美國聯邦貿易委員會(Federal Trade Commission, FTC)日前公告,警告任何無法採取行動,有效保護客戶資料不受 Log4j 漏洞影響的企業,將會受到該單位的法律制裁。
FTC 發表的新聞稿指出,Log4j 漏洞(CVE-2021-44228)的影響十分嚴重,對數百萬種消費性產品、企業用軟體與網路服務造成巨大資安危機,且已遭到駭侵者廣泛運用於各類資安攻擊。
FTC 說,依照相關美國法律,包括聯邦貿易委員會法(the Federal Trade Commission Act)與金融服務法現代化法案(Gramm Leach Bliley Act),企業有責任處理已知的軟體資安漏洞。
FTC 指出,2019 年時 Equifax 即因未能立即處理已知的軟體資安漏洞,造成 1.47 億客戶個人資料外洩,因此被判 7 億美元的巨額罰款。
FTC 表示,如果有任何企業未能依法立即處理已知的 Log4j 漏洞,或是未來任何已知的資安漏洞,因而造成顧客資料損害,FTC 將動用一切司法行政能力,對這類企業進行裁罰。
FTC 要求各企業依照美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)提出的指南,加強應對 Log4j 漏洞,包括將使用 Log4j 程式庫的軟體更新至最新版本、依照指南強化資安防護能力與布署、確認所有步驟符合上述法律的要求,並且將相關訊息通報所有相關關係人,例如軟體供應商、代理商等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Minerva Labs 旗下的資安專家,近期發現一個名為 Purple Fox 的惡意軟體,藉由遭到竄改的 Telegram 社群通訊軟體 Windows 安裝程式散布,可能導致駭侵者進一步在受感染裝置中植入惡意程式碼。
資安專家發現的 Telegram 惡意安裝程式,是一個編譯過的 AutoIt 指令檔,名為「Telegtam Desktop.exe」,內含兩個部分;一個是真正的 Telegram 安裝程式,另一個則是惡意軟體的下載工具。
受害者執行這個遭到竄改的安裝程式時,會同時在用戶的「C:\Users\Public\Videos\」下新增一個名為「1640618495」的資料夾,然後連接到駭侵者設立的控制伺服器,下載一個 7z 工具程式與 RAR 壓縮檔;接著 7z 工具程式就會將壓縮檔中的惡意程式碼檔案解壓縮到用戶電腦的「ProgramData」資料夾中。
用戶的 Windows 登錄檔內,還會新增一個機碼,以常駐執行惡意軟體;另外也會安裝多個檔案,以阻止 UAC 與 360AV 的執行,避免 Purple Fox 遭到發現。
據 Minerva Labs 表示,目前還不清楚 Purple Fox 透過哪些管道散布,但有許多類似假冒正版程式的惡意軟體,會透過 YouTube 影片下的留言、討論區的的垃圾貼文、盜版軟體下載網站等管道來散布。
資安專家呼籲社會大眾,下載安裝軟體時,必須確認是經由官方網站或可信賴的來源進行,不要在可疑的網站或社群空間中點按連結以安裝軟體,以避免遭到惡意軟體攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現 Netgear 一款相當暢銷的路由器存有六個尚未修復的漏洞,可能導致駭侵者完全控制路由器。
資安廠商 Tenable 旗下的資安研究人員,近期發現 Netgear 一款相當暢銷的路由器 Netgear Nighthawk R6700v3 存有六個尚未修復的漏洞,可能導致駭侵者完全控制路由器。
這款路由器具有一些專為遊戲用途設計的功能,在市場上相當受歡迎;研究人員在其最新版本的韌體 1.0.4.120 中發現多達六個漏洞,分述如下:
twcert 發表在
痞客邦
留言(0)
人氣()
瑞士研究單位進行的大型釣魚攻擊受害者,針對某大企業 14,733 名員工進行的長期研究指出,企業經常採用的釣魚郵件攻擊教育訓練,不但無法讓員工對不明郵件提高警覺,反而會使員工更容易上鉤。
瑞士蘇黎世聯邦理工學院(ETH Zürich)資訊系的研究人員,近來發表一篇關於企業員工與釣魚郵件的研究報告。該報告針對某大企業 14,733 名員工進行的長期研究指出,企業經常採用的釣魚郵件模擬攻擊,不但無法讓員工對不明郵件提高警覺,反而會使員工更容易上鉤。
該研究計畫係與一間匿名大型企業合作進行,針對企業內部的 14,733 名員工,進行長達 15 個月的研究;研究主題希望能夠闡明下列四個問題:哪類員工容易在釣魚攻擊中上鉤、長期來看脆弱點如何演變、各種為提升資安意識進行的內部嵌入式訓練與警告的有效程度,以及員工是否能夠幫助發現釣魚攻擊活動。
報告指出幾個與過去研究類似的結論,但也有一些與過去的理解相反的新發現。
其中一個與過去不同的發現,是這次研究的結果指出,員工性別和釣魚郵件的上鉤率並無相關,而過去的研究認為男性比女性員工更容易上鉤。
此外,這次研究也發現,較年輕與較年長的員工,都容易受到釣魚郵件誘惑而點擊惡意連結;18-19 歲的比例最高,其次是 50-59 歲員工,點擊率最低的是 20-29 歲。
另外研究也指出,工作上必須大量使用客製化軟體,進行各種高重覆性工作的員工,也比較不常使用電腦,或使用的軟體與服務較多樣化的員工,更容易成為釣魚攻擊的破口。
本研究也證實過去的研究,也就是曾經上鉤的員工,有高達 32.1% 會再次點擊惡意連結或開啟含有惡意程式的郵件附檔。
本研究證實了各企業經常舉辦的各種釣魚攻擊防範措施,包括發送摸擬釣魚攻擊,以及非強制性的資安教育訓練,不但無法提高員工的警覺,反而會讓惡意連結的點擊次數上升。
報告也說,如果企業提供員工檢舉釣魚郵件的機制,最高會有近 80% 的釣魚郵件攻擊遭到員工檢舉;這將可大大提高企業防範釣魚攻擊的能力。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟最新推出 2021 年 12 月的「Patch Tuesday」資安更新修補包,一共修復多達 67 個資安漏洞,其中更有 6 個 0-day 漏洞;各種微軟產品用戶,應立即更新至最新版本。
在這 67 個得到修復的資安漏洞之中,依漏洞類型來區分的話,其類型及數量如下:執行權限提升漏洞:21 個;遠端執行任意程式碼漏洞:26 個;資訊洩露漏洞:10 個;服務阻斷攻擊漏洞:3 個;詐欺假冒漏洞:7 個。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近期推出的 iOS 15.2,修復一個可讓駭侵者於 15 秒內即可破解的漏洞;該漏洞可導致駭侵者快速破解裝置保護,遠端執行任意程式碼。
Apple 近期推出的 iOS 15.2 新版作業系統更新,修復一個可讓駭侵者於 15 秒內即可破解的漏洞 CVE-2021-30955;該漏洞存於舊版 iOS 系統中的 Mobile Safari 瀏覽器,可導致駭侵者快速破解裝置保護,遠端執行任意程式碼。
該漏洞曾在 2021 年 10 月於中國成都的「天府杯」資安大賽中,由一個名為「崑崙實驗室」的資安團隊,以 15 秒的時間,利用此漏洞快速完成「越獄」,破解最新上市且搭載當時最新 iOS 15.0.2 版本的 iPhone 13 Pro。
據資安專家表示,CVE-2021-30955 漏洞不只出現在 iOS 行動作業系統內,包括 Mac 電腦使用的作業系統 macOS,也含有此漏洞。
Apple 於近日推出一系列作業系統更新版本,包括 iOS 15.2、macOS Monterey 12.1、macOS Big Sur 11.6.2、macOS Catalina 資安更新 2021-008、iPadOS 15.2、tvOS 15.2、watchOS 8.3 等,除了解決上述的 CVE-2021-30955 嚴重 RCE 漏洞外,還更新了另外 8 個其他漏洞,較重要的如下列:CVE-2021-30927、CVE-2021-30980:使用已釋放記憶體的漏洞,可導致駭侵者以核心權限執行任意程式碼;CVE-2021-30937、CVE-2021-30949:均為記憶體崩潰漏洞,可導致駭侵者以核心權限執行任意程式碼;CVE-2021-30993、CVE-2021-30983:均為緩衝區溢位漏洞,可導致惡意程式或位於特定網路位址的駭侵者執行任意程式碼。
twcert 發表在
痞客邦
留言(0)
人氣()
在 Log4j Java 嚴重漏洞消息公開後,資安專家首次觀察到有疑似利用此漏洞發動的勒贖攻擊活動。
在近期 Log4j Java 嚴重漏洞消息公開,且已有利用此漏洞的大量各式資安攻擊發生後,資安專家首次觀察到有疑似利用此漏洞發動的勒贖攻擊活動。
這個嚴重的 Log4j Java 0-day 資安漏洞 CVE-2021-44228,由於可以輕易利用,再加上使用極為廣泛,在上周公開後,引發極大的資安風暴。雖然 Apache Foundation 立即推出修復版本,但各種不同規模大小的服務與軟體,還需要一段時間才能全面更新;在這段期間,多個資安廠商與研究機構,就已發現大量各型利用此漏洞發動的攻擊,從植入惡意軟體、釣魚攻擊、服務阻斷攻擊、挖礦程式、僵屍網路等,可謂無奇不有。
近日資安廠商 Bitdefender 就發表了一份研究報告,指出該公司觀察到首例例用 Log4j 發動的勒贖攻擊事件;該駭侵團體會利用 Log4j 漏洞,從一台伺服器中下載一個名為 Khonsari 的 .NET 勒贖攻擊程式碼,將受害電腦中的所有檔案全部加密。
不過資安專家指出,這次勒贖攻擊事件中,駭侵者沒有留下任何交付贖金的聯絡資料,因此也有可能只是駭侵團體用來進行測試,未來可能還會出現更大規模的真正勒贖攻擊。
此外,Microsoft 旗下的資安研究單位 Microsoft Threat Intelligence Center(MSTIC)也發布資安通報,指出該單位觀察到有駭侵攻擊利用 Log4j 漏洞,在受害電腦中植入 Cobalt Strike 信標惡意軟體,可下載不同的惡意程式碼酬載,以進行進一步的駭侵。
twcert 發表在
痞客邦
留言(0)
人氣()
去中心化加密貨幣金融平台 Badger 傳遭駭侵者竊走鉅額數位資產,據報遭竊的比特幣與以太幣,總價值合計超過 1 億 2000 萬美元。
去中心化加密貨幣金融服務(Decentralized Finance, DeFi)平台 Badger ,日前傳遭駭侵者竊走鉅額數位資產;據報遭竊的比特幣與以太幣,總價值合計超過 1 億 2000 萬美元。
去中心化金融服務是透過區塊鏈上的智慧合約,以自動執行的方式,提供用戶各種加密貨幣存款、貸款、融資等金融服務,是近年來十分熱門的加密貨幣金融服務類型。
據區塊鏈分析業者 PeckShield 表示,該公司是最先發現這筆鉅額竊案的業者;據 PeckShield 的觀察報告指出,在 Badger 緊急關閉該公司的智慧合約系統前,駭侵者從 Badger 用戶的帳號中,一共竊走 2,100 枚比特幣,以及 151 枚以太幣,以竊取發生當時的市場幣價來估算,總損失金額高達 1 億 2,030 萬美元。
PeckShield 也說,該公司觀察到有一位 Badger 用戶,個人就被竊走多達 900 枚比特幣,損失高達 5,000 萬美元以上。
多家加密貨幣相關媒體指出,在 Badger 的官方 Discord 社群頻道上,有一些用戶指出,駭侵者是利用了 Badger 使用者界面的一個資安漏洞,以取得用戶錢包的控制權,並且藉以竊走存在用戶錢包中的數位資產。
Badger 在竊案發生後,僅對外表示已經緊急暫停所有帳戶的交易功能,並正在進行內部調查,有結果後會對外公開說明,但尚未提供任何關於漏洞與遭駭過程的資訊。
2021 年以來已經發生多起針對加密貨幣平台的駭侵竊盜事件,造成極為巨大的財損;例如 PolyNetwork 遭竊達 6 億美元、Cream Finance 遭竊 1 億 3,000 萬美元、Liquid 遭竊 9,400 萬美元。而 Cream Finance 今年更是三次發生駭侵竊盜事件,總損失合計高達近 2 億美元。
twcert 發表在
痞客邦
留言(0)
人氣()
怎麼安全的管理密碼,密碼一直都是大家很關心的議題,包含使用者、平台開發商等,希望本片提供的建議能夠幫助大家保護帳號及密碼。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個常用於雲端服務的遠端 USB 裝置掛載軟體 Eltima SDK,內部存有高達 27 個資安漏洞,不過目前尚未發現有駭侵者利用這漏洞發動攻擊。
資安廠商 Sentinel Labs 旗下的資安專家,近日發現一個常用於雲端服務的遠端 USB 裝置掛載軟體 Eltima SDK,內部存有高達 27 個資安漏洞,不過目前尚未發現有駭侵者利用這漏洞發動攻擊。
Eltima SDK 廣泛使用於多家雲端運算業者提供的虛擬作業系統桌面服務;由於全球肺炎疫情,使得許多公司讓員工遠距工作,並透過這類虛擬作業系統服務,讓員工可以使用企業專屬的各種軟體與系統。
而 Eltima SDK 的功能,就是讓這類遠距使用虛擬作業系統桌面的用戶,可以將各式 USB 裝置插上自己的電腦,透過該 SDK 掛載到虛擬作業系統的檔案系統中,進行檔案存取或其他功能。
據 Sentinel Labs 指出,由於 Eltima SDK 中的漏洞,駭侵者將有可能藉由遠距用戶掛載的 USB 裝置,藉機駭入雲端服務者提供的虛擬作業系統內,使其資安防護功能失效,甚至進一步駭入企業內網,發動各種如資料竊取、竊聽監控、勒贖等駭侵攻擊行動。
Sentinel Labs 在發現這批漏洞的第一時間,就通報給 Eltima,Eltima 也已全數修復這些漏洞;然而使用 Eltima SDK 的雲端服務廠商及其產品為數眾多,仍待逐一升級。
以下是使用受影響版本 Eltima SDK 的雲端服務列表:Amazon Nimble Studio AMI 2021/07/29 之前版本Amazon NICE DCV, 2021.1.7744 (Windows)、2021.1.3560 (Linux)、2021.1.3590 (Mac) 2021/07/30 之前版本Amazon WorkSpaces agent, v1.0.1.1537, 2021/07/31 之前版本Amazon AppStream client 1.1.304, 2021/08/02 之前版本NoMachine 所有 Windows 產品 v4.0.346 至 v.7.7.4 之間版本 (v.6.x 正在修復中)Accops HyWorks Client for Windows: v3.2.8.180 與之前版本Accops HyWorks DVM Tools for Windows: 3.3.1.102 與之前版本 (Accops HyWorks 部分 v3.3 R3 之前版本)Eltima USB Network Gate 9.2.2420 到 7.0.1370 之間版本Amzetta zPortal Windows zClientAmzetta zPortal DVM ToolsFlexiHub 5.2.14094 至 3.3.11481 之間版本Donglify 1.7.14110 至 1.0.12309 之間版本
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商近日針對密碼對企業員工生產力影響程度發表調查報告,指出多數美國企業員工的生產力深受密碼的影響,有高達 60% 員工認為密碼造成生產力的下降。
資安廠商 Axiad 近日發表一份調查報告,報告針對密碼對企業員工生產力影響程度與曾面進行各項調查,結果指出多數美國企業員工的生產力深受密碼的影響;有高達 60% 員工認為密碼造成生產力的下降。
該報告名為「Axiad 2021 年秋季密碼與生產力調查」(Axiad Fall 2021 Passwords and Productivity Survey),針對美國境內 2,000 名辦公室工作者進行問卷調查,以了解其工作現場上的密碼政策與實作,對其生產力的影響程度。
報告呈現了幾個重要的數字,分列如下:60% 受訪者表示,企業的認證程序曾經造成他們工作的障礙;59% 受訪者曾因無法存取工作用電腦,而必須向 IT 人員求助;48% 受訪者表示曾被限制而無法使用各種生產力工具或工作用通訊軟體(如 Slack);48% 受訪者表示曾經忘記過登入系統用的密碼;用於解決工作上登入問題的平均所需時間為 4 小時 43 分鐘;15% 受訪者花了超過 9 小時以上,才解決無法登入工作用系統的問題;67% 受訪者知道多重驗證可以當做密碼替代工具;46% 受訪者表示其公司的 IT 人員,從未要求員工使用密碼之外的登入驗證機制;63% 受訪者認為密碼是許多工作障礙的根源;43% 受訪者認為密碼很麻煩;35% 受訪者認為密碼造成潛在資安危機;46% 受訪者認為設定新密碼對其記憶力是一種困難的挑戰;45% 受訪者認為設定新密碼令人感到挫折;35% 受訪者表示很難設定出強度足夠的密碼。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家近期發現存於現用 Wi-Fi 與藍牙晶片中的多個資安漏洞,可導致駭侵者用於竊取裝置密碼與各種資料。
多個資安研究機構的資安專家,近期聯合發表研究報告,指出研究人員發現存於現用 Wi-Fi 與藍牙晶片中的多個資安漏洞,可導致駭侵者用於竊取裝置密碼與各種資料。
來自德國達姆城大學(University of Darmstadt)、義大利布雷西亞大學(University of Brescia)、義大利國立大學校際電信聯合會(National, Inter-University Consortium for Telecommunications, CNIT)、行動網路資安實驗室(Secure Mobile Networking Lab)等單位,近期共同發表研究報告,指出現在廣為使用的各廠 Wi-Fi + 藍牙行動通訊裝置晶片中,共有 9 個資安漏洞,可讓駭侵者發動各種攻擊,包括遠端執行任意程式碼、空中(Over-the-air)發動服務阻斷攻擊(DoS)、擷取網路密碼,以及讀取機敏資訊。
共有三家供應商的 Wi-Fi + 藍牙晶片含有這些漏洞,包括 Broadcom、Cypress (CVE-2020-10368、CVE-2020-10367、CVE-2019-15063、CVE-2020-10370、CVE-2020-10369)、Silicon Labs(CVE-2020-229531、CVE-2020-29533、CVE-2020-29532、CVE-2020-29530)。
研究報告指出,市面上各種內建 Wi-Fi 無線網路與藍牙無線通訊的裝置,通常採用單晶片解決方案,在晶片中含有分別對應 Wi-Fi、藍牙、LTE 通訊的模組,也各自有各自的資安保護程序;然而這些單晶片解決方案也有不少資源是由這些通訊模組所共享的,例如天線和無線電頻譜等。
在單晶片中共享資源,目的是為了降低能耗與延時,提升通訊的傳輸吞吐量,但也造成駭侵攻擊者的可趁之機;這份報告即證實了可以利用這些不同通訊組件之間的共享橋接部分來發動攻擊。
報告中詳列多部因採用這三家廠商晶片而可遭駭入的裝置,例如 Apple iPhone 6、7、8、X、XR、11、SE2、Samsung Galaxy S6、S8、S10、S20 等系列、MacBook Pro 2016、Macbook Pro/Air 2019-2020 等極為暢銷的機種。
目前各大廠牌仍在研究修復這些晶片漏洞的方案,在更新方案推出前,專家建議用戶移除非必要的藍牙裝置配對與 Wi-Fi 網路,在公共場所避免使用 Wi-Fi,改使用 4G 或 5G 行動網路,即可降低遭駭侵者利用這批漏洞發動攻擊的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
