網站快取中毒(Web Cache Poisoning)已非新的網站弱點,但這樣的弱點在網站上究竟有多嚴重?有研究人員在一年內進行相關研究後,揭露GitHub、GitLab、HackerOne、Cloudflare等網站所存在的相關漏洞,以及發現使用Apache Traffic Server架設的網站快取伺服器,也存在CVE-2021-27577漏洞。該名研究人員在研究初期很快就發現2個漏洞,意識到網站快取中毒的影響層面極為廣泛,決定著手進一步調查。
另一個引起關注的新聞,則是知名的財務管理公司摩根史坦利(Morgan Stanley),最近針對2016年遭客戶集體訴訟,決定付錢和解。這起事故突顯該公司當時對於所保存的客戶資料,沒有進行妥善的處理,而隨著報廢的伺服器外流。美國貨幣監理局(OCC)也於2020年,祭出6千萬美元的處罰。
最近2年,不時傳出臉書、YouTube、Instagram等社群網站,因用戶張貼的圖片、影片疑似侵犯他人的著作權,而暫停用戶帳號的情況,尤其對於專門經營自媒體的人士而言,一旦辛苦經營帳號被封鎖,很可能影響收入,通常他們也會急於尋求帳號恢復。而有歹徒也看上這點,發送假的侵權通知信件,意圖挾持使用者的社群網站帳號,特別是鎖定Instagram用戶的情況,近期可說是相當頻繁。有資安業者揭露近期攻擊者的手法,過程中他們甚至會點名圖片侵權的內容,讓人以為帳號真的遭到停用。研究人員呼籲,用戶收到這種通知信,應留意是否為真實侵權事件。
【攻擊與威脅】
針對用戶資料外洩事故,摩根史坦利同意支付6千萬美元和解
根據路透社報導,財務管理公司摩根史坦利(Morgan Stanley)於2016年,因關閉美國境內2座財富管理業務部門的資料中心,出售要報廢的伺服器,卻沒有完全清除這些主機上的客戶資料,而遭到近1,500萬名客戶提出集體訴訟,最近該公司同意以6千萬美元和解,受影響的客戶可獲得至少2年的詐欺保險,並可申請最高一萬美元的現金賠償。此案美國貨幣監理局(OCC)也介入調查,並於2020年10月判處摩根史坦利民事罰金6千萬美元。
攻擊者佯稱Instagram用戶版權爭議,意圖騙取帳密
資安業者Sophos針對攻擊者假借Instagram侵權的名義,進行網路釣魚攻擊的行為進行解析,並指出攻擊者已經使用更為幾可亂真的釣魚信,宣稱用戶的貼文遭到舉報有版權爭議,Instagram帳號將會被刪除。一旦使用者根據指示填寫申訴表格,將會被帶往專屬的詐騙網頁,當中含有疑似侵權的Instagram貼文,並要求用戶輸入2次密碼,最終在騙得密碼後,將用戶重新導向Instagram的版權說明網頁。研究人員提醒,要留意這類詐騙與真實侵權通知的不同之處,並使用多因素驗證(2FA)來保護自己的Instagram帳號。
駭客透過網路影音串流服務,針對上百個房地產網站發動攻擊,竊取用戶信用卡資料
資安業者Palo Alto Networks指出,他們發現一起網站側錄攻擊(Web Skimming)行動,鎖定房仲業者而來,攻擊者利用雲端影音代管服務,將惡意程式碼注入網站的影片播放器,一旦網站載入播放器便會遭到感染,超過100個房地產網站受害。研究人員指出,這個雲端影音代管服務提供用戶透過JavaScript指令集,來自訂播放器組態,他們認為攻擊者可能獲得上游JavaScript指令集的存取權限,從而注入惡意指令。
攻擊者利用惡意Telegram安裝程式投放Purple Fox
資安業者Minerva指出,他們看到駭客使用竄改後的即時通訊軟體Telegram安裝程式,在受害電腦植入惡意軟體Purple Fox來進行竊密。過程中攻擊者會停用防毒軟體,以及使用者帳號控制(UAC)功能,以便下一步執行惡意軟體載入器投放Purple Fox。研究人員表示,攻擊者使用多種小工具來進行作業,但這些工具多半難以被防毒軟體識別為有害,而能成功散布Purple Fox。
北韓駭客組織Konni鎖定俄國外交官發動攻擊
資安業者Cluster25指出,他們自2021年8月,追蹤北韓駭客組織Konni的動態,結果發現,近期他們鎖定俄羅斯駐印尼大使館,以祝賀2022年新年到來的名義,發動釣魚郵件攻擊,郵件挾帶具有俄文問候的螢幕保護程式檔案,一旦執行會在安裝螢幕保護程式的同時,植入RAT木馬程式,攻擊者進而控制受害電腦。此外,攻擊者亦假冒俄羅斯駐塞爾維亞大使館,而讓釣魚郵件更難被識破。
美國愛達荷州醫療機構Saltzer Health員工電子郵件信箱遭駭,1.5萬人資料外洩
美國愛達荷州醫療機構Saltzer Health近日向病人發出通知,表明日前有未經授權的人士於2021年5月25日至6月1日,存取員工的電子郵件帳號,而導致病人的部分個資可能遭到洩露,包含姓名、駕照號碼、社會安全碼、財務帳戶資料,但病歷、用藥記錄、保險資料不受影響。根據該機構向美國衛生與公共服務部(HHS)通報的資料,可能約有15,650人會受到波及。
美國電信業者UScellular計費系統遭駭,用戶資料外洩
美國第4大電信業者UScellular,近期向405名客戶發送通知,表明他們在2021年12月13日,發現計費系統疑似遭到未經授權的人士存取,根據調查結果,研判攻擊事件發生在12月13日至19日,攻擊者不只存取計費系統,還有可能也入侵了客戶關係管理系統(CRM),不過,目前沒有跡象顯示,有任何用戶的帳號遭到異常存取。UScellular並未表明是否有員工的帳號遭到波及,但他們重設了門市員工的密碼。
混音創作共享平臺DatPiff驚傳資料外洩,近750萬用戶帳號在暗網流竄
以提供混音創作者分享混音作品的DatPiff網站,傳出用戶資料庫自2020年7月起,流入駭客論壇求售,當中包含7,476,940筆會員資料。這些資料外洩的情況,是到了2021年12月上旬資安研究人員Damien Bancal揭露,上述資料是有人使用網站漏洞掃描工具,破壞包含舊資料庫備份的伺服器取得,這些資料近期被密碼外洩查詢網站Have I Been Pwned收錄,該網站亦建議受影響用戶最好重設密碼來因應。
【漏洞與修補】
研究人員發現70個網站快取中毒漏洞,恐被攻擊者用於DoS或XSS攻擊
資安研究人員Iustin Ladunca公布針對網站快取中毒(Web Cache Poisoning)的漏洞研究,這些漏洞存在於GitHub、GitLab、HackerOne、Cloudflare,以及採用Apache Traffic Server的伺服器。該名研究人員指出,由於現代網站嚴重依賴JavaScript和CSS樣式表,暫存伺服器設置又往往只支援靜態檔案,而使得這些暫存資料成為攻擊者下手的目標,可用於發動阻斷服務(DoS)攻擊,或是跨網站程式碼(XSS)攻擊。他總共因相關研究挖掘70個漏洞,獲得4萬美元獎金。
【資安產業動態】
Google買下以色列資安新創Siemplify
Google於1月4日宣布買下以色列的安全協調、自動化及回應(SOAR)供應商Siemplify,雙方並未公布財務細節,但外傳此交易價值5億美元,該公司也是Google首次買下的以色列資安業者。未來Siemplify將併入Google Cloud安全團隊,而Google也將會持續投資該公司所具有的SOAR能力,並整合到Chronicle安全服務。
搭載微軟安全處理器Pluton的個人電腦首度於CES亮相
聯想在國際消費性電子產品展CES 2022中,發表了ThinkPad Z13和Z16筆記型電腦,這系列產品配置了AMD Ryzen 6000系列處理器,是首款具備Microsoft Pluton安全處理器的個人電腦。
【資安防禦措施】
美國政府要求企業力求客戶資料免於Log4Shell威脅,否則將採取法律行動
美國聯邦貿易委員會(FTC)於1月4日發布公告,要求企業要防範Log4Shell漏洞的相關攻擊,以免客戶資料因此外洩。該單位揚言若是企業沒有採取適當的保護措施,他們可能會採取法律行動。FTC亦建議企業遵循美國網路安全暨基礎架構安全局(CISA)的指引,來緩解Log4Shell漏洞帶來的威脅。
【近期資安日報】
2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法
2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件
2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊
2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當
2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS
2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者
2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex
2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙
2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源
2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚
2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29