圖片來源: 

Zero Day Initiative

0618-0624 一定要看的資安新聞

 

#漏洞揭露

79款Netgear路由器含有安全漏洞,可允許駭客執行任意程式

根據資安研究人員Adam Nichols的披露,有79款Netgear路由器,都含有允許駭客執行任意程式的安全漏洞,同時Adam Nichols也公布了尋找該漏洞的工具,以及概念性驗證攻擊程式。然而,更令人驚訝的是,Zero Day Initiative(ZDI)早在今年1月,就把上述漏洞提報給Netgear,但因為廠商拖延修補時程,因此ZDI決定於6月15日公布細節。

值得留意的是,本來ZDI認為該漏洞只影響其中一款路由器,但Adam Nichols發現,還有78款同廠牌路由器的韌體,也存在相同的漏洞。詳全文

圖片來源:Zero Day Initiative

 

#視訊會議  #E2EE

政策急轉彎,Zoom免費用戶也將有全程加密功能

視訊會議平臺廠商Zoom於6月初宣布,將會納入全程加密(E2EE)功能,但該公司以避免用於不法為由,表示E2EE僅付費用戶能夠使用,不會在免費版本提供。不過,該公司17日改口,宣稱他們找到能兼顧隱私和安全的做法,如果免費版用戶願意進一步提供個人資訊,也可以獲得這項安全保護能力。Zoom計畫於7月啟動早期測試。詳全文

 

#視訊會議  #漏洞修補

思科WebEx Meetings出現記憶體漏洞,可讓駭客存取視訊會議內容

居家辦公需求大幅增加,視訊平臺的安全性也備受關注。例如,最近安全廠商Trustwave揭露,Windows版思科WebEx Meetings的應用程式,在記憶體存取的機制上存在漏洞CVE-2020-3347,讓駭客能夠取得Token,進而存取會議內容與密碼,Trustwave也提供概念驗證攻擊影片。

對此,思科推出40.6.0版應用程式修補此漏洞,並呼籲使用者要儘速安裝。該公司也表示目前尚未發現漏洞遭到濫用的情形。詳全文

圖片來源:Trustwave

 

#勒索軟體攻擊

勒索軟體Thanos濫用作業系統設計漏洞,讓防毒軟體難以偵測

曾被資安業者揭露的系統漏洞,讓多家防毒軟體無法識別其攻擊行為,不久之後已被駭客用來製作攻擊工具。例如,資安公司Nyotron曾於去年11月,揭露濫用Windows作業系統設計瑕疵的攻擊手法,命名為RIPlace,並表示駭客很可能會用於勒索軟體上。最近有另一家資安業者Recorded Future揭露了後續的情形,印證了Nyotron去年的推測。他們表示在今年1月開始,發現駭客組織Nosophoros在兜售的勒索軟體服務裡,提供的攻擊工具Thanos便含有RIPlace。詳全文

圖片來源:Recorded Future

 

#DDoS攻擊

AWS流量清洗服務擋下2.3Tbps流量,創歷史新高

分散式阻斷服務(DDoS)攻擊的態勢,今年年初再度創下新的流量記錄。根據AWS發布的消息,DDoS防護服務AWS Shield今年第1季總共擋下了31萬次攻擊,還有高達2.3Tbps攻擊流量,比起該公司以往經歷的最大規模攻擊,多出44%流量,同時也締造全球DDoS攻擊流量的新紀錄。

該公司指出,這波大規模攻擊僅有3天,卻出現如此龐大的流量,是因為攻擊者採用了CLDAP(Connection-less Lightweight Directory Access Protocol)反射放大攻擊,由於這種手法中,流量回應封包與請求封包的大小,差距可能會達到50倍,因而形成極為可觀的放大效果。詳全文

 

#K8S  #容器安全

錯誤配置Kubeflow易招來挖礦攻擊

容器的運算資源,駭客也企圖用來挖礦。最近,微軟Azure資訊安全中心偵測到新一波Kubernetes叢集的挖礦攻擊,這次駭客鎖定的是其中的機器學習框架Kubeflow,已有數十個Kubernetes叢集遇害。而這些容器叢集遇害的原因,是因為用戶調整部分參數,導致相關服務直接曝露在網際網路中。

微軟提醒叢集管理者,在部署Kubeflow這類服務的時候,不只應該要對應用程式採取身分驗證和存取控制、不要將連接埠直接曝露在網際網路上,並且還要監控執行環境,包括監控正在執行的容器和程序,同時,也要限制叢集只能部署受信任的映像檔。詳全文

 

#網路釣魚攻擊

為了釣魚郵件能繞過資安防護偵測,駭客同時濫用牛津大學與三星的IT資源

在網路釣魚的攻擊郵件中,駭客試圖要規避企業各式偵測機制,採取更為複雜的做法。例如,最近Check Point揭露一起假借英國牛津大學名義的網路釣魚攻擊,駭客不只挾持這所學校的SMTP伺服器,郵件裡以聆聽語音訊息的名義,引誘受害者連線到釣魚網頁的按鈕,會先導向三星Adobe Campaign伺服器,再傳送到作為跳板的WordPress網站,最終才把使用者送到網釣頁面,以躲避現有的防護偵測措施。

Check Point指出,不管是寄件人的郵件位址,或是郵件中所包含的連結,都是來自於看起來合法及可靠的來源,因而可躲過尋常的安全機制。詳全文

 

#Deepfake

臉書Deepfake造假影片辨真大賽結果出爐

為了因應透過人工智慧假造的Deepfake影片,臉書在去年12月舉辦了辨識技術創新大賽,並於今年6月12日公布結果,顯示參賽的機器學習模型辨識準確度算是不錯,但如果要是應用在全自動化的人臉辨識上,仍然還有很長的一段路要走。

臉書指出,偵測Deepfake技術一直有個尚未解決的問題,即用已知資料訓練而成的模型,難以推論到未知資料上,而在本次比賽中,也出現已知與未知資料集之間成績不一致的結果,再次反映偵測模型難以推論的難題,是未來必須再努力的地方。詳全文

 

#國家安全

立委踢爆資安業者Fortinet產品可能來自中國,政府著手清查

隨著美國與中國之間的政治角力越演越烈,由中國人創辦的美國IT公司,可能因為高層與中國政府關係良好,再加上視訊會議系統Zoom遭到禁用的事件,而成為產品安全性議題被放大檢視的對象。資安業者Fortinet被我國立委林俊憲爆料,有偽造產品產地前科,創辦人與中國當局關係良好,而使得公部門採購的設備可能也有類似的問題,而存在資安疑慮。

對此,行政院資通安全處處長簡宏偉表示,政府共同供應契約不允許產品貼牌行為,並排除中國製產品。工業局則指出,Fortinet標示產品來自美國,若調查後確認產品來自中國,則會要求機關下架。詳全文

 

#資安會議

2020年RSA亞太及日本大會將採線上舉辦

受到全球疫情的持續影響,全球資安盛會RSA Conference公布,2020 Asia Pacific & Japan場(以下簡稱RSAC APJ)將改為線上舉辦。RSAC APJ已連續舉辦了8年,每年都於7月下旬在新加坡舉行,今年也會如期舉辦,不過為了與會者的健康考量,他們決定採線上的方式進行,與會者可免費註冊參與。詳全文

 

 

更多資安動態

知名飾品Claire's官網遭植入信用卡側錄程式
防範記憶體內執行攻擊,英特爾處理器將嵌入防毒
VLC媒體播放器修補遠端程式攻擊漏洞
瀏覽器業者Mozilla即將推出VPN服務


Advertisement

更多 iThome相關內容