法國、美國資安廠商近日發表研究報告指出,DJI 無人機的 Android 控制 app,不僅可能導致用戶手機內的資訊外洩,更可能讓用戶的手機遭駭侵者控制。
法國資安廠商 Synacktiv 和美國資安廠商 GRIMM 日前發表研究報告,指出全球市佔最高的無人機大廠 DJI,其 Android 版本無人機控制 app DJI GO 4 的一些功能設計,可能導致用戶手機內的資訊外洩,甚至讓用戶的手機遭駭侵者控制。
這兩家廠商的資安專家發現,DJI GO 4 app 在進行軟體更新時,不會經由 Google Play Store 進行,而是逕行更新 App 程式碼;除了違反 Google Play Store 的使用規範,更可能導致 DJI 與任何第三方公司,可直接取得這支 App 執行時要求的權限,包括讀取用戶的通訊錄、存取麥克風、手機鏡頭與地理座標等資訊。
GRIMM 發表的報告也指出,這支 App 使用了「微博軟體開發套件」(Weibo software development kit),除了再次繞過 Google Play Store 的機制、讓微博取得用戶資訊外,也可能透過該 SDK 直接在用戶手機上安裝任意程式碼。
報告也指出,DJI GO 4 收集許多和無人機操作無關的用戶機敏資訊,例如手機的 IMSI、IMEI 以及 SIM 卡編號等;另外 Synaktiv 也指出,DJI GO 4 app 即使被用戶關閉,還是能在背景進行資料傳輸。
Synaktiv 和 GRIMM 的報告中對這支 App 進行了詳細的技術分析,甚至還發現這支 App 內有反制分析的功能存在;在使用相同 SDK 的其他 App 中,沒有看到這樣的設計。
DJI 被懷疑有資安風險不是第一次,三年前美國陸軍和海軍就因資安風險疑慮,全面禁用 DJI 無人機產品。
twcert 發表在
痞客邦
留言(0)
人氣()
國內網通設備廠商最近更新其路由器產品 RT-AC1900P 的兩個資安漏洞;這兩個資安漏洞編號分別是 CVE-2020-15498、CVE-2020-15499。
CVE-2020-15498 這個漏洞發生在該款路由器的 wget 程式,在連線到伺服器下載韌體更新程式時,會接受偽造的數位安全認證簽章。
駭侵者可以利用這個漏洞發動中間人攻擊,最終可以竊聽路由器的所有網路流量;新版韌體取消使用 wget 下載更新程式碼的做法,避免中間人攻擊手法。
CVE-2020-15499 這個漏洞則發生在該款路由器的 web 管理界面的「更新說明」(release notes) 頁面;這個頁面因為內容處理的疏漏,可能造成駭侵者發動跨站指令碼攻擊(XSS)。
廠商已針對這兩個漏洞推出新版韌體,建議路由器 RT-AC1900P 版本號碼為 3.0.0.4.385_10000-gd8ccd3d的用戶,應即更新至 3.0.0.4.385_20253 以上版本,即可修復這兩個漏洞。CVE編號:CVE-2020-15498、CVE-2020-15499影響產品(版本): RT-AC1900P,版本號碼 3.0.0.4.385_10000-gd8ccd3d解決方案:更新至 3.0.0.4.385_20253 以上版本
twcert 發表在
痞客邦
留言(0)
人氣()
美國國家安全局(NSA)與資安暨基礎設施安全局(CISA)日前發布警訊,指出美國製造業廣泛使用的 Triconex TriStation 等安控設備,含有嚴重的資安漏洞。 美國國家安全局(National Secutiry Agency, NSA)與資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前聯合發布警訊,指出美國製造業廣泛使用的 Triconex TriStation、Tricon 通訊模組等安控設備,因含有一個嚴重的資安漏洞,很可能被美國敵對勢力旗下的駭侵團體鎖定,用以發動大規模駭侵攻擊。
根據 CIS-CERT 發布的漏洞通報,由 Schneider Electric 製造生產的 Triconex TriStation 和 Tricon 通訊模組,含有一個 CVSS 分數高達滿分十分的嚴重資安漏洞;成功利用這個漏洞入侵的駭侵者,將可能竊取內部網路上所有未加密的通訊內容、發動 DDoS 攻擊,甚至不當存取企業內部各種資源。
出現漏洞的 Schneider Triconex TriStation 和 Tricon 通訊模組,是用來進行製造流程安全控製的組件;當發生嚴重事故如火災或爆炸時,可用來緊急中斷工廠的製造流程,避免損害擴大。
Schneider 這套系統廣泛用在美國各地的核能發電廠、煉油廠、石化工業、礦業、淨水廠等重要設施;NSA/CISA 的聯合警告中指出,像這類用在製造業的營運系統(oprational systems, OT),特別是關鍵基礎設施中的連網 OT,近日已發生多起遭到駭侵者攻擊的案例;NSA/CISA 認為這類 OT 系統的漏洞之所以變成外國敵對勢力的目標,是因為只要成功入侵,就能大大影響美國國家安全和社會穩定。
twcert 發表在
痞客邦
留言(0)
人氣()
全球最大自動櫃員機(ATM)廠商發出警訊,指出最近出現新型態的「中獎」攻擊(Jackpotting);駭侵者可讓 ATM 在極短時間內吐光機身存放的所有鈔票。
全球最大自動櫃員機(ATM)廠商 Diebold Nixdorf 日前發出警訊,指出最近出現新型態的「中獎」攻擊(Jackpotting);駭侵者以實體入侵的方式,可讓 ATM 在極短時間內吐光機身存放的所有鈔票。
據廠商指出,這種新型態的中獎攻擊者,使用一種特製的入侵專用硬體,而且執行的軟體有一部分是該廠自己出的軟體工具;駭侵者以鑽洞破壞 ATM 機身或破壞機箱鎖的方式,將入侵裝置連上 ATM 後,即可命令 ATM 以極快的速度(每 23 秒送出 40 張鈔票)全數送出機身內存放的鈔票。
據廠商發出的通報指出,近期這類攻擊發半發生在歐洲國家,被攻擊的 ATM 機型多為 ProCast 終端機,其中大部分是 ProCast 2050xe USB。
過去的 Jackpotting 中獎攻擊,攻擊者使用的駭侵工具(俗稱「黑盒子」),內部的軟體多半是駭侵者自行開發的工具,用來模擬成 ATM 內部控制用的 PC 主機;除了竊取 ATM 內存放的鈔票之外,也會竊取金融卡或信用卡資訊。
資安專家指出,以這次的新型態 Jackpotting 而言,雖然並不會竊取一般用戶的金融卡、信用卡資訊,但卻能取得並利用 ATM 製造商自己的軟體工具來製作黑盒子,可以說是個嚴重的警訊。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft .NET Framework, SharePoint Server和Visual Studio存在遠端執行任意程式碼(RCE)資安漏洞(CVE-2020-1147)。此為當軟體於反序列化XML過程時,無法檢查所輸入XML檔案的來源標記之漏洞。攻擊者可上傳一特製文件至利用上述軟體來處理內容的伺服器上,既可觸發該漏洞進行任意程式碼執行。CVE編號:CVE-2020-1147
twcert 發表在
痞客邦
留言(0)
人氣()
資安事件摘要
twcert 發表在
痞客邦
留言(0)
人氣()
以色列官員表示,該國供水系統近來連續遭到兩次駭侵攻擊,所幸並未造成太大的損失。
以色列主管全國供水事務的官員上周表示,該國供水系統近來連續遭到兩次駭侵攻擊,所幸並未造成太大的損失。
以色列官員說。兩次針對供水系統的攻擊都發生在六月,第一起攻擊位於上加利利(Upper Galilee)農業用水的供水加壓系統,第二起則發生在以色列中部的馬特耶胡達地區,同樣也是針對供水加壓系統發動攻擊。
官員指出,這些被攻擊的系統,都是針對農業灌概用的微型澆灌系統,在案發當時已經直接由當地的系統管理人員修復完成,沒有造成實質損失。
不過根據英國金融時報的報導指出,同樣在六月時,西方國家的情報單位掌握具體情資,指出以色列的淨水系統也曾遭到駭侵者成功控制;駭侵者更試圖竄改淨水用氯消毒劑的投入比例,幸好並未成功。
一旦駭侵者成功更改氯消毒劑的投入比例,很可能造成淨水場供水區域人口的大規模中毒事件。
以色列國家資安主管機關 Israel National Cyber-Directorate 和供水主管機關,在事件後也要求所有淨水廠的連網電腦設備,必須變更登入密碼;特別是和加氯消毒相關的電腦設備,更應提高警覺。
四月時以色列的供水系統亦曾遭到攻擊,以色列官員當時沒有提供可疑駭侵者的資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 日前發表 iOS、iPadOS 13.6,除了新增功能之外,同時修復 29 個資安漏洞;建議所有 iPhone 和 iPad 用戶,應立即更新系統。
Apple 日前發表 iOS、iPadOS 13.6,除了新增功能之外,同時一口氣修補了 29 個資安漏洞;其中有 10 個漏洞可導致駭侵者遠端執行任意程式碼(RCE)。
首先,有四個 RCE 漏洞(CVE-2020-9888、CVE-2020-9889、CVE-2020-9890、CVE-2020-9891)發生在聲音子系統中;只要播放一個特製的損壞聲音檔案,駭侵者便可用以執行任意程式碼。
另外有三個 RCE 漏洞發生在 WebKit 瀏覽器引擎中:CVE-2020-9894、CVE-2020-9893、CVE-2020-9895;利用特製的網頁來進行遠端執行程式碼。駭侵者經常會把這類攻擊工具偽裝成「越獄」破解工具,誘使想越獄的用戶瀏覽,繞過防範較為嚴密的官方 App Store,以入侵受害者的系統。
除了 iOS 和 iPadOS 外,Apple 也同時發布了 macOS、tvOS、WatchOS 的新版本,以 macOS Catalina 10.15.6 的更新程式為例,也一口氣修補了近 20 個嚴重程度不一的資安漏洞。
Apple Watch 的作業系統更新 WatchOS 6.2.8 則更新了 18 個資安漏洞、tvOS 13.4.8 則更新了 20 個資安漏洞。
由於這波更新幾乎含蓋所有 Apple 硬體產品,建議所有 iPhone、iPad、Mac、Apple Watch 和 Apple TV 用戶,應立即透過系統更新功能修復這些資安漏洞,以降低遭駭侵者利用這些已知漏洞發動攻擊的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安與基礎設施安全局日前下令,所有美國聯邦機關與附屬單位,需在 24 小時內修補某個 Windows DNS 嚴重資安漏洞。
美國資安與基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前下令,所有美國聯邦機關與附屬單位,需在 24 小時內修補某個 Windows DNS 嚴重資安漏洞。
這個漏洞的 CVE 編號是 CVE-2020-1350,發生在 Windows DNS Server,稱為「SIGRed」,可讓駭侵者遠端執行任意程式碼。
這個漏洞發生在 Windows Server 2003 到 2019 版本,其 CVSS 危險評分高達滿分的 10 分。
資安廠商 Check Point 發現這個漏洞的存在;藉由發送一個大於 64 KB 的 SIG 記錄檔,可以在 Windows DNS Server 引發一個緩衝區溢位錯誤,進而用以入侵這台 DNS Server 並執行任意程式碼。
Check Point 指出,任何出現在 DNS Server 的嚴重漏洞都非常危險,因為駭侵者極易透過 DNS Server 染指整個單位的所有設備。這類漏洞十分罕見,但 SIGRed 漏洞存在竟然長達 17 年才被發現。微軟已於日前發布這個漏洞的修補程式。
鑑於此一漏洞的嚴重性,CISA 除通令美國聯邦政府旗下各單位應於 24 小時內修補漏洞外,還要求任何無法在七個工作天內解決此一問題單位,應即移除單位內的所有 Windows 伺服器系統。
twcert 發表在
痞客邦
留言(0)
人氣()
美國、英國、加拿大三國的情治與資安主管機關,日前發表聯合聲明,指出某些來自俄羅斯的駭侵團體,正在針對全球關於 Covid-19 的研究與疫苗開發單位進行攻擊。
包括美國國家安全局、國防部所屬的資安與基礎設施安全局、英國國家資安中心、加拿大通訊安全局與基礎設施安全局等三國情治與資安主管機關,於7月16日發表聯合聲明,指出某些來自俄羅斯的駭侵團體 Cozy Bear(APT29),正在針對全球關於 Covid-19 的研究與疫苗開發單位進行攻擊。
聲明中指出,Cozy Bear 利用一種特製的 WellMail 惡意軟體,鎖定和 Covid-19 相關的全球研究機構和疫苗開發單位進行駭侵攻擊。
聲明說,在最近幾次針對這些單位的攻擊中,發現駭侵者會先掃瞄目標對象使用的外部與內部 IP,試圖尋找弱點加以攻擊;發現弱點後即會布署相關攻擊工具進行攻擊,以竊取這些單位的研究資料和成果。
Cozy Bear 的攻擊行動,主要鎖定這些研究單位使用的雲端工具或軟體的已知資安漏洞,如 Citrix 的 CVE-2019-19781、Pulse Secure 的 CVE-2019-11510、FortGate 的 CVE-2018-13379、Zimbra 的 CVE-2019-9670。
美國的資安主管機關 CISA 先前就曾發出警告,指出針對 Covid-19 研究單位,或單純假藉疫情相關主題為名的駭侵活動,自今年三月起就不斷增加。
twcert 發表在
痞客邦
留言(0)
人氣()
Twitter 日前發生重大資安事故,多個經官方認證的名人、品牌帳號,被駭侵者挾持並用以發送比特幣詐騙貼文。
本周三 Twitter 發生重大資安事故。包括美國民主黨總統候選人拜登(Joe Biden)、Tesla 與 SpaceX 創辦人 Elon Musk、美國前總統歐巴馬、亞馬遜創辦人 Jeff Bezos、微軟創辦人 Bill Gates、知名投資大師華倫巴菲特、前紐約市長麥可彭博、以及知名品牌如 Apple、Uber、CashApp 等的官方Twitter 帳號,都遭到駭侵者挾持,用以發送比特幣詐騙貼文。
詐騙貼文假藉這些名人或品牌的名義,詐稱舉辦限時半小時的比特幣大放送活動;只要把相當於 1000 美元的比特幣匯入某數位錢包,該名人或品牌就會匯回 2000 美元。
雖然大部分人都能立即判斷出這是詐騙訊息,但仍有人不疑有他,真的匯了比特幣到該數位錢包位址;7月15日當天該錢包的交易筆數高達 383 筆,收到了 13 枚比特幣匯入款,相當於美金 117,000 元左右。
Twitter 在事發當時立即暫停所有認證帳號的推文權限,刪除遭挾持帳號發送的詐騙推文,並且進行調查;事後 Twitter 發表聲明,指出該公司認為是內部員工遭到駭侵者以社交工程騙取管理系統權限,駭侵者取得權限後,除了假冒這些帳號發出詐騙推文外,還改掉了這些帳號連結的 Email 地址,以增加帳號合法擁有者取回帳號控制權的難度。
Twitter 指出,該公司目前沒有查出內部員工和駭侵者勾結犯案的證據,但目前有跡象顯示發動本次攻擊的駭侵者,與先前透過 SIM-Swap 方式竊得 Twitter CEO Jack Dorsey 帳號的駭侵者有關。目前 FBI 也已介入調查本案。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發現 Zoom 含有一個可讓駭侵者遠端執行任意程式碼的 0-day 漏洞;而 Zoom 已經在更新版中修補此一問題。
資安廠商 0patch 日前發表研究報告指出,有一名不願透露姓名的獨立資安研究人員,向該公司通報,他發現 Zoom 含有一個可讓駭侵者遠端執行任意程式碼的 0-day 漏洞;而 Zoom 已經在更新版中修補此一問題。
0patch 說,這個漏洞發生在 Zoom 的 Windows 版本應用程式;駭侵者只要讓受害者下載並開啟一個含有惡意程式碼的檔案,就可以利用此漏洞,在受害者的 Windows 系統中遠端執行任意程式碼。
不過值得注意的是,這個 0-day 漏洞只會發生在 Windows 7 或更舊的 Windows 版本,以及 Windows Server 2008 或更舊的版本。
這位獨立資安研究人員,沒有直接向 Zoom 通報該漏洞,而是選擇將資訊提交給 0patch;而 0patch 在研究確認該漏洞真實存在後,於 7 月 9 日發表了漏洞報告,還提供了該公司自行研發的修補程式,但沒有透露任何關於該 0-day 漏洞的技術細節。
隨後,原廠 Zoom 公司也在 7 月 13 日推出了更新版 Windows 軟體,修補了這個漏洞;0patch 也確認了該修補程式確實可以解決原先的 0-day RCE 漏洞。
建議所有仍在舊版 Windows 上執行 Zoom 的用戶,都能盡快將 Zoom 升級至最新版本,或是將Windows 系統更新為 Windows 10,以避免受到這個 0-day 漏洞的影響。
twcert 發表在
痞客邦
留言(0)
人氣()
