圖片來源: 

Risk Based Security提供

企業漏洞修補若只看CVE和NVD,將會漏補近8千個無編號漏洞

資安業者Risk Based Security日前公布了去年的漏洞分析報告,指出2017年資安社群總計揭露了20,832個安全漏洞,比2016年增加了31%,也創下漏洞發現數量的新紀錄。不過,其中只有12,932個取得正式的漏洞編號,有7,900個漏洞仍然缺乏編號,其中近2成還是重大風險(Critical Risk)的資安漏洞,這些沒有編號的資安漏洞,將成為企業資安的隱憂。

有太多企業仰賴CVE及國家漏洞資料庫(NVD)來追蹤漏洞,並相信它們已覆蓋了重要的漏洞,但分析顯示,未被列入CVE或NVD的7,900個漏洞影響了各組織廣泛採用的各式產品,在12,932個擁有編號的安全漏洞中,有48.5%可被遠端開採,31.5%的攻擊程式已現身,並有24.1%的漏洞尚未被修補。更多資料

 

特斯拉的S3線上資料庫被植入挖礦程式,連車輛遙測資料都外洩

資安業者RedLock日前發現電動車大廠特斯拉(Tesla)AWS的S3線上資料庫遭駭,駭客入侵未以密碼保護的容器服務Kubernetes主機,並由一個Kubernetes Pod取得AWS的存取憑證,包括儲存汽車遙測資料(Telemetry)等隱私資料的亞馬遜S3儲存空間的登入帳密資料。

此外,駭客還從Kubernetes Pod中,針對未登錄或半公開的礦池植入挖礦程式,將礦池真實的IP位址隱藏在免費的內容遞送網路(CDN)CloudFlare後拿到的暫時性新IP,進而提高IP偵測法的難度。這樣的入侵手法,也使得一般以IP位址或者是網域為基礎的威脅偵測服務,很難偵測到類似的挖礦服務。更多資料

 

中國挖礦駭客轉移攻擊目標至Jenkins伺服器

資安業者Check Point日前指出,源自中國的挖礦駭客,把攻擊目標從Windows平臺轉移到Jenkins伺服器,利用Jenkins上的CVE-2017-1000353安全漏洞進行JenkinsMiner挖礦攻擊,可望成為全球最大的惡意挖礦行動之一。利用一個反序列化漏洞,影響Altoros Jenkins for PCF 10.2以前的版本,這幾個月以來駭客已開始利用遠端存取木馬(RAT)及XMRig挖礦程式開採該漏洞。據估計,目前約有2.5萬臺Jenkins伺服器曝露於網路上,不僅是Jenkins,包含甲骨文公司的WebLogic、Ruby on Rails、PHP與IIS等伺服器,也都因為具備更強大的運算資源,成為駭客執行挖礦綁架的攻擊目標。更多資料

 

Google又在微軟修補前公佈微軟Edge瀏覽器漏洞

Google Project Zero安全團隊去年11月發現一可繞過微軟Edge瀏覽器任意程式碼防護(Arbitrary Code Guard,ACG)的漏洞,讓攻擊者透過微軟Edge瀏覽器,將未獲簽章的惡意程式碼載入微軟電腦。儘管已通報微軟,但微軟尚未完成修補,Google Project Zero便又以超出期限為由,公佈微軟尚未修補完成微軟Edge瀏覽器中,一個可能導致惡意網頁下載到微軟電腦的安全功能漏洞。

這項漏洞位於微軟Edge瀏覽器中,它是微軟於2017年4月Windows 10 Creators Update加入的兩項安全功能之一:ACG結合另一項功能Code Integrity Guard(CIG),可防止JavaScript將惡意程式碼透過瀏覽器載入微軟記憶體執行,唯有獲得簽章的網頁才能執行。更多資料

 

美國指控13名俄羅斯人,企圖操作社交網路輿論干預美國政治

美國政府指出,有13名俄羅斯人透過組織一個研究機構,聘請數百名員工進行網路輿論操作,利用竊來的美國民眾身分、詐騙取得的銀行帳號,以及虛構的身分文件,假裝擁護或反對特定的候選人,於社交網站上操作政治廣告,還建立粉絲頁與社團來與不知情的美國民眾交流,聘請美國人參與各種示威活動。更多資料

 

英國直指NotPetya攻擊的幕後黑手就是俄羅斯

去年6月現身的NotPetya惡意程式重創歐洲的大型企業,當時眾多資安業者異口同聲地認為,它是個由國家支持的攻擊行動,英國外交部日前則把矛頭直接指向俄羅斯政府,特別是俄羅斯軍方應為NotPetya攻擊行動負責,即使NotPetya偽裝成犯罪行為,其背後的真正目的卻是搞破壞。雖然該攻擊的主要目標為烏克蘭的金融、能源與政府部門,但無差別的攻擊設計讓它蔓延到其它的歐洲企業,甚至連俄羅斯自己的企業都受害。

NotPetya發動攻擊的初期曾被誤以為只是個勒索軟體,一直到資安業者發現,NotPetya會覆蓋電腦磁區,根本無從幫受害者解密所加密的資料,才揭開它是個破壞型攻擊程式的真面目。更多資料

 

美國情報單位:不推薦民眾使用華為的產品或服務

美國財經新聞CNBC日前曾報導 ,包括FBI、CIA與NSA在內的6名美國情報機構的負責人向美國參議院情報委員會(Senate Intelligence Committee)報告時指出,他們並不建議美國民眾使用華為的產品或服務。這並不是美國政府第一次公開建議不要採用中國業者的產品及服務,事實上,早在2012年美國眾議院情報委員會就曾發出報告,建議美國企業不要採用中國的華為、中興提供的產品服務。更多資料

 

FireEye揭露來自北韓的網軍APT37,負責蒐集南韓情報

資安業者FireEye日前公布一份資安研究報告顯示,有來自北韓的網軍組織APT37,鎖定包括政府、軍隊、國防工業以及媒體等產業,近年來更將觸角延伸到日本、越南以及中東等國家,進行APT(先進持續性威脅)攻擊。FireEye指出,APT37從2012年就開始活躍,主要目的是為了幫北韓政府蒐集關於南韓政府的情報,並擅長利用零時差漏洞入侵鎖定對象的伺服器。更多資料

 

印度傳出又有銀行SWIFT系統遭駭客入侵,盜轉180萬美元

印度的City Union Bank (城市聯合銀行)日前發布新聞稿指出,在2月17日和18日遭到駭客入侵該銀行的國際匯款轉帳SWIFT系統,總共被3起未經授權的交易,被盜轉180萬美元(約新臺幣5,400萬元)。該銀行指出,根據印度媒體報導指出,有50萬美元從渣打銀行匯款到杜拜銀行帳戶的金額已經順利攔阻,這也證明國際SWIFT組織在孟加拉央行傳出SWIFT系統遭到駭客盜轉8100萬美元後,要求各國銀行針對SWIFT系統進行詐欺交易掃描的預防性作法生效。更多資料

 

美國能源部將成立網路部門保護電網安全

美國能源部日前宣布,將會成立一個專門保護國家電網以及其他關鍵基礎設施,避免遭到網路攻擊以及天災襲擊的網路安全部門。美國總統川普也預計針對網路安全、能源安全以及網路緊急應變措施,編列約9,600萬美元的預算。更多資料

 


Advertisement

更多 iThome相關內容