隨著數位科技迅速發展,全球面臨的詐騙威脅和資安風險不斷增加,臺灣無法置身事外,對此,各界專家組成、以推動數位信任環境建構為宗旨的台灣數位信任協會,於昨日(14日)正式成立。

此協會由專業學者、反詐騙志工、意見領袖、跨領域業者自發性推動,以教育宣導、政策倡議、產業合作、國際交流等4大任務,建立數位信任發展的第一步。

 

【攻擊與威脅】

NPM大量垃圾套件氾濫,恐影響開源生態系安全性

資安公司Phylum研究人員發現,NPM(Node Package Manager)平臺面臨嚴重的垃圾套件氾濫問題,這些套件主要與名為Tea協定的去中心化專案有關,垃圾套件目的是操縱Tea協定來誇大開發者的貢獻,以賺取加密貨幣獎勵。

從今年2月開始,NPM上發布的套件數量明顯增加,在4月8日達到高峰,一天甚至會有超過4.8萬個套件上傳。其中許多套件是以自動化工具生成,內容毫無實質價值,僅是為了利用Tea協定的獎勵系統賺取獎勵。這些垃圾套件的特徵,通常包含無意義的套件名稱,以及虛假的相依套件清單,並且包含名為tea.yaml的檔案,來標示專案所有者。

這些垃圾套件增加的速度飛快,在2024年第二季,已經約有50萬個垃圾套件被上傳到NPM,占總套件發布量的21.25%到25.5%,如果僅計算新套件,垃圾套件的占比甚至高達68.66%到74.67%。研究人員指出,雖然目前尚未發現這些垃圾套件包含或是執行狹義的惡意行為,但是大量上傳垃圾套件本身就是一種惡意,且可能存在潛在的安全風險。

其他攻擊與威脅

FBI查封勒索軟體Radar基礎設施

勒索軟體駭客組織Black Basta嘗試利用社交工程活動,企圖散布惡意程式載入工具SystemBC

 

【漏洞與修補】

研究人員揭露微軟Entra ID隱藏的身分驗證機制弱點UnOAuthorized,恐讓攻擊者取得全域管理員權限

資安業者Semperis揭露微軟Entra ID的弱點UnOAuthorized,這些問題是因為對OAuth 2.0權限進行分析之後而得到,攻擊者可趁機在Entra ID執行超出權限的行為其中,研究人員最為關注的部分是在特權管理者群組新增或刪除使用者的能力,一旦攻擊者得逞,就有機會新增全域管理員,對此,他們向微軟進行通報並進行合作,確保相關弱點得到處理,並在上週於美國拉斯維加斯舉行的黑帽大會(Black Hat USA 2024)揭露相關細節。

雖然在利用UnOAuthorized的過程中,攻擊者必須先取得Entra ID的應用程式管理員或雲端應用程式管理員的角色,而這些角色通常都具備特殊權限。但研究人員指出,許多企業並未意識到這類角色握有的高權限,而沒有妥善管理,使得攻擊者有機可乘。

究竟是否有企業組織遭遇相關攻擊,目前尚不清楚,但研究人員認為,很有可能已有駭客藉此將權限提升為全域管理員,並在租戶環境持續存取。此外,他們也指出攻擊者有機會進行橫向移動,存取Microsoft 365或其他Azure系統,還有使用Entra ID串連的SaaS應用程式。

Google無線檔案傳輸工具Quick Share存在漏洞,影響Windows、安卓裝置

如果想要透過藍牙、Wi-Fi、WebRTC、NFC等通訊協定進行無線檔案傳輸,最多人知道的做法應該是運用蘋果的AirDrop,但近年來Google也與三星合作推出Quick Share,並打算與電腦製造商結盟、預載相關應用程式,以便安卓裝置與Windows電腦用戶互相傳送檔案,但有研究人員發現,Quick Share存在一系列漏洞,駭客有機會串連發動攻擊。

上週資安業者SafeBreach針對這套工具揭露10個漏洞,通稱為QuickShell,其中有9個影響Windows裝置,1個影響安卓裝置,研究人員指出,這批漏洞可形成非典型的遠端執行程式碼(RCE)攻擊鏈,從而讓攻擊者在Windows電腦執行程式碼。

對此,Google在今年1月接獲研究人員通報後,發布1.0.1724.0版Quick Share予以修補,並將這批漏洞登記為CVE-2024-38271、CVE-2024-38272列管,CVSS風險評分為5.9、7.1。研究人員也在資安會議DEF CON 32展示相關研究成果。

Ivanti應用程式交付系統存在身分驗證繞過漏洞,已有概念性驗證程式碼公開,用戶應儘速處理

8月12日Ivanti發布資安公告,指出旗下的應用程式交付系統Virtual Traffic Manager(vTM)存在重大層級的零時差漏洞CVE-2024-7593,一旦攻擊者成功利用漏洞,就有機會繞過身分驗證並建立新的管理員帳號,CVSS風險評分為9.8。

值得留意的是,雖然該公司表示尚未察覺用戶遭到漏洞攻擊的跡象,但已有公開的概念性驗證(PoC)程式碼,他們呼籲用戶儘速採取緩解措施因應。

其他漏洞與修補

CI/CD工作流程服務GitHub Actions恐曝露知名專案的GitHub憑證

密碼管理器1Password存在缺陷,攻擊者有機會竊取用戶的密碼

西門子、施耐德電機、Aveva、Rockwell Automation、CISA針對工業系統資安漏洞發布公告

 

【資安產業動態】

臺灣數位信任協會成立,專注詐騙防治與數位安全議題

8月14日臺灣數位信任協會(Digital Trust Association in Taiwan)正式成立,由前國家通訊傳播委員會(NCC)主委、數位經濟暨產業發展協會副理事長詹婷怡擔任首屆理事長。數發部長黃彥男、走著瞧(Gogolook)、奧義智慧(CyCraft)、安永顧問、資策會資安所、鏈科(Xrex)等產業代表皆到場參與。

詹婷怡表示,臺灣數位信任協會未來有4大工作任務,包含政策倡議、產業交流、教育宣導,以及國際交流。該協會將設立7個工作小組,專門從事資料完整性、數位信任評鑑、詐騙研究、教育宣導、AI科技防詐、資安科技、區塊鏈安全相關工作。

上述工作小組將同步推進協會理念及落實任務,與國內在資安防護及詐騙防治領域的夥伴攜手合作,共同研究與推動工作項目,並透過國內外交流活動,促進不同地區間的合作與交流。

臺灣資安戰隊11回參與DEF CON CTF資安搶旗賽,獲得第7名佳績

上週末舉行的資安大型會議DEF CON 32當中,臺灣派出資安戰隊「If this works we'll get fewer for next year」參加搶旗競賽DEF CON CTF,在全球1,742隊當中以第10名進入總決賽,最後從12支隊伍獲得第7名的成績,打敗中國、韓國、俄羅斯、瑞士等國家的隊伍。回顧過去,這是臺灣第11年參與DEF CON CTF搶旗賽。

對於這次比賽臺灣資安戰隊的成績,在攻防賽(Attack & Defense)的部分,攻擊面項目獲得1,204分、防禦面獲得465分;在回合制搶灘賽(King of the Hill,KotH)得到274分;在一對一的擂臺搶旗賽(Live CTF)的項目得到第3名,拿下1,000分;最終,以總分2,943分,名列第7。

 

近期資安日報

【8月14日】微軟發布8月例行更新,公布多達10個零時差漏洞

【8月13日】韓國國防工業承包商傳出遭北韓駭客攻擊,軍事偵察機資料外流

【8月12日】研究人員揭露存在18年的瀏覽器漏洞,而且已有濫用漏洞行為,Linux及macOS電腦都可能中招

熱門新聞

Advertisement