虛擬計算環境大廠 VMware 日前公布最新資安修補資訊,指出該公司已針對 CVE-2020-3952 這個嚴重的資安漏洞,發表專屬修補程式。請目前所有使用 vCenter Server 產品的用戶,立即更新以避免資安風險。
據 VMware 發表的資安通報指出,這個 CVE-2020-3952 的資安漏洞, 在某些特定情形之下,會造成 VMware vCenter Server 內嵌或外部的「平台服務控制單元」(Paltform Services Controller)發生錯誤,進而讓駭侵者於 VMware Directory Service 中取得受害者的各種機敏資料,並進而取得 VMWare vCenter Server 或其他 VMware 產品的控制權。
在 CVSSv3 評級標準下,這個極嚴重資安漏洞的危險評分高達滿分的 10.0 分。
受到這個資安漏洞影響的 VMware 產品,主要是於 Windows Server 或虛擬環境下執行的 vCenter Server 6.7,而且必須是自先前的 6.0 或 6.5 升級上來的版本,因為這兩個版本的 vmdir 布署流程容易受到駭侵者的攻擊。
VMware 建議用戶或系統管理者,應立即檢查自己的 VMware vCenter Server 版本,若為上述的易受攻擊版本,應立即按照 VMware 提供的原廠指示,將其升級至 6.7u3f 或 7.0 版本。
VMware 是在接獲不明來源的密報後知悉此漏洞的存在,並且很快地推出修補程式。CVE編號:CVE-2020-3952影響版本:自 VMware vCenter Server 6.0 或 6.5 升級的版本 6.7解決方案:升級至 6.7u3f 或 7.0 twcert 發表在 痞客邦 留言(0) 人氣(98)
越來越多企業單位讓員工遠距辦公,來因應企業可能遭遇之各種緊急事件。因此遠端視訊會議(video-teleconferencing,VTC)相關系統的使用量遽增,引發相關資安議題。身為遠端視訊會議的使用者,我們該如何做好資安防護呢?以下八點資安防護提醒:
1、選用無資通安全疑慮的視訊會議軟體
twcert 發表在 痞客邦 留言(0) 人氣(11)
國際刑警組織指出,儘管全球COVID-19(新冠肺炎、武漢肺炎)疫情持續爆發,但試圖在醫院關鍵系統中植入惡意勒贖軟體的攻擊行動,最近仍然大量增加。
國際刑警組織發出警告,指出儘管全球COVID-19疫情持續爆發,各國醫院收治大量肺炎患者,即將不堪負荷,但試圖在醫院關鍵系統中植入惡意勒贖軟體的攻擊行動,仍然大量增加。
一個名為 Maze 的勒贖軟體,公開了從某一家藥品試驗公司取得並加密的資料,在暗網中叫賣;另一個知名勒贖軟體 Ryuk 則是每天都傳出醫療院所遭其攻擊的消息。
雖然有部分「業者」宣稱不會針對醫療體系進行資安駭侵攻擊,但事實上針對醫療院所和相關產業的攻擊活動,還是不斷升高。
媒體也報導說,一個俄語的駭侵組織,上周勒贖攻擊了兩家歐洲醫療產業公司,其中一家是藥廠,另一家是醫材製造商。
有鑑於這類針對醫療體系的駭侵攻擊,在疫情持續擴大之際仍大加肆虐,國際刑警組織也對其 194 個會員國發出紫色警示,要各國對可能的勒贖攻擊提高警覺,嚴加防範。
國際刑警組織指出,近來的勒贖攻擊樣態,多是透過假冒國際或各國政府單位的公文或指示,假稱含有疫情相關重要資訊,誘使相關人員誤開,進而植入惡意軟體。
國際刑警組織建議各國的衛生單位,應提升資安防護意識與防護等級,勤於升級其轄下的軟硬體設備,取得並安裝最新資安修補軟體,同時對不明郵件和文件檔案提高警覺,並加強資料離線備份工作,確保即使遭到攻擊也能迅速回復正常運作。 twcert 發表在 痞客邦 留言(0) 人氣(14)
資安廠商指出,近來針對 Cisco WebEx 視訊會議軟體用戶發動的詐騙更新攻擊,正在大量增加,目的在於竊取登入視訊會議用的資訊。
資安廠商 Cofense 的研究人員日前發表研究報告,指出近來由於COVID-19(新冠肺炎、武漢肺炎)疫情擴散影響,大量人員在家遠距工作,視訊會議系統使用量大增;該公司觀察到近期有駭侵者針對 Cisco WebEx 視訊會議軟體用戶發動詐騙更新攻擊,且攻擊次數正在大量增加。
這波針對 Cisco WebEx 的釣魚信件攻擊,其訊息內容偽裝成由 Cisco 公司發送的緊急資安修補更新,透過假造的 meetings@webex[.]com 地址寄送,主旨例如「Critical Update」或「Alert!」等,目的在於誘使用戶點擊信件中的惡意連結,以竊取用戶登入視訊會議用的資訊。
詐騙信件內容則是回收使用一封由 Cisco 在 2016 年 12 月發出的真實更新訊息,更新的對象是編號 CVE-2016-9223 的資安漏洞;雖然這個漏洞早在 2016 年底就已經修補完成,但現在卻被駭客用來當作取信於受害者的詐騙訊息。
信件最後邀請用戶加入自動更新方案,但在「加入」按鈕中埋入釣魚網頁的 URL;用戶點按後就會進到一個假的登入頁面,要求輸入用戶在 WebEx 用來登入的帳號與密碼。
這個詐騙網頁為了取信於受害者,其詐騙網址甚至還有 SSL 憑證;資安公司建議用戶,在當下疫情快速擴散,人心惶惶的時刻,收到各種可疑信件時,必須更加提高警覺,以免受害。 twcert 發表在 痞客邦 留言(0) 人氣(140)
資安廠商指出,一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散。資安廠商卡巴斯基(Kaspersky)日前發表研究報告,指出有一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散,受害者日漸增加中。
這支 xHelper 和一般惡意軟體相同的地方,是偽裝成系統清理工具軟體,誘使用戶安裝;一旦受害者下載安裝之後,它就會開始收集用戶手機上的各種機敏資訊,同時下載更多的惡意軟體,甚至取得手機的 root 權限。
但 xHelper 與眾不同的特色,在於會建立極深的巢狀目錄,使得真正的系統工具很難將之完全清除;它甚至會利用其 root 權限開啟 Android 系統目錄的寫入權限,把自己掛載到系統目錄中。
xHelper 甚至還會改寫 mount() 函數,以防用戶和防毒軟體進入系統目錄內將之刪除;這也能確保每次手機重開機後,都會自動執行 xHelper 與其他的惡意軟體;甚至在重新安裝手機系統時,也無法清除惡意軟體程式碼。
據卡巴斯基的研究人員表示,這種作法確實非常厲害,即使用戶將手機清空至出廠預設狀態,xHelper 仍然不動如山,極難移除。
目前 xHelper 主要的受害者分布在俄羅斯、歐洲和東南亞,主要攻擊對象為仍然使用舊版 Android 6、7 的Android 手機;這些尚未或無法升級作業系統的手機,仍然佔 Android 整體市場的 15%。
卡巴斯基說,要徹底移除 xHelper,只有一個方法:除了進行手機還原至出廠預設值外,也要把整個 Flash 記憶體完全清空;如果手機支援 Android Recovery 模式,還要手動將 libe.so 檔案從原始韌體檔案中取出,再替換到手機內,再清除整個系統分割區才行。
twcert 發表在 痞客邦 留言(0) 人氣(19)
近期因疫情影響,企業開始實施或模擬在家辦公的應變措施,以下為員工在家遠距工作指南:
時時保持警覺:隨時對惡意郵件或軟體保持警覺心,看見有疑慮的郵件或連結,請勿點擊。如遇可能的資安問題即時警示相關人員進行確認與處理。
使用安全的網路設備:使用安全的家用網路以及無已知漏洞的網路連線設備。
避免被竊取資訊的可能:設定裝置閒置時鎖定並進行磁碟資訊加密,線上會議結束後,務必將相關設備關閉(ex:麥克風、視訊鏡頭)。
及時更新軟體避免漏洞:及時更新使用之系統與各應用軟體的版本。
使用強密碼:相關密碼設定使用強密碼,含英文大小寫數字,建議不使用生日、電話等易破解之資訊作為密碼。
twcert 發表在 痞客邦 留言(0) 人氣(68)
擁有一千四百萬用戶的數位錢包服務 Key Ring,日前傳出因為雲端資料庫設定錯誤,造成四千四百萬筆各種用戶個資在網路上曝光。
資安廠商 vpnMentor 日前發表研究報告,指出在北美極受歡迎,擁有一千四百萬用戶的數位錢包服務 Key Ring,因為其 AWS 雲端資料庫安全設定有誤,造成四千四百萬筆各種用戶個資在網路上曝光。
Key Ring App 提供的服務,主要是讓用戶掃描拍攝各種會員卡或點數卡,存放在手機上,免去攜帶多張實體卡片的麻煩;很多用戶因為這個 App 的便利性,也會將存有各種敏感個資的其他政府核發身分證明卡片、就醫卡等卡片掃描上傳。
據 vpnMentor 指出,Key Ring 在 AWS 上共有五個設定錯誤的 S3 雲端資料庫,而且全都沒有使用密碼保護;只要知道網址,任何人都能隨意存取資料庫內的大量個資。
據 vpnMentor 統計指出,在這五個資料庫中至少有四千四百萬筆各式資料,包括政府核發的身分識別資訊(包括姓名、生日、性別等)、各式會員卡、點數卡、美國步槍協會會員卡、藥用大麻使用執照、醫保卡等,甚至連信用卡的卡號、用戶姓名、到期日、安全檢查碼等大量個人身分可辨識資訊都包括在內。
vpnMentor 甚至還找到屬於 Key Ring 的其他雲端檔案,包括上述資料庫的快照備份檔案,以及 Key Ring 公司內部資料庫,記錄了用戶姓名、Email、家戶住址、使用裝置名稱、IP 位址、加密的密碼資訊等。
vpnMentor 在發現這批資料的二月中旬,就通報 Key Ring 公司。 twcert 發表在 痞客邦 留言(0) 人氣(22)
近期因疫情影響,許多企業開始提出遠距辦公的因應措施,以下為企業應為員工遠距工作所需的準備:
使用高安全性的設備、系統與軟體:企業須選用安全之設備、系統與軟體,提供員工遠距作業使用,並留存日誌以檢核異常使用。使用安全的網路連線(ex:VPN)和安全的遠端會議系統進行討論,可避免機敏資訊外洩。
多重認證機制:建立多重認證,並要求員工在遠距工作時,透過多重身份認證後,方能操作企業內部系統。
定期審核授權狀況:企業需定期確認使用者帳號及其權限,避免有陌生帳號或不當被利用之帳號竊取內部資訊。
強化資安政策,提高資安警覺:強化企業既有的資安政策,設定資安問題處理流程以利快速處理各種突發的資安狀況,減低損害。且定期提醒員工在家工作資安相關注意事項,提升企業全體人員的資安警覺。
定期更新與備份:定期更新系統版本,以獲得最新資安防護,並需定期備份資料於安全設備中,減少資安事件發生時的損失。
twcert 發表在 痞客邦 留言(0) 人氣(24)
開放源碼瀏覽器 Mozilla Firefox,其開發維護單位 Mozilla Foundation 於日前宣布,修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。
Mozilla 表示,這兩個漏洞都是屬於「use-after-free」漏洞,而且可能已經大量遭到駭侵者用以發動攻擊。
其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關,瀏覽器用以讀取 HTTP 檔頭資訊;這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。
另一個漏洞編號為 CVE-2020-6820,問題出在 StreamsAPI 中的 ReadableStream 組件;駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。
所有受到影響的 Firefox 版本,包括 Firefox 74.0.1 先前所有版本,以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本,作業系統平台包括 Windows、macOS、Linux。
Mozilla 指出,由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊,因此強烈建議所有 Firefox 用戶立即更新到最新版本,以修補這兩個漏洞。 twcert 發表在 痞客邦 留言(0) 人氣(12)
資安組織 Center of Internet Security 日前發表研究報告,指出 Google Chrome 有八個嚴重資安漏洞,最嚴重者可導致駭侵者用以遠端執行任意程式碼;Google 隨即發表這些漏洞的修補程式,並將在近期向用戶推送更新。
在這八個得到修補的資安洞中,有三個比較嚴重的資安漏洞。其中 CVE-2020-6450 和 CVE-2020-6451 的問題出在 Chrome 的 WebAudio 組件,用以處理 web 應用中的聲音合成;這兩個漏洞都屬於「use-after-free」錯誤,也就是試圖存取已釋放記憶體時發生的錯誤。駭侵者可以利用這個錯誤造成程式停止執行,甚至執行任意程式碼。
另一個嚴重錯誤出在 Chrome 的 Media 組件,用以在瀏覽器中呈現畫面與聲音;這個錯誤為記憶體緩衝區溢位錯誤,造成駭侵者的可乘之機,用以竄改資料或進行其他攻擊。
這些錯誤發生在 Google Chrome 80.0.3987.162 先前的各平台版本,包括 Windows、macOS、Linux 等;目前尚未傳出有駭侵者利用這批漏洞進行大規模駭侵攻擊。一般用戶請注意近日的 Chrome 更新訊息,以更新至最新版本,杜絕這批資安漏洞帶來的駭侵風險。CVE編號:CVE-2020-6450、CVE-2020-6451、CVE-2020-6452 等影響版本:Google Chrome 80.0.3987.162 先前所有版本解決方案:更新至最新版本twcert 發表在 痞客邦 留言(0) 人氣(47)
資安宣導 (2)