資安一周第69期：iOS13越獄程式利用的設備晶片漏洞，無法藉由韌體修補成資安威脅

1114-1120 一定要看的資安新聞

＃資安攻防競賽  ＃ATT&CK

臺灣駭客協會舉辦第2屆企業資安攻防賽，由高科技製造業奪冠

隨著企業的資安議題受到關注，臺灣駭客協會於11月13日，舉辦第2屆HITCON Defense競賽，比賽內容以企業資安防護能力為主，本次參賽隊伍共6隊，囊括金融業、政府、高科技製造業、電信業，以及服務業等，最後由高科技製造業成軍的S.H.I.E.L.D.獲得冠軍。

這次為了模擬企業遭到攻擊的狀態，現場提供參賽隊伍各式資安防護設備，並經由TWNIC協調，配置10個公開的ASN（即Class C網段），讓所有藍隊在真實網路環境進行比賽。

博格企業資安讀書會創辦人Titan Lee表示，這次紅隊模擬的攻擊手法，首度採用MITRE推出的ATT&CK資安框架比對，讓藍隊更容易理解紅隊發動的攻擊型態，進而採取有效的防護策略。Titan Lee也從紅隊攻擊者的角度，分享他的觀察，認為藍隊需要加強處理Web Shell的能力，並確實執行資安盤點，以及更加積極交換與取得威脅情資。詳全文

攝影／黃彥棻

＃資料外洩  ＃鍵盤側錄攻擊

Disney+出師不利，驚傳駭客論壇兜售上千用戶帳號

意圖挑戰Netflix地位的Disney+影音串流服務，正式於11月12日在美國、加拿大，以及荷蘭等地區上線，經過24小時，用戶數量號稱衝破千萬。但就在服務提供後的四到五天，不少用戶發現，他們的帳號已經被駭而無法使用。ZDNet會同資安專家調查指出，黑市裡以3至11美元不等的價格，銷售遭到外洩的Disney+帳號。

至於帳號外洩的原因，仍然不明，迪士尼並未回應。許多受害人向ZDNet表示，他們沒有在Disney+與其他服務共用相同密碼，因此該媒體認為，應是用戶裝置被安裝了鍵盤側錄程式所致，建議使用者要啟用雙因素驗證機制加以防範。詳全文

＃硬體漏洞

利用蘋果iOS裝置晶片漏洞的越獄程式現身，恐被駭客濫用

在今年9月，代號為Axi0mX的研究人員揭露藏匿在蘋果晶片上的Bootrom漏洞，並釋出攻擊驗證程式checkm8，不到兩個月，他會同其他研究人員，利用這個攻擊工具，打造iOS 13的越獄程式Checkra1n。由於採用A5到A11晶片的歷代iPhone與iPad，都可能受到Bootrom影響，而且蘋果無法透過更新韌體修補，因此這個越獄程式也格外受到關注，資安專家擔心可能會被攻擊者濫用，拿來植入攻擊程式。

所幸目前想要使用Checkra1n，尚且有不少限制，首先必須實際取得iOS裝置，並且與Mac電腦連接才能越獄，相關功能在iOS裝置重開機即會失效。詳全文

＃漏洞攻擊  ＃防毒軟體安全疑慮

就算駭客攻擊沒有成功也會導致服務中斷！賽門鐵克企業防毒軟體再傳本地端權限漏洞

防毒軟體是一般個人電腦必備的端點防護措施，在企業IT環境之下，通常會採用企業級產品，以便實施多臺電腦的集中控管，近期SafeBreach Labs安全研究人員Peleg Hadar，揭露企業級防毒軟體Symantec Endpoint Protection（SEP）的安全漏洞，編號為CVE-2019-12758。藉由這個漏洞，攻擊者可繞過該端點保護軟體的自我防護機制，從而擴張權限。

Symantec也針對此漏洞做出說明，表示會影響SEP 11.0至14.2 RU1的所有版本，而且就算駭客攻擊失敗，也可能會導致服務阻斷。詳全文

＃勒索軟體攻擊  ＃特定行業攻擊  ＃關鍵基礎設施

墨西哥國營石油公司Pemex驚傳遭勒索軟體攻擊

能源產業傳出資安攻擊事件又一樁。墨西哥國營石油公司Pemex在11月10日遭到勒索軟體攻擊，對方加密Pemex部分系統的檔案，要求支付565個比特幣（約490萬美元）做為贖金。

該石油公司透過推特證實此事，並強調營運與生產系統都可正常運作，也有充足的庫存與供應，本次攻擊事件的影響範圍，僅有不到5%的電腦受損。詳全文

圖片來源：Pemex

＃DDoS攻擊  ＃國家級攻擊

英國工黨網站驚傳遭到兩起DDoS攻擊，疑為俄羅斯再度介入大選

因脫離歐盟的政策舉棋不定，而提前在今年12月12日投票的英國大選，傳出在11月11日與12日兩天，在野黨工黨的網站受到分散式阻斷服務（DDoS）攻擊，而引發關注，工黨黨魁柯賓（Jeremy Corbyn）強力譴責攻擊行為，認為這起事件並不尋常。

由於近年許多國家的選舉過程中，不時傳出有境外勢力意圖干涉，而發生資安事件。若是事件如攻擊者的規畫，造成重大損害，便有可能造成選民對於政府不信任，進而讓攻擊者達到左右政治的目的。詳全文

＃開發安全  ＃資安產業動態

為開源程式碼安全把關，GitHub推Security Lab計畫

GitHub在11月14日舉辦Universe大會，發表GitHub Security Lab計畫，欲集結眾多企業的力量，提升開源程式碼安全。同時，該公司也免費釋出程式碼語義分析引擎CodeQL，讓社群開發者能更快找出開源軟體的漏洞。

目前參與上述計畫的企業，包含F5、Google、英特爾、微軟、摩根大通，以及Mozilla等14家企業，他們將共同投入資源，以修復開源軟體中的漏洞。詳全文

＃資安產業動態  ＃容器安全

紅帽開源容器儲存庫專案Quay，納入掃描機制Clair

針對容器的管理應用，紅帽（Red Hat）繼併購CoreOS之後，最近對於旗下的容器儲存庫（Container Registry）Quay，開放其程式原始碼，並將新的專案命名為Project Quay，同時該專案合併了開源容器安全掃描應用Clair。紅帽提到，Project Quay是Red Hat Quay和Quay.io程式碼的上游專案，他們要透過在上游開源社群的力量，推動專案創新。詳全文

＃資安產業動態  ＃資料中心安全  ＃人工智慧

資安成臺灣AI雲商轉的新焦點，透過高速運算力發展智慧資安系統

由國網中心打造的臺灣AI雲（TWCC），主要鎖定智慧醫療、智慧製造、智慧防災，以及其餘類型的4大產業應用，於10月正式商轉。值得注意的是，該AI雲平臺日前取得ISO 27017與ISO 27018認證，範圍涵蓋整個服務，因此，提供HPC運算、GPU容器的AI超級電腦「臺灣杉2號」，也包含在內。

關於臺灣AI雲本身的資安防禦機制，國網中心平臺開發組副組長盧鴻復表示，該系統具備3大關鍵資安設備，包括：次世代資料中心網路防火牆、網站應用程式防火牆，以及電信等級DDoS攻擊防護系統。

在平臺本身的防禦之外，國網中心也運用臺灣AI雲，發展智慧資安，並對於事件記錄與網路活動迅速處理，進而誘捕追蹤與分析比對，並制訂疑似感染清單與警示規則，以及發布相關通報。詳全文

圖片來源：國網中心

更多資安動態

●新版臉書App修正會暗中啟動用iPhone相機的臭蟲
●隱私瀏覽器Brave 1.0版問世
●美國政府呼籲民眾應避免使用公用USB充電設備
●提供DDoS服務供應者遭判刑13個月，經營者年僅21歲
●Gmail動態郵件功能出現XSS漏洞，可讓駭客濫用
●路易斯安那州遭勒索軟體攻擊，部份伺服器停擺