資安一周第6期：西班牙央行遭DoS攻擊。加州通過輕量版GDPR，臉書、Google遊說中央聯邦政府立法抗衡

0823~0829一定要看的資安新聞

 西班牙央行   DoS攻擊 

西班牙央行遭DoS攻擊，網站癱瘓近48小時

根據路透社及多家媒體報導，西班牙銀行（Banco de España）8月26日遭到阻斷服務（Denial of Service）攻擊。媒體引述西班牙銀行高層指出，攻擊造成網站服務斷線，但並未影響銀行金融服務、對內或對外的通訊，且強調沒有資料外洩。西班牙銀行官網直到8月29日才恢復正常運作。更多內容

 加州   個資保護 

加州通過輕量版GDPR，臉書、Google遊說川普政府建立聯邦隱私法抗衡

經常反對任何政府監管規定的美國科技業者近日突然轉性了，積極遊說美國川普政權的官員以建立聯邦隱私法，然而， 根據紐約時報的報導，這是因為加州在今年6月通過了該州的隱私法令，這份被稱為「輕量版GDPR」的加州法令讓科技業者坐立不安，於是決定推動聯邦隱私法，希望聯邦隱私法能對科技業者更寬容，同時取代嚴苛的加州隱私法。

根據報導，參與此一遊說行動的科技業者包括了臉書、Google、IBM、微軟與其它業者，它們透過遊說組織Information Technology Industry Council（ITI）推動新的聯邦隱私法，主要是擔心加州隱私法將成為美國各州效法的標準。

今年6月才出爐的加州隱私法允許人們有權檢視業者所蒐集的個人資料、蒐集這些資料的目的、分享的對象，也能要求刪除這些資料或拒絕分享，倘若業者處理不當，就可能面臨來自消費者的訴訟，因而被稱為輕量版的《歐盟通用資料保護規則》（GDPR），原本預計要在2020年1月實施，但因某些技術上的修正而將延後至2020年7月上線。更多內容

 Android 

Android手機高權限AT命令不設防，駭客以USB就能覆寫韌體或解鎖螢幕

美國佛羅里達大學、石溪大學與三星的研究員共同發表了網路安全研究論文，內容提到在1980年代設計用來控制數據機的AT命令，現在仍被大量的使用在Android智慧型手機上，來提供強大的控制功能，駭客可以使用這些未受保護的命令，繞過Android安全機制，執行覆寫韌體等高權限工作。

AT（ATtention）命令在1981年被提出，作為控制數據機的指令。當數據機在數據模式接收了這些命令，將能進行選擇通訊協定、設置線路速度、撥號或是掛斷電話等功能。從20世紀1980年代以來，AT命令成為控制數據機的主流方法，由國際電話聯盟以及歐洲電信標準協會等機構頒布標準化的AT命令。

智慧型手機配備了具備數據機功能的蜂巢式基頻處理器（Cellular Baseband Processor），讓裝置可以和蜂巢式網路通訊，並且接收AT命令進行配置。研究人員發現，除了標準的數據機命令，有部分Android裝置製造商客製化了專有的AT命令，這些擴充的AT命令通常不會呼叫電話相關功能，而是用於存取裝置上的其他資源。

研究人員從11個供應商的2,000多個Android智慧手機韌體映像檔中，系統性的取出了3,500個AT命令，並使用USB連接埠測試其中4個供應商的8款Android裝置，發現這些AT命令提供強大的控制功能，包括覆寫硬體韌體、繞過Android安全機制、洩漏裝置敏感資訊、解鎖螢幕，甚至使用AT命令就能觸發螢幕點擊事件。AT命令介面提供大量無限制的功能，向駭客暴露Android設備上的廣泛攻擊面。更多內容

 臉書 

臉書遭爆其日誌收集伺服器存在遠端程式碼執行漏洞

資安工程師Daniel Le Gall發現臉書一臺伺服器存在遠端程式碼執行漏洞，在他回報臉書後，臉書已經修正漏洞並給作者5,000美元作為獎勵。

Daniel Le Gall經常性的對有參加Bug Bounty計畫的企業搜尋漏洞，而在他掃描臉書IP區段時，發現了託管在IP位置199.201.65.36，域名為sentryagreements.thefacebook.com的Sentry服務，Sentry是一個日誌收集網頁服務，以Python使用Django框架撰寫。Daniel Le Gall查看該服務發現，不明原因的有許多堆疊追蹤資訊會定期的出現在頁面上，這些資訊看似由於密碼重設功能使系統不穩定造成的，甚至有時候會崩潰，因為系統啟用Django除錯模式，因此環境參數都被顯示出來。

作者從列印出來的資訊，發現了利用Python物件序列化的二進位協定Pickle 駭入系統的方法，他提到，只要可以偽造包含任意Pickle內容的Session，就能夠在這個臉書的伺服器上執行任意程式碼，Daniel Le Gal從堆疊追蹤印出的資料SENTRY_OPTIONS，找到了用來Session簽入的密鑰，並成功利用這個漏洞建立了概念性驗證，置換既存Sentrysid Cookie的內容，並以任意物件填充讓系統休眠半分鐘。更多內容

 Belkin   智慧插頭 

McAfee：Belkin智慧插頭含有遠端程式攻擊漏洞

McAfee Labs指出，知名的電腦周邊製造商Belkin所生產的智慧插頭Wemo Insight Smart Plug含有一緩衝區溢位漏洞，將允許駭客執行遠端程式攻擊。

Belkin除了製造電腦及手機的周邊商品之外，也有少許的智慧家庭裝置，如智慧開關或智慧插頭，McAfee所測試的則是Wemo Insight Smart Plug智慧插頭，它是一個插座轉接器，先插在傳統插座上，再連結其它的家電，並以Wemo程式來控制Smart Plug的供電與否。

McAfee發現Wemo Insight Smart Plug的韌體含有編號為CVE-2018-6692的安全漏洞，這是一個存在於libUPnPHndlr.so函式庫的緩衝區溢位漏洞，允許駭客自遠端執行任意程式。McAfee表示，如果該漏洞只會影響Wemo Insight Smart Plug，那駭客頂多只能一直切換電源，但若該Smart Plug連結了家中的Wi-Fi網路，駭客就能掌控家中的其它連網裝置。更多內容

 Lazarus   木馬程式Fallchill 

惡名昭彰的駭客組織Lazarus鎖定Mac、Windows 加密貨幣持有者

安全公司卡巴斯基（Kaspersky Lab）發現，駭客組織Lazarus發動名為AppleJeus行動（Operation AppleJeus）的攻擊，藉由不明軟體植入用戶電腦，企圖竊取macOS及Windows PC用戶的加密貨幣及機密資訊。這也是Lazarus首次針對Mac電腦用戶發動攻擊。

卡巴斯基的全球研究與分析小組（GReAT），是在調查亞洲一家加密貨幣交易平臺時發現這項攻擊。這家平臺公司的員工，遭到一封電子郵件誘騙到看似合法網站而被下載了第三方加密貨幣交易軟體，進而感染木馬程式Fallchill。研究人員拆解木馬程式後循線追查到來源是Lazarus。

Lazarus是惡名昭彰駭客團體，被懷疑和北韓政府有關。該組織自2014年活動以來作亂不斷，被懷疑是入侵索尼影業、亞洲多國銀行及製造業者網路、甚至被指為是WannaCry 蠕蟲程式背後元兇。Lazarus之前也曾使用Fallchill來入侵金融機構。更多內容

 Cheddar's Scratch Kitchen   個資外洩 

逾55萬名Cheddar's Scratch Kitchen顧客的信用卡資料被偷了

美國連鎖餐廳 Cheddar's Scratch Kitchen對外公告，在去年11月3日到今年1月2日遭到駭客入侵，在這期間造訪美國23州特定Cheddar's Scratch Kitchen餐廳的顧客，可能都受到波及，估計有56.7萬張的支付卡資訊被盜。

Cheddar's Scratch Kitchen母公司Darden Restaurants表示，他們是在今年8月中旬收到警方的通知，才知道特定門市所使用的收銀系統（POS）遭到駭客入侵，但他們在今年4月全面更換了新系統，已終結了駭客的入侵管道。

Cheddar's Scratch Kitchen在美國23個州開設了163家連鎖餐廳，目前Darden Restaurants僅說只有特定餐廳被駭，且仍在釐清受害規模。此外，Darden Restaurants雖然坦承客戶的支付卡資訊外洩，也只說內含卡片號碼，並未提及更多的外洩資料細節。更多內容

 飛利浦   醫療系統 

飛利浦心血管儀器軟體爆任意程式碼執行漏洞

美國國土安全部旗下ICS-CERT警告，飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統出現兩項漏洞，可能導致任意程式碼執行，進而讓外人竊取醫療影像及病患診斷資料。

編號CVE-2018-14787的漏洞影響IntelliSpace Cardiovascular系統2.x及之前版本，及伺服器軟體Xcelera 4.1以前的版本。飛利浦安全公告指出，在上述版本的伺服器上包含20項Windows服務，其可執行檔位於駭客具有寫入權限的資料夾。這些Windows服務可以本機管理員帳號執行，一旦有人將之置換成惡意程式，則該惡意程式也能以本機管理員帳號或系統權限執行。更糟的是，一個技術普通的攻擊者就能開採本項漏洞。

第二項漏洞CVE-2018-14789則是不帶引號搜尋路徑或element漏洞（unquoted search path or element vulnerability）。受本漏洞影響的產品為IntelliSpace Cardiovascular系統3.1及之前版本，及伺服器軟體Xcelera 4.1以前的版本。在這些伺服器上，有16項Windows服務路徑名稱不帶括號。由於這些服務是以本機管理員權限執行，並以機碼開頭，因此路徑能讓攻擊者植入有本機管理員權限的可執行檔。更多內容

 Apache基金會   Struts 2漏洞 

Apache軟體基金會修補Struts 2的遠端程式攻擊漏洞

Apache軟體基金會（Apache Software Foundation）於8月22日修補了Apache Struts 2中，一個可能會引發遠端程式攻擊的安全漏洞，有鑑於Apache Struts 2過去出現類似的重大漏洞時，相關攻擊程式在24小時之內就現身，因而呼籲用戶儘速更新。

此一編號為CVE-2018-11776的安全漏洞被歸類為重大（Critical）漏洞，它會在兩種情況下被觸發，一是當XML配置中未設定命名空間（Namespace），同時上層動作配置沒有或使用通配符號命名空間時，其次是所使用的URL標籤沒有設定行動與值，同時上層動作配置沒有或使用通配符號命名空間時，就可能允許駭客執行遠端程式攻擊。

發現該漏洞的安全研究人員Man Yue Mo表示，若執行特定配置的Struts伺服器造訪了駭客特別打造的網頁時，就能觸發該漏洞。

Apache Struts為一開源的網路應用程式框架，主要用來開發基於Java EE的網路應用，根據去年的統計，Fortune 100大企業中，至少有65%仰賴Apache Struts框架。更多內容

圖片來源：CC 2.0 by stanjourdan、wiki media、belkin、飛利浦

 更多資安動態 

澳洲政府禁用來自華為與中興的5G技術

因違反蘋果App Store用戶隱私政策，臉書下架VPN App

Adobe緊急修補Photoshop CC的兩個遠端程式攻擊漏洞

資料來源：iThome整理，2018年8月