雲端網路服務商指出,分散式服務阻斷攻擊(DDoS)的強度正在不斷提高;今年記錄到的最高攻擊強度,高達每秒鐘 1,700 萬次連線要求。
雲端網路服務商 Cloudflare 日前發表研究報告,指出分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)的攻擊強度,正在逐年不斷提高;今年記錄到的最高攻擊強度,高達每秒鐘 1,700 萬次連線要求。
Cloudflare 指出,該公司的網路保護系統,稍早記錄到一起全球性的 DDoS 攻擊事件,攻擊規模與強度打破該公司歷年來的觀測記錄;除了攻擊強度高達每秒 1,720 萬次連線要求外,其攻擊次數相較於 Cloudflare 在 2021 年第二季的平均服務能量每秒 2,500 次連線要求,也高達 70%。
Cloudflare 在報告中說,該次攻擊發在生七月,持續不到 1 分鐘,是非常短暫而強烈的攻擊,被攻擊的對象是某家金融產業組織,在短短幾十秒的時間內,遭到了 3 億 3,000 萬次連線要求;其中高達每秒 1,500 萬次以上連線要求的強大攻擊密度維持了 15 秒。
Cloudflare 說,這次駭侵者發動的 DDoS 攻擊,係由一個包括至少 20,000 台裝置的僵屍網路所發動的,其連線要求來自全球各地;以 IP 數量來看,高達 15% 的攻擊連線來自印尼,其次為印度與巴西(合計達 17%),接著是越南、烏克蘭、柬埔寨、泰國、孟加拉、俄羅斯、南非、波蘭、阿根廷、巴基斯坦、墨西哥與其他國家。
Cloudflare 也說,除了這次攻擊外,近期也經常觀察到其他強烈的 DDoS 攻擊,主要目標係針對亞太區的網路接取服務供應商、電信業者、網站託管業者與遊戲廠商。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現電競品牌 Razer 的驅動程式內含嚴重 0-day 資安漏洞,駭侵者只需插入 Razer 品牌的鍵盤或滑鼠,即可輕鬆取得 Windows 10 的系統管理權限。
資安專家發現電競遊戲控制周邊裝罝品牌 Razer 的 Windows 驅動程式,內含嚴重 0-day 資安漏洞;駭侵者只需插入 Razer 品牌的鍵盤或滑鼠,即可輕鬆取得 Windows 10 的系統管理權限。
發現這個漏洞的資安專家是 johhat,他在 Twitter 上公布這個發生於 Razer Windows 驅動程式的 0-day 漏洞;當用戶在 Windows 10 或 Windows 11 電腦上插入任何 Razer 品牌的鍵盤或滑鼠裝置,Windows 會自動從 Razer 的伺服器下載這些裝置的驅動程式 Razer Synapse Software;此時 Razer Synapse Software 會自 Windows 系統取得管理者權限來進行驅動程式的安裝,並且詢問用戶要把驅動程式安裝在哪個資料夾。
這時用戶只需在對話盒內按下鍵盤上的 SHIFT+滑鼠右鍵,出現的快速選單中,會有一個「Open PowerShell window here」的選項;由於這個 PowerShell 視窗是由具有系統管理員權限的 Razer Synapse Software 所啟動,因此 PowerShell 視窗也具有系統管理員的執行權限。
利用這個方法取得系統管理員執行權限後,有心人士即可在近端系統上為所欲為,包括存取 Windows 系統中的所有檔案,或是安裝任何應用程式,甚至惡意軟體。不過要誘發這個漏洞,駭侵者必須能夠實體存取目標的 Windows 電腦裝置,實體插入 Razer 設備才行。
資安專家 jonhat 在發現這個漏洞後,隨即提報給 Razer 原廠。之後 Razer 表示將儘快推出更新版本,修復此漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
日本加密貨幣交易所 Liquid,日前發生嚴重駭侵攻擊事件,其熱錢包遭攻擊,損失高達 9,400 萬美元以上。
日本加密貨幣交易所 Liquid,日前發生嚴重駭侵攻擊事件;該交易所用來儲存用戶帳號加密貨幣資產的熱錢包遭到攻擊,目前已知的損失高達 9,400 萬美元以上。
Liquid 是全球規模最大的加密貨幣/法幣交易所之一,擁有八十多萬名註冊用戶,這些用戶的全球分布超過 100 個國家;且該交易所每天的加密貨幣交易額超過 11 億美元。
Liquid 在駭侵攻擊事件發生後,隨即在官方的 Twitter 帳號發布公告,承認其熱錢包遭到駭侵者挾持;該公司立即將尚未遭竊的加貨貨幣資產轉移到較安全的冷錢包中,同時暫停所有加密貨幣相關交易。包括加密貨幣的買賣與轉帳,在調查活動完成之前都無法進行,但法幣的交易與存提款不受影響。
Liquid 也說,被竊取的 9,400 萬美元加密貨幣資產,總共包括 69 種不同的加密貨幣;這些加密貨幣在未經授權的情形下,被轉出到其他加密貨幣交易所或去中心化交易所 (DeFi Swap) 中。
被竊加密資產依各幣種區分,分別為以太幣(ETH) 3,090 萬美元、瑞波幣(XRP)1,290 萬美元、比特幣(BTC)480 萬美元、各種穩定幣 770 萬美元、Tron 20 萬美元、其他代幣共計 3,740 萬美元。
加密貨幣資安專家指出,由於有高達 4,500 萬美元的以太幣,被轉入去中心化交易所如 Uniswap 與 Sushiswap,因此難以追查竊取者的身分,以及其金流動向。
資安專家多次呼籲加密貨幣持有人,儘可能避免將自己的加密貨幣資產,存在風險極高的交易所管理熱錢包中;應轉帳回自己持有的冷錢包中妥善存放,以降低遭竊風險。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近期自其 Googe Play Store 中下架 8 個蓄意假冒為雲端挖礦服務,實際上會進行各種詐騙的惡意 app;然而資安專家指出在 Google Play Store 上,仍有多個同類惡意 app 並未遭到下架。
Google 近期自其 Googe Play Store 中下架 8 個蓄意假冒為雲端挖礦服務,實際上會進行各種詐騙的惡意 Android app;然而資安廠商趨勢科技旗下的資安專家指出,在 Google Play Store 上,仍有多個同類惡意 app 並未遭到下架。
這些被 Google 下架的惡意雲端挖礦 app,假借幫用戶在雲端挖掘比特幣等加密貨幣為理由,下載安裝這些 app;這些 app 甚至還會鼓勵用戶付費取得更多挖礦算力,分得更多加密貨幣。實際上用戶不但得不到任何加密貨幣分潤,甚至還會被植入大量廣告,或是在不知情的情況下,訂閱昂貴的數位服務。
資安專家指出,在這 8 個遭下架的 app 中,都內建了 1 到 2 個如 FakeMinerPay 或 FakeMinerAd 之類的惡意軟體;其中一個名為 BitFunds 的惡意 app,下載安裝次數突破 100,000 次以上,有兩支 app 甚至還需要付費安裝。
資安專家也說,這些 app 實際上沒有任何挖礦功能,卻會顯示計數器之類的畫面,以愚弄用戶,以為真的正在進行挖礦賺錢的過程;有些 app 還會慫恿用戶付費取得更強大的挖礦能力,賺取更多加密貨幣,「服務費用」從 14.99 美元到高達 189.99 美元不等。
趨勢科技也說有兩支假冒挖礦 app,會對用戶顯示大量廣告;這些 app 會要求用戶觀看廣告,廣告結束後才能繼續挖礦,或是加快挖礦速度;有些 app 甚至還會在背景進行假冒廣告點擊的詐騙活動。
趨勢科技說,雖然 Google 此次移除了 8 個假冒挖礦 app,但在 Google Play Store 中以「cloud mining」(雲端挖礦)來搜尋,仍有非常多可疑的 app 存在,用戶必須提高警覺,避免因一時貪念,下載安裝這類詐騙挖礦 app。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現全球熱門求職求才社群網站 LinkedIn 的流程漏洞:任何人均可冒名任何公司張貼虛假求才訊息,不但能取得求職者的詳細資訊,也能夾帶各種惡意檔案。
資安專家 Herman Singh 近曰發現全球熱門求職求才社群網站 LinkedIn,在張貼職缺的流程中存有一個嚴重漏洞,導致任何人均可冒名任何公司張貼虛假求才訊息,不但能取得求職者的詳細資訊,也能夾帶各種惡意檔案,進一步發動各種駭侵攻擊。
據資安專業媒體 BleepingComputer 的測試,LinkedIn 在張貼求才職缺訊息的流程中,預設情形下並未限制僅能由求才公司所屬的帳號來張貼職缺訊息,因此任何人都能「代替」任何公司,在 LinkedIn 上張貼職缺;而且用這種方式張貼出來的職缺,看起來和被冒名公司開出的職缺,幾乎沒有差別。
資安專家指出,LinkedIn 在張貼職缺公告的這個漏洞,將可導致嚴重的資安風險;一來會有很多不知情的求職者,針對虛假的大公司熱門職缺投遞個人履歷,駭侵者可藉以收集大量求職者的機敏個資,包括姓名、性別、Email、照片、工作經歷、連絡方式等資訊,另外還可以在求職訊息中夾帶各式可用來進行駭侵攻擊的元件,例如植入惡意軟體的檔案、將求職者導向惡意網站,以發動釣魚攻擊的連結等等。
BleepingComputer 指出,在 LinkedIn 網站上,並未提供驗證張貼者真實資格的流程,也沒有選項可讓公司行號限制只有哪些帳號可以張貼連結;BleepingComputer 去函微軟公司旗下的 LinkedIn 資安團隊,也沒有得到具體的解釋。
資安專家建議各大公司的人資部門人員,在 LinkedIn 針對此問題提出解決方案前,應該提高警覺,定期巡查自己公司在 LinkedIn 上的相關內容,並且透過搜尋功能,檢視有無任何冒名張貼職缺的情況,發現後即刻回報 LinkedIn 進行處理。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現一個嚴重資安漏洞,存於數千萬台使用 Kalay IoT 雲端平台與開發工具的 IoT 產品中,可導致駭侵者取得這些 IoT 裝置產生的監控資訊,甚至於裝置控制權。
資安廠商 Mandiant 旗下的資安專家,在 2020 年底發現一個嚴重資安漏洞,存於數千萬台使用 Kalay IoT 雲端平台與開發工具的 IoT 產品中;這些 IoT 產品主要是連網監視裝置,該漏洞可導致駭侵者遠端取得這些 IoT 裝置產生的監控資訊,甚至於裝置控制權。
該漏洞的 CVE 編號定為 CVE-2021-21873,發生在提供給 IoT 裝置廠商用以開發軟體所需的開發工具(SDK)內的 Kalay protocol;其 CVSS 危險程度評分高達 9.6 分(滿分為 10 分)。
資安專家指出, 各種支援 Kalay protocol 的 IoT 裝置,只需要提供一個裝置的不重覆識別碼(UID),即可註冊使用 Kalay 雲端服務,並且把監控資料儲存到其雲端伺服器內;而該裝置的用戶在使用 Kalay 提供的行動 app 或 web 界面時,也只需提供該 UID,即可取得存在雲端的監控資料。
由於驗證過程的安全性很薄弱,因此攻擊者可以透過提供 UID,以偽造身分的方式,即可自 Kalay 雲端服務中輕易取得監控畫面或錄音的資料,甚至還能進一步結合其他漏洞,完全控制監裝置。
Mandiant 的資安專家以此漏洞為基礎,發展出的攻擊概念證明程式,可以透過此漏洞掃瞄裝置、註冊並取得 UID、遠端連線到該裝置並登入其控制界面,最終取得監控的畫面與音訊資料。
此漏洞已經緊急推出暫時解決方案,美國資安主管機關 CISA 也發表資安通報,提供技術指導與處理建議。
twcert 發表在
痞客邦
留言(0)
人氣()
美國行動通訊服務商 T-Mobile 有近億顧客資料,日前被放上網路待價而沽;T-Mobile 也證實這批資料被竊,目前正在進行調查作業。
美國大型行動通訊服務商 T-Mobile,日前發生嚴重資安事件;有近億顧客資料日前被放上網路待價而沽;T-Mobile 也證實這批資料被竊,目前正在進行調查作業。
據資安專業媒體 BleepingComputer 報導指出,有駭侵者成功入侵 T-Mobile 的多台資料庫主機,竊得近 1 億名 T-Mobile 用戶的多種個資,並放上駭侵相關網站求售。
BleepingComputer 取得駭侵者的說法,指出該批資料包括用戶使用行動裝置的 IMEI 與 IMSI 編號、電話號碼、顧客姓名、裝置安全密碼(PIN)、社會安全碼、駕照號碼與出生年月日等。
駭侵者也說,這批資料中的 IMEI 號碼,最遠可溯及 2004 年。
該批資料是在約兩星期前的一波駭侵攻擊中取得。據 BleepingComputer 報導,駭侵者係透過 ssh 連線到 T-Mobile 所屬內部資料中心的 Oracle Database Server,進而取得這批資料。
而當 BleepingComputer 向 T-Mobile 針對此事進行採訪時,T-Mobile 證實該公司發生了駭侵攻擊事件,也證實該公司所屬的伺服器,確實發生過外界不當存取事件,且有部分資料外洩;但該公司說「目前尚未確認是否有顧客個資遭到竊取」。
T-Mobile 在聲明中說,該公司已經會同專家與司法單位,針對此次資料外洩事件積極展開調查;目前也已經關閉駭侵者攻擊使用的進入點;但該公司也說,在調查行動告一段落之前,無法確認外界宣稱的受影響者人數。
twcert 發表在
痞客邦
留言(0)
人氣()
美國 Ford 汽車公司,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光可供存取。
美國 Ford (福特)汽車公司日前發生資料安全控管事件,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光,可供有心人士直接存取,甚至取得帳號權限。
資安研究人員在美國 Ford 汽車官方網站中發現一個漏洞,可以經由此漏洞進入 Ford 內部伺服器上執行的 Pega Infinity 顧客互動管理系統內,取得諸如用戶資料庫、員工各項記錄與內部派工單等機敏資訊。
研究人員利用 Pega Infinity 一個錯誤設定的漏洞(CVE-2021-27653),透過 Pega Infinity 的客服人員線上對談控制台,即可利用此漏洞存取 Ford 內部的各種系統與資料庫。
研究人員指出,透過這種方法可以取得相當多個人可識別(Personally Identifiable Information, PII),包括以下項目:顧客與員工記錄金融服務帳號資料庫名稱與表格OAuth 存取 token內部支援工單附有組織名稱的用戶檔案內部操作介面搜尋列的搜尋記錄
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現普遍應用於 IoT 裝置硬體中的「亂數產生器」存有錯誤,可能因此導致全球數十億台 IoT 裝置面臨嚴重資安攻擊風險。
資安廠商 Bishop Fox 旗下的研究人員 Dan Petro 與 Allan Cecil,日前發現普遍應用於 IoT 裝置硬體中的「亂數產生器」(Random Number Generator, RNG)存有嚴重錯誤,可能因此導致全球數十億台 IoT 裝置面臨嚴重資安攻擊風險。
兩位研究人員在報告中指出,這些有問題的硬體亂數產生器,原本應該在每次運作時都隨機產生無法預測的亂數;但在某些需要頻繁產生亂數的使用情境時,有時會產生僅部分無序的亂數,有時產生的亂數都是 0,甚至還可能造成記憶體初始錯誤。
研究人員指出,由於這個亂數產生器的錯誤發生在硬體層,因此無法以作業系統或軟體方式加以修補;研究人員也說而為 IoT 裝置撰寫的軟體,通常都不會針對亂數產生的結果予以嚴密檢查。
由於在各種 IoT 裝置的資料加密過程中,加密金鑰的生成過程,需要使用硬體亂數產生器產生的亂數;一旦這些加密金鑰是有序的、容易預測,甚至根本就是 0 的話,加密的內容就很容易遭到解密,因而使得加密過程變得無效,影響這些 IoT 裝置的資安。
另外,這些 IoT 裝置搭載的作業系統,因為成本和執行效能的考量,大多是簡化的版本,在作業系統層面並未提供軟體亂數產生機制,而這類 IoT 裝置的數量又極多,估計全球約有數十億台已布署的 IoT 裝置。而這些 IoT 裝置在上市後的軟體更新極為困難,因此該錯誤對採用這些 IoT 裝置的公私單位、組織與個人,可能產生嚴重的資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟推出例行性的 2021 年 8 月份 Patch Tuesday 資安修補包,一共修復 44 個資安漏洞,包括 3 個 0-day 漏洞在內;微軟各種產品用戶,應立即更新此修補包。
微軟近日推出例行性的 2021 年 8 月份 Patch Tuesday 每月資安修補包,一共修復微軟多種軟體系統共 44 個資安漏洞,其中更包括 3 個 0-day 漏洞在內;微軟各種產品的用戶,應立即透過系統更新功能,更新此修補包,以降低遭到駭侵攻擊的風險。
在這次推出的資安修補包中,除了 3 個 0-day 資安漏洞外,以資安漏洞的危險程度評及來看,共有 7 個列為「嚴重」(Critical)等級,37 個列為「重要」等級(Important);若以漏洞性質與錯誤類型來看,共有 13 個屬於可讓駭侵者遠端執行任意程式碼的 RCE 漏洞,8 個屬於資料外洩漏洞,2 個屬於服務阻斷(DoS)漏洞,4 個屬於詐騙(Spoofing)漏洞。
值得一提的是,3 個 0-day 漏洞中,已經有一個遭到駭侵者大規模濫用;這個漏洞是 CVE-2021-36948,是發生在 Windows 10 與 Windows Server 系統中的 Windows Update Medic Service 中的執行權限提升漏洞;駭侵者可以先以較低權限入侵系統,然後利用這個漏洞提升自身的執行權限,在未經授權的情形下執行任意程式碼,發動進一步的攻擊。
另兩個得到修復的 0-day 漏洞是 CVE-2021-36939 與 CVE-2021-36942;前者是發生在 Windows Print Spooler 的遠端執行任意程式碼漏洞,後者是 Windows LSA Spoofing 漏洞。目前這兩個漏洞都還沒有遭到駭侵者大規模濫用。
twcert 發表在
痞客邦
留言(0)
人氣()
跨鏈加密貨幣交易平台 Poly Network,日前發生加密貨幣史上最大駭侵案件;該協定在數個區塊鏈的流動性池同時遭到駭侵攻擊,損失金額高達 6.11 億美元。
提供跨區塊鏈加密貨幣交易轉換的交易平台 Poly Network,日前發生加密貨幣史上最大的駭侵案件;該協定在數個區塊鏈的流動性池,在同一時間遭到駭侵攻擊,被竊取的損失金額高達 6.11 億美元。
Poly Network 提供的服務,是在不同的區塊鏈上轉換加密貨幣,包括比特幣、以太幣與 Ontology。據區塊鏈專業媒體 The Block 的研究人員 Igor Igamberdiev 指出,Poly Network 被攻擊的原因是出在加密問題之上。
這次 Poly Network 被竊事件,同時發生在多個區塊鏈協定上;據目前的估計,Poly Network 在以太坊上被竊的以太幣資金多達 2.73 億美元、在幣安智慧鏈 (Binance Smart Chain)上損失的幣安幣(BNB)也高達 2.53 億美元、而在 Polygon Network 區塊鏈上損失的 USDC 穩定幣則為 8,500 萬美元。
值得一提的是,在這起駭侵事件發生後,管理集中化穩定幣泰達幣(USDT)的 Tether 公司,立即將等值 3,300 萬美元的泰達幣加以鎖定,使得駭客無法進行轉帳洗錢。
不過,幣安交易所的創辦人則在 Twitter 上指出,該公司雖然知道這次攻擊事件,也盡全力提供各式協助,但因為幣安智慧鏈與以太坊都是高度去中心化的區塊鏈,沒有人能夠完全控制該鏈上的活動,因此無法保證任何事,只能在其能力範圍能盡力協助。
目前幣圈各界正在密切注意被竊資金的流向,但駭客很可能透過隱密性較高的門羅幣等其他加密貨幣進行洗錢。該案後續發展仍有待觀察。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個全新的 Android 惡意軟體 FlyTrap,會藉由提供折價券或有獎徵答遊戲,吸引用戶下載安裝並注入惡意木馬軟體,以竊取用戶的 Facebook 帳號相關資訊。
資安廠商 Zimperium 旗下的研究團隊,日前發現一個全新的 Android 惡意軟體 FlyTrap,會藉由提供折價券或有獎徵答遊戲,吸引用戶下載安裝並注入惡意木馬軟體 FlyTrap,以竊取用戶的 Facebook 帳號相關資訊。
根據 Zimperium 的研究報告指出,FlyTrap 會以簡單的社交工程手法,騙取用戶信任以下載其惡意軟體,並且在該 App 中登入 Facebook 帳號以參加抽獎或其他活動,例如 Netflix 專用折價券或 Google AdWords 的折價券等;受害者依其 App 指示登入其 Facebook 帳號後,該惡意軟體中的木馬程式即可透過內建的 JavaScript 注入以竊取用戶的 Facebook cookie、用戶帳號詳細資訊、所在地、IP 位址等。
FlyTrap 收集到這些資訊後,即會上傳到駭侵者設立的控制伺服器;Zimperium 的資安專家發現該控制伺服器的漏洞並入侵後,取得了該批駭侵者竊得的資料。分析該批資料後,發現感染 FlyTrap 惡意軟體的 Android 手機超過 10,000 台以上,分布遍及全球 144 國,受害的 Facebook 用戶有數千名之多。
值得注意的是,包含 FlyTrap 惡意軟體的 Android App,其用戶介面設計十分精良,且在 Google Play Store 與多個第三方 Android 行動應用程式商店均有上架;雖然在 Zimperium 通報 Google 後,這些惡意軟體已自 Google Play Store 下架,但仍在其他第三方 Android 行動應用程式商店中保持上架狀態。
twcert 發表在
痞客邦
留言(0)
人氣()
