Apache Log4j 漏洞影響巨大,美國資安主管機關通令政府單位立即修復

由於 Apach Log4j Java 程式庫 0–day 漏洞造成的影響十分巨大且嚴重,美國資安主管機關發出命令,要求美國聯邦政府各單位,限期於 12 月 24 日前修復完成。
由於 Apach Log4j Java 程式庫 0-day 漏洞 CVE-2021-44228 造成的影響十分巨大且嚴重,美國資安主管機關「資安暨關鍵基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)日前發出命令,要求美國聯邦政府各單位,務必立即測試並處理該漏洞,限期於 12 月 24 日前必須修復完成。
CISA 除了發出限期更新命令外,也發布對應 Apache Log4j 漏洞的處理修復指南;指南中詳細說明了 Log4j 的問題、攻擊弱點、測試方式與更新手續,以供美國公私營單位參考辦理。
CISA 也表示,目前正在加緊列出所有可能存有 Log4j 漏洞的主要軟體供應商及其受影響產品,並將會在上述漏洞處理修復指南的網頁中,詳細列出所有其受影響產品、服務,以及其可更新的資訊。
目前 CISA 在 GitHub 上維護一個名為「CISA Log4j (CVE-2021-44228) 漏洞指南」的專案頁面,其中已經列出大量存有此漏洞的重要軟體產品與服務,其中包括許多廣泛使用的知名雲端服務與軟體產品,例如 Akamai SIEM Splunk Connector、Amazon OpenSearch、Amazon EC2、Atlassian Jira Server & Data Center、Broadcom Symantech IT Management Suite、Checkpoint CloudGuard、Cisco Duo、Cisco BroadWorks、ElasticSearch 所有產品、以及 Fortinet、Sophos、McAfee、TrendMirco、VMware 等多種雲端服務在內。
另一方面,資安廠商 Check Point 指出,該公司觀察到駭侵者利用 Log4j 漏洞發動的攻擊頻率,正在以驚人的速度快速增加。據該公司的資料,在 12 月 10 日當天,也就是在漏洞公開之初,約觀測到數千起試圖鎖定 Log4j 漏洞的攻擊活動,漏洞公開後 24 小時則上升到近 20 萬次攻擊,在 72 小時後更增加到 83 萬次以上,可見 Log4j 對全球資安的巨大威脅。


twcert 發表在 痞客邦 留言(0) 人氣()

美國 FBI 自 REvil、GandCrab 勒贖團體追回 230 萬美元贖款

美國聯邦調查局(FBI)日前宣布追回一批勒贖駭侵團體 REvil 獲取的不法贖金,金額高達 230 萬美元。
美國聯邦調查局(Federal Bureau of Investigation, FBI)日前宣布追回一批勒贖駭侵團體 REvil 獲取的不法贖金,總金額高達 230 萬美元。
這筆贖金是從某個與 REvil 與 GandCrab 勒贖團體相關的犯罪組織處追回。FBI 查獲一個該組織用以存放贖金的 Exodus 加密貨幣軟體錢包,內部存放的不法所得,高達 39.89139522 枚 Bitcoin。
FBI 是在 2021 年 8 月時緝獲這筆勒贖贖金,當時價值美金 150 萬元;在 FBI 對外公布本案的時間點,這批 Bitcoin 的價值高達 230 萬美元。
雖然 FBI 並未對外說明如何取得該加密貨幣軟體錢包的控制權,但資安專家認為 FBI 應該是掌握了駭侵團體設定的加密貨幣軟體錢包密語組合,才能存取內部存放的數位資產。
FBI 的通報中載明了該加密貨幣軟體錢包原本的擁有者 Email 地址,資安專家根據該 Emai 地址,指出該擁有者可能與 GandCrab 與 REvil/Sodinokibi 有關,在駭侵界以「Lalartu」之名廣為認識。
資安專家指出,像 Lalartu 這類的駭侵者,會利用 GandCrab 和 REvil 架設的「勒贖即服務」(Ransomware-as-a-Service, RaaS)來針對特定目標發動勒贖攻擊;由 GandCrab、REvil 等「服務提供者」研發勒贖軟體、提供支付工具,並架設洩露竊得資訊專用的網站,利用此類「服務」的駭侵者,則負責找到駭侵對象加入入侵,並散布勒贖軟體。一旦受害者支付贖金,「服務提供者」可分得兩成到三成的贖金,其餘則由駭侵者取得。


twcert 發表在 痞客邦 留言(0) 人氣()

資安專家指出,廉價兒童智慧手錶是資安與隱私惡夢

資安廠商分析市場上專為兒童配戴設計的智慧手錶產品,發現多個資安與隱私漏洞;有些產品甚至會擅自收集並傳送資料,造成嚴重資安危機。
資安廠商 Dr. Web 日前發表研究報告,指出該公司旗下資安專家分析市場上多款專為兒童配戴設計的智慧手錶產品,發現多個資安與隱私漏洞;有些產品甚至會擅自收集並傳送資料,造成嚴重資安危機。
Dr. Web 檢驗了四款兒童專用智慧手錶,分別為 Elari Kidphone 4G、Wokka Lokka Q50、Elari FixiTime Lite、Smart baby Watch Q19;這些智慧手錶均採用 Android 作業系統,在俄羅斯市場十分暢銷。
Dr. Web 指出,Elari Kidphone 4G 有三個隱藏的軟體模組,每隔八小時會自動傳回多項資料到某一台中央伺服器,回傳的資料包括 SIM 卡資訊、地理座標、裝置資訊、通訊錄連絡人清單、安裝的 app 列表、簡訊數量、通話記錄等。
Dr. Web 表示,有這些隱藏的軟體模組,即可以在用戶不知情的情形下,在手錶上遠端安裝更多惡意軟體或顯示廣告,或是進行遠端監控。
另一款 Wokka Lokka Q50 由於價格便宜,僅 15 美元即可購得,因此也非常暢銷;然而 Dr. Web 的資安專家不但發現其預設密碼「123456」過於脆弱,且這款手錶同樣會把各種資料傳回到位於俄羅斯的伺服器,甚至在傳送過程中完全沒有進行加密處理,而是以明文傳送。
專家指出,由於 Wokka Lokka Q50 的資安防護近乎不存在,因此駭侵者可輕鬆發動中間人攻擊,輕易透過簡訊取得受害者的 GPS 位置座標、遠端竊聽受害者周邊的各種聲音,甚至將官方伺服器的 IP,竄改為駭侵者擁有的控制伺服器,輕鬆攔截所有資訊。
其他兩款兒童智慧手銀,亦有類似的資安問題存在,包括以明文擅自上傳各種裝置資訊,以及幾無保護力的預設密碼。
專家呼籲家長應避免採購價格過於便宜,且無法提供資安保護能力證明的兒童智慧手錶,以免包括兒童所在位置的各種資訊遭竊,反而危及兒童的資訊與人身安全。


twcert 發表在 痞客邦 留言(0) 人氣()

Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機

資安專家發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞,可導致遠端執行任意程式碼;由於此程式庫的使用率高,專家指出恐將造成嚴重的資安危機。
資安專家近日發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞 ,可能導致駭侵者用於發動攻擊,遠端執行任意程式碼;由於此程式庫的使用率極高,專家指出恐將造成嚴重的資安危機。
這個 0-day 漏洞的 CVE 編號為 CVE-2021-44228,命名為「Log4Shell」或是「LogJam」;任何系統若執行 Log4j 2.0-beta9 到 2.14.1 之間的版本,都有可能遭到駭侵者遠端執行任意程式碼,而且無須通過任何登入驗證程序。
這個 Log4j 0-day 漏洞的 CVSS 危險程度評分高達滿分 10 分。
該漏洞是由阿里雲的資安研究團隊發現,並在第一時間通報開發出 Log4j Java 程式庫的 Apache 基金會;但在資安研究專家於 Github 上公布針對此一漏洞開發出的駭侵概念證實(Proof of Concept)程式碼後,資安廠商馬上就觀測到有駭侵者開始掃瞄 Internet 上可能存有此漏洞的主機;現在更有駭侵者開始利用此一漏洞,發動大規模的惡意軟體植入攻擊。
由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,被點名的業者包括 Apple、Amazon、Cloudflare、Twitter、Steam、Minecraft、百度、騰訊、滴滴、京東、網易、Tesla、Google、VMware、UniFi、Webex、LinkedIn 等大型網路服務業者。
Log4j 的開發者 Apache Foundation 已經緊急推出 Log4j 2.15.0 版本,解決了 CVE-2021-44228 的漏洞;任何使用本程式庫的單位,均應立即更新到最新版本,以對應已有駭侵團體大規模利用此漏洞發動攻擊的資安風險。

CVE編號:CVE-2021-44228
影響產品(版本):Log4j 2.0-beta9 到 2.14.1 之間的版本
解決方案:更新 Log4j 2.15.0 版本

twcert 發表在 痞客邦 留言(0) 人氣()

瑞典汽車大廠 VOLVO 遭不當存取,汽車設計機密資料可能遭竊

瑞典汽車製造大廠 VOLVO 日前發表資安通報,指出該公司的部分研究開發資料,可能因為內部伺服器遭駭而外洩。
瑞典汽車製造大廠 VOLVO 日前對外發表資安通報,指出該公司的部分研究車輛設計開發相關資料,可能因為內部伺服器遭到駭侵攻擊而外洩。
該公司在聲明稿中指出,在公司所擁有的檔案庫中,有一個遭到不明第三方的不當存取;在展開內部調查後,確認遭到不當存取的檔案庫中,存放的是該公司的各種研究開發相關檔案。
聲明中也指出,該公司已經確認這批檔案遭竊,可能對該公司未來的營運造成衝擊。
不過 VOLVO 也在聲明表示,目前該公司已會同獨立的第三方專家,針對整起入侵與資料遭竊事件進行調查;以目前的調查結果來看,暫時不會對任何顧客車輛或個人資料的安全性造成威脅。
據資安專業媒體 BleepingComputer 指出,雖然 VOLVO 並未說明任何關於此次駭侵攻擊的細節,但已有一個名為 Snatch 的勒贖組織出面宣稱犯下此案。
Snatch 說,他們是在 2021 年 11 月 30 日時入侵 VOLVO 公司的內部檔案系統,並在這次駭侵活動中竊取了 VOLVO 公司的機密資訊。
Snatch 同時也公布了部分竊得檔案的螢幕擷圖,甚至還公開了部分被竊檔案;遭到公開的檔案大小達 35.9 MB。
BleepingComutper 針對 Snatch 公開的資訊,向 VOLVO 公司進行求證,但 VOLVO 公司拒絕提供進一步的評論,僅表示資安是該公司全球研發與營運中最重要的一環,針對任何形式的各種資安事件,該公司都都嚴肅以對。


twcert 發表在 痞客邦 留言(0) 人氣()

西班牙第二大啤酒廠 Damm 因勒贖攻擊而被迫停產

西班牙第二大啤酒釀造廠 Damm 一座主要的啤酒釀造廠,因為遭到勒贖駭侵攻擊而被迫停產。
西班牙第二大啤酒釀造廠 Damm 一座位於巴塞隆納附近的主要啤酒釀造廠,日前因為遭到勒贖駭侵攻擊而被迫停產。

twcert 發表在 痞客邦 留言(0) 人氣()

TP-Link 家用路由器 TL-WR840N 嚴重 RCE 漏洞,遭駭侵者大規模植入 Dark Mirai 僵屍網路惡意軟體

資安廠商發現,近期有駭侵者鎖定 TP-Link 一款暢銷家用路由器的資安漏洞發動攻擊,在路由器中植入 Dark Mirai 僵屍網路惡意軟體。
資安廠商 Fortinet 近日發表資安通報,指出該公司旗下的資安研究人員,近期觀察到有駭侵者鎖定 TP-Link 一款暢銷家用路由器的資安漏洞發動攻擊,在路由器中植入 Dark Mirai 僵屍網路惡意軟體。
本次駭侵攻擊針對的 TP-Link 家用路由器機種為 TP-Link TL-WR840N EU V5,於 2017 年上市,是一款頗受消費者歡迎的家用路由器。
駭侵者係利用該款路由器舊版韌體中的一個資安漏洞 CVE-2021-41653 來發動攻擊;駭侵者只要在該路由器管理界面中的 IP 位址輸入方框中輸入特製的酬載資訊,即可誘發此一漏洞,進而遠端執行任意程式碼。
CVE-2021-41653 的 CVSS 危險程度分數高達 9.8 分(滿分為 10 分),危險程度評級為最高等級的「嚴重」等級(Critical)。
在 Fortinet 觀察到的攻擊活動中,駭侵者利用 CVE-2021-41653 漏洞,強制路由器下載並執行一段名為「tshit.sh」的惡意程式碼,接著再透過後續的兩個要求,下載 Mirai 變種僵屍網路惡意軟體的二進位碼。
雖然駭侵者必須先知道路由器管理界面的登入資訊,才能使用上述手法發動攻擊,不過絕大多數的這類路由器使用者,都不會特別注意資安須知,並在啟用路由器後立即修改管理者登入密碼,更不會經常更新韌體與作業系統,因此駭侵者可以透過廠商預設的管理登入密碼,即可輕鬆完成駭侵程序。
TP-Link 已於 2021 年 11 月 12 日推出新版韌體,將此漏洞修復完成;資安專家呼籲該款產品用戶,應立即將產品韌體更新至最新版本,以避免自己的裝置遭駭侵者利用來發動 DDoS 攻擊。


twcert 發表在 痞客邦 留言(0) 人氣()

海康威視監視產品,遭僵屍惡意軟體 Moobot 大規模駭入,用以發動 DDoS 攻擊

資安廠商發現一個名為 Moobot 的惡意軟體,透過海康威視多項監視器產品的一個資安漏洞廣為散布。
資安廠商 Fortinet 日前發表研究報告,指出該公司發現一個名為 Moobot 的惡意軟體,透過海康威視(Hikvision)多項監視器產品的一個資安漏洞廣為散布。
Moobot 是惡名昭彰的僵屍網路惡意軟體 Mirai 的一個變種,當受害裝置感染後,會將裝置變成其僵屍網路大軍的一員,接受駭侵團體的指令,針對特定目標發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)。
據 Fortinet 的研究報告指出,Moobot 係利用海康威視多種監視器產品的 web server 當中的一個漏洞 CVE-2021-36260 來入侵;這個漏洞是屬於一種指令注入漏洞,駭侵者遠端將一個含有惡意指令的特製訊息發送到存有此漏洞的海康威視裝置,即可誘發此漏洞,並且注入惡意程式碼進行感染。
Fortinet 的報告中指出,攻擊海康威視產品的方式十分簡單,甚至不需要通過任何登入驗證程序,只要把特製的攻擊訊息發送給目標裝置即可得逞。
Fortinet 說,Moobot 在感染後,還會修改一些常用指令,例如重新啟動裝置用的「reboot」指令,導致管理者無法重新啟動遭到駭侵的裝置。
Fortinet 指出,雖然 CVE-2021-36260 這個漏洞,已經在海康威視於 2021 年 9 月時推出的新版韌體中予以修復,但由於多數 IoT 產品擁有者幾乎不會在產品開始使用後隨時更新韌體,因此市面上仍存在數量極多的未修補產品,成為駭侵者的絕佳目標。
資安專家呼籲各種 IoT 裝置的管理者,必須經常檢視擁有產品是否推出資安更新,並且確保產品維持在最新版本,以免成為駭侵者用來發動攻擊的目標與工具。

CVE編號:CVE-2021-36260
影響產品(版本):海康威視多款監控用產品
解決方案:升級至原廠提供最新版韌體

twcert 發表在 痞客邦 留言(0) 人氣()

芬蘭政府警告 Android 用戶,小心惡意軟體 Flubot 的惡意簡訊

芬蘭政府資安主管機關,日前針對廣大 Android 用戶發出嚴重資安警訊,指出該國的 Android 用戶正面臨大規模 Flubot 惡意軟體攻擊活動。
芬蘭政府資安主管機關「國家資安中心」(National Cyber Security Centre, NCSC-FI),日前針對廣大 Android 用戶發出嚴重資安警訊,指出該國的 Android 用戶正面臨大規模 Flubot 惡意軟體攻擊活動。
正在芬蘭肆虐的惡意軟體 Flubot,是一種專門進行金融詐騙的惡意軟體,除了會竊取用戶手機上的各種個人資訊、偷窺通訊錄連絡人清單、擅自讀取簡訊內容、盜打電話之外,還會以畫面覆疊的方式,竊取用戶在各種金融服務網站或 App 上輸入的登入帳密,並傳送到駭侵團體的控制伺服器上。
Flubot 在芬蘭發動攻擊的手法,是利用遭感染的 Android 手機,大量發送垃圾簡訊給通訊錄上的人員,假稱有未接聽的語言留言,並在簡訊中點按連結以聽取留言;實際上用戶會被導至一個存有惡意 APK 軟體的網站,以在受害者的 Android 手機上安裝 Flubot 惡意軟體。
至於 iPhone 或其他系統用戶,如果點按該惡意連結,則會被導到一個詐騙網站,試圖騙取用戶輸入信用卡資訊,但不會安裝任何惡意軟體。
芬蘭資安主管當局指出,這次是 Flubot 今年在芬蘭發動的第二波攻擊行動,在 24 小時內發送超過 70,000 封圾垃簡訊,比前一波發生在六月時的攻擊,規模更為龐大。當局預估未來數天內會有幾十萬到幾百萬封垃圾簡訊;且攻擊也極可能自芬蘭擴散到全球各國。
當局呼籲 Andoird 手機用戶必須提高警覺,切勿點按不明簡訊內的任何連結;如果不慎遭植入惡意軟體,且在感染後操作過任何網路金融服務,應立即將手機徹底還原至出廠狀態,同時通知相關銀行或金融機構。若有任何財物損失,也應立即向警政單位報案。


twcert 發表在 痞客邦 留言(0) 人氣()

QNAP發表資安通報,指出有惡意軟體攻擊其NAS裝置以挖掘比特幣.jpg

台灣網路儲存設備大廠威聯通(QNAP)日前發表資安通報,指出目前有一個惡意軟體,專門針對 QNAP 的網路儲存裝置(Network Attatched Storage,NAS)發動駭侵攻擊,以竊取用戶的運算資源進行比特幣挖礦。
通報指出,被成功駭入的 QNAP NAS 裝置,會由惡意軟體啟動一個名為「oom_reaper」的處理程序,最高可佔用高達 50% 的 CPU 資源,其核心程序的 PID 高於 1000 以上。
由於這個挖礦程序會擅自使用大量系統資源,因此用戶不但會感受到 NAS 正常作業的反應變慢,也會造成零組件長期處於重度工作負荷之下,不但會提高工作溫度,更為耗電,也會使內部組件更容易發生故障。
QNAP 指出,如果用戶懷疑自己的 NAS 裝置遭到惡意軟體用以進行比特幣挖礦,可以先重新啟動 NAS 系統,如此就有可能移除或停止該惡意軟體的執行。
另外,QNAP 也建議所有該公司 NAS 產品使用者,採取以下步驟,以提高資安防護能力,降低 NAS 裝置遭駭侵攻擊的機率:

經常升級作業系統 QTS 或 QuTS hero,盡量保持在最新版本;
安裝官方提供的資安掃瞄軟體 Malware Remover 並更新至最新版本;
管理者與其他使用者帳號,均應使用強式密碼;
各種安裝在 NAS 上的應用軟體,均應更新至最新版本;
如果可能,勿讓 NAS 裝置直接曝露在外部 Internet 網路上;如果必須如此,應避免使用系統預設的 port 443 與 8080。

twcert 發表在 痞客邦 留言(0) 人氣()

多款家用路由器發現資安漏洞,國內廠商已釋出更新檔,建議用戶盡速進行更新
 
德國媒體會同資安專家檢測市售九種暢銷家用路由器,總共發現多達 226 個資安漏洞,影響裝置數量超過數百萬台之多,用戶應提高警覺並儘速更新。
德國媒體會同資安專家檢測市售多個廠牌的九種暢銷家用路由器,總共發現多達 226 個資安漏洞,影響裝置數量超過數百萬台之多,用戶應提高警覺並儘速更新。
進行這次測試的是資安廠商 IoT Inspector 與德國資訊科技媒體 CHIP,蒐集市面上十分熱門的家用無線路由器來進行測試,其中也包括數個台灣廠商的產品,其測試機種,與其被發現的資安漏洞個數,分別如下:

twcert 發表在 痞客邦 留言(0) 人氣()

法國資安主管單位 ANSSI 發布警示,駭侵團體 Nobelium 現在利用 SolarWinds 漏洞發動大規模釣魚攻擊

法國資安主管單位日前發布資安警訊,指出有一個駭侵團體,利用去年造成極大資安風暴的 SolarWinds 漏洞,鎖定法國多個單位發動攻擊。
法國資安主管單位 ANSSI(Agence Nationale de la Sécurité des Systèmes d'Information)日前發布資安警訊,指出有一個駭侵團體 Nobelium,利用去年造成極大資安風暴的 SolarWinds 漏洞,鎖定法國多個單位發動攻擊。
ANSSI 指出,Nobelium 的攻擊行動,係由 2021 年 2 月開始進行,主要的攻擊對象,是法國所屬的各單位。Nobelium 透過去年造成極大資安風暴的 SolarWinds 漏洞,駭入多個法國所屬組織內容,再以這些組織的名義對外發送含有惡意軟體的 Email。
另外,許多法國境內單位也收到來自外國組織的惡意電子郵件,ANSSI 認為這些可能也都是由 Nobelium 駭侵團體所為。
ANSSI 說,Nobelium 利用多個架設在國內外的虛擬專屬主機(Virtual Private Servers, VPS)來發動對法國組織的駭侵攻擊;其中一部分主機係由法國的雲端運算服務商 OVH 提供,其他的主機則位在同樣遭受 Nobelium 攻擊的國家境內。
為提高法國各單位對抗此波攻擊的能力,ANSSI 提供資安防護加強指南給各單位參考,用以提升其內部 Windows Active Directory 與其伺服器的資安設定,以降低遭到攻擊得逞的機率。
ANSSI 也建議各單位開始限制電子郵件夾檔的執行,以避免遭到釣魚郵件中夾藏的惡意程式碼攻擊。


twcert 發表在 痞客邦 留言(0) 人氣()

Blog Stats
⚠️

成人內容提醒

本部落格內容僅限年滿十八歲者瀏覽。
若您未滿十八歲,請立即離開。

已滿十八歲者,亦請勿將內容提供給未成年人士。