DevOps業者CircleCI甫於昨日(1月16日)公布資安事故的調查結果,現在有雲端服務業者證實他們也受到這起事故波及,但初步認定僅有部分使用者有可能曝險。

被用於管理CentOS伺服器的元件Control Web Panel(CWP),在10月底被修補的漏洞CVE-2022-44877近期出現了攻擊行動,使得研究人員呼籲IT人員應儘速套用新版程式。

主機板廠商調整的UEFI配置也有可能造成風險。有研究人員發現微星在一年前更動主機板韌體的預設配置,有可能導致近300款主機板的UEFI安全開機機制失效。

【攻擊與威脅】

雲端資安業者Datadog金鑰因CircleCI遭駭而曝光

1月16日雲端資安業者Datadog發布資安通告,表示他們在1月4日接獲DevOps業者CircleCI的通知,有可能受到正在調查的資安事件波及。Datadog經過調查後,確認其中一個RPM GPG私鑰及密碼儲存在CircleCI,但沒有證據顯示遭到攻擊者濫用的跡象。為求謹慎,Datadog公布受影響的私錀細節,並發布新的RPM套件版本Linux代理程式。

該公司表示,即使攻擊者取得了上述金鑰並製作惡意的RPM套件,還是難以攻擊他們的使用者。此外,該公司亦強調,在Windows、macOS、Debian、Ubuntu等作業系統執行代理程式的用戶,或是採用容器版的代理程式,不受此次資安事故影響。

CentOS主機網頁管理介面元件CWP已於10月修補的漏洞,已出現攻擊行動

資安業者Gais Cyber Security指出,他們向CentOS主機網頁管理介面元件Control Web Panel(CWP)通報的漏洞CVE-2022-44877,自1月3日發布概念性驗證(PoC)攻擊影片,3天後就有駭客存取尚未修補的系統,並掃描網路上含有相同弱點的伺服器。這項漏洞研究人員於2022年7月通報,CWP於10月下旬發布0.9.8.1147版修補。

另一家資安業者CloudSEK對於上述PoC進行分析,並透過物聯網搜尋引擎Shodan,找到逾43萬個可透過網際網路存取的CWP系統。Shadowserver基金會則發現已有相關攻擊行動,駭客利用漏洞來啟動反向Shell,或是在CWP主機上植入Python的pty模組。而對於攻擊行動出現的地區,資安業者GreyNoise發現美國、泰國、荷蘭等地的攻擊行動。

客戶關係管理平臺SugarCRM重大漏洞已被用於攻擊行動

資安業者Censys提出警告,他們自12月30日發現有人流傳針對客戶關係管理平臺SugarCRM發動攻擊的手法,當中利用零時差漏洞CVE-2023-22952,破壞伺服器主機並植入以PHP製作的Web Shell,SugarCRM於1月5日證實此事,並於11日發布12.0.2版和11.0.5版修補漏洞。

Censys表示,截至1月11日,他們在網際網路上發現3,066個SugarCRM系統,其中有354個遭到破壞,又以美國有90臺受害伺服器最多。

加拿大酒品零售商LCBO網站遭駭,駭客側錄信用卡資料

加拿大酒品零售商LCBO於1月11日發布資安通告,表示未經授權的人士在他們的網站上,植入了惡意程式碼,藉此在結帳的過程竊取客戶的資料,他們初步判定1月5日至10日購物的客戶資料可能已經外洩,這些資料包括客戶姓名、電子郵件信箱、送貨地址、信用卡資料,以及LCBO網站帳密。不過,使用行動裝置App或Vintages Shop Online網站購物的客戶不受影響。

資安新聞網站Bleeping Computer發現,駭客在LCBO網站植入的側錄程式碼(Web Skimmer),偽裝成網站分析工具Google Analytics來規避偵測。LCBO已將網站與行動應用程式下線,並著手進行調查。

駭客論壇疑出現臺灣軍情機構資料,10 GB要價15萬美元

根據三立新聞自由時報等媒體報導,有人在駭客論壇BreachForums上,聲稱握有臺灣軍情單位的機密資料,目前針對一份10 GB檔案開價15萬美元,並表示手上還有更多資料求售。對此,法務部調查局表示正在處理,不便透露細節。

三立新聞引述前情報人員的說法,這些資料疑似與線民有關,包含化名、駐地、任務等基本資料,亦有家庭背景、工作條件、人格特質、政治考核,很可能是確認線民是否適任擔任相關工作的報告,但只要是涉及線民的資料,一旦曝光,後果會很嚴重。

自由時報引述資深軍事迷馬蘭的看法,指出這些資料有可能是中國間諜在臺工作的資料,也有可能還有其他人員或機構遭到滲透。

 

【漏洞與修補】

微星疑似在韌體更新的過程中調整UEFI安全開機設定而曝險,影響近300款主機板

資安研究員Dawid Potocki指出,微星有超過290款主機板會受到預設的UEFI安全開機設定影響,有可能使得這些電腦執行不安全的作業系統而曝險,且無論是支援Intel或AMD處理器的微星主機板都可能曝險。

研究人員發現,微星在2022年1月18日發布的韌體7C02v3C,更動了主機板預設的安全開機配置,將Image Execution Policy的設定調整為總是執行(Always Execute),在這種情況下,將允許透過任意ROM映像檔、外接式裝置,以及電腦內部裝置開機。他呼籲使用者應調整相關配置為拒絕執行,才能發揮UEFI安全開機的作用。

Chrome瀏覽器漏洞SymStealer恐導致機敏資料曝險

資安業者Imperva針對Google修補的瀏覽器漏洞SymStealer(CVE-2022-3656)揭露相關細節,這項漏洞與符號連結(Symlink)機制有關,曾於2022年10月的Chrome 107、11月的Chrome 108二度修補。

一旦攻擊者利用這項漏洞,就有可能濫用符號連結功能來繞過檔案系統的限制,來對於未經授權的檔案操作。研究人員指出,攻擊者可引誘使用者下載ZIP檔案,內有指向電腦重要檔案或資料夾的符號連結,進而竊取加密貨幣錢包的帳密或是金鑰。

 

【其他資安新聞】

防毒業者Avast提供「變臉」勒索軟體解密金鑰

惡意PyPI套件攻擊行動Lolipop散布竊密軟體

德國大學遭到勒索軟體Vice Society洩露資料

研究人員發布Zoho重大漏洞的概念性攻擊程式

 

近期資安日報

【2023年1月16日】 WordPress網站外掛程式存在SQL注入漏洞、網路監控系統Cacti漏洞被用於植入惡意軟體

【2023年1月13日】 SAP修補旗下產品多項重大漏洞、逾百款西門子PLC設備韌體存在漏洞而可能曝險

【2023年1月12日】 惡意軟體Gootkit假冒VLC影音播放器攻擊醫療機構、駭客組織Dark Pink鎖定亞太地區政府與軍事單位

熱門新聞

Advertisement