Log4Shell漏洞仍是今日新聞的焦點,但最引起關注的事件,並非是攻擊態勢的變化,而是政府介入漏洞通報的現象。最早發現漏洞的阿里巴巴因為沒有優先向中國政府通報,而傳出被中國工業和信息化部(工信部)處罰,中止威脅情資合作夥伴的身分半年。在此之前,中國已經明目張膽立法要求當地業者,對於自家產品漏洞必須先通報政府,但這起事件代表了他們打算進一步掌握所有中國研究員發現的漏洞。
而這起事件所帶來的隱憂,是中國政府拿到這些漏洞資訊後,很可能會轉手交給他們資助的駭客,用於攻擊敵對國家,而這樣的顧慮,勢必影響該國與其他國家之間的資安研究交流。此外,中國政府藉由立法和對通報者施壓的做法,脅迫資安人員把發現的漏洞交給政府,會不會有其他國家跟進,影響漏洞資訊的流通?這些都是日後值得觀察的重點。
而在Log4Shell的威脅態勢之外,微軟協作平臺Teams的數項漏洞也相當值得關注,因為這些漏洞影響廣大的個人電腦和安卓手機用戶,有可能洩露IP位址或是被用於發送詐騙URL攻擊。但目前為止,微軟只修補部分漏洞,使得研究人員呼籲用戶要小心防範。
另一個也相當值得留意的漏洞,存在於部分交易所加密貨幣錢包會用到的「幣安閾值簽章程式庫(tss-lib)」,由於這樣的漏洞涉及密鑰保護機制「Shamir的秘密共享(Shamir's Secret Sharing,SSS)」,研究人員也特別發布ZKDocs技術文件,讓其他資安人員也能投入相關研究。
【攻擊與威脅】
阿里巴巴因未先通報中國政府Log4Shell漏洞,遭到當局處罰
引發全球關注的Log4Shell漏洞CVE-2021-44228,最初由阿里巴巴於11月底向Apache基金會通報,並於12月9日公布細節,但最近卻傳出該公司因為沒有先向中國政府通報而遭到處罰。根據南華早報於12月22日的報導指出,中國工業和信息化部(工信部)將暫停阿里雲的網路安全威脅情報夥伴身分6個月,理由是該公司在發現Log4Shell漏洞後,沒有立即向電信主管部門報告,而未盡協助工信部的責任。裁罰期滿後,將根據阿里雲改善的情況恢復合作夥伴身分。此舉恐衝擊阿里雲的業務,且難以評估具體損失的情形。
南華早報指出,中國今年的確通過一項法案,要求當地業者對於自家產品的漏洞,必須第一個讓中國政府知悉,但對於其他軟體的漏洞,該法則沒有強制要求,此舉將影響中國資安界的漏洞通報機制。
五眼聯盟共同對Log4Shell漏洞提出警告
美國網路安全和基礎設施安全局(CISA)、美國聯邦調查局(FBI)、美國國家安全局(NSA)、澳洲網路安全中心(ACSC)、加拿大網絡安全中心(CCCS)、紐西蘭電腦應急響應小組(CERT NZ)、紐西蘭國家網絡安全中心(NZ NCSC)、英國國家網路安全中心(NCSC-UK)於12月22日,聯合發出Apache Log4j漏洞的網路安全咨詢指南,指出攻擊者正在積極利用Log4Shell漏洞,用戶應儘速清點存在漏洞的Log4j,並採取緩解措施。
惡意軟體Formbook繞過已修補MSHTML漏洞發動攻擊
資安業者Sophos發現,微軟於9月修補的MSHTML重大漏洞CVE-2021-40444,在10月24日至25日,有攻擊者改造了概念性驗證工具CAB-less 40444,並繞過修補程式發動攻擊36個小時,過程中利用格式錯誤的RAR附件,發動釣魚郵件攻擊,這個附件內含程式碼和Word文件,一旦受害者開啟文件,就會連線託管惡意JavaScript程式碼的伺服器,下載惡意軟體Formbook。但為何攻擊行動只持續36個小時?研究人員指出,原因和這個RAR附件只能透過新版WinrRAR開啟,而無法對舊版軟體用戶發動攻擊。
【漏洞與修補】
美國政府推出Log4Shell自動掃描框架
針對可能受到Log4Shell漏洞影響的應用程式,美國網路安全暨基礎架構安全局於12月22日發布Log4j-scanner漏洞掃描框架,這項工具以資安業者FullHunt開發的工具為基礎製作,能檢查網路應用程式中,存在CVE-2021-44228與CVE-2021-45046漏洞的弱點,並能模糊測試超過60種HTTP請求標頭,以及HTTP POST資料參數、JSON資料參數等,且能掃描是否有惡意酬載繞過網頁應用程式防火牆(WAF)的能力。
協作平臺Teams的漏洞恐洩露用戶IP位址,或被用於詐騙連結攻擊協作平臺
資安業者Positive Security揭露4個微軟協作平臺Teams的漏洞,這些漏洞影響個人電腦及安卓行動裝置用戶,其中,存在於電腦版應用程式的漏洞,攻擊者可用於伺服器端偽造請求(SSRF)攻擊、URL預覽的欺騙攻擊;而安卓App的漏洞,可能會洩露使用者的IP位址,或是被攻擊者用來發動阻斷服務(DoS)攻擊。研究人員指出,目前微軟只修補了IP位址外洩的漏洞,但他們認為針對安卓裝置的DoS攻擊恐怕難以防範。
加密貨幣錢包簽章程式庫漏洞恐洩露金鑰
資安業者Trail of Bits揭露加密貨幣錢包簽章程式庫的漏洞,影響幣安閾值簽章程式庫(tss-lib),幣安、Clover Network、Keep Network等6個加密貨幣交易平臺受到影響。攻擊者一旦利用這種漏洞,只要在密錀產生或重新共享的協議開頭,配置惡意ID,就有可能竊取他人的密錀,或是導致節點無法使用。研究人員通報後,多數交易平臺已修補上述漏洞。
微軟應用程式代管服務驚傳洩露客戶原始碼的弱點
網站安全業者Wiz揭露應用程式代管服務Azure App Service的漏洞NotLegit,這項漏洞曝露部署於Azure的內部Git管理程式碼系統,波及以PHP、Python、Ruby、Node編寫的應用程式。研究人員指出,這項漏洞從2017年9月存在至今,可能已遭到利用,他們於今年10月7日通報微軟,漏洞已修補,微軟也在12月7日開始,向用戶發出資安通告來說明此漏洞。
【資安防禦措施】
美國國防部漏洞懸賞計畫擴及Log4Shell漏洞
美國國防部日前宣布Hack DHS漏洞懸賞計畫,召集資安人員來找出該單位的漏洞,最近因應Log4Shell威脅,宣布要將該漏洞納入懸賞範圍。該單位表示,他們在美國網路安全暨基礎架構安全局(CISA)發布緊急命令後,決定擴大Hack DHS的適用範圍,來因應這些以遭利用的Log4j漏洞。
【近期資安日報】
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20