今年的國際半導體展SEMICON Taiwan 2021,於12月28日至30日舉行,其中資安是相當重要的主題,不只有專屬的展區,同時更重要的是,推動多年的計畫也有了成果,不只供應鏈組成的資安聯盟將要啟動,而由臺灣主導的資安標準SNARF 6506,相關單位也會公布最新的進展。

由於本週正逢歐美各國的聖誕節假期,勒索軟體的攻擊行動並未就此停歇。例如,曾多次鎖定威聯通NAS的勒索軟體eCh0raix(亦稱QNAPCrypt),自上週日(12月19日)開始發動大規模攻擊,直到26日才趨緩。這樣的情況,也讓許多IT人員在闔家團聚的休假期間仍必須設法處理。

【攻擊與威脅】

勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

根據資安新聞網站Bleeping Computer的報導,勒索軟體eCh0raix(亦稱QNAPCrypt)在聖誕節前夕發動的攻擊行動。有許多IT人員自12月20日開始指出,他們維護的威聯通NAS設備接連遭到eCh0raix攻擊,勒索軟體威脅情報網站ID ransomware也觀察到相關態勢,該攻擊行動約從19日開始顯著增加,直到26日才趨緩。有些用戶認為,駭客很可能是透過Photo Station軟體的弱點入侵。

駭客藉由Log4Shell漏洞入侵搭載AMD EPYC處理器的伺服器,進行挖礦攻擊

資安業者The Core Administration指出,他們發現有駭客疑似利用Log4Shell漏洞,鎖定HP 9000 EPYC的伺服器下手(編按:此處的機型有可能是Apollo 9000系列),挖取Raptoreum加密貨幣,自12月9日至17日,駭客約獲得340萬個Raptoreum幣,相當於11萬美元,其中已有150萬個Raptoreum幣透過CoinEx交易所售出。

網路相簿業者Shutterfly遭勒索軟體Conti攻擊

線上相片製作及相簿供應商Shutterfly於12月26日發出公告,指出他們約於2星期前,遭勒索軟體攻擊,旗下的Lifetouch、BorrowLenses、Groovebook等分公司的部分業務,以及一些公司的系統被迫中斷運作,但客戶的信用卡資料與社會安全碼不受影響。根據資安新聞網站Bleeping Computer的報導,攻擊者身分是Conti,Shutterfly約有逾4千臺裝置及120臺VMware ESXi伺服器遭到加密,被勒索數百萬美元。

阿爾巴尼亞驚傳五分之一國民個資外洩

根據美國聯合通訊社(美聯社,AP)的報導,約於2星期前,含有阿爾巴尼亞政府與民間企業員工個資的Excel文件,經由WhatsApp散布到網路上,內容疑似為政府及民間企業自今年1月申報的員工薪資資料,受影響人數約64萬人,占該國總人口22%。對此,阿爾巴尼亞總理Edi Rama召開記者會證實及道歉,並指出此事是內部人員所為,而非遭到網路攻擊所致。

 

【漏洞與修補】

電動汽車充電站存在數個漏洞,攻擊者可用來竄改充電記錄等資料

施耐德電機於12月14日發布資安通告,他們修補旗下的電動車充電系統7個漏洞,當中包含1個重大漏洞與5個高風險漏洞,影響EVlink City、EVlink Parking、EVlink Wallbox等產品線,這些漏洞可被用於跨網站請求偽造(CSRF)、跨網站程式碼(XSS)攻擊,或是透過Web界面進行暴力破解。其中最嚴重的漏洞可被用於伺服器端請求偽造(SSRF)攻擊,CVSS風險層級為9.3分。施耐德電機呼籲用戶要儘速安裝修補軟體。

影音剪輯軟體Davinci Resolve存在可被用於RCE攻擊的漏洞

思科發現影音剪輯軟體DaVinci Resolve的2個重大漏洞,分別是CVE-2021-40417和CVE-2021-40418,CVSS風險層級為9.8分,兩者皆與解碼影片的過程有關。Blackmagic Software推出17.4.3版修補上述漏洞。

玩具電話驚傳藍牙漏洞,攻擊者可竊聽通話內容

資安業者Pen Test Partners提出警告,他們近日發現幼兒玩具電話Fisher Price Chatter,存在嚴重的藍牙漏洞,這款玩具在連線範圍內,會自動連接到發出請求的藍牙裝置,而沒有任何配對的的安全機制,而使得攻擊者得以在該玩具電話的藍牙訊號範圍內,連接自己的設備來竊聽鄰居。再者,對於已連接的智慧型手機,該玩具的聽筒還有可能會自動接聽來電。研究人員認為,玩具業者美泰兒(Mattel)應著手處理相關問題。

 

【資安產業動態】

國際半導體展資安漸成要角,半導體供應鏈資安聯盟與資安標準發展成焦點

半導體業的資安防護議題越來越受重視,今年國際半導體展實體展SEMICON Taiwan 2021於12月28日到30日舉行,今年不僅規畫資安專區,比往年資安主題館規模更擴大,同時在28日將舉行半導體供應鏈資安聯盟啟動儀式,同時公布SEMI半導體資安標準SNARF 6506建立的最新進程。

數位發展部組織法三讀過關,最快2022年第二季掛牌

《數位發展部組織法草案》以及《數位發展部資通安全署組織法草案》立法院院會三讀過關,預計需要半年的時間,進行後續籌備以及相關機關的業務和人力移撥作業,最快2022年六月或七月掛牌上路。根據行政院組織法的規定,確認數位發展部成立後,現有的科技部將調整為「國家科學及技術委員會」。行政院資安處將升格為三級機關的「資通安全署」,主要負責統籌政府整體資安治理架構;另設置新的行政法人「國家資通安全研究院」,扮演國家資安技術智庫幕僚的角色。

科技部資安暨智慧科技研發大樓啟用,設立南部資安新創發展據點

配合六大核心戰略產業推動方案,科技部在臺南沙崙智慧綠能科學城,設立資安暨智慧科技研發大樓,並於12月24日辦理啟用典禮,此大樓規劃為我國資安、智慧與新創產業發展基地,並提供新創業者多元實證場域。

 

【近期資安日報】

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement