在本日的資安新聞中,近日波及各類應用系統的Log4Shell漏洞,許多IT人員可能找尋存在相關漏洞的Log4j而疲於奔命。針對這種現象,近期多個資安專家也疾呼,組織應重視「軟體材料清單(SBOM)」的維護,美國網路安全暨基礎設施安全局(CISA)也趁機舉辦SBOM-a-Rama研討會,來推廣這項工作。這樣的元件管理概念確實很理想,但也有資安人員認為,SBOM只是管理這些元件的第一步。

日前有不少資安專家提出警告,做為入侵的管道,許多攻擊者購買能存取目標組織內部網路的帳號及密碼,但究竟這些帳密從那裡取得?有資安業者揭露近期受到買家歡迎的暗網市集2easy,但值得留意的是,駭客不若以往以量取勝,一次上架數百萬、數千萬用戶的資料(資料的有效性也難以判斷),而是以竊密軟體從受害電腦裡,從瀏覽器等應用程式偷取各式的帳密,還能藉由市集提供的平臺讓買家挑選,而且還很便宜(低於5美元),這樣的態勢,讓買家很有可能以極為低廉的成本,買到受害者的信用卡資料、已儲存應用系統的帳密等可被用於攻擊行動的資料,而成為大型攻擊行動的入侵管道。

遊戲公司Ubisoft傳出因為遭到網路攻擊,旗下熱門遊戲《舞力全開(Just Dance)》的玩家資料外洩。但這次事故值得留意的原因,在於該公司仍在找尋配置不當的問題來源,為何會如此?疑似與該公司1年半以來已有不少員工出走有關。雖然配置不當造成的原因仍不得而知,但在此起事故發生之前,已有前員工透露,他離職後曾因為公司裡沒有人知道如何處理某些問題,而被請回去協助的情形。即使組織有了各式的規範和要求,但人力資源的管理不當,也可能衍生資安問題。

【攻擊與威脅】

暗網市集2easy兜售60萬臺電腦遭竊的帳密

暗網情報業者Kela指出,自2018年開始運作的暗網市集2easy,自去年開始快速成長,近期更受到許多網路犯罪者的歡迎,原因是該市集提供的價格低廉,是俄羅斯市場行情的三分之一,且該市集的使用者操作介面功能強大,可讓買家查看竊密軟體感染的電腦。研究人員表示,他們看到該市集半數的賣家以RedLine竊密,但也有賣家搭配Raccoon Stealer、Vidar、AZORult等其他竊密軟體使用。Kela指出,初期存取攻擊目標管道的市場正在成長,且與勒索軟體攻擊直接相關,因此這樣的市集動態值得關注。

80萬WordPress網站曝露於SEO外掛程式重大漏洞風險

資安業者Automattic指出,名為All in One SEO的WordPress網站外掛程式,開發者日前修補了極為容易被利用的漏洞CVE-2021-25036、CVE-2021-25037,攻擊者可利用前者提升權限,而後者則能用於發動SQL注入攻擊。但修補程式推出2週後,研究人員發現仍有超過82萬個WordPress網站使用舊版外掛程式,而曝露於上述漏洞的風險之中。Automattic表示,攻擊者只要取得低權限用戶的帳戶(如訂閱者),就能利用,而使得這2個漏洞極為危險。

殭屍網路Abcbot鎖定中國雲端業者代管的Linux伺服器

資安業者Cado Security指出,殭屍網路Abcbot在近期的攻擊行動中,鎖定的目標為阿里、百度、騰訊、華為等中國雲端服務業者所代管的Linux虛擬機器,這些主機往往使用弱密碼,或是執行缺乏修補的應用程式,而成為容易被入侵的目標。一旦Abcbot成功入侵後,便會部署Bash程式碼,並停用SELinux防護機制,為攻擊者建立後門,接著會尋找其他能被感染的主機。研究人員認為,攻擊者會鎖定中國雲端業者代管的Linux虛擬機器下手,主要是這些業者普遍缺乏相關的異常警示機制,而讓攻擊行動較為容易進行。

騙錢安卓App暗中訂閱高價服務,已有50萬人上當

資安業Pradeo者在12月16日指出,他們發現Google Play市集上名為Color Message的安卓應用程式,內含騙錢軟體(Fleeceware)Joker,會模擬用戶點選螢幕上的內容,且會攔截簡訊,然後擅自替受害者訂閱高額付費服務,為了讓受害者不易刪除,安裝完成後還會隱藏圖示,在Google獲報下架前已有50萬人安裝。研究人員表示,Joker的開發者刻意隱藏其行蹤而難以發現,且最近2年出現在數百個應用程式裡,他們呼籲用戶即便是從市集下載App,最好從用戶評價等方面來進行評估。

遊戲公司Ubisoft驚傳遭到攻擊,舞力全開玩家資料遭到外流

遊戲公司Ubisoft於12月21日發出公告指出,他們的IT基礎設施遭到網路攻擊,攻擊者是針對旗下的熱門遊戲《舞力全開(Just Dance)》而來。這起事件發生的原因,該公司認為是配置不當造成,而他們還在找尋有問題的配置並儘速修復,但已經導致未經授權的人士能夠用來複製部分玩家的資料。Ubisoft並未透露受害人數的規模,但表示已發出通知給受影響的玩家。ZDNet認為,這起配置不當很可能與近日Unisoft爆發離職潮有關。

勒索軟體Pysa攻擊大幅增加

針對近期的勒索軟體威脅態勢,資安業者NCC Group提出他們的觀察,在2021年11月,勒索軟體Pysa(亦稱Mespinoza)的攻擊行動大幅增加50%,首度超過Conti,而與LockBit成為這個月最嚴重的2大勒索軟體威脅。再者,該公司亦提及,工業領域仍是駭客偏好的目標,但鎖定汽車、房屋、娛樂、零售業的攻擊也有所增加,超過科技產業。

針對不付錢的受害者,勒索軟體駭客出新招:出賣受害組織的入侵方法

資安業者NCC Group公布對於2021年11月的勒索軟體威脅態勢分析,當中提及最值得觀察的勒索軟體是Everest,雖然對於不願付贖金的受害組織,他們也要脅會外洩機密資料,但實際上,該組織從11月開始,開始出售受害組織IT基礎設施的存取帳密。這些受害組織包含了阿根廷政府、秘魯財政部、巴西警方等。研究人員認為,這樣的手法可能會在2022年有更多駭客組織仿效。

 

【漏洞與修補】

新的行動網路漏洞影響2G至5G 網路

紐約大學阿布扎比分校的研究人員指出,他們發現1項影響自2G時代就存在的行動網路漏洞,攻擊者可藉由低成本的設備,發動阻斷服務(DoS)與中間人(MitM)攻擊。這項漏洞與基地臺之間的電話與資料傳輸過程有關,研究人員表示,雖然這些訊號在交換的過程中受到加密保護,但內容並沒有進行驗證,而使得攻擊者能強制設備將訊號傳送到惡意基地臺,且因為來源基地臺無法對量測報告出現的錯誤進行處理,而使得這種攻擊很可能不會被發現。

臉書修補曝露網頁管理員身分的漏洞

年僅19歲的尼泊爾資安研究人員Sudip Shah,發現安卓版臉書App中,存在不安全的直接物件引用(IDOR)漏洞,恐導致網頁管理員的身分曝光。這項漏洞影響啟用直播影片的臉書網頁,研究人員認為,大多數臉書的頁面可能都具備相關功能而受到影響。臉書10月5日獲報後於同月21日修補,並在11月5日給予這名研究人員4,725美元的抓漏獎勵。

 

【資安防禦措施】

Log4Shell漏洞突顯軟體材料清單議題

引起全球震憾的Log4Shell漏洞,因為Log4j存在於許多軟體專案裡,而使得IT人員可能疲於奔命找出需要修補的元件。研究機構Forrester指出,這起漏洞事件突顯軟體材料清單(SBOM)的重要性,許多資安人員表明,精準的SBOM能有助於組織快速找出這種無所不在的元件,並予以修補。適逢美國網路安全暨基礎設施安全局(CISA)的推廣SBOM活動,他們認為組織應趁著本次事件,儘速為軟體專案導入SBOM。

資安業者提供免費的Log4Shell漏洞偵測工具

因Log4j存在於許多軟體套件裡,使得重大漏洞Log4Shell的修補作業極為困難。對此,開源軟體管理解決方案業者WhiteSource自12月15日宣布,提供免費的Log4Shell漏洞CLI檢測工具Log4jDetect,目前已更新至1.2.1版,IT人員可從GitHub下載這項工具,來找出開發專案中存在的CVE-2021-44228、CVE-2021-45046、CVE-2021-45105,以及CVE-2021-4104等Log4j漏洞,該檢測工具也會呈現直接與間接的相依性,並顯示在Maven、Gradle等套件管理器裡,是否有修補完成的套件能夠更新。

 

【近期資安日報】

2021年12月21日

2021年12月20日

2021年12月17日

熱門新聞

Advertisement