0226-0304 一定要看的資安新聞

 

#漏洞攻擊  #無線網路

無線網路晶片漏洞導致十億裝置流量可被解密

隨著各種裝置都要連上網路,一旦無線網路晶片出現漏洞,影響的範圍恐怕會相當地廣。例如,資安廠商ESET發現名為Kr00k的安全漏洞,存在於採用博通或Cypress無線晶片的設備裡,估計數量超過十億臺,兩家公司獲報後都已提供修補程式。

這項漏洞編號是CVE-2109-15126,若是連網裝置的無線網路晶片出現Kr00k漏洞,攻擊者便能使用全為0的加密金鑰,來加密流量,進而輕易解密裝置傳輸的網路封包內容。假如用戶要避免遭受攻擊,無線網路採用WPA 3協定加密,或者是藉由HTTPS連線、VPN,以及加密通訊軟體等,都能減緩該漏洞所產生的問題。詳全文

 

#漏洞攻擊  #Exchange

甫修補的漏洞被盯上,駭客大肆掃描Exchange的控制版元件

才剛被修補的漏洞,企業往往還在評估安裝更新軟體帶來的影響,駭客已經打算利用漏洞朝尚未修補的企業下手。資安研究人員Kevin Beaumont於2月26日指出,他發現網路上出現大量掃描CVE-2020-0688漏洞的行為,由於這個漏洞存在於微軟Exchange各版本裡,他呼籲用戶要趕快安裝修補程式。

雖然Kevin Beaumont並未察覺利用這項漏洞的攻擊行為,但是Zero Day Initiative(ZDI)已經揭露漏洞的細節,並且公布濫用的途徑。即使微軟只將CVE-2020-0688列為重要等級,不過Kevin Beaumont認為,只要Exchange伺服器連上了網際網路,風險等級就會變為重大,他也預期,將會有勒索軟體集團大肆濫用這項漏洞。詳全文

圖片來源:Zero Day Initiative

 

#漏洞攻擊  #RCE

合勤網路設備驚傳指令注入漏洞

網路設備網頁管理介面出現重大漏洞,而導致攻擊者能夠遠端任意存取的情況時有所聞。Hold Security研究人員Alex Holden發現,臺灣網通廠商合勤(Zyxel)多款網路設備的韌體,存在驗證前指令注入的高風險漏洞CVE-2020-9054,可能給駭客遠端執行任意程式碼(RCE)的機會,該漏洞CVSS v3.0風險評分為最高的10分。

合勤也於自家網站公告受該漏洞影響的範圍,產品線涵蓋網路儲存設備(NAS)、次世代防火牆,以及VPN設備,他們已提供20多款設備的新版韌體,至於部分已終止支援的型號,該公司則建議不要直接與網際網路連接,或者是關閉TCP的80埠與443埠。詳全文

圖片來源:合勤科技

 

#漏洞攻擊  #行動支付

綁Google Pay的PayPal帳戶遭盜刷,傳與未修補漏洞有關

行動支付的浪潮銳不可擋,同時也成為駭客鎖定的攻擊目標。多名PayPal用戶表示,他們的帳戶遭到盜刷購物,金額從上百到上千歐元不等。這些受害者以德國用戶為最大宗,但也包含美國與俄羅斯用戶,共同點都是綁定Google Pay服務。至於盜刷的犯罪地點,皆位於美國。PayPal獲通報後,已經退款給受影響的消費者。

目前PayPal尚未查出駭客如何入侵受害人帳戶,但德國安全研究人員Markus Fenske在推特上指出,此起事件與他們一年前通報的漏洞有關,然而PayPal迄今仍沒有著手修補。詳全文

 

#應用程式市集亂象

新型惡意程式滲透Google Play市集的8款App

能暗中點擊手機螢幕內容的惡意軟體,竟被攻擊者埋藏在官方應用程式市集裡的合法App。Check Point揭露新的惡意程式家族Haken,能夠掌控受害裝置並點選螢幕上的任意內容,然而駭客散布的管道,是將這個惡意程式植入Google Play市集的合法App,具估計有5萬臺Android裝置安裝了受感染的應用程式。

這些被植入Haken的多半是公用程式及兒童程式,包括羅盤程式、QRCode程式,以及多款兒童遊戲程式。Haken既能自動點選螢幕上出現的任何訂閱服務,也能自裝置上取得各種機密資料。獲報後,Google已經將受感染應用程式全數移除。詳全文

圖片來源:Check Point

 

#資料外洩

明文憑證隨意存放!以色列行銷公司逾5千萬通訊錄門戶大開

因沒有設置密碼保護而造成機密資料公開,是企業使用公有雲最常見的缺失,但有了密碼保護就安全嗎?一名DevOps工程師無意間發現以色列行銷公司Straffic資料庫的憑證,其中包含了明文密碼,可用來存取這個資料庫近5千萬筆通訊錄。而這名工程師找到上述憑證的原因,竟只是近2年受到垃圾簡訊騷擾,遂而從簡訊連結的網域追查源頭,才揭露這起事件。

Straffic在消息曝光後,僅發表簡短聲明,指出旗下其中一個網站含有安全漏洞,證實漏洞的確存在後就進行修補,但除此之外,該公司並未說明產生安全漏洞的原因,也沒有公布資料外洩的細節與數量。詳全文

 

#資安產業動態  #OpenDXL

資安產品共通訊息語言OpenDXL Ontology正式發布

資安產品之間的訊息互通,近年逐漸受到廠商的重視。繼McAfee於2017年公開OpenDXL(Open Data Exchange Layer)資安通訊協定之後,由IBM與McAfee等資安廠商組成的開放網路安全聯盟(Open Cybersecurity Alliance,OCA),最近公開OpenDXL Ontology專案的程式碼,能讓各種工具使用OpenDXL,以此作為串連及整合不同資安產品的共通訊息框架。

OCA指出,OpenDXL Ontology是業界第一個透過共通訊息框架的使用,同時能夠連結眾多資安產品的開源語言。有了這種訊息框架,便能將警示通知、威脅資訊,以及回應行動等資訊,自動派送給跨品牌與跨類型的資安產品。詳全文

 

#資安產業動態  #Azure AD  #FIDO2

混合式Azure AD環境FIDO2支援來了!微軟提供公開測試

訴求取代密碼的快速身分驗證機制標準FIDO2日漸盛行,微軟正逐步增加能夠支援這種標準的產品。自去年11月預告之後,該公司在2月24日宣布,推出FIDO2協定的Azure Active Directory(Azure AD)公開預覽,讓企業可以用FIDO2硬體金鑰,登入Windows 10電腦,或者是存取公有雲與私有雲環境。微軟Alex Simons指出,這是自去年7月AD支援FIDO2後,用戶呼聲最高的無密碼登入功能。

該公司認為,藉由將FIDO2支援擴大到混合雲環境,用戶將可利用加密硬體金鑰登入Windows裝置,也可以存取公司網路和雲端資源,而不怕連上釣魚網站。詳全文

 

 

更多資安動態

McAfee買下遠端瀏覽器隔離技術新創Light Point Security
勒索軟體受害者6年來付出1.4億美元比特幣
Safari將拒絕效期超過398天的新網站SSL憑證
DNS over HTTPS成為美國Firefox用戶的預設
RSA大會2020創新沙盒競賽結果出爐,自動化隱私法遵新創業者奪冠


Advertisement

更多 iThome相關內容