- Nov 09 Mon 2020 17:10
-
Oracle WebLogic 伺服器嚴重漏洞,已遭駭侵團體大規模惡意濫用
- Nov 06 Fri 2020 16:25
-
勒贖軟體 Maze 幕後駭侵組織宣布停止運作
惡名昭彰的勒贖攻擊軟體 Maze,其幕後組織宣布停止運作;但資安專家仍表懷疑。
曾發動多次勒贖攻擊,同時威脅受害者,若不支付贖金即公開竊得資料,造成重大損失的惡意軟體 Maze,其幕後駭侵組織發表公告,宣布即日起停止該軟體運作;但資安專家仍表懷疑,並呼籲各界不可掉以輕心。
該組織的公告發布於暗網上,指出該組織即日起停止運作;任何以 Maze 或該組織為名的攻擊行動,均與該團體無關。
在公告中,該組織也宣稱未與任何其他單位合作,也沒有後續接手 Maze 的組織;該組織的駭侵專家也沒有進行其他駭侵軟體的專案,因此不可能有後續者。
但資安專家並不輕信該組織的說法;有資安專家指出,該組織的人員很可能只是為了暫避風頭而發出此聲明,實際上可能會轉移到其他惡意軟體計畫;也有資安專家指出,目前的勒贖「市場」非常擁擠,競逐者眾;很可能是 Maze 透過勒贖攻擊能夠取得的贖金開始下降,駭侵者於是轉移陣地,另起爐灶。
Maze 組織在公開信中也提到該組織發展 Maze 的理由,是希望提醒世人資安防護的重要性;也有資安專家認為該團體將受害者都稱為「客戶」,可能希望受害者以非正式的方式僱用其為資安防護服務提供者;其贖金則是支付給該單位的服務費用。
資安專家也提醒,犯人極少突然幡然悔悟,改過向善;很可能只是放棄舊工具,換個名字重操舊業而已,大家仍應提高警覺,做好應做的資安防護工作,不要輕信這類的說法。
- Nov 06 Fri 2020 16:07
-
WordPress 擴充套件 wp-file-manager 漏洞,遭大規模用於駭侵攻擊
WordPress 上廣為使用的檔案管理擴充套件 wp-file-manager,日前遭發現一個嚴重資安漏洞,可能遭駭侵者用以遠端執行任意程式碼;該漏洞已遭駭侵者用以大規模發動攻擊,使用此擴充套件的 WordPress 管理者,應儘速更新以避免遭此漏洞影響。
這個漏洞出現在 The File Manager 處理檔案上傳使用的 connetor.mininal.php 程式碼中,這段程式碼可在未經授權的情形下存取,駭侵者因此可以上傳任意檔案到 WordPress 伺服器,遠端執行任意程式碼。
這個漏洞編號為 CVE-2020-25213,其 CVSS 危險程度評分高達 9.8 分。據資安專家指出,該漏洞在八月底開始遭到駭侵者用以攻擊 WordPress 伺服器,在八月最後一周,每天偵測到的攻擊次數超過 15,000 次。
存有此漏洞的 wp-file-manager 版本分別為:
File Manager Plugin for WordPress 6.0 至 6.8
File Manager Pro Plugin for WordPress 7.6 至 7.8
- Nov 04 Wed 2020 11:46
-
超過十萬台 Windows 電腦仍存有極嚴重的 SMBGhost 漏洞
資安廠商指出,雖然微軟早在三月就針對嚴重的 SMBGhost 漏洞發布修補軟體,但至今仍有超過十萬台的 Windows 10 電腦,尚未修補此一漏洞。
資安廠商 ESET 指出,雖然微軟早在三月間,就針對嚴重的 SMBGhost 漏洞發布修補軟體,但至今仍有超過十萬台的 Windows 10 電腦,尚未修補此一漏洞,曝露在嚴重的遠端駭入風險下。
這個漏洞的編號為 CVE-2020-0796,駭侵者只要針對未修補此漏洞電腦的 SMB 伺服器發送特製的攻擊封包,即可利用這個漏洞遠端執行任意程式碼。受此漏洞影響的 Windows 10 單機版與伺服器版本分別為 1903 與 1909。
據 ESET 估計,全球網路上約有 103,000 台 Windows 10 電腦曝露在此漏洞的攻擊風險之下,換算下來約等於全球網路上有開放 Port 445 電腦的 8% 左右。
這個漏洞的危險程度極高,其 CVSS 危險程度評分高達滿分 10 分。微軟甚至是在例行的每月 Patch Tuesday 之外,針對這個漏洞單獨發行修補程式;而美國資安與基礎設施安全局(US Cybersecurity & Infrastructure Security Agency, CISA)也針對此漏洞發表資安通報。
ESET 指出,鍳於本漏洞的高度危險性,尚未修補此漏洞的系統管理者,應立即安裝執行微軟提供的修補工具,或將 Windows 10 系統升級至最新版本,以防駭侵者利用此嚴重漏洞發動攻擊得逞。
- Nov 03 Tue 2020 17:39
-
美國網戰司令部指出,俄羅斯惡意軟體正攻擊外交、國會與使館機構
- Oct 30 Fri 2020 13:54
-
美國選務官員指出,發現大規模可疑 Email 攻擊行動
美國選務機關指出,各地方政府的選務人員,最近遭到大規模可疑 Email 攻擊,可能意圖影響近日的總統大選選務工作。
美國選務機關「選舉基礎建設與資訊共享分析中心」(Elections Infrastructure Information Sharing and Analysis Center, EI-ISAC)指出,各地方政府的選務人員,最近遭到大規模可疑 Email 攻擊;選務官員懷疑,攻擊活動可能意圖影響近日的總統大選選務工作。
據華爾街日報獨家報導指出,在一些地方選務人員收到的詐騙 Email 中,發信人偽裝為州政府的選務高階官員,並在信中附上一個連結,要求收信的選務人員按下,以取得計票與選務資訊相關系統的二階段登入驗證顯示裝置。
雖然這是典型的釣魚詐騙郵件操作手法,不過 EI-ISAC 目前並未在這些可疑 Email 中發現任何惡意連結,也沒有任何含有惡意程式碼的檔案隨信寄送。
另外 EI-ISAC 也指出,有另一波疑似 Email 攻擊行動,偽裝成身障人士要求在家投票,寄送給選務人員尋求協助;截獲的部分 Email 試圖模仿成由選務機關回覆信件的設計,可能提高選務人員不慎點按惡意連結,或下載惡意程式的風險。
據報導,EI- ISAC 目前並沒有關於這波疑似 Email 詐騙攻擊的詳細情資,也不清楚幕後發送者是誰,也看不出攻擊行動是否有其他國家支持的跡象。但 EI-ISAC 仍舊行文給各州與地方級選務機構,要求提高資安警覺與防護能力,避免下個月初的美國總統大選遭到駭侵攻擊干擾。
- Oct 29 Thu 2020 16:11
-
連結預覽功能存在隱私洩漏風險
當社群軟體用戶接收到URL連結時,社群軟體會預先抓取連結的內容,例如圖片或是標題。無論內容為何,只要是URL就會在使用者非自主的情況下觸發,某方面來說也許方便,但卻隱藏著資安的疑慮。以LINE為例,如果有心人士發送惡意連結,此情況之下惡意連結是很容易被觸發的,甚至能透過建立惡意中繼站竊取並回傳LINE使用者的IP與地理位置。
LINE的加密方式是屬於End-to-end encryption(E2EE),是一種只有參與通訊的用戶可以讀取資訊的方式,即使是LINE的伺服器也無法讀取原始資訊,因此也無法透過其伺服器來檢查是否為惡意連結進而提醒使用者。在眾多的社群軟體中,若有預覽連結的功能其實都有共同的風險,例如Instagram也能透過預覽連結來執行惡意的JavaScript。
- Oct 29 Thu 2020 14:17
-
Nitro PDF Services 發生資料外洩事件,多家美國大型企業受害
廣為美國企業採用的 PDF 編輯與數位簽核服務 Nitro PDF services,日前發生大規模資料外洩事件,造成多家美國大型企業客戶受害。
廣為美國企業採用的 PDF 編輯與數位簽核服務 Nitro PDF services,日前發生大規模資料外洩事件,造成多家美國大型企業客戶受害,包括 Amazon、 Google、Apple、Microsoft、大通銀行、花旗銀行等均受波及。
該公司於 10 月 21 日向澳洲證券交易所發布資安通告,表示發生一起獨立的資安事件,有資料庫遭到不明第三方未經授權存取,但該資料庫不包括用戶或客戶資料與文件,也不致對公司的營運造成影響。
但事實上攻擊造成的災情,遠比聲明中描述的還要嚴重得多。資安廠商 Cyble 向資安媒體 BleepingComputer 指稱,該公司發現一批顯然來自 Nitro 公司的客戶與文件資料庫,在暗網上待價而沽,其資料庫檔案大小高達 1TB 之多。
據 BleepingCompture 報導,這一大批資料正在暗網站接受私下競標,起標價格是 80,000 美元。Cyble 說在資料庫中的某個表格,就包括七千萬筆用戶資料,包括 Email 地址、完整姓名、bcrypt 雜湊密碼、職稱、公司名稱、IP 地址與多種系統相關資訊。
據 Cyble 統計指出,在資料庫中,屬於 Amazon 公司所有的帳號數就多達 5,442 個,Google 和 Microsoft 各有三千多個、Apple 有 584 個;洩漏的文件檔案數量則以花旗銀行最多,將近 14 萬件,Google 也有高達三萬多個文件檔案遭到外洩。
Nitro PDF 的企業用戶超過十萬家公司,註冊使用者高達 180 萬人。
- Oct 29 Thu 2020 11:53
-
NVIDIA 發表重要軟體更新,修復 GeForce Experience 三個資安漏洞
全球繪圖晶片大廠 NVIDIA 日前針對旗下 NVIDIA GeForce Experience (GFE)的 Windows 版本應用軟體,發表資安修補更新,一共修補三個資安漏洞。
這三個資安漏洞中,最嚴重的是 CVE-2020-5977,發生在 NVIDIA Web Helper NodeJS Web Server 中,若有駭侵者將某個不受控制的搜尋路徑載入到節點模組時,就會引發錯誤,可導致駭侵者遠端執行任意程式碼、發動 DoS 攻擊、提升執行權限,並且竊取資料。
這個 CVE-2020-5977 的 CVSS 危險程度評分高達 8.2 分。
另一個高危險資安漏洞的編號是 CVE-2020-5990,CVSS 危險程度評分亦高達 7.3 分;這個漏洞發生在 ShadowPlay 模組中,駭侵者可用以提升自身執行權、遠端執行任意程式碼、發動 DoS 攻擊並且竊取資料。
第三個得到修補的漏洞是 CVE-2020-5978,可讓駭侵者提升執行權限或發動 DoS 攻擊;CVSS 評分為 3.2 分。
這三個漏洞的修補更新於 2020 年十月發行,使用 NVIDIA GeForce GTX 繪圖卡的 Windows 系統用戶,應立即下載並執行更新,以降低遭到駭侵者利用此批漏洞發動攻擊的風險。
CVE編號:CVE-2020-5977、CVE-2020-5990、CVE-2020-5978
影響產品/版本:GeForce Experience Windows 版 2.30.5.70 之前版本
解決方案:下載並執行 2020 年十月 NVIDIA 發行的資安修補更新軟體
- Oct 28 Wed 2020 15:50
-
QNAP 針對 Zerologon 漏洞公布資安警訊,受影響機種用戶應即更新 QTS 作業系統
台灣 NAS 大廠 QNAP 日前針對 Zerologon 嚴重資安漏洞發布資安警訊,並公布受影響的 NAS 作業系統版本號碼,用戶需立即更新以修補漏洞。
全球知名的台灣網路儲存設備(NAS) 大廠 QNAP,日前針對 Zerologon 嚴重資安漏洞發布資安警訊;並公布受影響的 NAS 作業系統版本號碼;建議相關用戶更新到最新的 QTS NAS 作業系統,以修補漏洞。
QNAP說明,若用戶之 NAS不是部署為 Active Directory 的 domain controller ,不受 Zerologon 漏洞影響。因此非相關之用戶在固定排程時更新即可,不需受時間壓力安排緊急更新。
在 QNAP 發表的資安通報中指出,微軟在本月初公布的 Zerologon(CVE-2020-1472)嚴重資安漏洞,也出現在該公司部分 NAS 機種使用的 QTS 作業系統中連接微軟網路的子系統;若不立即修補該漏洞,可能導致駭侵者用以跳過系統資安驗證程多,提升自身執行權限,遠端執行任意程式碼,並且挾持 QNAP NAS 本體並攻擊內部網路中的其他設備。
據 QNAP 發表的資安通報指出,建議相關用戶應升級到以下 QTS 版本:
QTS 4.5.1.1456 build 20201015 與更新版本
QTS 4.4.3.1439 build 20200925 與更新版本
QTS 4.3.6.1446 Build 20200929 與更新版本
QTS 4.3.4.1463 build 20201006 與更新版本
QTS 4.3.3.1432 build 20201006 與更新版本
- Oct 26 Mon 2020 16:58
-
美國聯邦官員正式指稱俄羅斯駭侵團體涉及入侵美國各級政府網路
美國聯邦政府政正式指稱,與俄羅斯相關的駭侵團體,涉嫌在過去數周以來針對美國各級政府發動多起駭侵攻擊。
美國聯邦政府政正式指稱,與俄羅斯相關的駭侵團體 Energetic Bear(又名 TEMP.Isotope),涉嫌在過去數周以來針對美國各級政府發動多起駭侵攻擊。
發出指控的是美國聯邦調查局(FBI)與美國資安暨基礎建設安全局(CISA)。這兩個單位於10月22日共同發布公告,指出由俄羅斯政府支持的 APT 駭侵團體,近來多次駭入美國自州政府以下的各級政府組織與航空網路,並於 2020 年 10 月 1 日成功從至少兩台以上伺服器竊取資訊匯出。
FBI 與 CISA 的公告中特別指出,該駭侵團體入侵取得的資料,以及政府網路的登入資訊,可能用來竄改重要政府網路的資安與一般設定、破壞 IT 架構、竊取各種包商與採購資訊,甚至盜印重要工作人員的通行憑證。
兩單位的公告指出,目前尚無證據顯示該 APT 團體的駭侵行為,是為了阻礙飛安、教育、選舉與政府日常運作;但未來仍可能對這些單位的正常運作造成威脅。
據資安媒體 CyberScoop 指出,TEMP.Isotope 曾在 2019 年時攻擊烏克蘭選舉,並針對歐洲與美國的能源產業發動駭侵攻擊,是個有多項前科的 APT 駭侵團體;為此 CISA 與 FBI 也特別提供關於該團體的額外防護資訊,並對選舉相關承辦單位進行簡報,以防接下來的美國大選遭到該團體侵擾。
- Oct 23 Fri 2020 15:23
-
微軟持續打擊 TrickBot 僵屍駭侵網路
微軟持續打擊意圖影響美國大選的 TrickBot 僵屍網路,已經讓超過九成的 TrickBot 控制伺服器無法運作。
微軟日前發表資安通報,說明該公司持續打擊意圖影響美國大選的 TrickBot 僵屍網路成效。在該公司的各種封鎖行動之下,目前已經讓超過九成的 TrickBot 控制伺服器無法順利運作。
微軟指出,已經讓 TrickBot 的整體基礎架構的大多數節點無法運作,使得 TrickBot 影響十一月初美國總統大選的能力大大削弱。
微軟在開始對抗 TrickBot 僵屍網路初期,鎖定一共 69 台分布於全球的 TrickBot 控制伺服器。微軟成功停止其中 62 台的運作,其餘 7 台控制伺服器由於是以 IoT 裝置架設,非使用 Windows 系統,因此微軟仍在設法阻斷其運作。
TrickBot 幕後的主使者,很快又新設立多台控制伺服器,以維持其駭侵網路的運作;微軟再度鎖定了 59 台控制伺服器,成功封鎖了其中的 58 台。因此從總量上來看,TrickBot 集團先後設定的伺服器中,有 128 台遭微軟成功辨識,120 台被微軟設法停止其運作。
TrickBot 僵屍網路在全球感染超過一百萬台個人電腦,有能力發動大規模的勒贖攻擊,造成美國大選電腦系統的運作障礙。
微軟表示,TrickBot 幕後主事者會繼續試圖設立新伺器,並避免微軟的封鎖行動;微軟呼籲資安界共同打擊 TrickBot,特別是有可能託管 TrickBot 主機的 ISP 業者,應該一同阻止 TrickBot 重起爐灶。
