資安廠商近期發現有駭侵者利用 QNAP NAS 設備的兩個已知嚴重漏洞,大規模進行惡意挖礦攻擊。QNAP 各型 NAS 用戶應立即升級作業系統與受影響的應用程式,以避免遭到類似攻擊。
資安廠商 360 網絡安全研究院近期發表研究報告,指出該公司的未知威脅檢測系統,於 2021 年 3 月 2 日 發現駭侵者利用 QNAP 網路儲存系統(Network Storage System, NAS) 設備的兩個已知嚴重漏洞,大規模進行惡意挖礦攻擊。
360 網絡安全研究院將這次攻擊命名為 UnityMiner,攻擊的主要手法是利用 QNAP NAS 的兩個已知嚴重等級安全漏洞 CVE-2020-2506 和 CVE-2020-2507,植入 XMRig 挖礦惡意軟體,利用 NAS 系統資源挖掘門羅幣(Monero)。
據 QNAP 官方於去年(2020 年) 10 月發表的資安通報中,指出這兩個漏洞係存於 QTS 作業系統中的 Helpdesk 應用程式。CVE-2020-2506 為權限控制的錯誤,可讓攻擊者取得 QNAP NAS 裝置的控制權限,而 CVE-2020-2507 則是指令注入漏洞,可讓駭侵者遠端執行任意程式碼;這兩個漏洞都在當時推出的新版 Helpdesk 3.0.3 中修補完成。
360 網絡安全研究院在研究報告中指出,這波 UnityMiner 攻擊中,駭侵者利用了 QNAP NAS 的設備特性,將挖礦惡意軟體的執行緒,以及其真實的 CPU 與 RAM 使用資源的資訊隱藏起來,使得用戶無法從 QNAP 系統管理工具中看到該惡意軟體正在運作,因而難以發現系統的異常運作。
研究報告並未指明是哪個駭侵團體發動本次攻擊事件,但根據觀測報告,受影響的 QNAP NAS IP 共有高達 95 萬個,受害者數量最多的國家,依序為美國、中國、義大利、法國、德國、日本、英國、澳洲。
在該研究報告中也列出了所有受到影響的多款 QNAP NAS 型號,受影響機種多達 102 種;這批型號的韌體更新日期若在 2020 年 8 月之前,就都存有遭駭侵者此這兩個漏洞發動攻擊的風險。QNAP 各型 NAS 用戶應立即升級作業系統與受影響的應用程式,以避免遭到類似攻擊。
2020 年 10 月 7 日,QNAP 官方已發佈安全公告 QSA-20-08[1],並指出已在 Helpdesk 3.0.3 和更高版本中解決了這些問題。
twcert 發表在
痞客邦
留言(0)
人氣()
韓國行動裝置大廠 Samsung 近日推出 2021 年三月份更新包,修復多個存於 Android 行動作業系統中的資安漏洞,Samsung 行動裝置用戶應立即更新裝置。
韓國行動裝置大廠 Samsung 近日推出 2021 年三月份更新包,修復多個存於 Android 行動作業系統中的資安漏洞,其中包括一個嚴重漏洞及多個高危險漏洞;Samsung 行動裝置用戶應立即更新裝置。
這些獲得更新的漏洞散見於執行階段、作業系統等相關組件中,總數共有 11 個;Samsung 是在 Google 推出 2021 年三月份的 Android 作業系統更新後,緊接著推出該品牌部分行動裝置適用的資安更新升級包。
據資安媒體 BleepingComputer 指出,該刊發現部分 Samsung Galaxy 系列裝置在 3 月 5 日開始陸續進行自動更新。
這次的更新中修復的最嚴重資料漏洞,首推編號為 CVE-2021-0397 的嚴重等級漏洞。這個漏洞存於 Android 作業系統中的藍牙連線裝置搜尋功能;駭侵者可以透過特製的藍牙資料傳輸觸發一個空指標(null pointer)錯誤,遠端執行任意程式碼。
其他在這次得到修復的的資安漏洞如下:CVE-2021-0395:系統重新啟動時的使用已釋放記憶體錯誤,可導致駭侵者提升執行權限;
twcert 發表在
痞客邦
留言(0)
人氣()
Google 於日前推出 Chrome 瀏覽器更新,修復多個資安漏洞,其中包括一個嚴重漏洞,可能導致駭侵者遠端執行任意程式碼,用戶應立即更新至最新版本。
Google 於日前推出 Chrome 瀏覽器更新版本 89.0.4389.72,修復多個資安漏洞,其中包括一個嚴重漏洞,可能導致駭侵者遠端執行任意程式碼,用戶應立即更新至最新版本。
這個編號為 CVE-2021-21166 的資安漏洞,存於 Chrome 處理音訊的子系統中;該段程式碼在處理音訊物件的生命周期時存有錯誤,駭侵者若將用戶導向到特製的網頁,即可觸發此錯誤,造成堆疊暫存區的溢位錯誤,藉以遠端執行任意程式碼。
這個漏洞的 CVSS v3 危險程度評分高達 8.8 分,危險程度分級達到嚴重(critical)等級。存有這個漏洞的 Google Chrome 為各主要作業系統(Windows, Mac, Linux)89.0.4389.71 之前的各個 Chrome 89 版本。
據 Google 發表的資安通報指出,該公司已掌握此一漏洞遭外界大規模濫用的情資;Google 已於資安通報發表的同時,推出新版 Chrome 89.0.4389.72 版本,修復此一嚴重漏洞;用戶應立即更新到最新版本,以避免遭駭侵者利用此漏洞發動攻擊。
除此漏洞之外,新推出的 Chrome 89.0.4389.72 版本,同時也修復了另外 46 個嚴重程度較低的資安漏洞,其中危險程度等級較高的漏洞包括:CVE-2021-21159:TabStrip 組件中的 Heap 暫存記憶體溢位錯誤;CVE-2021-21160:WebAudio 組件中的 Heap 暫存記憶體溢位錯誤;CVE-2021-21161:TabStrip 組件中的 Heap 暫存記憶體溢位錯誤;CVE-2021-21162:WebRTC 使用已釋放記憶體的錯誤;CVE-2021-21163:閱讀模式中資料驗證不足;CVE-2021-21164:iOS 版本資料驗證不足。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現針對雲端開發環境植入挖礦惡意軟體的攻擊事件,在沉寂數月後,近來又大舉發動攻擊。
資安廠商 Aqua 近日發表研究報告,指出該公司發現有駭侵者針對雲端開發環境植入挖礦惡意軟體的攻擊事件;這類駭侵攻擊活動在沉寂數月後,近來又開始大舉發動攻擊。
Aqua 指出,該公司旗下的「鸚鵡螺」(Nautilus)資安團隊,最早是在去年(2020)九月間發現這類攻擊事件。駭侵者針對在 Github 與 Docker Hub 上的自動化開發環境建置系統發動攻擊,在其開發環境中植入挖礦惡意軟體挖掘門羅幣。
Aqua 指出,去年該公司首次發現這類攻擊活動後,立即通知受到惡意攻擊的開發單位,相關的攻擊活動受阻後便沈寂了一段時間;近來該公司再度觀察到類似攻擊活動再度開始活躍,短短數日內就建置了 92 個 Docker Hub 註冊與 92 個 Bitbucket 程式庫,利用這些資源進行惡意挖礦活動。
Aqua 在報告中詳述了駭侵者採用的攻擊手法。首先駭侵者會利用位於俄羅斯境內的免費電子郵件服務 inbox.ru 設立多個攻擊用的 Email 帳號,接下來就利用這些 Email 帳號在 Bitbucket 網站內新增開發用的帳號與環境,並且利用一些技巧,將開發計畫偽裝為使用官方計畫文件設立的正常開發帳號,以避免被查緝。
駭侵者接著同時會申請新的 Docker Hub 帳號,同樣的,也會偽裝成使用官方計畫文件設立的開發者帳號來避開查緝,然後就開始執行多個偽裝成 ffmpeg、gcc 等通用程式,但實際上利用系統資源進行挖礦作業。
Aqua 指出,類似這類竊取雲端服務運算資源,實際上進行惡意挖礦攻擊的案例層出不窮。在 2020 年時 Bitbucket 也曾發生類似的駭侵挖礦攻擊。由於這類雲端開發環境服務,一般對於各專案的資安防護比較弱,也給駭侵者可乘之機。
twcert 發表在
痞客邦
留言(0)
人氣()
美國主管資安事務單位,日前針對微軟 Exchange 的多個嚴重 0-day 漏洞發布緊急修補命令,要求聯邦政府所屬單位,立即針對在其組織内運作的微軟 Exchange 系統進行資安修補。
美國主管資安事務的網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA),日前針對 Microsoft Exchange 近期修補完成的四個嚴重 0-day 漏洞發布緊急修補命令。
CISA 發布編號為 Emergency Directive 21-02 的緊急命令,要求聯邦政府所屬單位,立即針對在其組織内運作的 Microsoft Exchange 系統進行資安修補。先前 CISA 也曾針對這四個漏洞發布資安通報,表示這些 0-day 漏洞已遭駭侵者大規模濫用。
在 CISA 發布的通報中指出,一共有四個 0-day 漏洞已獲得 Microsoft 修補完成並發表修補程式,分別是:CVE-2021-26855:存於 Exchange Control Panel,駭侵者可透過特製的伺服器端連線要求,取得電子郵件與機密檔案的内容。
twcert 發表在
痞客邦
留言(0)
人氣()
美國另類右翼人士聚集的社群網站 Gab 日前遭到駭侵者攻擊,造成多種用戶資料被竊走,包括用戶密碼與通訊內容。
在美國選戰末期開始湧入大批另類右翼用戶的美國社群網站 Gab,日前遭到一個不明駭侵者的攻擊,導致高達 70GB 的站內資料被竊;攻擊者並將這批資料轉交給一個稱為「分散式機密阻斷」(Distributed Denial of Secrets),詃組織是個類似 WikiLeaks 的吹哨者非營利民間團體。
據資訊媒體 Wired 的報導指出,在這 70GB 的資料中,至少包括四千萬篇用戶貼文,其中包括在 Gab 上的各種公開貼文和用戶描述檔案(但不包括上傳到 Gab 的相片和影片),也包括私人討論群組內的內容、個人帳戶的私密貼文與所有通訊內容,甚至也包括用戶在 Gab 上使用的登入密碼在內。
Wired 指出,在另一個以完全沒有言論審查機制的社群網站 Parler,因其上的各種過激與仇恨言論,遭到 Google、Apple、Amazon 等封鎖,導致 Parler 無法正常運作後,原本在 Parler 上的各種右派用戶,便大舉轉移使用原本就是偏右立場的 Gab。
Distributed Denial of Secrets 的共同創辦人 Emma Best 在 Wired 的訪問中說,由於從 Gab 取得的資料太過敏感,因此 Distributed Denial of Secrets 將不會直接公開這批資料;Distributed Denial of Secrets 將會選擇性地釋出部分資料給予媒體記者、社會學家、相關研究者,以了解這些用戶的組成、言論內容和行為。
Gab CEO Andrew Torba 則在其他的專訪中承認,該公司確實遭到駭侵攻擊,導致資料被竊;該公司針對此次駭侵事件,於官方部落格中發表了一篇資安通報,指出用戶密碼經過加密儲存,但私人群組的密碼則未經加密。
twcert 發表在
痞客邦
留言(0)
人氣()
iPhone 破解團體利用先前 Apple 發布過資安通報的漏洞,發展出全新的越獄工具,幾乎適用於所有機型的 iPhone。
一個 iPhone 破解團體日前利用先前 Apple 發布過資安通報的漏洞,發展出全新的越獄工具;該越獄工具幾乎適用於所有機型的 iPhone。
這個名為 The Unc0ver team 的 iPhone 破解團隊,在二月底釋出全新的 iPhone 越獄工具,可以幫助用戶繞過 iOS 系統的各種權限與安全設定,自行安裝未於 App Store 中上架的各類越獄機專用軟體,或是繞過系統的某些限制,執行 Apple 基於各種理由(例如資安、電力消耗、隱私保護、商業利益等)未曾開放的功能。
The Unc0ver team 表示,新的 iPhone 越獄工具可在 iOS 11 到 iOS 14.3 之間的所 iOS 版本上執行,支援的硬體幾乎涵蓋所有市面上仍可運作的各式 iPhone 手機或 iPad 平板。
The Unc0ver team 在其官方推文中指出,該團隊透過自行開發的駭入手法,利用 CVE-2021-1782 這個存於 iOS 作業系統核心中的漏洞,得以破解 iOS 的權限限制,讓用戶帳號取得系統等級的執行權限。
The Unc0ver team 這個最新越獄工具利用的 CVE-2021-1782 漏洞,曾經在 Apple 於二月初發表的資安通報中被列出;在該通報中 Apple 指出該公司已掌握此漏洞已遭外界大規模濫用的情資。
CVE-2021-1782 這個漏洞,也已在 Apple 近期推出的 iOS 14.4 中修復,因此 The Unc0ver team 推出的越獄工具,在已更新至 iOS 14.4 的 iPhone 或 iPad OS 14.4 的 iPad 平板上是無法執行的。
長久以來資安專家不斷呼籲,任何 iPhone 和 iPad 用戶都不應任意在自己的裝置上使用越獄工具破解作業系統限制,更不應安裝未經官方 App Store 認可上架的第三方應用程式,因為這將會大大提高裝置遭到各種駭侵攻擊的風險;而為了防止其他惡意軟體透過已知的漏洞駭入用戶裝置,用戶也應在作業系統發布更新時立即套用更新,以確保裝置的安全性。CVE編號:CVE-2021-1782
twcert 發表在
痞客邦
留言(0)
人氣()
威聯通®科技 (QNAP® Systems, Inc.) 於2月25日發表產品資安新聞,敦促其使用者立即更新 Surveillance Station 及 Helpdesk 應用程式,以修正近期所發現的安全性事件。為確保 QNAP NAS 安全性,使用者應盡快安裝其設備對應之更新套件。若要更新 Surveillance Station 應用程式,請依照 QNAP 資安通報 QSA-21-07 內說明之程序進行。若要更新 Helpdesk 應用程式,請依照 QNAP 資安通報 QSA-20-08 內說明之程序進行。若需進一步技術支援,請透過 QNAP 客戶服務聯絡 QNAP。
twcert 發表在
痞客邦
留言(0)
人氣()
VWware 修復發生在 vCenter 的嚴重漏洞,該漏洞可能導致駭侵者藉以提升執行權限,甚至遠端執行任意程式碼。
VWware 日前發表資安通報,宣布該公司修復一個發生在 vCenter Server 的嚴重漏洞,該漏洞可能導致駭侵者藉以提升執行權限,甚至遠端執行任意程式碼。
這個漏洞的 CVE 編號為 CVE-2021-21972,發生在用以控制 VMware vSphere 作業環境的 vCenter Server 外掛程式;駭侵者可藉由這個漏洞存取連接埠 443,在執行 vCenter Server 的電腦系統上提升執行權限,並且執行任意指令與程式碼。
據發現這個漏洞並提報給 VMware 公司的資安廠商 Positive Technologies 指出,該公司觀測到全球有許多 VMware vServer 已遭駭侵者利用此漏洞駭入,將原本只能在企業内部網路中存取的 VMware vServer 曝露在公眾網路之上。
據 Positive Technologies 估計,受害伺服器主機多達 6,700 台以上,主要分布在德國(7%)、法國(6%)、中國(7%)、英國(4%)、加拿大(4%)、俄羅斯(3%)、台灣(3%)、伊朗(7%)、義大利(3%)。
這個漏洞的 CVSS 危險程度評分高達接近滿分 10 分的 9.8 分。
VMware 發布的資安通報中揭露的漏洞,除了上述的 CVE-2021-21972 嚴重漏洞之外,也包括 CVE-2021-21973、CVE-2021-21974 等其他漏洞;受到影響的産品,除了上述的 vCenter Server 系列産品外,還包括 VWware ESXi 與 VMware Cloud Foundation 等産品。
VMware 同時也推出了針對這些漏洞的暫時解決方案(workaround),採用這些産品的用戶,應立即套用這些解決方案,並等待 VWware 推出正式的修補軟體。CVE編號:CVE-2021-21972
twcert 發表在
痞客邦
留言(0)
人氣()
Akamai 資安團隊發現,有某個以惡意挖礦為主要駭侵攻擊手法的駭侵團體,將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中,導致該資訊無法更改,更無法下架。
Akamai 旗下的資安研究團隊近期發現,有某個以惡意挖礦僵屍網路為主要駭侵攻擊手法的知名駭侵團體,將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中隱藏起來,導致該資訊無法更改,更無法下架。
Akamai 研究團隊是在研究駭侵團體如何躲避其取樣使用的「甜餌」(honeypot)時,發現這種新的操作手法。
報告指出,這個駭侵團體通常會先利用某些已知的遠端執行任意程式碼漏洞,例如在 Hardoop Yarn 與 Elasticsearch 的 CVE-2015-1427 或 ThinkPHP 的 CVE-2019-9082 來進行先期駭入攻擊,植入並執行可下載更多惡意軟酬載的 shell script 後,接下來載入新的惡意軟體,一方面關閉受害系統上的資安防護相關程式、偵測並移除類似的其他惡意軟體以避免競爭系統資源,然後一邊進行挖礦,一邊在内部網路上尋找更多潛在可駭侵對象,以擴大感染。
由於這類攻擊流程,會透過 cron jobs 與 rootkits 以確保惡意軟體留在系統上,並且保持運作與更新,傳統上必須將控制伺服器的 IP 寫在 crontabs 與設定檔中,很容易被發現,並且循線緝獲控制伺服器,造成惡意軟體無法運作;Akamai 自 2020 年 12 月開始發現變種惡意軟體採取新的手法,透過某個 API 來存取某個 Bitcoin 錢包,並且從接收到的區塊鏈資料中解析出控制伺服器的 IP 資訊。
這種手法使得駭侵團體可以快速更新整個駭侵控制系統的資訊,因為只要放一點小額 Bitcoin 到指定錢包之中,就可以更新控制伺服器的位址,讓惡意軟體恢復運作。再加上 Bitcoin 區塊鏈無法修改也無法下架,使得資安界更加難以封鎖這類駭侵攻擊行動。
twcert 發表在
痞客邦
留言(0)
人氣()
美國多個城市所使用的支付系統 AFTS,在二月初遭到勒贖攻擊,系統無法運作;駭客甚至已經開始販賣攻擊行動中取得的資料。
美國多個城市與多家政府承包廠商廣泛使用的支付系統 AFTS(Automatic Funds Transfer Services),在二月初遭到嚴重勒贖攻擊,不但導致系統無法運作,駭客甚至已經開始在暗網上販賣在攻擊行動中取得的資料。
AFTS 是眾多美國城市與美國首府華盛頓多個外包廠商用以進行支付處理和地址驗證的服務系統,使用這套系統服務的用戶,不但人數眾多,而且遍布全美各地,因此系統停擺造成很大的不便,資料遭竊的影響更為嚴重。
據資安媒體 BleepingCoumpter 指出,這次攻擊行動的幕後主使者,可能是一個自稱為「古巴勒贖攻擊軟體」(Cuba Ransomware)的駭侵團體;如同所有過去發生過的勒贖攻擊一樣,這波攻擊也是事先竊取 AFTS 的資料,再進行加密鎖定。
目前還不知道駭侵者向 AFTS 要求多少贖金,不過 BleepingComputer 已經發現 Cuba Ramsonware 已在暗網上販售這次勒贖攻擊得來的資料。
這批被竊的資料欄位,因不同的城市和單位而略有不同,但可能包括姓名、地址、電話號碼、車輛牌照號碼、車身辨識編號(VIN, Vehicle Idenfication Number)、信用卡卡號、紙本支票掃瞄檔案、詳細支付資訊等等。
受到這波攻擊影響的政府單位與城市,則包括加州的交通監理處、華盛頓州科克蘭市、 華盛頓州林伍德市、華盛頓州門羅市、華盛頓州瑞德蒙市、華盛頓州西雅圖市、雷克伍德自來水廠、艾弗列特港等等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現荷蘭境内的資料中心,遭伊朗 APT 駭侵團體駭入設立用以攻擊全球目標的控制伺服器。
資安廠商 Bitdefender 與 Argos 日前聯合發表研究報告,指出荷蘭境内有若干資料中心内的主機,遭伊朗 APT 駭侵團體駭入,用以設立攻擊全球目標的控制伺服器架構(Command and control)。
據報告說,伊朗 APT 駭侵團體,在荷蘭境内總共架設了兩組駭侵攻擊控制伺服器架構;其中一組使用的實體伺服器已經遭到緝獲,另一組的伺服器仍在積極查緝之中。
報告指出,架設這兩組控制伺服器的伊朗 APT 駭侵團體是 Infy,最早的攻擊活動記錄可追溯到 2016 年;他們在荷蘭資料中心的主機上植入了兩個惡意軟體,一個名為「Tonnerre」(即法文的雷鳴),另一個名為「Foudre」(即法文的閃電);透過這兩個惡意軟體,發動全球規模的間諜監聽攻擊。
據 Bitdefender 的資安專家指出,這些駭侵控制器對伊朗的國際監控活動可能十分重要;當資安專家開始進行調查作業時,立刻被設立這些控制伺服器的駭侵者發現,並且立即採取對應行動。
專家也說,他們發現這些控制伺服器的布建,已經長達三年之久。被植入惡意軟體的主機,是由美國的網站托管服務廠商 Monstermeg 所擁有,而出資向 Monstermeg 租用托管服務的公司,註冊於賽普勒斯,公司擁有人則是來自羅馬尼亞。由於都使用比特幣支付托管費用,因此也難以透過金流追蹤事件關係人。
調查單位透過分析,掌握了被這組控制伺服器駭侵監聽的對象;受駭者遍及世界各國,包括瑞典、美國、荷蘭、歐洲多國、伊拉克、印度等。
twcert 發表在
痞客邦
留言(0)
人氣()
