近期舉行的DEVCORE Conference大會中,該公司資安研究員Orange Tsai揭露了中華電信網路數據設備的安全問題。(周峻佑攝)

0926-1002一定要看的資安新聞

 

連網裝置安全、中華電信數據機

物聯網裝置攻擊頻傳,戴夫寇爾揭露中華電信數據機設置不當的漏洞

圖片來源/周峻佑攝

今年首度舉辦的DEVCORE Conference大會上,該公司資安研究員Orange Tsai(蔡政達)在最後一場議程中,揭露了中華電信網路數據設備中,因配置不當而能被濫用的漏洞,經通報後,對方已經透過韌體更新的方式,完成修補。

關於這次漏洞的發現,是因為該公司情資中心在7月底偵測到大量使用者的電腦,都開啟了3097連接埠,而引起他們注意。後續經過他們的研究,找出能夠下達任意指令的漏洞,再加上預設系統管理帳號root採用弱密碼等環節,而能控制網路數據機,利用命令注入攻擊手法,遠端存取數據機3097連接埠,進而滲透到內部網路,從中發動攻擊。更多內容

 

無檔案攻擊、離地攻擊

微軟揭露新的Nodersok無檔案攻擊行動

圖片來源/微軟

繼今年7月公布的Astaroth無檔案攻擊行動之後,微軟再公布新一波的Nodersok無檔案攻擊,駭客同樣利用合法工具展開攻擊,例如,系統內建的mshta.exe與powershell.exe,或者是自第三方網站下載的node.exe及Windivert.dll/sys,而且攻擊過程只於記憶體內執行,並沒有任何惡意的執行程式被寫入硬碟,目的是將受害系統變成代理人,以便執行點擊詐騙,估計已有數千臺Windows電腦遇害。更多內容

 

軟體漏洞

神祕人士將vBulletin零時差漏洞公布於網路上

圖片來源/擷取自vBulletin官方論壇

連NASA、Steam、EA都在用的商業論壇軟體vBulletin,遭人揭露存在驗證前遠端程式碼執行(pre-auth RCE)漏洞,其身分驗證可以被繞過而被取得平臺控制權限。

最近有匿名人士在網路社群Full Disclosure公布此漏洞,並指出攻擊者無需具備帳號,只要發送HTTP POST請求,就可以在vBulletin伺服器上執行指令,進而劫持論壇的網頁伺服器、竊取或刪改資料,或是對其他系統發動攻擊等。事隔兩天,在9月26日,vBulletin團隊已經緊急修補了該漏洞,並呼籲5.5.2、5.5.3及5.5.4版用戶更新至最新版本,同時提醒5.5.2以前版本的用戶應儘快升級。更多內容

 

VPN

Cloudflare正式推出免費VPN服務Warp

圖片來源/Cloudflare

今年4月,Cloudflare宣布將在其行動裝置App「1.1.1.1」中,加入名為Warp的VPN服務,而該項服務使用了新型VPN技術WireGuard,現在這個App正式釋出內建Warp的版本,Android或iOS用戶都可在應用程式商店下載。

Warp與傳統VPN的差異在於,並非針對想要完全隱藏身份的用戶設計,由於Warp不會對目標服務隱藏使用者的IP位址,因此無法讓用戶在使用Warp之後,存取地區限制的內容。Cloudflare表示,Warp主要讓用戶的流量在傳輸過程中獲得保護,有心人士無法進行窺探,使用者可以在公共場所中安全的使用網路,同時還能防止ISP業者收集用戶資料並轉銷售給廣告商。更多內容

 

郵件安全、微軟

微軟網頁郵件收發程式將擴大禁止38種檔案格式

微軟宣布將在Outlook for the Web的預設副檔名封鎖機制中,再增加38種檔案格式,包含Java、Python、PowerShell等檔案類型,受影響的產品包括Office 365、Exchange Online或Exchange Server。

微軟表示,為了確保客戶安全,Exchange團隊近日對現有封鎖檔案名單做了一番檢視,以確保能涵括現今有風險的檔案類型。經過調整,微軟在OwaMailboxPolicy物件中,對於BlockedFiletypes屬性所封鎖的對象,由現有104類增加38類,共142類。不過,微軟也指出,如果企業有下載需求且了解相關安全風險,IT管理員仍然可以在特定條件下,將特定副檔名加入白名單。更多內容

 

國家安全政策

美國通過協助組織對抗網路攻擊的法案

美國參議院最近通過了一項《國土安全部網路狩獵與資安事件應變法案》,將要求DHS的資安團隊協助政府及其他私人企業避免網路攻擊,在這些組織遭到攻擊時,也要協助緩解。這主要的考量,是基於網路威脅變得更普遍,但地方政府與私人企業在其網路安全的資源可能不足,因此現在美國將透過立法方式來要求。這項法案要求DHS必須設立網路狩獵與網路事件應變等兩個安全團隊,永久協助政府機關、重大基礎設施與私人企業來對抗網路攻擊,也要求相關團隊必須廣邀私人企業的安全專家,以提供非政府角度的專業意見。更多內容

 

iOS漏洞、硬體安全

研究人員宣稱多款iPhone晶片存在無法修補的Bootrom漏洞

代號為Axi0mX的安全研究人員對外宣布,他在蘋果所打造的晶片上,發現了Bootrom漏洞,將允許駭客取得iOS裝置的控制權,該漏洞波及A5到A11的晶片,等於是從iPhone 4S到iPhone X都受到影響,且只有變更硬體才能修補,而此漏洞將讓越獄(突破蘋果原廠iOS的限制)變得更容易。資安業者Malwarebytes Labs也表示,不只是iPhone,採用同樣晶片組的iPad、Apple Watch、Apple TV與iPod Touch,也都受到Bootrom漏洞的影響。更多內容

 

網站安全

遭受駭客攻擊!臺港蘋果日報App及網站服務受影響

圖片來源/擷取自香港蘋果日報臉書粉絲專頁

在9月28日早上,蘋果日報的App與網站驚傳服務異常,疑似遭到駭客入侵,雖然在3個小時後服務已經復原,其粉絲專頁上也證實這項消息,但尚未對外說明遭駭的入侵管道與是否有其他影響。

在當日11點34分,香港蘋果日報在粉絲專頁上發布訊息,公開說明了這項消息,指出「蘋果動新聞」手機App與網站疑遭受外來攻擊,導致部分讀者無法登入,臺灣的蘋果新聞網粉絲專頁也公布相關資訊。這起事件不僅是網站安全的議題,也影響到蘋果付費用戶的權益,也格外受到外界關注。更多內容

 

金融安全、SWIFT系統漏洞

國際匯款系統SWIFT漏洞被揭露,中華資安國際呼籲用戶注意修補

圖片來源/擷取自中華資安國際官網

全球金融機構通用的SWIFT系統,是銀行間交易資料交換的平臺,一旦發現系統相關漏洞,後果相當嚴重。在9月中旬,中華資安國際發出聲明,指出揭露SWIFT平臺的高風險弱點(CVE-2018-16386),CVSS 3.0評為7.5分,並建議仍在使用SWIFT 7.1.23以前版本的金融機關或企業,儘快聯繫廠商進行系統更新,若無法更新也應採取緩解措施與檢查。

關於這次漏洞的發現,是該公司在執行金融機構電腦系統資安評估過程中所找出,發現在SWIFT Alliance Web Platform 7.1.23版中存在Log Injection漏洞,若是攻擊者利用系統Error log功能,搭配其他的任意檔案引入弱點一起使用,就可能達成遠端執行指令碼攻擊。由於SWIFT系統敏感性較高,在去年他們通報此漏洞後,SWIFT開發廠商已經修補,而美國國家漏洞資料庫(NVD)直到2019年7月才公開發布,近期中華資安國際提醒用戶應儘速更新。更多內容

 

#醫療安全 #台大醫院

台大醫院驚傳駭客入侵,院方表示:已依規定通報,無資料外洩

圖片來源/洪政偉攝

九月底,台大醫院驚傳駭客入侵事件,國內多家媒體報導此事,指出疑似有資料外洩,並傳出院方列為三級資安事件,已經通報教育部與行政院,由行政院技術服務處協助調查。對此,我們向台大醫院詢問是否真有此事,他們的公共事務室管理師梁世箴出面回應,院方系統確實遭受到駭客攻擊,但沒有資料外洩情事發生。更多內容

 

更多資安動態
微軟修補IE、Windows Defender重大漏洞,IE零時差漏洞已有攻擊程式
DEFCON Voting Village:上百款投票機器都被研究人員攻陷
研究人員發現鎖定SIM卡軟體的攻擊,WIBattack將可透過漏洞遠端控制手機
國家級駭客鎖定美國的公用事業服務供應商展開魚叉式網釣攻擊
微軟Windows 7付費延伸支援方案,開放中小企業購買
【NIST網路安全框架當紅】彈性靈活易上手,連美國聯邦政府都全面採用
 


Advertisement

更多 iThome相關內容