不要错过 - 頁面 4

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安指引，要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼，以提升資安保護層級。 資安專家指出，為了簡化生產與大量軟硬體裝置的管理與操作流程，很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼；這種做法雖然能夠大幅降低操作的複雜性，但卻會造成極大的資安風險。 一旦駭侵者利用往往廣為人知的預設密碼發動攻擊，除了採用預設密碼的設備或軟體本身可能遭到駭侵之外，駭侵者也可藉以發動進一步的攻擊，最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。 CISA 在其資安警訊中提出兩點要求，要求廠商必須對客戶可能發生的資安後果負起責任，同時必須在組織架構與領導兩方面來達成這個目標。 CISA 進一步指出，軟體開發廠商必須在設計、開發與出貨等階段嚴格落實上述要求，不提供產品的預設密碼，才能預防顧客因預設密碼而可能蒙受的攻擊損失。 CISA 說，多年以來的經驗證明，期待顧客在產品購入後變更預設密碼是不切實際的，因為顧客通常不會主動更改密碼；唯有在產品設計製造階段就消除預設密碼的存在，才能減少現今因未能更改預設密碼而導致的大量攻擊損失。 CISA 要求製造商須提供不重複的設定階段密碼，避免提供相同的預設密碼給顧客；製造商亦應提供單次有效密碼供顧客進行產品初次設定；一旦設定完成後，該密碼即行失效，無法再次用於登入。 CISA 也敦促各廠商應在流程上導引顧客使用多重登入驗證，以進一步保護軟體或裝置的登入安全。 各硬體設備或軟體系統廠商，建議可以參考 CISA 此次發布之資安指引，避免提供預設密碼，以強化使用者的資安防護能力。

一個名為 Nex Team 的資安專家團隊，近日發現一個存於 WordPress 備份用外掛程式 Backup Migration 中的嚴重漏洞，駭侵者可藉以遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2023-6553，其危險程度評分高達 9.8 分（滿分為 10 分）；危險程度評級亦達最嚴重的「嚴重」（Critical）等級。該漏洞可讓駭侵者以相對簡易且無需通過身分認證的方式，即可利用特製的連線要求，在 /includes/backup-heart.php 檔案中注入 PHP 程式碼，進而遠端執行任意程式碼，並取得遭駭 WordPress 網站的控制權。 該漏洞影響 Backup Migration 外掛程式的所有版本，包括 Backup Migration 1.3.7 在內。據 WordPress 外掛程式目錄頁面上的統計指出，該外掛程式的下載安裝次數已超過 9 萬次。 Nex Team 是在由 WordPress 資安廠商 Wordfence 舉辦的漏洞懸賞大賽中提報本漏洞的，而 Wordfence 在接獲漏洞通報後，已於第一時間（12 月 6 日）立即通報給該外掛程式的開發單位 BackupBliss，且開發者也在數小時後緊急推出更新版本 Bakcup Migrarion 1.3.8，更新速度十分快速。 但另一方面，根據 WordPress.org 上 Backup Migration 外掛程式下載頁面上的資訊，在 Backup Migration 推出新版後，仍有近 5 萬個採用該外掛的 WordPress 網站，尚未更新到已修復該漏洞的新版本，因此這些 WordPress 網站仍曝露在極高的駭侵風險之下。 建議採用該外掛程式的 WordPress 網站，應盡速更新到最新版本。

Apple 日前緊急針對兩個新發現的 0-day 漏洞 CVE-2023-42916 和 CVE-2023-42917 發布較舊產品適用的更新版本作業系統，受影響裝置的使用者應立即套用更新。可能已有駭侵者利用這兩個 0-day 漏洞發動攻擊。 這兩個 0-day 漏洞都存於 Apple 各項作業系統內建瀏覽器的 WebKit 瀏覽器引擎中，屬於越界讀取漏洞；駭侵者可利用特製的網頁來誘發記憶體崩潰，藉以竊取使用者的機敏資訊，甚至執行任意程式碼。 Apple 日前已針對執行新版作業系統 iOS 17、iPadOS 17、macOS Sonoma 推出這兩個 0-day 漏洞的緊急修補更新；這次推出的是 iOS 16.7.3、iPadOS 16.7.3、tvOS 17.2、watchOS 10.2，針對上次未能修復的舊版作業系統與 Apple TV、Apple Watch 提供資安更新。 受此漏洞影響的 Apple 產品如下： iPhone 8 與後續機型、iPad Pro (所有機型)、iPad Air (第 3 代) 與後續機型、iPad (第 5 代) 與後續機型、iPad mini (第 5 代) 與後續機型； Apple TV HD 與 Apple TV 4K (所有機型)； Apple Watch Series 4 與後續機型。 所有仍在使用這些 Apple 產品的使用者，應立即升級作業系統到最新版本，以修復這兩個已遭用於攻擊的 0-day 漏洞。

印度海德拉巴國際資訊科技研究所（International Institute of Information Technology, IIIT ）的資安研究人員，近日發現一種新式攻擊方式，命名為 AutoSpill；駭侵者可以透過這種方式，在 Android 手機密碼管理員自動填寫密碼時進行竊取。 研究人員指出，許多 Android 平台上的 app，經常使用 WebView 控制項來顯示網頁內容，例如 app 的登入頁面，而非將用戶導向到系統瀏覽器；這樣雖然可以提高使用者體驗的順暢度，讓使用者不必頻繁切換前景應用程式，但這也給 AutoSpill 帶來可趁之機。 研究人員說，Android 平台上的各種密碼管理工具，在各個 App 出現登入畫面時，也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼；由於 Android 平台本身對於自動輸入的資料，在架構上就缺少明確的責任歸屬定義，因此這些資料可能被 host 應用程式所攔截。 IIIT 的研究人員指出，據該單位的測試，多數 Android 平台上的密碼管理工具，都無法避免遭到 AutoSpill 竊取密碼；即使沒有任何 JavaScript 指令注入，也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。 相對的，研究人員也指出，Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊，因此在未有 JavaScript 注入的情形下，不會洩露自動填寫的帳號與密碼。 在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前，Android 使用者應提高警覺，避免自非正常管理下載安裝任何軟體或 APK 檔案，以免登入資訊遭竊。

資安廠商 Veracode 近日發表統計報告發現，在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年，仍有近 38% 使用 Log4J 的應用程式，仍在使用含有漏洞的舊版程式庫。 Log4J 是由 Apache 基金會推出的開源程式庫，廣泛運用於大量網路相關應用程式中；在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell，其 CVE 編號為 CVE-2021-44228，其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性，加上廣泛用於大量應用程式中，幾可稱為近年來最嚴重的資安漏洞，造成極大的危機。 而在 Log4J 漏洞公開並發布修補版本的兩年後，Veracode 以 90 天的時間，自 2023 年 8 月中到 11 月中，針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查，發現下列問題： 有 2.8% 仍在使用 Log4J 2.0-beta9 到 2.15.0，而這些版本直接內含 Log4Shell 漏洞； 有 3.8% 使用 Log4J 2.17.0，雖然這個版本不含 Log4Shell 漏洞，但仍含有另一個遠端執行任意程式碼漏洞 CVE-2021-44832； 有高達 32% 仍使用早在 2015 年 8 月就不再受到 Apache 官方支援的 Log4J 1.2.x 版本；這些版本含有多個漏洞，包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 等。 上述應用程式合計達到 38%，仍在使用含有多種漏洞的舊版 Log4J 程式庫。 Veracode 也在調查中指出，有高達 79% 開發者在完成其程式碼後，為了擔心功能受到影響，因而從不更新使用的第三方程式庫版本；然而 65% 的開源程式碼的小改版，並不會影響其功能。 統計也指出，有 50% 的程式開發專案，在被發現高危險性安全漏洞後，要花上超過 65 天才會處理其資安問題。 使用各種第三方程式庫的開發專案，應更加注意程式庫的資安通報，在有更新版本時盡早更新程式庫，以免造成資安問題。

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞；其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量僅有 34 個，較上個月（2023 年 11 月）的 58 個資安漏洞大為減少；而在這 34 個漏洞中，僅有 4 個屬於「嚴重」等級，另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 執行權限提升漏洞：10 個； 遠端執行任意程式碼漏洞：8 個； 資訊洩露漏洞：6 個； 服務阻斷（Denial of Service）漏洞：5 個； 假冒詐騙漏洞：5 個。 上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞，並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞；而本月共解決了一個 1 個 0-day 漏洞如下： 該 0-day 漏洞是 CVE 編號為 CVE-2023-20588，存於特定 AMD 處理器中的除以 0 錯誤，可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復，僅提供建議給開發者，以避免誘發此漏洞；而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。 此外，本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞，其中一個存於 Power Platform 中，屬於假冒詐騙漏洞，兩個存於 Internet Connection Sharing 中，屬於遠端執行任意程式碼漏洞，另一個存於 Windows MSHTML Platform 中，亦屬於遠端執行任意程式碼漏洞。 CVE 編號：CVE-2023-20588 等 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

荷蘭 Vrije Universiteit Amsterdam 的系統與網路安全研究小組（System and Network Security Group, VUSec Group）人員，日前發表一種全新的 CPU 攻擊方法，稱為 SLAM， 可透過旁路攻擊，自 AMD、Intel 與 ARM CPU 來竊取核心記憶體中的根密碼雜湊值。 報告指出，SLAM 是一種短暫執行攻擊方式，利用一種可以讓軟體使用位於 64 位元 metadate 儲存線性位址中的未轉譯位址位元（LAM）來進行攻擊。研究人員在一台執行舊版 Ubuntu 作業系統的 Intel 處理器電腦，利用模擬 LAM 功能的方式成功示範了 SLAM 攻擊。 研究人員指出，這種攻擊方式是針對軟體程式碼中可用以攻擊的無遮罩「gadgets」來著手；所謂「gadgets」是指駭侵者可在軟體程式碼中操弄以誘發預測執行的指令。攻擊者可透過觀察快取狀態的變更，取得其他程式甚至作業系統相關的機敏資料。 研究人員編寫了一個掃瞄工具，在 Linux 核心中發現了數百個可藉以發動攻擊的 gadgets，並在一段影片中示範如何透過 SLAM 攻擊 gadgets 來取得系統核心的根密碼雜湊值。 VUsec 指出，下列類型的各廠牌 CPU 都可能遭到 SLAM 攻擊： 含有 CVE-2020-12965 的現存所有 AMP CPU 機型； 支援 LAM 攻能的未來所有 Intel CPU 機型（包括四階段與五階段分頁功能）； 支援 UAI 與五階段分頁功能的未來 AMD CPU 所有機型； 支援 TBI 與五階段分頁功能的未來 ARM CPU 所有機型。 軟體開發者應依照各 CPU 製造商發表的指引編寫程式碼，以避免軟體系統遭到這類攻擊。

Google Play 日前開始在上架到該平台的 VPN（虛擬私人網路） App 欄位中，新增一個資安稽核標章，可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。 Google 指出，要能在 Google Play 的 App 說明欄位中獲得此標示，App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準；而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。 MASA 的標準要求 App 與其服務平台，在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面，都有相當嚴格的要求。 Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型，主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關，且會涉及使用者機敏資訊存取；在 Google Play 中顯示該標章的 App，即表示通過獨立第三方以 MASA 標準進行的資安認證，可為使用者提供多一層的保護與信任。 第三方資安認證廠商，會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核，並且試圖發現 App 中的資安錯誤與弱點，來判斷該 App 是否符合 MASA 標準，可以獲頒認證合格標章。 由於 Google Play 是屬於 Android 系統的官方 App Store，因此這個標章的推廣，對於強化 Android 平台的安全性，可以帶來正面的影響。 Google 目前要求所有在 Google Play 上架的 VPN App，都必須通過該認證；目前已通過第三方 MASA 認證且獲得認證標章的 VPN app，包括 Nord VPN、Google One、ExpressVPN 等。 未來 Android 使用者在 Google Play 下載各類 App 時，建議可以選擇具有該資安認證標章的 App，以提升安全性。

全球大型社群討論平台 Discord 日前發布新聞稿指出，該平台將在今年年底之前改用暫時性連結來提供檔案下載服務，以防駭侵者使用其 CDN 服務來放置惡意軟體。 Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出，該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式，以加強資安防護，提供使用者更安全的使用環境。Discord 指出，新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量，且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。 Discord 即將推出的暫時性檔案連結 URL，在今年年底全面實施後，URL 的有效期限將限縮在 24 小時以內，且檔案連結 URL 會新增三種參數，以強化對 URL 的控制。 資安專家指出，Discord 的新做法是外部期待已久的改變，因為有愈來愈多的駭侵者，利用 Discord 的檔案分享功能來置放其惡意軟體檔案，將 Discord 的 CDN 服務變成惡意檔案擴散平台；特別是進行金融詐騙或由國家力量幕後支援的惡意檔案，數量佔比最高。 據資安廠商 Trellix 的統計，至少有 10,000 個以上的駭侵攻擊活動，使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案，或是將第二階段的惡意軟體酬載放在 Discord 平台上。 包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體，都會使用 Discord 來放置惡意檔案或指令檔。 建議使用者應避免任意點按不明來源傳來的連結，以免遭惡意軟體攻擊或植入。

資安廠商趨勢科技 (Trend Micro) 日前發表研究表告，指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞，可能造成駭侵者藉以遠端執行任意程式碼，或竊取設備上的機敏資訊。 該公司在發現這批漏洞的 2023 年 9 月初，就立即向 Microsoft 通報這批 0-day 漏洞，這 4 個 0-day 漏洞目前暫無 CVE 編號，但有 Trend Micro 自有的編號 ZDI，分列如下： ZDI-23-1578：該漏洞為存於 ChainedSerializationBinder 類別的 RCE 漏洞；該漏洞原因是未能適當驗證使用者資料，駭侵者可以利用該漏洞來對未受信任的資料進行序列化還原（deserialization），並以 Windows 最高執行權限等級 SYSTEM 來執行任意程式碼； ZDI-23-1579：存於 DownloadDataFromUri 方法的漏洞，在資源存取前未能有效驗證 URI，可導致駭侵者竊取 Exchange Server 內的機敏資訊； ZDI-23-1580：存於 DownloadDataFromOfficeMarketPlace 方法，同樣屬於 URI 驗證不足的漏洞，可導致未經授權的資訊洩露； ZDI-23-1581：存於 CreateAttachmentFromUri 方法中，也屬於 URI 驗證不足漏洞，亦可造成機敏資訊遭竊。 所有漏洞都需要通過使用者身分驗證才能進行，致使其 CVSS 分數較低，約在 7.1 到 7.5 之間（滿分為 10 分）。 為避免駭侵者取得系統存取權並利用此批 0-day 漏洞，建議系統管理者應加強帳密安全性，並使用多重登入驗證機制。