資安一周第72期：出現影響廣泛的Linux漏洞，有機會讓駭客挾持VPN連線。國內方面，臺灣物聯網資安標章發展步入軌道

1205-1211一定要看的資安新聞

＃Linux安全

Linux漏洞將允許駭客挾持VPN連線

圖片來源／擷取自Seclists.org

新墨西哥大學的幾名資安研究人員發現，大多數Linux版本都含有編號為CVE-2019-14899的安全漏洞，這個弱點將允許駭客挾持VPN連線，目前波及眾多基於Linux與Unix的作業系統，涵蓋Android、iOS、macOS、Ubuntu、Fedora、Debian、Arch、Manjaro、Devuan、MX Linux 19、Void Linux、Slackware、Deepin、FreeBSD與OpenBSD等。除了作業系統之外，研究人員也在不同的VPN服務上測試該漏洞，結果顯示，不論是OpenVPN、WireGuard或IKEv2/IPSec，都會受害。研究人員William Tolley建議，用戶可啟用反向路徑過濾機制，並執行加密封包，以執行暫時性的補救。更多內容

＃資安預測

地緣政治風險加劇，IDC預測將促使資安在地化發展

年底將至，不少業者開始公布新一年度的市場觀察，在12月5日，研究機構IDC發布最新的臺灣ICT市場十大趨勢預測。其中關於資安產業的面向，他們指出，「地緣政治風險加劇，持續驅動資安在地化」的新趨勢，預期到了2022年，將有4成比例高速發展數位基礎建設的國家，走向資安在地化，以確保經濟發展的穩定性與國家安全。隨著近年的國際局勢轉變，他們認為，臺灣除了要持續強化關鍵技術自主布局，以及資安人才培育，在特殊的政治經濟背景之下，將有望發展出獨特的資安產業優勢。對於更多未來的資安方面預測，在前一年度的IDC的十大預測中，他們曾表示，在2024年資安管理服務市場中，全球將有9成的客戶採用威脅生命週期管理（Threat Life-Cycle Management）服務，並預期資安管理服務仍將是臺灣資安市場成長的重要驅動力。更多內容

＃勒索軟體

美國資料中心供應商CyrusOne也成勒索軟體受害者

圖片來源／擷取自CyrusOne

在12月5日，美國知名資料中心供應商CyrusOne證實，該公司位於紐約的資料中心遭到勒索軟體攻擊。他們在全球共有45個資料中心，其中有10個位於美國。這次受影響的是紐約資料中心的管理服務，因為勒索軟體而被加密了特定裝置，並波及了他們的6家客戶。至於該公司的資料中心託管服務，包括IX及IP Network服務都未受害。目前CyrusOne還在調查中，並未公布細節，但率先報導的ZDNet則說CyrusOne所感染的是勒索軟體是Sodinokibi。在此之前，今年8月牙醫診所備份公司Digital Dental Record也是感染這支勒索軟體，資安業者Cybereason甚至推測Sodinokibi將成為GandCrab後，下一個全球感染力最強的勒索軟體。更多內容

＃APT攻擊

BMW與現代汽車遭越南駭客鎖定

圖片來源／擷取自BR

最近德國媒體Bayerischer Rundfunk披露，有一個可能是由越南政府支持的駭客集團OceanLotus，正嘗試入侵全球的汽車產業，目的是竊取智慧財產，包括BMW與現代汽車（Hyundai）都是受害者。報導指出，OceanLotus從今年3月發動攻擊，在BMW的電腦系統上安裝了Cobalt Strike的滲透工具──這是一款提供滲透測試與紅隊演練人員使用的工具，只是最近這幾年經常受到駭客的青睞。BMW直到最近才發現，內部網路藏有Cobalt Strike。不過該公司表示，駭客尚未進入BMW的核心系統，而現代汽車則尚未對此回應。更多內容

＃系統安全　＃無檔案攻擊

北韓駭客發展出Mac環境的無檔案攻擊程式手法

圖片來源／擷取自Dinesh Devadoss's Twitter

研究人員表示，最新他們觀察到的木馬程式，顯示北韓駭客也逐漸學習新技巧，透過無檔案攻擊手法增加匿蹤的能力。上週，研究人員Dinesh_Devadoss發現一隻Mac木馬程式名為UnionCrypto的樣本，研判來自北韓駭客組織Lazarus Group，而該惡意樣本一開始在VirusTotal的57個防毒引擎中，只有2個將它判斷為可疑程式。另一研究人員Patrick Wardle也指出，Lazarus Group經常對macOS下手，但這次攻擊展現的高明手法，卻是前所未見，Unioncrypto不只是在加密交易App注入木馬程式，特別的是，可直接在記憶體寫入與執行惡意程式碼。更多內容

＃雲端存取安全

強化雲端存取安全，AWS宣布加強與簡化S3的存取控管

圖片來源／李宗翰攝

在今年的re:Invent大會上，AWS執行長Andy Jessy在大會第二天的主題演講當中，宣布推出S3 Access Points的功能，可簡化應用程式對於S3資料存取方式的管理，用戶可以更容易管理S3環境當中每個儲存桶（bucket）的數百個存取點，針對應用程式自定名稱與存取權限許可，這麼一來，不只是為共用資料集的存取提供新的方法，針對共享S3資料桶存取方法的建立與維護，也能更為便利。在存取控管政策的制定上，S3 Access Points能讓用戶透過前置字元和物件標籤來強制施行許可，因此可限制物件資料的存取。而且，這項功能可將S3資料存取的範圍，局限在AWS的VPC到防火牆之間，而當中提供的Service Control Policies，也能用於確保所有存取點都在限用的VPC當中。更多內容

＃安全更新漏洞

駭客釋出工具以免費使用Windows 7的延伸安全更新

微軟即將在明年的1月14日，終止對Windows 7的支援，若要持續取得該作業系統的安全更新，則必須額外購買延伸安全更新（Extended Security Updates，ESU），不過，有駭客在MyDigitalLife論壇上釋出了一項BypassESU工具，安裝後就能繞過系統對ESU授權的檢查，讓Windows 7用戶可免費取得延伸安全更新資格。不過，這個工具顯然是違法的，外界也猜測，在BypassESU曝光之後，微軟很快就會修補這個臭蟲。更多內容

＃個資外洩

75萬筆的美國出生證明申請書在AWS上曝光

圖片來源／Techcrunch

資安業者Fidus Information Security與媒體TechCrunch，在12月10日共同揭露一起AWS上的資料外洩事件。他們發現一個不需密碼就能存取的儲存體，存放了75.2萬筆的美國出生證明申請文件，似乎是某家私人公司所擁有。這些文件內容包含了申請人的名字、生日、地址、電子郵件、電話號碼、家庭成員名字，以及申請理由，同時，也包含9萬筆的死亡證明申請書。此外，這是經常更新的資料庫，在一周內就新增了9,000筆的申請文件。他們曾經聯繫該業者，但一直未收到回應，只好通知AWS代為轉達，同時也聯繫了當地的資料保護機關。更多內容

＃釣魚網站　＃社交工程

詐騙集團假冒國內企業與機關網站事件不斷，近期中華郵政、鉅亨網與經濟部相繼發出警告

圖片來源／擷取自經濟部

最近半個月來，企業收到民眾通報釣魚網站並發出警告的案例增加，從11月中旬到12月初，中華郵政、鉅亨網與經濟部接連發出公告，表示出現假冒公司網站與名義的情況，各自提醒民眾或用戶不要受到釣魚網站詐騙個人資料與敏感資訊。例如，中華郵政在11月15日發出警告，指出接獲民眾通報，有詐騙集團假冒中華郵政公司網頁，疑似取自公司的歷史網頁資訊，且另外嵌入了原本網頁所沒有的輸入欄位，並標示「請輸入您的手機號碼查詢包裹信息」。到了12月3日，經濟部也發出相關警告，指出有不肖份子假借經濟部名義，發送邀請招標的電子郵件，以及要求至網站登錄相關資訊。更多內容

＃物聯網資安標章　＃網路攝影機　＃無線路由器

臺灣物聯網資安標章發展上軌道，已有9家業者的22款產品取得資安標準合格證書

圖片來源／羅正漢攝

為了強化臺灣產品在國際上的競爭力，近年由政府帶頭，推動的物聯網資安檢測認證標準，自2018年6月開始，經濟部與國家通訊傳播委員會（NCC），共同發布相關資安驗證標章制度，期望帶動臺灣產品資安水準。在這項計畫執行一年半後，在12月6日，相關單位舉辦了物聯網資安標章成果發表會，並公布目前最新的進展。其中，在物聯網資安認可實驗室方面，已經從去年底的4家增至8家，而取得標章合格的產品，更是從原本單一業者的2款產品，增至9家業者22款產品。從多家業者陸續響應的態勢來看，顯然這項資安標準的推動，正開始步上發展軌道。更重要的是，自今年12月開始，其中的網路攝影機資安產業標準，已發布成為國家標準（CNS 16120）。未來目標，期望達到國際標準相互認證。更多內容

更多資安動態
●Google與Mozilla移除過度追蹤使用者行為的Avast擴充程式
●Microsoft Edge 79將強化追蹤保護且不危及相容性
●報導：有人在黑市盜賣莫斯科監視器畫面
●Google：8成Android程式都已加密傳輸流量
●LINE資安團隊任務分工首度在臺公開！
●物聯網興起，大幅帶動PKI防護需求，1/5物聯網採用HSM驗證設備資料的完整性