立陶宛政府在去年9月,指出華為P40 5G、小米Mi 10T 5G等中國製手機存在資安風險,而後者在臺灣也有上市,是否也有類似的問題?國家通訊傳播委員會(NCC)於1月6日公布了他們的調查結果,指出該手機存在箝制言論自由的功能,會特別比對讓中國感冒的政治關鍵字,而有可能將用戶資料回傳到中國的疑慮。

日前的Log4Shell漏洞攻擊中,資安業者發現有部分攻擊者透過遠端方法呼叫(RMI)協定來觸發漏洞,最近也有資安人員警告,RMI很可能因為IT人員的配置不當,而被駭客用於發動伺服器端請求偽造(SSRF)攻擊。

【攻擊與威脅】

NCC警告小米Mi 10T 5G手機存在過濾中國敏感政治詞彙的功能,恐有回傳資訊疑慮

國家通訊傳播委員會(NCC)於1月6日表示,在臺灣販售的小米Mi 10T 5G手機,經檢測發現手機內建的應用軟體,會對中國敏感政治詞彙進行比對,甚至可能進一步回傳資訊,提醒民眾重視手機的個人隱私保護意識。NCC調查的動機,起因是2021年9月立陶宛政府發現,Xiaomi Mi 10T 5G含有資安風險,NCC隨後委託電信技術中心(TTC)檢測在臺灣銷售的同款手機,發現多款內建的App,會從伺服器下載中國敏感政治關鍵字的比對檔案「MiAdBlacklistConfig」,過濾如「自由西藏」、「臺灣獨立」等關鍵字詞,由於製造商能隨時遠端更新過濾規則,加上中國法規規定企業有配合國家情報的義務,恐導致使用者隱私曝露的隱憂。

Java的RMI機制恐被用於伺服器端請求偽造攻擊

日前駭客鎖定Log4Shell發動攻擊時,有部分攻擊行動駭客改以遠端方法呼叫(RMI)下手。但資安人員認為,駭客在其他針對Java程式語言開發的系統的攻擊過程裡,利用RMI的情況可能也相當嚴重。研究人員Tobias Neitzel指出,他發現能利用RMI來發動伺服器端請求偽造(SSRF)攻擊手法,原因可能是IT人員難以設置能夠保護RMI的組態,其中最常用的RMI服務JMX,很可能成為攻擊者優先鎖定的目標。這名研究人員也提供相關緩解措施。

美國警方警告,停車繳費的QR Code可能會被用於網釣攻擊

資安業者Bitdefender指出,近日美國德州首府奧斯汀的警方提出警告,表示他們發現有人在停車計費器上,張貼QR Code,意圖引誘想要透過手機付款的車主,在冒牌的付款網站上付錢,進而騙取車主的信用卡資料。奧斯汀市在接獲通報後進行調查,發現超過100個計費器被貼上此種QR Code,呼籲民眾要加以留意。

駭客在網釣攻擊中運用Google Docs的評論功能

郵件安全業者Avanan指出,他們自2021年6月開始提出警告,攻擊者可透過Google Docs或其他同廠牌的網頁應用程式,將用戶引導到惡意網站,隨後在12月他們發現實際的攻擊行動中出現新的手法,攻擊者利用Google Docs的評論功能,透過Google分享通知信件的機制,來散布惡意軟體。由於這種手法信件是以Google的名義寄出,受害者難以察覺異狀而容易上當。

美國縣政府驚傳遭到勒索軟體攻擊,辦公大樓被迫關閉

美國地方政府因遭到勒索軟體攻擊影響運作,再度出現事故。美國墨西哥州伯納利歐縣政府在1月5日發布新聞稿,表明他們遭到勒索軟體攻擊,導致當地多個市政府的大樓約自當日的午夜,被迫關閉至今。根據該縣網頁公告,6日、7日這些大樓仍尚未恢復運作。縣政府表示,本次攻擊影響到縣府員工存取政府資料庫的權限,但多數公共安全服務如:911、警長辦公室、消防隊不受影響,可以正常接聽電話及因應緊急事故。

勒索軟體攻擊學校網站服務業者FinalSite,數千個學校網站關閉

為115個國家、逾8,000所各級學校提供網站代管服務的業者FinalSite,自1月4日起,開始有學校的網站無法使用,該公司當時宣稱,主要是名為Composer的內容管理系統出錯,直到1月6日才證實是遭到勒索軟體攻擊。許多學校抱怨,該公司提供的緊急通知系統無法使用,使得他們無法提供師生有關氣候或是武漢肺炎的訊息。

化學材料業者Element Solutions疑似遭到勒索軟體攻擊

美國佛羅里達州化學公司Element Solutions於1月5日,表示他們遭到網路攻擊,不明人士入侵某些IT系統,該公司察覺後已阻止入侵行為,並進行系統的復原。至於攻擊事故的細節,資安新聞網站Security Week指出,可能是勒索軟體攻擊,但目前沒有駭客組織表明是他們所為。

美國網路藥局Ravkoo遭駭,建置於AWS的處方入口網站資料外洩

美國網路藥局Ravkoo於1月3日發出公告,表示他們架設在AWS的處方入口網站,疑似在2021年9月27日遭到異常存取,部分處方箋和個人健康資料可能被洩露,可能有10.5萬人受到影響。他們也將此起事故向美國聯邦調查局(FBI)通報,但強調目前尚未發現相關資料遭到濫用的情形。

預約管理服務FlexBooker資料外洩,近400萬用戶受到波及

駭客組織Uawrongteam近日宣稱,他們在2021年聖誕節假期前,入侵了美國預約管理平臺FlexBooker,並竊走含有上千萬行客戶資料的表單。而FlexBooker也向用戶發出資料外洩通知,表明攻擊者存取了他們存放在AWS伺服器上的資料,但信用卡或支付卡資料沒有受到影響。根據密碼外洩查詢網站Have I Been Pwned取得的資料,共有3,756,794筆資料外洩。

網路服務訂閱支付管理公司SlimPay曝露1,200萬客戶金融資料,遭罰18萬歐元

網路定期支付服務業者SlimPay遭到法國監管機構CNIL處罰,原因是該公司將敏感的客戶資料,存放在可公開存取的伺服器長達5年。這些資料原本是用於內部研究,但該公司為了讓反詐欺的系統能運作更符合期待,使用了客戶資料庫裡的真實資料,而在2016年7月專案結束時,將相關資料遺留在公開的伺服器,直到2020年2月才察覺此事並補救。 根據SlimPay的資安通報裡,上述資料波及1,200萬人,包含了住址、電子郵件信箱、電話,以及銀行相關資料。

 

【資安防禦措施】

NCC公布110年智慧型手機內建軟體的資安檢測初步結果

針對行動裝置業者是否積極強化手機內部軟體安全,國家通訊傳播委員會(NCC)近日公布110年度的檢測結果,他們分別在上半年與下半年,挑選109年下半5款熱銷中國手機,以及110年上半熱銷的10款手機,根據《智慧型手機系統內建軟體資安測試規範》進行測試。結果發現,5款熱銷中國手機在完成改善程序後通過檢測,而110年上半熱銷的手機裡,僅有iPhone 12通過檢測,其餘9款手機尚待廠商改善後進行複測。

 

【近期資安日報】

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement