0711-0717 一定要看的資安新聞

 

#物聯網裝置攻擊  #勒索軟體攻擊

勒索軟體鎖定威聯通NAS發動攻擊

威脅情報業者Anomali指出,最近駭客鎖定臺灣廠商威聯通科技(QNAP)製造的NAS下手,經由暴力破解或已知漏洞入侵後,利用名為eCh0raix的勒索軟體,加密檔案且寄送勒索信件給受害者。

研究人員指出,eCh0raix是以Go語言撰寫而成,僅有400行程式碼,卻具備發動勒索攻擊所需的各種功能,包含尋找可被加密的檔案,執行檔案加密,以及產生勒索信件等。

此外,Anomali也在C&C伺服器上發現白名單,當eCh0raix察覺NAS裝置位於俄羅斯、白俄羅斯,或是烏克蘭時,即會自動放棄攻擊。

威聯通在7月12日早上發出公告,提出防範相關攻擊的建議措施,包含將QTS作業系統升級為更新版本,並使用Malware Remover套件,同時,也要啟動網路存取防護(NAP)等保護功能。詳全文

圖片來源:威聯通

 

#物聯網裝置攻擊  #資料外洩  #供應鏈攻擊

知名飯店Kiosk系統驚傳嚴重漏洞

TrustWave安全研究人員Adrian Pruteanu發現,歐美知名互動式資訊服務站(Kiosk)設備商Uniguest的資料庫外洩,曝露管理員、設備,以及產品金鑰等重要資訊,使得飯店的客戶信用卡或其他資料,可能會落入駭客之手。而外洩的原因,來自Uniguest舊版軟體中,寫死在程式碼裡的憑證資料。

該名研究人員指出,舊版Uniguest互動式資訊服務站所採用的SystemSleuth軟體,主要用於收集設備資訊,包括產品金鑰、資產標籤,以及密碼等,並且會將這些資料透過API傳送到該公司的Salesforce。Adrian Pruteanu反組譯SystemSleuth後現,API的憑證存在於程式碼裡,以此存取Uniguest雲端資料庫之後,會得到所有該廠牌互動式資訊服務站的管理權限,若是再搭配鍵盤側錄工具,就能收集服務站上的使用者資訊。詳全文

 

#物聯網裝置攻擊  #特定行業攻擊

GE Health連網麻醉機爆漏洞,攻擊者能遠端變更藥劑濃度

知名醫療設備大廠GE Health出產的兩款麻醉機,被資安業者CyberMDX發現含有漏洞,可讓連上相同網路的攻擊者遠端變更系統設定,包括藥劑、氣體、關閉警鈴,以及機器配置參數等。

這個漏洞的列管編號為CVE-2019-10966,一旦被成功利用之後,駭客便能針對GE Aestiva與GE Aespire等麻醉機,竄改劑量與氣壓計的數值。

CyberMDX於2018年10月通報GE與主管機關。但GE向ZDNet表示,漏洞只出在連線到TCP/IP網路的通訊協定,若麻醉機沒有連上網路,就不會遭到濫用,因此他們並未提供修補程式。詳全文

圖片來源:美國網路暨基礎架構安全署

 

#物聯網裝置攻擊  #語音助理  #隱私疑慮

Google擅自側錄語音助理用戶對話內容

繼4月彭博社報導Amazon Echo用戶的對話內容,被交由Amazon員工聽取與分析,比利時公共電視臺VRT NWS報導指出,Google也正在做同樣的事:該公司聘僱外包人員,在Google Home、Home mini等產品上,聽取消費者與Google Assistant的對話錄音後,進行轉錄、註解,以及分析。

VRT NWS表示,經實際測試後發現,即使用戶沒有說出啟動語音助理的「Ok Google」指令,Google Home有時候還是會錄下使用者的對話內容。而Google則表示,由人類聽取對話內容並加以分析,是他們提升AI語音助理的必要程序,並重申該公司已經透過多項措施,來保護使用者隱私。此外,針對疑似向VRT NWS提供上述資訊的外包語音審查人員,Google表示,已經違反該公司資安政策,打算追究法律責任。詳全文

 

#漏洞攻擊 

蘋果主動出擊,經由macOS更新機制移除視訊會議軟體Zoom漏洞

熱門視訊會議軟體Zoom驚傳嚴重漏洞,起因是軟體安裝的過程裡,會一併加入易受攻擊的本機網頁伺服器,雖然Zoom官方已經緊急發布更新,但考量不少用戶可能未收到漏洞訊息,或是不願安裝新版Zoom的情況,蘋果決定直接出手,透過macOS更新機制,移除相關元件,避免惡意網站濫用上述漏洞,而導致在未經用戶同意的情況下,就將用戶加入視訊通話。

根據資安研究人員Jonathan Leitschuh的發現,macOS版的Zoom用戶可能為此漏洞遭受DoS攻擊,同時,攝影機在用戶不知情的狀況下,也可能會逕自啟動。儘管尚未出現受害者,但網路社群已出現抗議聲浪,為此Zoom公司已經推出新版軟體,後來也表示他們和蘋果合作,而經由macOS更新的方式,移除前述的網頁伺服器模組。詳全文

 

#物聯網裝置攻擊  #漏洞攻擊

Apple Watch對講機漏洞可導致他人iPhone被竊聽

新興的DNS over HTTPS(DoH)協定,具有強化用戶的隱私保護的承諾,而頗受眾人期待,不過,360 Netlab資安研究人員卻發現,已經有駭客開始濫用DoH傳輸惡意程式。

而這個首度利用DoH技術的惡意程式消息傳開,讓部分安全專家擔憂,認為未來勢必有更多惡意程式作者跟進,造成安全控管的威脅。詳全文

 

#雲端服務組態配置錯誤  #Amazon S3

Magecart駭客集團新手法,專找配置不當的Amazon S3儲存體植入惡意程式

長期以電子商務網站為目標、側錄用戶交易資訊而惡名昭彰的Magecart駭客組織,資安業者RiskIQ指出,該集團開始轉移攻擊對象,改向Amazon S3用戶下手,找尋配置不當的儲存體,並植入網頁側錄的程式碼,估計已有超過1.7萬個網域受害。

RiskIQ表示,過往Magecart會從電子商務網站的協力廠商下手,在功能模組注入側錄程式碼,進而達到大規模感染的效果。如今隨著許多網站架設在Amazon S3上,駭客找出錯誤配置的儲存體後,再搜尋其中的JavaScript檔案,植入側錄程式碼,而這些流程已經全數自動化執行。詳全文

 

#勒索軟體攻擊

拒絕向勒索軟體低頭!美國各地市長決議不再支付贖金

最近舉行的美國市長會議(US Conference of Mayors)通過一項決議,為避免助長犯罪,未來若是遭勒索軟體攻擊,各市政府不會採取贖金換回檔案的策略。

根據統計,從2013年起,遭勒索軟體攻擊的美國郡、市,以及州政府,至少超過170個。光是2019年就發生22起,包括佛州大湖市、Riviera Beach、巴爾的摩、阿巴尼市、密西根傑納西(Genesee)市、喬治亞傑克森郡,以及德州費雪(Fisher)市等。

市長們認為,付贖金將使歹徒食髓知味,等於變相鼓勵他們攻擊其他州市政府。為此,市長們聯合起來,未來發生資安事件不再支付贖金。詳全文

圖片來源:美國市長高峰會網站

 

更多資安動態

GPDR上路後最嚴厲處分!英航遭罰1.8億英鎊
傳英國主管機關裁罰萬豪酒店9,900萬英鎊
殭屍病毒GoBotKR鎖定韓劇迷
Pale Moon瀏覽器檔案伺服器遭到植入病毒

熱門新聞

Advertisement