【資安日報】2022年12月6日，AMI的BMC漏洞波及逾15個廠牌的伺服器、電信業者與業務流程外包公司遭鎖定

又有基版管理控制器（BMC）出現重大漏洞，而使得被控管的伺服器曝露危險。但值得留意的是，這次被發現漏洞的BMC系統MegaRAC，被用於至少15個廠牌的伺服器上，導致這些漏洞的影響範圍變得相當廣泛。

駭客鎖定電信業者與業務流程外包公司發動攻擊，竟是為了進行SIM卡挾持（SIM Swapping）攻擊做準備！資安業者CrowdStrike揭露駭客組織Scattered Spider的攻擊行動，這些事故的入侵手法不盡相同，但目的都是為了從電信公司偷取相關資料。

我們之前報導針對Windows電腦的自帶驅動程式（BYOD）攻擊手法，如今類似的手段駭客也拿來攻擊Linux電腦！研究人員揭露駭客攜帶PRoot工具的攻擊行動，目的是將目標擴及多個版本的Linux。

【攻擊與威脅】

電信業者與業務流程外包公司遭鎖定，目的是竊取SIM挾持攻擊所需的電信業者權限

資安業者CrowdStrike揭露自今年6月出現的一連串攻擊行動，駭客組織Scattered Spider鎖定電信業者、業務流程外包公司（BPO）發動攻擊，利用多種社交工程手法，像是假冒IT人員打電話給公司員工，或是利用Telegram或簡訊將使用者導向含有公司商標的冒牌網站，進而取得目標網路的初始網路存取權限，駭客在其中兩起攻擊行動裡，分別透過竊得的帳密存取目標組織的Azure虛擬機器，以及利用應用程式伺服器ForgeRock OpenAM的漏洞CVE-2021-35464站穩腳根。然後這些駭客透過AnyDesk、Teamviewer、Logmein等20種遠端監控與管理系統（RMM），持續在目標組織活動。

而對於這些駭客的目的，研究人員指出，他們最終的目的是破壞電信網路，竊取使用者的資料，以便用於SIM卡挾持（SIM Swapping）攻擊。

駭客自帶系統管理工具PRoot攻擊Linux主機

資安業者Sysdig揭露針對Linux主機的挖礦攻擊行動，過程中駭客自行攜帶名為PRoot的開源系統管理工具，於目標電腦上部署獨立的根檔案系統，然後植入挖礦軟體XMRig，以及masscan、nmap等工具。這種濫用PRoot的做法，駭客的目的是因應不同Linux版本（如：Ubuntu、RHEL、Alpine等）之間的差異，而能將攻擊範圍延伸到多種Linux作業系統，此外，PRoot亦具備模擬機制，也能讓惡意軟體在不同架構的電腦上執行。

攻擊者自備PRoot的做法，研究人員將其稱為「自帶檔案系統（Bring Your Own Filesystem，BYOF）」攻擊。

ZIP與RAR壓縮檔已成為駭客主要用來埋藏惡意軟體的管道

HP資安研究團隊發布了2022年第3季的威脅分析報告，當中提及駭客散布惡意軟體的主要管道，已從Office惡意檔案轉向ZIP、RAR等壓縮檔案，在他們偵測到的惡意軟體攻擊裡，駭客總共濫用了150種檔案格式，但有44%藉由壓縮檔案傳送，其次則有32%是Office檔案。相較於2022年第2季，使用壓縮檔的比例多出11%，亦較第1季多出25%。

研究人員認為，這樣的散布惡意軟體管道變化，與壓縮檔容易加密而難以被資安系統解析，以及駭客日益偏好以指令碼為基礎（Script-based）的惡意程式有關。

5萬個網站遭到竄改，駭客注入世界盃足球賽下注內容來擾亂SEO結果

資安業者Sucuri揭露推廣中國賭博、體育投注網站的攻擊行動，駭客假借世界盃足球賽的名義，感染50,172個網站，將其用於提升自己網站搜尋引擎最佳化（SEO）排名，駭客的工具主要針對百度、搜狗、奇虎360的網路爬蟲而來，一旦遇到這類偵測工具便會顯示與博奕有關的中文內容，然而若是使用者藉用網頁瀏覽器卻會看到未被竄改的網頁。研究人員指出，這類攻擊主要針對簡體中文網頁而來，但也有許多西方網站受到波及。

【漏洞與修補】

American Megatrends的BMC軟體出現重大漏洞，超過15個廠牌的伺服器曝險

資安業者Eclypsium於12月5日，揭露American Megatrends（AMI）基版管理控制器（BMC）解決方案MegaRAC的漏洞CVE-2022-40259、CVE-2022-40242、CVE-2022-2827，攻擊者一旦利用這些漏洞，就有可能在特定條件下執行程式碼、繞過身分驗證，以及進行枚舉用戶。其中最嚴重的漏洞是CVE-2022-40259，CVSS風險層級為9.9分，為利用Redfish API執行任意程式碼的重大漏洞。

由於該BMC解決方案被運用範圍相當廣泛，至少包含AMD、Dell EMC、技嘉、雲達等15個廠牌的伺服器，研究人員除向American Megatrends通報，也對這些伺服器業者發布相關通知。