄羅斯;烏克蘭同時列出 31 個俄羅斯官方與私營重要目標,包括政府機構、關鍵基礎設施、金融機構等。
烏克蘭數位發展部長 Mykhailo Fedorov 也在 Twitter 上公開徵求全球資安高手加入該國  IT 軍,並鼓勵大家加入一個新設立的 Telegram 討論群組;所有命令與工作都會透過該群組發布。
據資安廠商 Cyber Unit Technologies 的創辦人 Yegor Aushev 指出,每天都有數百名全球各地資安高手申請加入該群組,甚至也有俄羅斯駭客表示願意為烏克蘭 IT 軍效勞。
而在烏克蘭 IT 軍成立數日後,烏克蘭便表示已成功駭入多個俄羅斯與白俄羅斯公私網站,包括 sberbank.ru、vsrf.ru、scrf.gov.ru、kremlin.ru、radiobelarus.by、rec.gov.by、sb.by、belarus.by、belta.by、tvr.by 等網站均已無法運作。
另外,也有獨立的駭侵團體加入攻擊俄羅斯與白俄羅斯網站的行動;一個名為 Cyber Patisans 的白俄羅斯駭侵團體,宣稱已經成功阻擾白俄羅斯的鐵路交通,以減慢俄羅斯軍隊的運補作業。


twcert 發表在 痞客邦 留言(0) 人氣()

Toyota 日本國內所有工廠,因供應商遭駭而全面停工

全球最大汽車製造商 Toyota,因為旗下的供應商伺服器遭到駭侵攻擊,日前宣布在日本國內的所有工廠,在 3 月 1 日全面停工一日。
據新聞媒體指出,遭到駭侵攻擊的是 Toyota 集團所屬,位於愛知縣豐田市的小島沖壓工業株式會社(Kojima Industries);該公司的伺服器系統遭到不明駭侵攻擊,因而無法運作。
由於小島沖壓工業供應的是對汽車生產十分重要的各種塑膠製零組件,因此對 Toyota 的供應鏈與生產線運作造成嚴重衝擊;目前 Toyota 在日本各地的 14 家汽車製造工廠,都因這次事件而停工一天,預計三月總產量會因而減少 5%,約 13,000 台汽車。
Toyota 與小島沖壓工業雖然並未正式指出這次事件的細節,也未證實這是駭侵事件,只表示是因為小島沖壓工業的系統故障而必須停工,但小島沖壓工業在接受媒體採訪時,指出故障可能就是因為外界駭侵攻擊而造成。
除了 Toyota 本社外,Toyota 旗下的大型車製造廠 HINO 與小型車、輕型車品牌 Daihatsu 也宣布停工。
Toyota 對外表示,正在會同小島沖壓工業積極展開伺服器復原作業,以便儘早復工;但該公司是否能在 3 月 2 日順利恢復各廠的汽車生產作業,目前尚無法預期。


twcert 發表在 痞客邦 留言(0) 人氣()

DeadBolt 勒索攻擊 Asustor NAS 裝置,官方已釋出更新修補程式

日前傳出 Asustor NAS 裝置遭 DeadBolt 勒索軟體攻擊,Asustor 已於 2 月 24 日下午緊急推出更新,以阻止攻擊。
當裝置遭 DeadBolt 勒索軟體攻擊得逞後,除了所有檔案都會加密,並且加上「.deadbolt」的副檔名外,裝置管理介面的登入畫面,也會被替換成一個警告頁面;在該頁面中,駭侵者會向受害者勒贖比特幣,才能解開所有檔案。
Asustor 官方在支援論壇中指出,該公司目前正在調查整起案件,已暫停 myasustor.com 的 DDNS 服務,同時建議用戶,一旦發現 NAS 裝置可能遭到 DeadBolt 攻擊時,採取下列步驟:

拔除乙太網路埠上的網路線。
按下電源鍵三秒以上,將 NAS 安全關機。
切勿開機,以免資料遭到刪除。
填寫服務表單,技術人員會盡快與用戶連絡。

twcert 發表在 痞客邦 留言(0) 人氣()

全球最大 NFT 交易平台 OpenSea 用戶遭釣魚攻擊詐騙,損失達 200 萬美元

全球交易量最大的「非同質性代幣」(Non Fungible Token, NFT) 交易平台 OpenSea,日前發生多名用戶遭到駭侵者發動的釣魚攻擊的資安事件,導致高達 200 萬美元以上的 NFT 收藏品遭駭侵者竊走。
據資安廠商 Check Point 指出,駭侵者是利用 OpenSea 即將升級其智慧合約(Smart Contract)系統的時機,對部分 OpenSea 用戶發送詐騙的釣魚信件,內容要求用戶必須在規定時間之內,將其上架於 OpenSea 的 NFT 收藏品搬移(migrate)到新平台上,否則原先上架的 NFT 將會下架,用戶必須另行上架。
一旦用戶按下釣魚信件中的按鈕,就會被導到一個釣魚網站;如果用戶按下了「簽署」的按鈕,其帳號中擁有的 NFT 代幣,就會被轉移到由駭侵者控制的錢包內。
在這次事件中,受害的 OpenSea 用戶一共有 17 名,一共有 250 個以太坊(Ethereum)上的 NFT 代幣遭到竊走,以美元計價,損失高到 200 萬美元左右。
OpenSea 在調查這起事故後,對外聲明表示,這次事件並非利用 OpenSea 平台的系統進行,該公司的平台並沒有發現任何相關漏洞,因此是一次單純的釣魚詐騙案件。
在該起事件曝光後,駭侵者就停止發送釣魚詐騙信件給其他 OpenSea 用戶,因此案情並未繼續擴大。
資安專家呼籲,由於近日 NFT 的交易十分熱門,涉及的轉帳金額也愈來愈大,因而成為資安攻擊的目標;用戶在進行任何帳務相關操作時,務必再三確認,以免成為這類詐騙案件的受害者,蒙受巨大損失。


twcert 發表在 痞客邦 留言(0) 人氣()

WordPress 強制更新 UpdraftPlus 外掛程式的嚴重資安漏洞

WordPress 日前強制針對裝有 UpdraftPlus 外掛程式的網站進行強制更新,以修補一個嚴重漏洞 CVE-2022-0633,受影響網站超過 300 萬個。
這個漏洞讓網站內容訂閱戶,可以輕易下載網站最新的備份檔案,而在備份檔案中往往會包括許多可資辨識身分的個人資料。
UpdraftPlus 是個可以簡化網站備份與還原流程的 WordPress 外掛程式,可以進行排程備份,也可以將備份檔案自動寄到可信賴的 Email 信箱中。
不過,該漏洞讓任何執行權限的登入用戶,都能利用特製的連結來下載網站的備份檔,藉以竊取網站資料庫中的任何機敏資訊。

這個漏洞由於操作並不困難,因此依 CVSS 危險程度分級列為「高度危險」(high)等級,其危險程度評為為 8.5 分(滿分為 10 分)。
該漏洞是 WordPress 開發廠商 Automattic 旗下的資安研究人員於本(2022)年 2 月 14 日所發現的,並且立即通報給外掛程式開發廠商;開發者很快就完成漏洞修補,WordPress 於 2022 年 2 月 16 日開始強制裝有此外掛程式的三百多萬個 WordPress 網站升級;這在 WordPress 來說是相當罕見的。
UpdraftPlus 存有此漏洞的版本,自 1.16.7 至 1.22.2;開發者推出 1.22.3 與 2.22.3(付費專業版),以修復此漏洞。
UpdraftPlus 開發者在幾天後,又再度推出新版,強化漏洞修補,目前最新版本為 1.22.4;建議所有 UpdraftPlus 用戶,儘速更新到此最新版本。

twcert 發表在 痞客邦 留言(0) 人氣()

為防範 ASUSTOR NAS 遭 DeadBolt 勒索病毒攻擊,建議用戶立即進行資安防護

因應 DeadBolt 勒索病毒攻擊,ASUSTOR Inc. 目前暫時停止 EZ-Connect 、ASUSTOR EZ Connect、ezconnect.to 服務,並研究勒索病毒的根源與解決方案。
為避免用戶遭 DeadBolt 勒索病毒攻擊而造成損失,建議立即採取以下措施:

twcert 發表在 痞客邦 留言(0) 人氣()

Google 資安團隊指出,Linux 開發者修補資安漏洞的速度,比其他主流軟硬體與作業系統業者都快

Google 旗下的資安研究團隊 Project Zero,日前發表一分針對市場主流作業系統、軟硬體業者修補該單位提報資安漏洞所需時間的統計報告;報告中指出 Linux 開發者推出資安修補所需日數是最短的,平均為 25 日。
在這份報告中,Project Zero 統計了 2021 年各大主流作業系統暨軟硬體廠商,針對該單位發現並提報的資安漏洞,推出修補更新所需的日數。首先,各廠商推出修補的平均所需日數為 52 日,較三年前的 80 日大幅加速,顯見各廠商對資安漏洞的修補更加重視,並投入了大量資源。
報告中說,Project Zero 在 2019 到 2021 年間,一共向各廠商提報多達 376 個資安漏洞,並要求這些廠商按該單位設立的標準(90 日)內修復漏洞;其中有 351 個(93.4%)獲得修復、14 個(3.7%)被廠商回報列為不予修復(won’t fix)、11 個(2.9%)從未修復。
從漏洞修復的速度來看,這三年來各大廠商修復漏洞的速度多半都有加快,從 2019 年到 2021 年所需日數如下所示:

twcert 發表在 痞客邦 留言(0) 人氣()

Blog Stats
⚠️

成人內容提醒

本部落格內容僅限年滿十八歲者瀏覽。
若您未滿十八歲,請立即離開。

已滿十八歲者,亦請勿將內容提供給未成年人士。