Log4Shell漏洞的風波已經延燒了半個月,但除了Log4j的漏洞之外,Apache基金會近期修補HTTP伺服器的漏洞相當值得注意,因為,這些漏洞極為嚴重,其中1個可被用來接管網站伺服器,恐影響近3億網站,而使得美國政府特別發出資安通報。稍微值得慶幸的是,Apache HTTP伺服器軟體並未採用Log4j,而沒有受到Log4Shell影響。

而在Log4Shell的態勢而言,日前Google對於熱門Java套件庫Maven Central進行調查,近2萬個套件曝露此漏洞風險。該套件庫的管理者Sonatype,最近也對於漏洞揭露後的下載情況提供分析,臺灣竟是全球最為嚴重的地區,下載有漏洞的Log4j超過8成,且有日益攀升的現象!這樣的態勢相當值得我們留意。

除了上述的漏洞,使得IT人員疲於奔命修補,網路釣魚也出現新的攻擊手法而值得留意。今天是聖誕夜,對於外國人而言,年關將近,很多人可能正在考慮在過完聖誕節要轉換跑道,但網釣攻擊也搭上這一波風潮,以解僱員工的名義來散布惡意軟體,還祝開啟惡意文件的受害者聖誕快樂。這種搭上時事的誘餌,也很容易讓人上當。

【攻擊與威脅】

臺灣曝露Log4Shell風險的比例全球之冠,下載存在漏洞的Log4j超過8成,且比例有變多的趨勢

同時管理知名Java套件庫Maven Central的資安業者Sonatype,近期公布自12月10日Log4Shell漏洞細節公開後,開發人員從該套件庫下載Log4j的情形。其中,他們特別提及臺灣的情況最為嚴重,且有惡化的趨勢。我們於23日向代理商群鉅整合資安確認時,臺灣下載存在漏洞的Log4j版本,比例已達80.03%,24日上午已增至85%,遠高於全球平均(43%)。該公司也呼籲開發人員,應留意仍有不少存在漏洞的Log4j被下載使用的現象。

勒索軟體TellYouThePass利用Log4Shell漏洞攻擊歐美等多個地區,臺灣也有受害者

繼勒索軟體TellYouThePass被發現疑似針對中國發動攻擊之後,資安業者Sophos指出,這個勒索軟體的攻擊行動已經蔓延到歐洲和美國,而另一家資安業者Curated Intelligence也有類似觀察,他們在12月13日至17日,觀察到臺灣、香港、日本、白俄羅斯也有組織成為受害者。

Log4Shell漏洞可被用於攻擊多種車用系統

趨勢科技指出,許多嵌入式設備可能會採用Apache Log4j軟體,而汽車在採用大量電子控制設備後,也很可能導入含有漏洞的Log4j元件,而被用於Log4Shell攻擊。他們針對以Java建置的車用系統,包含電動汽車所使用的車輛電力網(V2G)、可做為車鑰匙或控制車輛的智慧型手機App,以及車用資訊娛樂系統(IVI)等進行研究,發現都有可能存在Log4Shell漏洞而用於發動攻擊,例如打開車門、操控空調等,進而影響車輛安全。該公司認為,可能還有其他汽車採用的電子元件也可能會受到Log4Shell波及。

非Java程式語言開發的應用系統也可能受到Log4Shell波及

引起全球關注的Log4Shell漏洞,使得許多Java開發人員戒慎恐懼,找尋應用系統裡存在漏洞的Log4j並採取緩解措施。但資安業者WhiteSource指出,並非只有Java程式才會曝露Log4Shell漏洞,研究人員舉出Ruby程式語言為例,開發者可使用JRuby來使用Java套件,並透過Log4j來記錄事件。他們在JRuby應用程式進行概念性驗證攻擊,並指出Log4Shell漏洞也可能會存在於其他基於JVM執行的程式語言,如Jython,Node-java,Jgo等。

惡意軟體Dridex以解僱郵件來發動網釣攻擊

研究人員TheAnalyst指出,近期有一波散布惡意軟體Dridex的網路釣魚攻擊,是佯稱要解僱員工的名義,宣稱僱庸關係將在12月24日結束,並引誘收信者開啟附件裡,以密碼保護的惡意Excel檔案。一旦對方不慎開啟附件,便會看到模糊的表單,攻擊者宣稱要啟用巨集才能正常閱讀。當收信人依照指示啟用巨集,就會出現彈出視窗顯示「聖誕節快樂!」,但在此同時,惡意巨集從Discord下載Dridex並植入受害電腦,進而安裝其他惡意軟體,或是竊取各式帳密。

盜版蜘蛛人電影被用於散布挖礦軟體

近期上映的《蜘蛛人:無家日》相當熱門,但資安業者ReasonLabs指出,有人藉由提供盜版影片的名義,以發布下載影片的BT種子(Torrent),來散布挖礦軟體。研究人員指出,一旦使用者下載了挖礦程式,很可能電腦就暗中執行這個軟體,並占用大量運算資源。

勒索軟體AvosLocker透過網管工具散布

資安業者Sophos指出,他們近期觀察到勒索軟體AvosLocker的攻擊行動,駭客利用遠端桌面軟體AnyDesk來存取Windows受害電腦,然後透過軟體派送工具PDQ Deploy散布惡意批次檔,並在電腦重新啟動為安全模式的狀態之前執行,批次檔的功能為修改登錄檔停用防毒軟體,以便植入AvosLocker。研究人員指出,由於攻擊者強制電腦切換到安全模式,使得防毒軟體無法正常運作,受害者難以因應攻擊行動。

 

【漏洞與修補】

Apache HTTP伺服器存在重大漏洞,恐被用於挾持攻擊

Apache修補HTTP伺服器的2個重大漏洞CVE-2021-44790、CVE-2021-44224,CVSS風險層級分別為9.8分與8.2分,美國網路安全暨基礎架構安全局(CISA)提出警告,其中一個攻擊者可用於遠端控制網站伺服器。資安業者Netcraft指出,Apache HTTP伺服器系統雖然沒有使用Log4j,而不受Log4Shell影響,但全球有近3億個網站使用該軟體架設,上述2個漏洞未來很有可能被用於攻擊行動。

WordPress代管網站存在漏洞,恐導致子網域遭到挾持

資安研究人員Ahmed Elmalky發現,代管WordPress網站的業者Flywheel存在漏洞,攻擊者可藉由部署惡意程式碼,模仿合法網站,並挾持子網域。研究人員進行概念性驗證攻擊,花了15美元訂閱Flywheel服務,建立1個網站並利用上述的漏洞,連結到易受攻擊的子網域,隨後便接管了網站。

蘋果macOS出現可繞過Gatekeeper防護機制的漏洞

蘋果於9月修補macOS漏洞CVE-2021-30853,這項漏洞能讓攻擊者使用沒有簽章或沒有公證的應用程式,繞過該作業系統的保護機制Gatekeeper,並用來下載與部署第2階段的惡意酬載。發現該漏洞的資安業者Box Offensive指出,攻擊者若是使用「shebang (!#)」開頭的指令碼來執行應用程式,就有可能觸發這項漏洞。

 

【資安防禦措施】

協助上市櫃公司資安規畫,證交所制定「上市上櫃公司資通安全管控指引」

在金管會強化上市公司資通安全管理政策之下,今年有多項法令增訂陸續實施,包括要求揭露重大資安事件,在年報說明資安治理作為,明年還有設置資安長等要求,另一方面,為了幫助上市公司在資安推動上能有效規畫,在12月23日,臺灣證券交易所新發布「上市上櫃公司資通安全管控指引」,當中列出37項重點,希望企業能夠有所依循,並且衡量產業特性、規模大小及資安風險以適度採行。另外,也鼓勵上市公司免費申請成為TWCERT/CC會員,獲得資安事件因應相關諮詢。指引下載頁面:A045 上市上櫃公司資通安全管控指引

Google將全面實施開發者開發者身分驗證,並於明年推出Data safety section

近日Google在臺說明Google Play平臺安全性,除增進消費者基本安全觀念,還有幾項焦點,例如,今年底前,將要求所有開發者提供真實姓名、地址,以及驗證電郵與電話.及啟用2FA,並提及明年4月要推出的Data safety section,將要求開發者填寫資料安全表格。另外,針對現下資安業者對外揭露發現惡意App並通報Google,有媒體報導表示要用戶儘速檢查,但Google表示,事實上,將App下架同時,Google Play Protect就會自動從用戶手機移除App,危害性低的也會關閉所有權限。

 

【近期資安日報】

2021年12月23日

2021年12月22日

2021年12月21日


熱門新聞

Advertisement