VMware 日前針對旗下 Workspace One 與其他平台產品被發現的 0-day 資安漏洞,推出修補程式;相關產品用戶應儘速加以更新。
獲得修補的 0-day 漏洞,其 CVE 編號為 CVE-2020-4006,駭侵者只要取得能夠存取內網的 port 8443,即可利用此漏洞注入指令,不但能提升自身執行權限,更可遠端執行任意程式碼。
此一漏洞在發現初期的 CVSS 危險程度評分高達 9.1 分(滿分為 10 分),被評為「危險」等級;然而在後續的研究中調降其評分至 7.2 分,等級亦降為「重要」等級,原因在於後續研究指出,駭侵者必須先取得系統管理密碼,才能利用此漏洞,大大提高駭侵者利用此漏洞發動攻擊的難度,因而調降其評分。
不過,駭侵者若能利用暴力試誤法或社交攻擊方式,設法取得密碼,未曾更新 VMware 相關產品平台的用戶,就仍然存有高度被攻擊的風險。
受此漏洞影響的產品包括 VMware Workspace One Access Linux 版 20.10 與 20.01、VMware Identity Manager Linux 版 3.3.1 至 3.3.3、VMware Identity Manager Connector Linux 版 3.3.1 與 3.3.2、VMware Identity Manager Connector Windows 版 3.3.1 到 3.3.3,用戶應立即下載安裝 VMware 提供的官方資安修補工具,以修補此一漏洞,降低遭駭侵者用以攻擊的可能。CVE編號:CVE-2020-4006
twcert 發表在
痞客邦
留言(0)
人氣()
資安事件摘要
twcert 發表在
痞客邦
留言(0)
人氣()
Canon 在美國的分公司,於今年年中遭到勒贖攻擊,且有部分企業資料遭竊。
全球光學暨影像產品大廠 Canon,其美國分公司於今年年中遭到勒贖攻擊,且有部分企業資料遭竊。
Canon 在聲明稿中表示,該公司的內部網路與資料伺服器,於今年 7 月 20 日至 8 月 6 日之間,遭到未經授權的不當存取;Canon 於今年11月展開內部調查,發現該公司自 2005 到 2020 年間的員工資料遭竊。
被竊的員工資料中,包含多項個資欄位,例如姓名、社會安全碼、駕照號碼、身分證字號、金融開戶帳號、數位化的簽名,以及生日等。
該資料不只包括 Canon 員工,也包括員工家屬和相關受益人的資料在內。
雖然 Canon 並未在其聲明中透露攻擊相關的細節,以及誰是可能的攻擊者,但目前已停止運作的 Maze 駭侵團體,曾在今年 8 月時宣稱已經駭入 Canon 公司,並且在暗網上公布了約 2.5GB 的部分竊得檔案樣本;這批樣本據稱是總竊得資料量的 5%。
在 8 月 Canon 遭到攻擊時,Canon 的部分對外網站曾經停止服務達數日之久,當時有部分客戶存於該公司雲端服務的影像檔遭到波及而損毀,但並未外洩。
Canon 在日前發出的聲明中指出,駭客可能會利用這批竊得的員工個資,進行多種詐騙,例如偽裝成公務或司法機關,利用這些資料,要求個別員工提供更多個資、或是製作假證件或開立人頭戶,導致受害者遭到調查或原有帳戶被凍結等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一起與 APT 駭侵團體有關的後門惡意軟體攻擊行動,利用偽裝的 Word 檔案夾帶指令檔,欺騙 macOS 用戶安裝後門惡意軟體並竊取機敏資訊。
資安廠商趨勢科技,日前發現一起與APT 駭侵團體有關的後門惡意軟體攻擊行動;駭侵者利用偽裝的 Word 檔案夾帶指令檔,意圖欺騙 macOS 用戶安裝後門惡意軟體,竊取機敏資訊並發動後續攻擊行動。
趨勢科技的資安研究人員在報告中指出,該公司截獲的惡意軟體取樣,會偽裝成一個 Microsoft Word 檔案,但事實上是一個經由 zip 壓縮的程式碼安裝包;這個安裝包的檔名中含有一些特殊字元,以逃避某些防毒防駭軟體的偵測。
用戶如果點擊這個偽裝的 Word 檔,實際上會執行一段 shell script 指令碼;這段指令碼會下載後續的惡意軟體,並且更改檔案屬性,並試圖自我刪除以隱匿蹤跡;最後會在用戶的 macOS 系統中安裝後門惡意軟體,將各種系統配置資訊上傳到駭侵者布署的控制伺服器,同時接受指令,發動進一步的駭侵攻擊。
趨勢科技說,根據其惡意軟體使用的程式碼片段,以及檔案中使用越南文來看,該惡意攻擊可能與著名的 APT 駭侵團體 APT32(又名 OceanLotus)有關;該團體於 2020 年曾被發現試圖竊取中國的 Covid-19 相關資訊。
趨勢科技呼籲所有使用者,不要開啟可疑對象寄送的任何檔案,特別是公私機構常常是這類駭侵者的攻擊目標,應加強內部的資安教育訓練,隨時更新軟硬體系統,並且加強資安防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商攔截到一起發生在某全球金融機構的攻擊事件,駭侵者透過該機構內部的 Microsoft Teams 帳號發動攻擊,險令該機構因而癱瘓。
資安廠商 Avanan 近期發表資安通報,指出該公司的防駭產品,攔截到一起發生在某全球金融機構的攻擊事件;駭侵者透過該機構內部的 Microsoft Teams 帳號發動攻擊,險令該機構因而癱瘓。
Avanan 說,這起事件發生在一家全球性的大型金融機構與其協力廠商。本案的駭侵者於一年多前先駭入了該協力廠商,接著以取得的 Microsoft Office 365 登入資訊潛入大型金融機構的 Microsoft Teams 溝通群組中,等候了近一年,都沒有發動任何攻擊。
在潛伏一年多後,駭侵者在某個群組內傳送檔案的對話中現身,提供了內含惡意軟體的檔案給群組成員;該檔案內含的惡意木馬軟體,可以監控受害者的螢幕,並且進行遠端遙控,控制受害者的桌面操作。
Avanan 說,這次攻擊事件的特殊之處,在於該木馬具有逃過 Microsoft Teams 偵測的能力,以致於在傳送惡意軟體的過程中,沒有被 Microsoft Teams 發現。
Avanan 指出,過去這類的駭侵攻擊行動,多半是透過 Email 進行,然而透過 Microsoft Teams 的攻擊,數量正在逐漸增加;隨著 Microsoft Teams 廣受採用,駭侵者只要取得 Office 365 的登入資訊,即可利用 Microsoft Teams 發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
TWCERT/CC近日接獲情資,超過四萬筆Amazon Simple Storage Service(Amazon S3)的public bucket URL已被公開於GitHub。
Amazon S3是一種雲端儲存服務,通常拿來備份伺服器、日誌及檔案。Amazon S3 雖然設定public bucket,但還是需要知道URL才能下載。本次情資的揭露可能讓有心人士透過URL下載檔案,甚至包括帶有敏感的個人隱私資料。其手法可透過http://[bucket_name].s3.amazonaws.com/<Key>對檔名為Key的檔案進行下載。
建議措施:修改AWS Identity and Access Management(IAM)Policy來限制訪問的對象。修改設定以禁止Amazon S3 公用存取。
twcert 發表在
痞客邦
留言(0)
人氣()
廣受採用的行動裝置布署服務平台 MobileIron,於六月被台灣資安廠商發現的嚴重漏洞,證實已遭 APT 駭侵團體大規模用於攻擊行動。
廣為全球各大政府單位與企業採用,用於布署並管理員工持有行動裝置的服務平台 MobileIron,於六月被台灣資安廠商 Devcore 發現的嚴重漏洞,證實已遭 APT 駭侵團體大規模用於攻擊行動。
英國國家資安中心(National Cyber Security Centre)於十一月下旬發表資安通報,指出 MobileIron 的這個嚴重資安漏洞,確定已遭多個背後有國家勢力支持的 APT 駭侵團體大規模利用,用於攻擊英國公私營單位所屬的網路。
據資安媒體 ThreatPost 報導指出,受到此波攻擊的單位,可能包括但不限於醫療機構、地方政府組織、物流業者、司法單位等。
遭 APT 駭侵團體利用的漏洞,其 CVE 編號為 CVE-2020-15505,其 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),屬於嚴重等級的資安漏洞;駭侵者可利用這個漏洞遠端執行任意程式碼,在受害者的內部網路中竊取機敏資訊。
更有甚者,美國資安與基礎設施安全局(Cybersecurity & Infrastructure Security Agency)也指出有 APT 駭侵團體整合此漏洞與 ZeroLogon 微軟伺服器漏洞,發動猛烈攻擊。
MobileIron 這個漏洞早在今年六月由台灣資安廠商 Devocre 發現並提報後,當月就已經推出修正工具;然而現在卻還發生駭侵事件,MobileIron 企業用戶應儘速更新系統,以避免駭侵攻擊持續造成破壞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現一波針對日本汽車、製藥與機械製造業者的大規模駭侵攻擊行動,利用近來發現的危險資安漏洞 Zerologon 進行。
資安廠商賽門鐵克旗下的資安研究人員,近來發現一波針對日本汽車、製藥與機械製造業者在全球各地分支機構的大規模駭侵攻擊行動,利用近來發現的危險資安漏洞 Zerologon 進行。
據賽門鐵克的研究報告指出,這波攻擊除了針對日本製造業在日本本土的工廠與辦公室外,也攻擊了這些企業在全球其他 16 個國家的分支機構,規模十分龐大。
除了日本之外,這 16 個被攻擊的國家包括美國、墨西哥、英國、法國、德國、比利時、阿聯、印度、中國、泰國、越南、香港、台灣、菲律賓、南韓、新加坡。
賽門鐵克說,該公司掌握了相當充分的證據,可證明這波攻擊的發動者,可能就是APT駭客組織 Cicada(又名 APT10、Stone Panda 或 Could Hopper)。
賽門鐵克指出,Cicada 在此波攻擊中,除了用上各種過去慣用的駭侵攻擊外,也加入了最近被發現的嚴重資安漏洞 Zerologon(CVE-2020-1472),能在極短時間內駭侵企業內網,立即掌握內網的 Active Directory 並取得控制權。
除了 Zerologon 外,賽門鐵克也發現 Cicada 利用自製的 Backdoor.Hartip 惡意軟體,用以竊取企業機敏資訊,例如各種營業記錄文件、人力資源資料、會議記錄、收支記錄等等。
twcert 發表在
痞客邦
留言(0)
人氣()
虛擬技術大廠 VMware 近日發表資安通報,指出旗下 VMware Workspace One 的某些版本,存有嚴重的 0-day 資安漏洞,可能導致駭侵者用以提升執行權限,進而遠端執行任意程式碼。
這個漏洞的 CVE 編號為 CVE-2020-4006,是一種指令注入錯誤,存於 VMware Workspace One 的某些 Windows 與 Linux 版本;駭侵者只要能夠取得管理者密碼,並且可透過連接埠號 8443 連線,即可以不受限的使用者身分執行任意程式碼。
受到該漏洞影響的 VMware Workspace One 版本,包括 VMware Workspace One Access Linux 版 20.10 與 20.01、VMware Identity Manager Linux 版 3.3.1 至 3.3.3、VMware Identity Manager Connector Linux 版 3.3.1 與 3.3.2、VMware Identity Manager Connector Windows 版 3.3.1 到 3.3.3。
這個漏洞的 CVSS 危險程度評分高達 9.1 分(滿分為 10 分);目前 VMware 提供暫時解決方案,已經遭此漏洞攻擊的系統管理員,可以依照暫時解決方案提供的步驟,把相關的系統設定選項鎖定住;但如果要更動系統設定,則必須反向操作才能更改。CVE編號:CVE-2020-4006影響產品:
- VMware Workspace One Access Linux 版 20.10 與 20.01
- VMware Identity Manager Linux 版 3.3.1 至 3.3.3
- VMware Identity Manager Connector Linux 版 3.3.1 與 3.3.2
- VMware Identity Manager Connector Windows 版 3.3.1 到 3.3.3
解決方案:依照暫時解決方案提供的步驟處理
twcert 發表在
痞客邦
留言(0)
人氣()
比利時 KU Leuven 大學的資安研究人員 Lennert Wouters,日前發表研究報告,指出 Tesla Model X 與其無線鑰匙的兩個資安漏洞,加以結合後,即可讓有心人士在數分鐘內竊走受害者的 Model X 電動車。
Lennert Wouters 指出,他發展出的攻擊竊車方式,是針對 Tesla Model X 無線鑰匙的安全漏洞;該無線鑰匙以低功率藍牙連線到汽車,且可以透過其藍牙連線更新無線鑰匙內晶片中執行的軟體;然而其更新機制並未受到足夠的保護。
Wouters 及其研究團隊找到的方法,是先利用修改過的 Model X ECU(電子控制單元)強制將無線鑰匙視為一般的可連線藍牙裝置,接下來利用其韌體更新機制,將含有惡意程式碼的韌體更新到無線鑰匙上,研究人員即可取得汽車和鑰匙之間溝通使用的加密資訊,並且開啟車門鎖。
解開車門鎖後,研究人員即可像汽車修護技師一樣,直接連線到 Model X 的診斷維護界面,將破解過後的車鑰與汽車進行配對,這樣就能開走 Model X。
研究人員指出,整個駭入 Model X 所需的工具,只需一組 ECU、一台 Raspberry Pi 微型電腦、一個無線車鑰、一台 CAN Shield 電路板,以及一顆電池;全部加起來不到 200 美元。
Tesla 於今年八月接獲研究人員通報後,已於新版 Tesla 軟體 2020.48 中修復這個漏洞,車主應在每次原廠推出無線軟體更新(Over-the-air)時盡速更新至最新版本,以防有人利用此漏洞竊走愛車。影響產品/版本:Tesla Model X 軟體版本 2020.48 之前版本解決方案:更新至 Tesla Model X 軟體版本 2020.48 與後續版本
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現近五萬台 Fortinet FortiOS SSL VPN 裝置遭駭,受害者遍及全球,且多為政府機關、金融機構等重要單位。
專門觀測全球金融資安事件的研究單位 Bank Security,旗下資安專家日前透過推特發表資安通報,推文指出該單位發現近五萬台 Fortinet FortiOS SSL VPN 裝置遭駭,受害者遍及全球,且多為政府機關、金融機構等重要單位。
該篇推文自駭侵者論壇中擷取三張圖片,清楚顯示出多達 49,577 個 Fortinet SSL VPN 被駭裝置的 IP;Bank Security 透過 NSLOOKUP 調查這些 IP 對應到的網址,隨即發現這些網址大多屬於世界各國政府機構、銀行與金融服務廠商。
被駭侵者攻擊的 Fortinet SSL VPN 漏洞編號為 CVE-2018-13379,駭侵者可利用此漏洞存取 Fortinet VPN 中的 sslvpn_websession 檔案,進而竊得 VPN 網路的登入資訊,並且伺機發動後續的各種攻擊行動,例如駭入內網伺服器、竊取更多機敏資訊,甚至布署勒贖軟體等等。
CVE-2018-13379 這個漏洞,早在一年多以前就已經推出資安修復更新,然而這次仍有近五萬台 Fortinet VPN 裝置遭駭客透過此老舊漏洞攻破,顯示各國政府與金融相關單位須更加重視並提升資安防護意識與能力。Fortinet說明,「客戶的安全是Fortinet的首要任務。在2019年5月,Fortinet已發布解決相關SSL漏洞的PSIRT公告,同時已直接與客戶溝通,亦在2019年8月和2020年7月透過部落格發布相關訊息,強烈建議進行系統升級。雖然無法確認是否有攻擊已透過此漏洞進行,我們將持續與客戶溝通,但我們仍敦促客戶實施升級和緩解措施。如需要獲取更多資訊,請瀏覽我們最新的部落格,並參閱2019年5月的公告。」
Fortinet在此建議:
1、確實蒐集、統計目前組織單位中所使用的Fortinet FortiGate產品版本資訊。
2、針對FortiGate產品於2018年被揭露的SSL VPN功能相關漏洞 (CVE-2018-13379) 進行更新FortiOS的動作。
目前這些漏洞所影響的FortiOS版本為 6.0系列(6.0.0-6.0.4)/5.6系列(5.6.0-5.6.10)/5.4系列(5.4.0-5.4.12)/5.2系列(5.2.0-5.2.14),為了避免再被此系列漏洞影響,如果您目前是使用以上FortiOS版本,且系統上開啟SSL VPN功能(tunnel mode or web mode),請盡速更新系統至5.6.13(5.6系列)/6.0.11(6.0系列)/6.2.6(6.2系列)。
3、請即訂閱Fortinet FortiGuard PRIST advisories RSS feed,主動掌握所有最新產品漏洞資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
Facebook 日前修復一個 Facebook Messenger for Android 的嚴重資安漏洞;該漏洞可讓駭客竊聽語音對話內容,甚至受害者身邊的聲音而不被發現。
發現這個漏洞的資安專家,是 Google 旗下資安研究團隊 Project Zero 的 Natalie Silvanovich;專家指出在一般情形下,Facebook Messenger 只會在受話者按下通話按鈕後,才開始傳送音訊資料,但這個漏洞讓駭侵者只要先登入 Facebook Messenger,並且在撥打電話給受害者時同時送出特製的訊息,即可在受害者尚未接起電話時,就啟用音訊資料傳輸;駭侵者將可以竊聽受害者身邊的所有聲音。
這個漏洞出現在 Facebook Messenger 在實作 WebRTC 網路影音傳輸協定時發生的錯誤,受此漏洞影響的 Facebook Messenger for Android 版本為 284.0.0.16.119 與較舊的所有版本。
Natalie Silvanovich 在提報給 Facebook 的資安漏洞通報中,也提供了重現此漏洞的詳細操作步驟。值得注意的是,欲利用這個漏洞進行攻擊的駭侵者,必須擁有和受害者透過 Facebook Messenger 通話的權限,也就是說必須是受害者的朋友,或經受害者同意透過 Facebook Messenger 通話。
Facebook 於 10 月 6 日時接獲 Natalie Silvanovich 的資安漏洞通報,隨即於 11 月 17 日推出修復此漏洞的更新版本;所有在 Android 裝置上使用 Facebook Messenger 的用戶,應即更新至最新版本,以避免遭此漏洞攻擊。影響產品/版本:Facebook Messenger for Android 284.0.0.16.119 與較舊版本解決方案:升級至 Facebook Messenger for Android 最新版本
twcert 發表在
痞客邦
留言(0)
人氣()
