DevOps業者CircleCI甫於昨日(1月16日)公布資安事故的調查結果,現在有雲端服務業者證實他們也受到這起事故波及,但初步認定僅有部分使用者有可能曝險。
被用於管理CentOS伺服器的元件Control Web Panel(CWP),在10月底被修補的漏洞CVE-2022-44877近期出現了攻擊行動,使得研究人員呼籲IT人員應儘速套用新版程式。
主機板廠商調整的UEFI配置也有可能造成風險。有研究人員發現微星在一年前更動主機板韌體的預設配置,有可能導致近300款主機板的UEFI安全開機機制失效。
【攻擊與威脅】
雲端資安業者Datadog金鑰因CircleCI遭駭而曝光
1月16日雲端資安業者Datadog發布資安通告,表示他們在1月4日接獲DevOps業者CircleCI的通知,有可能受到正在調查的資安事件波及。Datadog經過調查後,確認其中一個RPM GPG私鑰及密碼儲存在CircleCI,但沒有證據顯示遭到攻擊者濫用的跡象。為求謹慎,Datadog公布受影響的私錀細節,並發布新的RPM套件版本Linux代理程式。
該公司表示,即使攻擊者取得了上述金鑰並製作惡意的RPM套件,還是難以攻擊他們的使用者。此外,該公司亦強調,在Windows、macOS、Debian、Ubuntu等作業系統執行代理程式的用戶,或是採用容器版的代理程式,不受此次資安事故影響。
CentOS主機網頁管理介面元件CWP已於10月修補的漏洞,已出現攻擊行動
資安業者Gais Cyber Security指出,他們向CentOS主機網頁管理介面元件Control Web Panel(CWP)通報的漏洞CVE-2022-44877,自1月3日發布概念性驗證(PoC)攻擊影片,3天後就有駭客存取尚未修補的系統,並掃描網路上含有相同弱點的伺服器。這項漏洞研究人員於2022年7月通報,CWP於10月下旬發布0.9.8.1147版修補。
另一家資安業者CloudSEK對於上述PoC進行分析,並透過物聯網搜尋引擎Shodan,找到逾43萬個可透過網際網路存取的CWP系統。Shadowserver基金會則發現已有相關攻擊行動,駭客利用漏洞來啟動反向Shell,或是在CWP主機上植入Python的pty模組。而對於攻擊行動出現的地區,資安業者GreyNoise發現美國、泰國、荷蘭等地的攻擊行動。
客戶關係管理平臺SugarCRM重大漏洞已被用於攻擊行動
資安業者Censys提出警告,他們自12月30日發現有人流傳針對客戶關係管理平臺SugarCRM發動攻擊的手法,當中利用零時差漏洞CVE-2023-22952,破壞伺服器主機並植入以PHP製作的Web Shell,SugarCRM於1月5日證實此事,並於11日發布12.0.2版和11.0.5版修補漏洞。
Censys表示,截至1月11日,他們在網際網路上發現3,066個SugarCRM系統,其中有354個遭到破壞,又以美國有90臺受害伺服器最多。
加拿大酒品零售商LCBO網站遭駭,駭客側錄信用卡資料
加拿大酒品零售商LCBO於1月11日發布資安通告,表示未經授權的人士在他們的網站上,植入了惡意程式碼,藉此在結帳的過程竊取客戶的資料,他們初步判定1月5日至10日購物的客戶資料可能已經外洩,這些資料包括客戶姓名、電子郵件信箱、送貨地址、信用卡資料,以及LCBO網站帳密。不過,使用行動裝置App或Vintages Shop Online網站購物的客戶不受影響。
資安新聞網站Bleeping Computer發現,駭客在LCBO網站植入的側錄程式碼(Web Skimmer),偽裝成網站分析工具Google Analytics來規避偵測。LCBO已將網站與行動應用程式下線,並著手進行調查。
駭客論壇疑出現臺灣軍情機構資料,10 GB要價15萬美元
根據三立新聞、自由時報等媒體報導,有人在駭客論壇BreachForums上,聲稱握有臺灣軍情單位的機密資料,目前針對一份10 GB檔案開價15萬美元,並表示手上還有更多資料求售。對此,法務部調查局表示正在處理,不便透露細節。
三立新聞引述前情報人員的說法,這些資料疑似與線民有關,包含化名、駐地、任務等基本資料,亦有家庭背景、工作條件、人格特質、政治考核,很可能是確認線民是否適任擔任相關工作的報告,但只要是涉及線民的資料,一旦曝光,後果會很嚴重。
自由時報引述資深軍事迷馬蘭的看法,指出這些資料有可能是中國間諜在臺工作的資料,也有可能還有其他人員或機構遭到滲透。
【漏洞與修補】
微星疑似在韌體更新的過程中調整UEFI安全開機設定而曝險,影響近300款主機板
資安研究員Dawid Potocki指出,微星有超過290款主機板會受到預設的UEFI安全開機設定影響,有可能使得這些電腦執行不安全的作業系統而曝險,且無論是支援Intel或AMD處理器的微星主機板都可能曝險。
研究人員發現,微星在2022年1月18日發布的韌體7C02v3C,更動了主機板預設的安全開機配置,將Image Execution Policy的設定調整為總是執行(Always Execute),在這種情況下,將允許透過任意ROM映像檔、外接式裝置,以及電腦內部裝置開機。他呼籲使用者應調整相關配置為拒絕執行,才能發揮UEFI安全開機的作用。
Chrome瀏覽器漏洞SymStealer恐導致機敏資料曝險
資安業者Imperva針對Google修補的瀏覽器漏洞SymStealer(CVE-2022-3656)揭露相關細節,這項漏洞與符號連結(Symlink)機制有關,曾於2022年10月的Chrome 107、11月的Chrome 108二度修補。
一旦攻擊者利用這項漏洞,就有可能濫用符號連結功能來繞過檔案系統的限制,來對於未經授權的檔案操作。研究人員指出,攻擊者可引誘使用者下載ZIP檔案,內有指向電腦重要檔案或資料夾的符號連結,進而竊取加密貨幣錢包的帳密或是金鑰。
【其他資安新聞】
近期資安日報
【2023年1月16日】 WordPress網站外掛程式存在SQL注入漏洞、網路監控系統Cacti漏洞被用於植入惡意軟體
【2023年1月13日】 SAP修補旗下產品多項重大漏洞、逾百款西門子PLC設備韌體存在漏洞而可能曝險
【2023年1月12日】 惡意軟體Gootkit假冒VLC影音播放器攻擊醫療機構、駭客組織Dark Pink鎖定亞太地區政府與軍事單位
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-05
2024-10-07
2024-10-07
2024-10-04