資安一周第17期：俄羅斯研究人員不滿業者態度進而揭露VirtualBox漏洞。花旗銀行系統邏輯錯誤致使民眾藉機盜刷6千萬

1108-1114一定要看的資安新聞

＃VirtualBox漏洞　＃不遵循責任揭露政策

不滿業者態度，俄羅斯研究人員直接揭露VirtualBox零時差漏洞

一名俄羅斯的安全研究人員Sergey Zelenyuk，透過GitHub披露他所發現的VirtualBox零時差漏洞，而且還詳細地一步步解說開採該漏洞的步驟，成功開採該漏洞將允許駭客繞過客座作業系統（Guest OS），直接於主要作業系統（Host OS）上執行程式。

Zelenyuk指出，這次他決定直接公開VirtualBox漏洞，而非通報甲骨文，主要是不滿該軟體專案對抓漏的態度，例如耗時半年才修好漏洞，或是通報漏洞一個月後，才告知研究人員漏洞是否具有價值等，所以選擇直接公布細節，藉此希望各界能夠重視軟體的安全性。更多內容　圖片來源／Oracle

＃花旗銀行　＃信用卡盜刷

花旗銀行系統邏輯錯誤，導致民眾利用其機制盜刷近6300萬

圖片來源／擷取自金管會官方網站

金管會在6日發出的裁罰案件公告指出，花旗（臺灣）商業銀行信用卡業務存在內部控制及稽核制度問題，開罰250萬元，多家媒體報導此一事件。事件的起因是因為該行信用卡業務的機制中，可透過ATM預繳卡費的方式，來提高信用卡可消費額度，可方便客戶如出國時等刷卡需求，這是不少銀行都有提供的服務項目，但是，該行系統因為程式邏輯上的問題，使得民眾在預繳卡費過程即使失敗，但系統並沒有做最後的檢查，卻以為是成功，因此仍然可以提高消費額度。

由於該行驗證機制的不足，而未能及時發現客戶預繳卡費未入帳，致使該名男子有機會能惡意利用該系統漏洞，洗資料庫的數據，將刷卡額度從原本的60萬元，提升至6300萬的額度，並進行刷卡交易，明顯成為安全防護上的一大破綻，缺乏異常交易行為的辨識與監控。更多內容 

＃資料外洩　＃匯豐銀行

匯豐銀行傳出網銀帳戶資料外洩事件

跨國金融機構匯豐銀行（HSBC）上周坦承，在今年的10月4日到10月14日之間，有部份該銀行的線上帳戶遭到未經授權的使用者存取，包括用戶名字、帳戶號碼、帳戶金額及交易紀錄等。

匯豐銀行並未說明用戶帳戶外洩原由，僅說在發現此事後，立即暫停了這些帳戶的線上存取能力，並開始通知受影響的用戶，同時採取行動強化該行個人網路銀行的認證流程，新增了額外的安全保護。

可能外洩的資訊涵蓋用戶的全名、地址、電話號碼、電子郵件位址、生日、帳戶號碼、帳戶型態、帳戶餘額、交易紀錄、收款人帳戶資訊，以及銀行對帳單。

目前，匯豐銀行已透過電話或電子郵件通知被影響的用戶，以協助用戶變更網路銀行的憑證，同時建議用戶監控自己的帳戶交易並設定詐欺警報。更多內容

＃殭屍網路　＃UPnP漏洞　＃無線路由器

BCMUPnP_Hunter殭屍網路已收服10萬臺路由器

360Netlab揭露名為BCMUPnP_Hunter的殭屍網路，指出該殭屍網路是利用2013年被發現BroadCom UPnP漏洞進行感染，迄今約有10萬臺基於BroadCom UPnP的路由器被收服，波及眾多品牌的路由器與閘道器，涵蓋D-Link、Linksys、NetComm、ZTE、Zyxel及TP-Link等。

研究人員追蹤了駭客所發出的指令，顯示BCMUPnP_Hunter主要被用來代理Yahoo!Mail、Outlook及Hotmail的流量，可推測此一殭屍網路的任務為發送垃圾郵件。安全專家建議，路由器或閘道器用戶應採用最新的韌體，或者是直接關閉不需要的UPnP功能。更多內容

＃加密貨幣交易平臺　＃StatCounter　＃駭客入侵

供應鏈攻擊又一例：駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io

資安業者ESET本周揭露一起罕見的供應鏈攻擊事件，網路分析平臺StatCounter在全球則有超過200萬個合作網站，而駭客先入侵了StatCounter，接著植入惡意的JavaScript，然後針對比特幣的交易網頁來攻擊，而首個受害者為加密貨幣交易平臺gate.io。

研究人員表示，駭客為了攻擊特定的加密貨幣交易平臺，入侵了StatCounter，代表就算網站都會定期更新且受到良好的保護，還是可能因為最脆弱的環節而受損，在此一案例中為外部的資源，也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。更多內容

＃DJI身分驗證程序漏洞　＃無人機　＃資料竊取

研究人員揭露DJI漏洞，恐讓駭客偷走無人機拍攝的機密影像

圖片來源／DJI

資安業者Check Point指出，DJI的身分認證程序含有安全漏洞，將允許駭客挾持用戶帳號，並存取用戶存放在DJI網站、行動程式，以及無人機操作管理平臺FlightHub的所有資料。

研究人員在今年3月發現DJI的身分認證程序含有安全漏洞，它使用一個cookie來辨識用戶並建立令牌，而駭客也可利用此一cookie來挾持使用者的帳號；只要在DJI論壇上張貼一則含有惡意連結的文章，讓舉凡登入DJI論壇並點選該連結的使用者，都會曝露自己的登入憑證。

Check Point認為，無人機的安全危機並不只在於裝置會遭到挾持，還在於同步到雲端的資料會遭到竊取，而接獲通知的DJI已經修補了相關漏洞。更多內容 

＃支付卡資訊外洩　＃POS

美國六千萬張支付卡資訊遭竊的元兇？75%資料外洩起是POS

資安業者Gemini Advisory公布的研究報告指出，這一年來美國總計有6,000萬張的支付卡資訊遭盜，當中有75%是從零售資訊系統（Point-of-Sale）外流。

在Gemini Advisory的研究中，依據是自暗網中蒐集駭客所銷售的支付卡資訊，屬於美國民眾的有6,000萬張，當中有75%為實卡紀錄，顯示這些支付卡資訊是在實體商店消費者被竊走，另外的25%則是從電子商務網站外洩。更多內容

＃國家資安戰略　＃資安人才培育

總統接見HITCON和BFS資安戰隊，蔡英文：資安人才培育不間斷

圖片來源／總統府

今年8月，在全球資安搶旗攻防賽殿堂DEF CON CTF比賽中，代表臺灣參賽的HITCON戰隊獲得第三名好成績，僅次於韓國隊和美國隊，初生之犢臺灣資安新血戰隊BFS也獲得全球第12名的佳績。總統蔡英文在13日上午接見戰隊成員時表示，資安就是國安，臺灣面臨嚴峻的資安威脅，未來政府還要投入更多資源，不僅要落實關鍵基礎設施防護，更要持續培養資安人才。更多內容 

＃Apache　＃函式庫漏洞

特定Apache Struts 2版本含有陳年漏洞，曝遠端執行程式攻擊風險

Apache軟體基金會於11月5日警告，特定版本的Struts 2採用了含有遠端程式攻擊漏洞的Commons FileUpload函式庫，呼籲用戶儘快更新。

根據漏洞的說明資訊，Commons FileUpload中有個Java物件在被反序列化時，可寫入或複製檔案到任何磁碟，雖然該物件可單獨使用，但也能在呼叫反序列化時整合ysoserial以上傳及執行二進位文件。由於Struts並非唯一使用Commons FileUpload函式庫的專案，因此SANS也建議開發人員最好檢查所有的系統。更多內容

＃WordPress漏洞　＃WooCommerce漏洞

WordPress外掛WooCommerce爆遠端程式攻擊漏洞，逾400萬網站受累

資安業者RIPS Technologies指出，WordPress在權限處理上的設計漏洞，再加上WooCommerce的檔案刪除漏洞，將讓駭客可擴大權限，接管整個WordPress網站並執行遠端程式攻擊。

RIPS安全研究人員指出，WooCommerce含有一個檔案刪除漏洞，允許商店經理（Shop Manager）移除伺服器上的任何檔案，這類的漏洞通常不會造成太大的危害，頂多是刪除網站上的index.php檔並造成服務阻斷。然而，當輔以WordPress的權限處理漏洞時，卻能讓駭客掌控整個網站。該資安業者在今年8月通報了WooCommerce，WooCommerce已於今年10月釋出新版修補。更多內容

＃IronChat加密破解

荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息，成功破獲洗錢集團

荷蘭警方指出，他們因為破解了加密手機上的Ironchat加密傳訊程式，攔截了25.8萬則訊息，因而成功破獲了一個洗錢犯罪集團，還逮捕了眾多的嫌犯。根據外電報導，此一犯罪集團購買了BlackBox IronPhone加密手機，採用端對端加密通訊程式IronChat來溝通，而荷蘭警方注意他們已久，為了進一步掌握情資以調查，從該集團採購手機時，就展開監聽行動，在蒐集到的大量聊天訊息中獲得重要資訊，進而成功破獲該集團的毒品實驗室、自動化武器等。報導中也指出，令資安社群好奇的是，IronChat是如何被破解？更多內容

＃GDPR　＃隱私保護組織　＃Orcale

GDPR戰火延燒，英國隱私保護組織PI投訴甲骨文等7業者違反GDPR

非營利的英國隱私保護組織Privacy International（PI），上周投訴包括甲骨文（Oracle）在內的7家業者違反歐盟通用資料保護規則（GDPR），並督促法國、英國及愛爾蘭的資料保護組織展開調查。受到投訴的7家業者全都握有大量消費者資料，包括從事資料分析的甲骨文與Acxiom，提供廣告服務的Criteo、Quantcast、Tapad，以及信用報告業者Equifax與Experian。

PI認為，這些企業雖然都握有數百萬名消費者資料，但並非是家喻戶曉的品牌，因此極少受到挑戰。然而，根據業者所公開的行銷文件或隱私政策，它們在利用這些個人資料時並未取得使用者同意，也沒有處理這些個人機密資料的依據，還缺乏GDPR所明列的透明、合法、目的限制、數據最小化及準確性等要求。更多內容

更多資安動態

●Windows 10臭蟲讓用戶無法變更預設檔案關聯格式
●臉部辨識還不夠，傳中國警方開始用步態識別工具
●Chrome 71將警告用戶有不當電信代扣服務的網站
●Cloudflare推出支援行動裝置的1.1.1.1公共DNS程式
●法官要求Amazon交出與命案有關的Echo錄音資料
●第一份Android生態系安全性報告出爐，Google未來還要每季都公布高風險App趨勢
●很會躲！研究人員發現一木馬程式竟在Google Play存活了11個月才遭禁