圖片來源: 

Codecov

4/15-4/21 一定要看的資安新聞

 

#供應鏈攻擊  #軟體開發

軟體測試服務業者Codecov被駭,恐影響P&G、GoDaddy等近3萬家客戶

繼SolarWinds攻擊事故後,美國再度出現重大供應鏈攻擊事件而受到當局關切!軟體開發測試服務業者Codecov於4月15日,公布約在1月31日遭到駭客入侵。由於該公司擁有2.9萬家客戶,包含軟體商Atlassian、民生用品大廠P&G、網域服務管理商GoDaddy,以及華盛頓郵報等,聯邦政府已介入調查。

至於遭駭管道為何?Codecov表示是建立Docker映像檔的過程存在瑕疵,導致Bash Uploader程式碼遭未經授權存取及竄改,恐有大量企業資訊遭竊取。該公司呼籲用戶,應儘速重設CI環境與Bash Uploader相關的憑證資訊。詳全文

圖片來源:Codecov

 

#木馬程式攻擊  #合法網路服務濫用

駭客鎖定上網搜尋商業文件人士,散布SolarMarker RAT木馬

資安廠商eSentire於4月13日,揭露駭客濫用10萬個Google協作平臺網站,鎖定想要使用Google搜尋取得商業文件、表單的專業人士,散布SolarMarker RAT木馬程式。一旦使用者點擊這些駭客安排的搜尋結果,就有可能從上述的Google協作平臺網站,被引導到惡意網頁下載木馬程式。

這些駭客設立於Google協作平臺的網站,包含流行的商業用語及特定關鍵字,使得Google給予PageRank高分,並將它們列於搜尋結果的最前面。詳全文

 

#漏洞揭露  #容器安全 

Kubernetes的Go程式庫爆重大漏洞,恐導致DoS攻擊

Palo Alto Networks公司旗下的資安研究單位Unit42,揭露在Kubernetes的Go程式庫container/storage,存在重大漏洞CVE-2021-20291,一旦使用者從儲存庫(Registry)拉取惡意映像檔時,便會因為該漏洞對CRI-O及Podman容器引擎發動DoS攻擊,甚至可能波及容器基礎架構Kubernetes和Red Hat OpenShift。詳全文

 

#網站側錄  #電子商城  # 加密貨幣

北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣

線上購物的網站側錄攻擊情況不時出現,駭客從中竊取信用卡等交易資料,但改用加密貨幣購物的消費者也要留意。威脅情報業者Group-IB揭露北韓駭客Lazarus新型態的攻擊手法,他們改造原本側錄信用卡資料的工具,鎖定可使用加密貨幣付款的電商網站下手,來竊取加密貨幣。Group-IB也呼籲電商網站,要小心防範相關的網站竄改攻擊。詳全文

圖片來源:Group-IB

 

#漏洞揭露  #TCP/IP

4個TCP/IP堆疊程式庫存在9個漏洞,1億連網裝置曝險

物聯網資安業者Forescout與JSOF Research聯手,揭露有關TCP/IP堆疊程式庫的一系列漏洞Name:Wreck,其中包含的9個漏洞,幾乎都與處理DNS流量的功能有關,最嚴重者CVSS風險指標為9.8分。含有相關漏洞的程式庫是FreeBSD、Nucleus NET、IPnet,以及NetX。

研究人員指出,採用上述程式庫的裝置至少有100億臺,假設1%裝置含有相關漏洞,存在相關風險的裝置就約有1億個。詳全文

圖片來源:Forescout

 

#漏洞揭露  #瀏覽器 

研究人員接連公開Chrome未修補漏洞的PoC工具

在Pwn2Own 2021漏洞挖掘競賽中,有2名資安研究人員找到Chrome瀏覽器的JavaScript引擎V8的漏洞並通報Google,尚且沒有對外公開細節。但不到1個星期,另一名研究員Rajvardhan Agarwal於4月13日公布概念性驗證(PoC)工具,Google得知後緊急推出修補程式。

事隔一天,又有一名研究人員對於不同的漏洞(Issue 1195777)發布PoC工具,並錄下透過該漏洞開啟記事本軟體的影片。Google和微軟隨後也對於旗下瀏覽器予以修補。詳全文

 

#漏洞攻擊  #即時通訊軟體  #雙因素驗證 

WhatsApp雙因素驗證瑕疵恐讓使用者停用他人帳號

雙因素驗證機制雖然能降低帳號遭不當存取的現象,但流程規畫的考量若是不夠嚴謹,也讓有心人士能毀掉正常使用者的帳號。根據富比士的報導,兩名研究人員Luis Márquez Carpintero與Ernesto Canales Pereña發現,WhatsApp的雙因素認證機制有被濫用的風險,攻擊者只要持續輸入他人的電話號碼與錯誤的驗證碼,再寄送電子郵件告知WhatsApp因手機遺失要求停用帳號,該帳號將會直接被停用,並於30天後移除。

富比士引用ESET資安專家Jake Moore的看法,表示這種情況令人擔憂,因為只要輸入電話號碼,就能確認WhatsApp用戶是否存在,且WhatsApp並未表明要修補這項瑕疵。詳全文

 

#供應鏈攻擊  #行動裝置 

德國手機廠商Gigaset安卓系統更新檔案被植入惡意軟體

今年初台灣大哥大貼牌Amazing A32手機出廠遭植入惡意程式,近日德國手機廠商也出現類似狀況。根據Bleeping Computer、The Hacker News、PortSwigger等新聞媒體報導,德國手機廠商Gigaset近期傳送惡意軟體到用戶手機。而這起事件的原由,Gigaset公布相關調查結果,是負責更新的外部供應商伺服器遭到駭客入侵。詳全文

 

#勒索軟體攻擊  # 資料外洩  #SSL VPN

卡普空公布勒索軟體攻擊事故調查結果

日本電玩遊戲開發商卡普空(Capcom)於2020年11月遭勒索軟體攻擊,部分網路服務斷線。近期卡普空公布調查結果,該公司為了因應武漢肺炎疫情的流量增加,本該汰換的舊VPN裝置被留下來作為緊急備援,其中1臺成為駭客的攻擊目標,於2020年10月遭到攻擊,進而災情擴大到美國及日本使用舊款VPN裝置的分公司,導致資訊外洩。詳全文

 

#加密貨幣  #KYC

虛擬通貨業者強制實施KYC,將於7月實施

根據工商時報經濟日報中央社等媒體報導,為了防範虛擬貨幣平臺成為洗錢的管道,行政院在4月7日發布行政命令,將虛擬通貨平臺納入洗錢防制的範圍,加密貨幣和數位資產市場相關業者,包括顧問行銷公司、平臺和交易所等,自7月1日起須落實認識客戶(KYC),以及實地查核、交易監控及通報等洗錢防制義務。換言之,相關業者必須在該命令生效前,通知所有客戶重新開戶,否則屆時將無法交易,或將加密貨幣匯兌成法定貨幣。

 

 

更多資安動態

Project Zero更新漏洞揭露政策,提供30天修補緩衝期
多家大型IT業者合作夥伴Positive Technologies遭美國制裁
Brave、DuckDuckGo、Vivaldi封鎖FLoC廣告投放技術
ioXt聯盟擴大認證範圍,納入物聯網行動程式與VPN服務


熱門新聞

Advertisement