圖片來源: 

Tyler

0924-0930 一定要看的資安新聞

 

#漏洞攻擊

Zerologon重大漏洞已出現攻擊行動

微軟於8月發布重大漏洞Zerologon(CVE-2020-1472)的修補,受到美國國土安全部高度關注,為此發出緊急指令,他們已要求聯邦機構限期修補。到了9月24日,微軟宣布發現實際的攻擊行動,並列出3個入侵指標(IoC)供所有用戶加以防範,同時呼籲企業要儘快修補上述漏洞,以免整個網域的電腦曝露於相關風險。

但值得留意的是,並非只有Windows Server受到此漏洞影響。美國網路安全暨基礎架構安全署(CISA)指出,用於網路芳鄰檔案共享的Samba,4.7版與較舊的版本也可能受到波及,他們也建議用戶升級到4.10.18版、4.11.13版,或是4.12.7版。詳全文

圖片來源:微軟

 

#勒索軟體攻擊

美國公部門最大軟體供應商Tyler遭駭客入侵

總部位於美國德州的公部門大型軟體供應商Tyler,9 月23日傳出遭到駭客入侵,不論是電話系統或官網都處於停擺狀態,該公司聲稱是因為網路問題所致。根據資安新聞網站Bleeping Computer報導,Tyler遭到勒索軟體RansomExx攻擊。由於此公司針對稅賦、法院、金融、監管、公共安全,以及文件管理等領域提供軟體服務,營運規模頗大(旗下超過5千名員工,去年營收突破10億美元),而本起攻擊事件的發生,可能影響範圍甚廣。

Bleeping Computer也指出,他們看到Tyler寄給客戶的通知信,當中坦承他們遭到網路攻擊而正在著手進行調查,但強調沒有任何客戶的資料、伺服器,以及代管系統受到波及。詳全文

圖片來源:Tyler

 

#漏洞揭露  #VPN

FortiGate裝置預設組態恐導致中間人攻擊,20萬企業曝險

以色列家用物聯網安全供應商SAM Seamless Network指出,Fortinet推出的FortiGate SSL VPN裝置,預設組態存在安全漏洞,允許駭客執行中間人(MitM)攻擊,估計潛在受害企業超過20萬。經通報後,Fortinet表示,他們的用戶有能力處理上述問題,因此並不打算變更相關設計。

SAM還透過物聯網搜尋引擎Shodan,檢索使用該VPN功能的FortiGate裝置,結果他們找到共23萬個裝置,當中就有高達88%採用預設配置,代表超過20萬個企業曝露在上述中間人攻擊的風險。詳全文

 

#漏洞揭露  #第三方函式庫

一張照片就能劫持Instagram帳號!原因是App採用的開源函式庫出現漏洞

根據資安公司Check Point公布的消息,熱門的社交平臺Instagram,在他們提供的行動應用程式。最近被發現存在嚴重漏洞,駭客只要傳送惡意JPEG圖片檔案給被害者,就能夠入侵被害者的Instagram帳號,甚至存取手機的相機、麥克風,以及聯絡人資料,但漏洞並非來自於Instagram本身的程式碼,而是第三方函式庫Mozjpeg。目前該公司已經向臉書回報該漏洞,臉書也釋出修補該漏洞的新版Instagram應用程式。詳全文

 

#使用者帳號管理不當

疑門號回收不當,訂房網站Airbnb恐導致用戶帳號遭劫持

許多提供線上服務的業者以手機門號做為用戶帳號,一旦使用者更換門號,業者的管理機制又不能因應,就可能帶來安全隱憂。根據資安新聞網站SecurityWeek報導,共享住房業者Airbnb發生用戶舊門號被回收後,疑似讓他人得以劫持Airbnb帳號並存取相關個資的情形。

有一名女性向SecurityWeek投訴,她的丈夫使用手機號碼登入Airbnb網站,卻看到另一名女性的資訊,其中還包括可用來訂房的信用卡資訊。在通報Airbnb後,該公司要求她的丈夫改以另一個手機門號登入系統,但這名女性發現,原來的存取方式依舊可以看到那個使用者的個資,因此認為Airbnb並未處理相關問題。詳全文

 

#行動應用程式  #使用者隱私

跑步程式Strava洩露附近使用者的個資

應用程式預設公開過多的用戶資訊,會導致曝露隱私的問題。資安顧問公司益博睿(Experian)產品開發負責人Andrew Seward指出,他所使用的跑步程式Strava,只因為他路上遇到了同樣使用這款App的陌生女子,回家檢視跑步記錄卻發現,Strava竟標示他們兩人一起跑步,而且,也能看到這名女性的個資及跑步路線,Andrew Seward指出,這些資訊足以讓他得知該名女性的住家位置。為何會曝露如此詳盡的資訊給其他Strava用戶?起因是這款應用程式記錄運動路徑的Flyby功能,預設會將資料向所有人公開,Andrew Seward建議,用戶應調整為不公開。詳全文

圖片來源:Andrew Seward

 

#加密貨幣

新加坡加密貨幣交易平臺KuCoin遭駭客盜走逾1.5億美元

新加坡的加密貨幣交易平臺KuCoin於9月26日遭到駭客入侵,根據該公司公布的資料,駭客盜走多種加密貨幣,主要是ERC-20,以及比特幣與其他貨幣,初步估計價值逾1.5億美元。

根據KuCoin初步調查,此起攻擊行動始於該平臺熱錢包私鑰的外洩,因此他們著手部署全新的熱錢包,並升級風險管理系統。該公司執行長Johnny Lyu表示,他們的保險基金可承擔相關損失,此次意外不會影響用戶的權益。詳全文

 

#資料外洩

Windows XP等舊版作業系統原始碼遭到公開

有多個舊版微軟視窗作業系統的原始碼,傳出被數名不知名人士公布於動漫網路論壇4chan,這些系統包括Windows XP、Server 2003、NT,以及CE,一旦原始碼公開,可讓有心人士挖掘系統漏洞。微軟得知此事後向媒體表示,他們正在著手進行調查。詳全文

 

#資料外洩  #伺服器配置不當

駭客刪除Elasticsearch伺服器Bing用戶資料6.5TB,只因伺服器沒密碼保護

安全廠商WizCase偕同白帽駭客Ata Hakcil,發現一臺隷屬於微軟Elasticsearch伺服器因沒有使用密碼保護,而遭到駭客Meow手法攻擊,對方透過自動化工具刪除至少6.5TB資料,而這些資料是微軟收集行動裝置版Bing應用程式所產生。研究人員提醒,雖然這次曝險的資料並不包含個資,但因為搜尋引擎普遍會記錄大量資料,建議使用者搜尋時還是最好關閉GPS定位。詳全文

 

#DDoS攻擊

臺灣多家主機代管商遭DDoS攻擊

自9月20日到23日,臺灣有多家主機代管業者傳出遭到大規模DDoS攻擊,包括遠振資訊、捕夢網數位科技、匯智資訊,以及戰國策集團等其他多家業者,紛紛遇害,臺灣電腦網路危機處理暨協調中心(TWCERT/CC)於23日發出公告,指出攻擊來源可能是國內含有漏洞或配置不當的DVR裝置,所形成的殭屍網路,呼籲這些裝置的管理者應加強管理,包含不要使用預設密碼,並隨時更新韌體等措施。詳全文

 

 

更多資安動態

中國公布《不可靠實體清單規定》
Google Cloud儲存體有6%允許未經授權存取
歐美聯手掃蕩暗網,逮捕179名嫌犯
蘋果著手修補會造成任意執行程式碼的macOS沙箱漏洞

熱門新聞

Advertisement