Log4Shell漏洞的相關事故,以及新漏洞與攻擊手法的揭露,幾乎占滿了前幾個星期的資安新聞版面,直到了這個星期才明顯減少。雖然本週有新的加密貨幣交易所事故揭露,但這起事件發生在Log4Shell漏洞細節公布後的2至3天,值得留意的是,針對存在漏洞的系統,攻擊發生時業者還沒推出修補程式,而來不及防堵,即使該交易所在修補程式推出後就馬上更新,還是阻止不了駭客的攻擊行動。

但相較於Log4Shell,竊密軟體RedLine的攻擊行動也相當值得留意。我們先前曾報導,暗網市集2easy提供入侵組織初始存取管道的掮客(IAB),上架販售這種透過竊密軟體在受害電腦偷到的各式帳密,其中最多賣家使用的就是RedLine。而這週有資安業者揭露較為詳細的攻擊過程──他們看到的攻擊行動裡,駭客藉著RedLine,從員工遠距辦公的電腦,竊得儲存於網頁瀏覽器的VPN帳密,再用於攻擊企業。這種情況使得研究人員呼籲使用者,要重視瀏覽器儲存帳密可能存在的危機。

而在本週的攻擊行動之外,與操作科技(OT)有關的系統,所存在的漏洞,相關單位也要留意公告並儘速修補。這週研究人員公布的漏洞,不光是存在於SCADA、醫療器材,還有電動車所使用的充電站,業者都針對重大漏洞予以修補。比較特別的是,就連兒童的玩具電話,竟也曝露於藍牙配對不安全的危機之中。

【攻擊與威脅】

勒索軟體透過Log4Shell漏洞攻擊越南大型加密貨幣交易所

越南大型加密貨幣交易所ONUS傳出遭到勒索軟體攻擊,駭客於12月11日至13日之間,鎖定存在Log4Shell漏洞的付款系統Cyclos下手,這套付款系統含有近200萬筆客戶資料,包含了「了解你的客戶(E-KYC)」資料與密碼。駭客向ONUS勒索500萬美元遭拒,將竊得的資料於駭客論壇求售。

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司各自使用10個以上有漏洞的版本

開放原始碼軟體資安廠商WhiteSource代理商叡揚資訊,針對多個產業用戶進行調查,結果發現許多產業都無法倖免Log4Shell漏洞的風險。但其中,金融業所要處理的Log4j漏洞管理作業可能最繁重,因為他們的金融業用戶中,使用有漏洞Log4j版本超過10個的公司,竟高達50%。

竊密軟體RedLine鎖定網頁瀏覽器儲存的帳密下手,攻擊者藉此得到存取組織內部網路的管道

資安業者AhnLab指出,他們看到竊密軟體RedLine的攻擊行動,在其中一起事故裡,在家工作的員工透過公司提供的電腦,藉由VPN連線存取公司資源。被鎖定的員工使用網頁瀏覽器來儲存VPN帳密,且電腦遭到RedLine感染,攻擊者竊得該名員工的VPN帳密後,在3個月後用來攻擊這家公司。研究人員警告,瀏覽器儲存帳密的功能極為便利,但可能因電腦感染惡意軟體而外洩,使用者最好透過啟用雙因素驗證的方式,來保護自己各式網路服務的帳號。

密碼管理系統LastPass驚傳遭到帳號填充攻擊

根據資安新聞網站Bleeping Computer的報導,近期有許多密碼管理系統LastPass的用戶指出,他們收到有人異常存取自己帳號的通知。對此,母公司LogMeIn表示,這起事故攻擊者疑似是透過帳號填充(Credential Stuffing)的手法,企圖掌控用戶的帳號。資安研究人員Bob Diachenko也發現有數千個被竊密軟體RedLine偷到的LastPass帳密。但對於業者和資安人員公布的資料,許多受害者指出,他們的LastPass帳號使用獨立的密碼,且與資安人員找到的資料無關。究竟他們的帳密如何被外洩?有待進一步釐清。

電信業者T-Mobile證實用戶遭到SIM卡挾持攻擊

大型電信業者T-Mobile近期對於部分用戶發出聲明,指出某些帳號出現未經授權的攻擊行動,攻擊者可能會用來檢視客戶專用網路資訊(CPNI),或是進行SIM卡挾持(SIM Swapping)攻擊,該公司宣稱,只有一些資訊遭到曝露。根據資安新聞網站Bleeping Computer的確認,T-Mobile才坦承他們通知的客戶,大多是SIM卡挾持攻擊的受害者。

勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

根據資安新聞網站Bleeping Computer的報導,勒索軟體eCh0raix(亦稱QNAPCrypt)在聖誕節前夕發動的攻擊行動。有許多IT人員自12月20日開始指出,他們維護的威聯通NAS設備接連遭到eCh0raix攻擊,勒索軟體威脅情報網站ID ransomware也觀察到相關態勢,該攻擊行動約從19日開始顯著增加,直到26日才趨緩。有些用戶認為,駭客很可能是透過Photo Station軟體的弱點入侵。

惡意軟體鎖定HPE伺服器管理元件iLO,刪除硬碟內容

威脅情報業者Amnpardaz發現名為iLOBleed的Rootkit,鎖定HPE伺服器的管理元件Integrated Lights-Out(iLO)而來,這起攻擊行動約從2020年初開始,攻擊者透過假的iLO更新名義,引誘管理者安裝iLOBleed。由於iLO具備自己的處理器、儲存裝置、記憶體、網路卡,而能讓管理員遠端控管伺服器,研究人員指出,有攻擊者藉著iLOBleed藏匿於iLO,在受害組織重新安裝伺服器作業系統後仍能繼續進行活動。至於攻擊者的身分和目的,目前仍不明朗,Amnpardaz只有看到攻擊者用來刪除伺服器硬碟資料的情況。

美國物流龍頭D.W. Morgan雲端配置不當,曝露財星500大客戶資料

架站教學網站Website Planet指出,他們發現美國大型物流業者D.W. Morgan使用的AWS S3儲存桶,不需身分驗證就能存取,該儲存桶含有超過100 GB資料,至少有250萬個檔案,曝露員工個資及客戶資料,包含思科、愛立信等財星500大及全球500大企業客戶受到波及。D.W. Morgan獲報後數天已採取保護措施。

阿爾巴尼亞驚傳五分之一國民個資外洩

根據美國聯合通訊社(美聯社,AP)的報導,約於2星期前,含有阿爾巴尼亞政府與民間企業員工個資的Excel文件,經由WhatsApp散布到網路上,內容疑似為政府及民間企業自今年1月申報的員工薪資資料,受影響人數約64萬人,占該國總人口22%。對此,阿爾巴尼亞總理Edi Rama召開記者會證實及道歉,並指出此事是內部人員所為,而非遭到網路攻擊所致。

攻擊者濫用MSBuild發動寄生攻擊,執行滲透測試工具Cobalt Strike

Morphus實驗室研究人員Renato Marinho指出,他在1週內觀察到2個濫用MSBuild的惡意程式碼攻擊行動,攻擊者疑似利用遠端桌面協定(RDP)來存取受害電腦,並經由服務控制管理器(Service Control Manager,SCM)進行橫向移動,然後濫用微軟的應用程式編譯引擎Microsoft Build Engine(MSBuild),來執行滲透測試工具Cobalt Strike Beacon,攻擊者使用MSBuild的目的,在於編譯並執行特定的C#程式碼,再解譯組裝為Cobalt Strike,且執行Beacon。為防範相關攻擊,研究人員呼籲組織應利用應用程式權限控管的方式,來防堵這種攻擊手段。

中國駭客組織BlackTech使用Flagpro惡意軟體,攻擊日本組織

日本大型IT業者NTT的資安團隊發現,中國駭客組織BlackTech約自2020年10月開始,攻擊日本國防科技、媒體、電信業者,並使用名為Flagpro的惡意軟體,進行網路偵察、探測環境,然後下載第2階段的惡意軟體並執行。研究人員發現,攻擊者的程式碼不只能在日文環境運作,亦可在中文及英文環境執行,他們研判攻擊者也鎖定臺灣或其他英語系國家。

 

【漏洞與修補】

HPE、IBM、Nvidia、VMware說明產品受Log4Shell影響的情形

Log4Shell漏洞涉及範圍甚廣,許多IT業者也發出公告,表明旗下產品受影響的範圍。其中,Nvidia旗下受影響的產品,包含了程式設計模型CUDA 、遙測代理程式NetQ,以及人工智慧系統DGX Systems;HPE修補超過60項產品,包含融合Hyper Converged、3PAR、Ezmeral,以及超級電腦軟體Cray System等;IBM修補旗下100多項軟體,包含DB2、Websphere、Tivoli、SPSS等。VMware則指出vCenter Server及vCenter Cloud Gateway受到影響,並提供相關緩解措施。

Apache修補第5個Log4Shell漏洞

Apache基金會於12月28日,再度針對Log4j發布2.17.1版,修補CVSS風險層級為6.6分的RCE漏洞CVE-2021-44832。這項漏洞與Log4j缺乏對於JNDI存取的額外控制有關,一旦攻擊者取得能修改記錄事件的組態,可藉由JDBCAppender惡意配置,以參照JNDI的URI來執行遠端程式碼。而這項漏洞已是自12月9日開始,第5個被發現的Log4Shell漏洞。

電動汽車充電站存在數個漏洞,攻擊者可用來竄改充電記錄等資料

施耐德電機於12月14日發布資安通告,他們修補旗下的電動車充電系統7個漏洞,當中包含1個重大漏洞與5個高風險漏洞,影響EVlink City、EVlink Parking、EVlink Wallbox等產品線,這些漏洞可被用於跨網站請求偽造(CSRF)、跨網站程式碼(XSS)攻擊,或是透過Web界面進行暴力破解。其中最嚴重的漏洞可被用於伺服器端請求偽造(SSRF)攻擊,CVSS風險層級為9.3分。施耐德電機呼籲用戶要儘速安裝修補軟體。

SCADA系統驚傳重大漏洞,恐波多種關鍵基礎設施

美國網路安全暨基礎架構安全局(CISA)於12月21日發出警告,工業自動化系統業者mySCADA所推出的myPRO工控系統中,存在多個漏洞,該業者已於11月初完成修補。其中最嚴重的漏洞達到10分,主要與作業系統的命令裡可能藉由特殊字元觸發有關。CISA警告,這些受影響的系統存在於全球各地,運用於能源、食品、農業、水資源、交通運輸等行業,大部分受影響的客戶在歐洲。

注射幫浦系統存在多項漏洞,恐被用於竄改配置與記錄資料

資安業者McAfee與Culinda聯手,於2021年1月發現B. Braun Infusomat注射幫浦系統裡的數個漏洞,並向該廠商通報,漏洞亦獲得修補,該業者遂於8月下旬公布細節。其中最為嚴重的是CVE-2021-33885,CVSS風險層級為9.7分。但McAfee最近再度提出警告,表示這些漏洞很有可能被攻擊者串連利用,加上醫療院所往往無法即時修補,而有可能影響病人的生命安全。

玩具電話驚傳藍牙漏洞,攻擊者可竊聽通話內容

資安業者Pen Test Partners提出警告,他們近日發現幼兒玩具電話Fisher Price Chatter,存在嚴重的藍牙漏洞,這款玩具在連線範圍內,會自動連接到發出請求的藍牙裝置,而沒有任何配對的的安全機制,而使得攻擊者得以在該玩具電話的藍牙訊號範圍內,連接自己的設備來竊聽鄰居。再者,對於已連接的智慧型手機,該玩具的聽筒還有可能會自動接聽來電。研究人員認為,玩具業者美泰兒(Mattel)應著手處理相關問題。

 

【資安產業動態】

國際半導體展資安漸成要角,半導體供應鏈資安聯盟與資安標準發展成焦點

半導體業的資安防護議題越來越受重視,今年國際半導體展實體展SEMICON Taiwan 2021於12月28日到30日舉行,今年不僅規畫資安專區,比往年資安主題館規模更擴大,同時在28日將舉行半導體供應鏈資安聯盟啟動儀式,同時公布SEMI半導體資安標準SNARF 6506建立的最新進程。

金管會強制要求上市櫃公司設資安長正式實施,上百家企業需於2022年底完成設置

在12月28日,金管會正式發布修正「公開發行公司建立內部控制制度處理準則」,明訂符合條件的上市櫃公司需指派資訊安全長,應設置資訊安全專責主管及資訊安全人員,以利進行差異化管理。分級標準有三種,第一級的條件是資本額100億元以上,前一年底屬臺灣50指數成分公司,以及電商或人力銀行業,將於2022年底設置完成。至於其他上市櫃公司屬於第二級與第三級,虧錢公司採鼓勵設置方式,其他公司則要在2023年底設置資安專責單位。臺灣符合第一級規模的企業,估計有上百家,屆時將要指派資訊安全長。

數位發展部組織法三讀過關,最快2022年第二季掛牌

《數位發展部組織法草案》以及《數位發展部資通安全署組織法草案》立法院院會三讀過關,預計需要半年的時間,進行後續籌備以及相關機關的業務和人力移撥作業,最快2022年六月或七月掛牌上路。根據行政院組織法的規定,確認數位發展部成立後,現有的科技部將調整為「國家科學及技術委員會」。行政院資安處將升格為三級機關的「資通安全署」,主要負責統籌政府整體資安治理架構;另設置新的行政法人「國家資通安全研究院」,扮演國家資安技術智庫幕僚的角色。

2022年RSA大會確定延期至6月

往年都在年初舉行的全球資安盛會之一RSA大會,原訂2022年於2月7日中旬舉行,受到全球疫情的持續影響,主辦單位宣布將延遲至2022年6月6日至9日。


熱門新聞

Advertisement