漏洞利用的攻擊新趨勢中,微軟9月修補一項存在於Windows網際網路金鑰交換機制的漏洞,有資安業者發現已有攻擊行動;Redis伺服器在2月修補的一項重大漏洞,如今正遭惡意軟體Redigo鎖定。

在漏洞揭露方面,有兩項研究受關注,首先是針對UEFI韌體使用的OpenSSL加密程式庫元件而來的調查,結果Dell、HP、聯想電腦中被發現仍採老舊OpenSSL版本;還有多款汽車品牌採用的Sirius XM衛星廣播服務,被研究人員發現存在一個身分認證漏洞,使得這些汽車將可被遠端控制。關於本週出現的修補漏洞消息,我們看到宏碁將修補一項可竄改NVRAM記憶體參數、停用Secure Boot的UEFI漏洞,以及Java框架Quarkus修補一項RCE漏洞等。

在國際威脅態勢方面,一些新的發現值得關注,例如,有網路犯罪者兜售存在漏洞的Fortinet VPN設備的網路位址清單,有資安業者揭露Docker Hub上被上傳25萬多個暗藏惡意程式的Linux映像檔;以及商業間諜軟體活動如今更為擴散的態勢,本週被公開的是西班牙業者Variston IT的攻擊框架細節。此外,這段期間適逢世界盃足球賽,已出現假借賽事名義的網路攻擊頻傳狀況,另外也有攻擊者利用抖音的特效濾鏡影片,藉此散布竊密程式WASP的攻擊行動的狀況。

國際上資安事件消息也不少,包括密碼管理解決方案供應商LastPass有再次遇駭的消息,WhatsApp傳出近5億筆用戶資料被兜售,遭遇勒索軟體攻擊相關的消息本周亦有不少。

在國內,本週國內有兩家上市公司發布資安事件重大訊息,雄獅旅遊、麗臺科技均說明遭網路攻擊,分別提醒消費者注意詐騙,以及說明是遭遇勒索軟體攻擊。此外,投資詐騙簡訊橫行,近日刑事局逮捕一嫌犯,並指出該集團在10個月內發送達6700萬封詐騙簡訊,不法獲利高達1億元。

 

【11月28日】Windows網際網路金鑰交換機制漏洞被用於攻擊、Docker Hub存在逾1,600個易受攻擊的映像檔

存在於多個版本Windows系統的網際網路金鑰交換機制(IKE)重大漏洞CVE-2022-34721,微軟雖然在9月公告修補,但近期有研究人員發現,駭客將其用於攻擊行動,鎖定約1千臺電腦下手。

為了加速應用程式的開發與部署,容器成為當代IT顯學,很多人都會到提供眾多Docker映像檔的Docker Hub來下載,然而,這當中也蘊藏不小的危機!根據資安業者的調查,當中上架的映像檔,有多達1,600個易受攻擊的映像檔,其中最普遍的是遭人埋入挖礦軟體,寫死帳密的情況也相當值得留意。

Chrome瀏覽器107更新版發布,當中修補零時差漏洞CVE-2022-4135。新加坡電腦緊急應變中心(SingCERT)指出,其他採用相同排版引擎的瀏覽器也可能存在相同風險。

【11月29日】Dell、HP、聯想設備韌體使用老舊版本的OpenSSL、推特網站漏洞恐有更多資料外流

電腦UEFI韌體出現漏洞的情況相當值得留意,其中,有研究人員發現Dell、HP、聯想等多家廠牌使用的韌體裡,竟使用了大量舊版OpenSSL加密程式庫,其中最舊的是2009年推出的程式庫元件。研究人員指出,這樣的問題牽涉到採用第三方元件的軟體供應鏈生態,而難以修復。

推特今年7月傳出540萬用戶資料流入駭客論壇的事故,原因是駭客利用該社群網站的漏洞發動攻擊得逞;但資安新聞網站Bleeping Computer指出,該漏洞造成資料外洩的情況遠比當時公布的嚴重許多,根據研究人員的最新發現,有人因此竊得約1,700萬筆資料。

【11月30日】駭客透過抖音短片散布竊密程式WASP、未修補已知漏洞的Fortinet資安設備網址清單遭到兜售

鎖定開發人員並濫用NPM、PyPI套件庫散布惡意軟體的攻擊行動,之前傳出不少事故,但最近研究人員發現極為不同的新手法──駭客透過抖音短片來做為誘餌,並表示他們擁有解除濾鏡效果的工具,一旦觀眾依照指示下載,駭客將從PyPI套件庫取得竊密軟體,並於受害電腦部署。

今年10月Fortinet修補的身分驗證繞過漏洞CVE-2022-40684,也出現有人將尚未修補的系統名單進行彙整,並在網路犯罪圈進行兜售的情況!而駭客收集該廠牌有漏洞設備的網址供他人進一步運用的情況,已非首例,2020年就有人收集近5萬筆Fortinet SSL VPN的IP位址求售

世界盃足球賽相關的網路攻擊行動也相當值得留意,我們先前報導過針對球迷與球隊的網釣攻擊,但最近有研究人員發現,駭客不止發動釣魚郵件攻擊,還推出假的球場通行證與加密貨幣,並向主辦國卡達的企業發動DDoS攻擊。

【12月1日】駭客組織Lilac Wolverine發動大規模禮物卡攻擊、中國駭客利用USB裝置攻擊菲律賓組織

有商業郵件詐騙(BEC)的駭客組織攻擊目標轉移到個人!奈及利亞駭客組織Lilac Wolverine挾持使用者在AOL、雅虎的電子郵件信箱,然後對通訊錄裡的聯絡人發動相關攻擊,要求收信人協助購買禮物卡行騙。這類攻擊往往採取動之以情的攻勢,例如表示自己因COVID-19居隔而無法處理相關事務,使得受害者降低戒心而協助購買禮物卡點數上當。

利用USB裝置的攻擊行動再度出現,而值得相關機構提高警覺。中國駭客UNC4191鎖定菲律賓組織發動攻擊,研究人員表示,雖然他們也有看到針對美國、東南亞其他國家的攻擊行動,但最終目標都是位於菲律賓的電腦。

台達電、Festo、Codesys近日修補了旗下的工控裝置漏洞,這些漏洞有些能被用於命令注入攻擊,有的能繞過身分驗證,管理者應儘速修補。

【12月2日】Redis伺服器漏洞遭到惡意軟體Redigo鎖定、刑事局破獲投資詐騙簡訊嫌犯

在專門針對Redis伺服器的攻擊行動裡,駭客看準管理者可能不會盡快安裝漏洞修補程式的情況,而利用2月揭露的重大漏洞CVE-2022-0543來入侵這類系統。但駭客的目的為何?研究人員猜測應該是將其用於挖礦或發動DDoS攻擊。

我國簡訊詐騙攻擊頻傳,但攻擊者竟為了增加成功行騙的機率,竟透過人工智慧語音誘使民眾上當。內政部刑事警察局近日破獲投資簡訊的詐騙攻擊,駭客就先針對目標撥打電話,然後透過AI分析後再決定是否向其發送簡訊。

提供廣播服務的業者也可能成為駭客入侵汽車的管道!有研究人員發現超過十個廠牌的車輛可被以相同手法遠端存取,經調查後是廣播服務業者的系統存在漏洞所致。

熱門新聞

Advertisement