【資安日報】2022年3月28日，Okta坦承延誤通報Lapsus$攻擊事件、Honda汽車的遙控器訊號可被複製並用來發動車輛

上週勒索軟體駭客組織Lapsus$接連聲稱入侵了微軟、Okta兩家公司，並聲稱取得後者的超級使用者（Super User）權限，可用來更動用戶的密碼。在Okta坦承確有此事並揭露事故可能發生的原因後，在這個週末又有新的進展。該公司表示，他們約於2個月前就發現相關帳號遭到入侵的情況，但僅是通報受害者所屬的公司，沒有進一步追查而導致其他用戶受害。

駭客規避偵測的手法千奇百怪，近年來因為新興程式語言的成熟，也有攻擊者開始透過這種程式語言打造惡意軟體，而使得資安系統難以識別。在今天的資安新聞中，使用勒索軟體Hive的駭客，開始改用Rust程式語言開發Linux版勒索軟體。

在汽車的資訊安全中，控制車門開關的遙控器，其發送到車輛的訊號若是固定、可被預測，有可能會被攻擊者複製再利用。有研究人員揭露本田（Honda）汽車的相關漏洞，並指出該廠牌大部分車款都可能受到影響。

【攻擊與威脅】

針對遭到駭客組織Lapsus$攻擊，Okta坦承延遲揭露逾2個月，影響處理時效

身分驗證管理解決方案業者Okta於1月遭到Lapsus$駭客組織入侵，駭客於2個月後公布入侵成功的螢幕截圖，並得到該公司證實確有此事，有366個客戶（約占該公司客戶總數2.5%）受到波及。Okta於3月25日再度對於這起攻擊事故進行說明，表示他們早於1月20日就得知，他們委外的客服公司Sitel，有客服工程師Okta帳號的密碼疑遭竄改，他們當下即重設該帳號的密碼並通報Sitel。

雖然宣稱客戶沒有遭駭，但Okta坦承處理方式有所疏忽，當時僅預防相關帳號遭到接管，沒有考慮到對其他Okta用戶的影響，並未更積極主導相關的調查。而在Lapsus$公布相關資料後，Okta股價一路從170美元跌到138美元，跌幅達20%。

勒索軟體Hive改以Rust程式語言開發Linux版本，意圖規避資安系統檢測

勒索軟體駭客Hive自去年10月開始，將攻擊範圍延伸到Linux與FreeBSD主機上，如今他們模仿其他組織的做法，更換開發勒索軟體的程式語言，而使得資安系統更難察覺異狀。資安業者Group-IB研究員Rivitna指出，他們看到新的Linux版Hive勒索軟體，駭客使用Rust進行開發，而非像過往使用Go語言（Golang），鎖定VMware ESXi而來。

研究人員指出，駭客這麼做是參考另一個組織Black Cat（亦稱Alphv）的手法，理由是使用Rust開發的軟體執行效率更好，且對於研究人員而言，反組譯變得更為困難。

中國駭客組織Muhstik利用Redis漏洞，投放惡意軟體組成殭屍網路

繼先前的Log4Shell漏洞後，駭客看上Linux伺服器應用程式漏洞，來組織殭屍網路的情況，最近開始鎖定記憶體資料庫Redis下手。資安業者Juniper Networks指出，他們發現中國駭客組織Muhstik，約自3月11日鎖定甫被修補的Redis漏洞CVE-2022-0543，鎖定執行Debian與Ubuntu作業系統的Linux主機下手，攻擊者利用這項漏洞，可遠端執行任意的Lua程式碼，進而在受害主機上進行沙箱逃逸，並植入殭屍網路機器人（Bot）。

對此，Debian和Canonical都發布了資安通告，後者指出該漏洞的CVSS風險層級達10分。

【漏洞與威脅】

Chrome零時差漏洞疑遭濫用，Google緊急修補

又有Chrome的零時差漏洞疑似出現於攻擊行動的情況。Google於3月25日發布電腦版Chrome 99.0.4844.84，該公司強調此版本更新的內容是修補CVE-2022-1096，該漏洞涉及此瀏覽器的網頁渲染引擎V8，為類型混淆漏洞，影響Windows、macOS、Linux等三大電腦作業系統的Chrome，且其他採用Chromium為基礎開發的瀏覽器，如Edge、Brave、Vivaldi、Opera，也可能會受到影響，Google指出他們得知該漏洞已經出現攻擊行動。微軟、Brave已於3月26日發布新版瀏覽器修補上述漏洞。而這是Google今年對該瀏覽器修補的第2個零時差漏洞。

Honda汽車遙控鎖存在漏洞，駭客恐利用重放攻擊啟動引擎

汽車的遙控器雖然方便，然而其訊號很可能極為容易遭到複製，而能讓攻擊者來打開車門。研究人員Blake Berry與Ayyappan Rajesh聯手，揭露他們在本田（Honda）旗下的汽車發現的漏洞CVE-2022-27254，這項漏洞可被在車輛附近的駭客用來發動中間人攻擊（MitM），攔截從鑰匙遙控器發出的訊號並予以複製，之後再發送訊號開啟車門，攻擊者甚至藉此能發動引擎。研究人員指出，經過他們的驗證，這項漏洞至少影響該公司旗下2016年式至2020年式的Civic，他們研判很可能影響大部分本田旗下車款，並擴及該公司的豪華品牌Acura產品線。研究人員對該公司提出呼籲，應透過發送不斷更新的通關密語（Rolling Code，亦稱Hopping Code）來防範相關攻擊。針對上述的研究成果，本田向資安新聞網站Bleeping Computer表示，這樣的手法目前沒有遭到利用的跡象，他們尚未對於漏洞進行驗證，亦不打算針對已售出車輛召回。

多款手機即時通訊軟體存在控制字元RTLO漏洞，恐遭駭客用於網釣攻擊

又是標記文字排列方向的Unicode字元所衍生的漏洞，而且波及Meta旗下多款手機版即時通訊App，以及蘋果iOS內建的iMessage。資安研究團隊Sick.Codes指出，他們發現一組能濫用特定Unicode字元的漏洞（CVE-2020-20093 至CVE-2020-20096），攻擊者可利用這些漏洞搭配由右向左書寫（Right To Left Override，RTLO）的控制字元，進而欺騙使用者網址的內容，這項漏洞影響iOS與Android行動裝置上的多款即時通訊軟體，包含Instagram、iMessage、WhatsApp、Signal、Facebook Messenger等。

研究人員指出，類似的RTLO漏洞，很有可能也存在於其他即時通訊軟體和收信軟體，美國國家標準暨技術研究院（NIST）正在調查相關漏洞的影響範圍。

Sophos防火牆設備存在身分驗證繞過漏洞，恐被攻擊者用於執行任意程式碼

網頁管理介面的漏洞，很可能被用於攻擊防火牆等資安系統。資安業者Sophos最近修補旗下防火牆設備的漏洞CVE-2022-1040，攻擊者可用於繞過使用者入口網站與網頁管理介面，進而遠端執行任意程式碼（RCE），該漏洞存在於Sophos Firewall 18.5 MR3（18.5.3）以前的版本，CVSS風險層級為9.8分。該業者已修補相關漏洞，並呼籲用戶應避免使用者入口網站與網頁管理介面暴露於WAN，並採用VPN或是雲端管理平臺Sophos Central進行管理。

針對此事Sophos也指出，在該品牌防火牆預設的WAN，無法存取上述的網頁管理介面，此外，他們也建議用戶啟用雙因素驗證（MFA），來增加安全性。