不要错过 - 頁面 11

美國資安最高主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）日前通令全美聯邦政府下轄各單位，應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。 這兩個漏洞由資安廠商 Kaspersky 發現，與其相關的攻擊活動命名為「Operation Triangulation」；Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行，且一直持續至今。 Apple 也在上周三緊急發表資安更新，修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞；Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。 受這兩個漏洞影響的 Apple 產品，包括 iPhone 8 和後續機型、iPad Pro（所有機型）、iPad Air（第 3 代）和後續機型、iPad（第 5 代）和後續機型，以及 iPad mini（第 5 代）和後續機型。 CISA 已將這兩個漏洞，連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中，所有美國聯邦政府轄下民事與執行單位，都應在 7 月 4 日前完成修補。 建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補，以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。

美國與世界各國的資安主管機關，近期針對惡名昭彰的 LockBit 勒贖攻擊，聯合發表警示報告；報告指出該勒贖軟體自 2020 年起針對美國境內各公私組織，總共發動近 1,700 起勒贖攻擊，所獲的不法勒贖金額合計高達近 9,100 萬美元。 發表這份警示指引的，除了包括美國資安最高主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）之外，還包括澳大利亞、加拿大、英國、德國、法國與紐西蘭的資安主管機關。 報告指出，光是去年一年之內，針對美國各級政府單位（包括州、地方行政單與各級司法單位）的勒贖攻擊中，有 16% 的攻擊行動是透過 LockBit 來發起。 報告同時指出，自 2020 年 1 月起，駭侵者也利用 LockBit 來攻擊各種領域、不同大小的關鍵基礎設施，例如金融服務、食品與農產、教育、能源、政府單位、緊急服務、醫療、生產製造、交通運輸等領域。 報告中也詳列多達 30 種 LockBit 勒贖駭侵者，在發動攻擊時會使用的免費與開源軟體工具，以及多達 40 種發動攻擊時使用的手段、技巧與程序（tactics, techniques and procedures, TTPs）。 報告同時列舉多個 LockBit 駭侵攻擊時經常使用的各種漏洞之 CVE 編號，以及自 LockBit 於 2019 年 9 月出現以來的演進路線分析。 美國 FBI 建議所有組織應仔細閱讀該報告，並且實作報告中的各種應對指引，以降低遭 LockBit 攻擊的風險與損害。 建議各公私單位皆應參考該報告，找出所有潛在資安弱點予以解決，並依建議加強防護能力。

一個架構於 Arbitrum 區塊鏈上的去中心化金融（Decentralized Finance, DeFi）服務專案 Jimbos Protocol，近期遭到駭侵者以「閃電貸」（Flash Loan）攻擊得逞，損失的數位資金高達 4,000 枚以上以太幣，換算超過 750 萬美元。 營運 Jimbos Protocol 的公司在日前於 Twitter 上公開發表遭駭侵攻擊的消息，並表示已向司法單位報案，並已與資安專家合作，以期找出問題並加以解決。 該攻擊發生在 Jimbos Protocol 推出第二版後僅僅 3 天，許多投資人購買了其推出的 Jimbo Token 代幣之後；駭侵者成功竊得的數位資金，高達 4,090 枚以太幣。 雖然 Jimbo Token 具備一種半穩定地板價機制，可由其儲備的其他數位資產與其他機制，來試圖穩定幣價，但在 Jimbos Protocol 遭到駭侵攻擊一事傳出之後，該幣的價格立即暴跌，由原本的一枚 0.238 美元狂跌到僅有 0.0001 美元。 據區塊鏈資安專家指出，由於 Jimbos Protocol 平台缺少「滑點控制」（Slippage control）機制，因此遭到駭侵者以此發動「閃電貸」(Flash Loan）攻擊，其方法是重覆利用閃電貸，以極快的速度，在同一筆交易中同時借出並償還大量資金，並利用該漏洞來不斷賺取借還之間的價差。 這種利用閃電貸來快速賺取價差的攻擊，過去也頻繁發生在其他 DeFi 平台上過；其中一個比較知名的案例，是發生在 Euler Finnace DeFi 專案的閃電貸攻擊事件，當時的損失高達 1.97 億美元。 建議加密貨幣投資人在選擇投資標的時，應注意該專案的資安是否經過知名第三方資安廠商稽核，且設有投資人保障基金，且應避免高風險的目標。

美國政府資助牙醫暨口腔醫療保險服務 Managed Care of North America (MCNA) Dental，日前在其官網發表資安通報，表示因遭到勒贖攻擊，造成超過 890 萬名美國病患個資遭到外洩。 MCNA Dental 於上周五發表資安通報，指出該單位現已獲悉其電腦系統於 2023 年 2 月到 3 月間遭到未經授權人士入侵；調查指出駭侵者在 2023 年 2 月 26 日起取得 MCNA Dental 內部網路的存取權限。 在駭侵者活動期間，近 900 萬名病患的資料遭到不當存取，遭竊的資料包括以下欄位： 病患全名； 住址； 出生年月日； 電話號碼； Email； 社會安全號碼（Social Security Number）； 駕照號碼； 政府核發身分證件號碼； 醫療保險（方案資訊、保險公司、會員編號、醫療保健 ID 等）； 牙齒保健資料（就診次數、牙醫師姓名、醫師姓名、就醫記錄、X 光片存檔、用藥記錄、診斷書資料等）。 據美國緬因州總檢察署辦公室指出，因此勒贖攻擊而造成資料外洩的受害者人數為 8,923,662 人，MCNA Dental 已告知這些受害者資料外洩一事，且 MCNA 已採取所有行動來處理資安設置，以防類似事件再次發生。 勒贖團體 LockBit 在其網站中宣稱，針對 MCNA Dentel 的攻擊是由他們發動的；LockBit 說整個資料量高達 700GB，並要求 MCNA Dentel 支付 1,000 萬美元贖金，否則就要公開這批資料。LockBit 也在其網站中公布了部分資料。 建議擁有大量機敏資訊的公私單位，務必加強資安防護能力，避免因各式資安攻擊造成資料外洩，造成大量受害者權益受損。

資安廠商 Cisco Talos 和 Citizen Labs 旗下的資安研究人員近日發表研究報告，分析一個商業化的 Android 間諜惡意軟體 Predator 與其載入器 Alien，指出其資料竊取能力與其他操作細節。 Predator 是由一家以色列公司 Intellexa 開發並發售的商業化行動平台間諜軟體，同時支援 iOS 與 Android 平台；該惡意軟體已證實與多起針對媒體記者、歐洲政治人物，甚至 Meta 公司高階主管的駭侵事件有關。 在 Android 裝置上，Predator 能夠盜錄受害者的來電語音通話、自即時通訊軟體中收集資訊，甚至隱藏安裝在手機上的應用程式，同時阻止該程式的執行。 2022 年 5 月時，Google 旗下的資安研究團隊 Google TAG 就發現了 Predator 用以入侵並植入其載入程式 Alien 的 0-day 漏洞；Alien 載入程式是注入一個名為 zygote64 的 Android 程序，然後下載並啟用附加的間諜軟體程式碼；Alien 是從一個外部位址取得並啟動 Predator 組件；如果發現新版 Predator，也會進行更新。 當 Alien 偵測到自己在 Samsung、Huawei、Oppo 或 Xiaomi 手機上執行時，就會以遞迴方式窮舉列出存有用戶資訊、電子郵件、即時通訊內容、社群媒體、瀏覽器 App 資料的目錄並竊取其內容，也會竊取用戶通訊錄與媒體資料夾中的私人媒體檔案，包括音訊、圖片和影片等。 各平台手機用戶應對不明連結或檔案隨時提高警覺，避免自不明來源安裝或開啟可疑檔案。

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA），日前發表資安警訊，要求美國聯邦政府旗下單位立即檢視並調查是否因 Barracuda 日前修補的 0-day 漏洞遭駭侵攻擊。 該 0-day 漏洞的 CVE 編號為 CVE-2023-2868，發生在 Barracuda Email Security Gateway 應用程式中，該產品廣為全球 200,000 個公私單位採用，包括大型企業如 Samsung、Mitsubishi、Kraft Heinz、Delta Airlines 以及各國政府機構。 據 CISA 指出，該漏洞已遭駭侵者廣泛利用於攻擊，因此 CISA 除將此 0-day 漏洞列入其指定資安漏洞列表之外，也要求美國聯邦政府各民事執行單位（Federal Civilian Executive Branch Agencies，FCEB）必須依其 BOD 22-01 具強制力的作業指引，在期限之前更新或應對該 0-day 漏洞。 不過，Barracuda 原廠也表示，該公司已在前一周周末期間透過強制更新機制套用兩個針對此 0-day 漏洞的修補程式，因此該 0-day 漏洞已經在 5 月 21 日時自動修補完成。 不過根據 Barracuda 建議，雖然漏洞已經自動修補完成，但採用該公司 ESG 產品的客戶，其系統管理者仍應檢視其應用環境是否有遭到駭侵攻擊得逞的跡象；CISA 也對此發出相同的建議，聯邦單位仍應檢視是否曾遭攻擊。 雖然 CISA 的強制性資安檢測修補命令僅適用於美國聯邦政府單位，但仍建議所有公私單位隨時注意並遵守 CISA 發表的最新資安警示與作業指引。

Apple 日前發表 App Store 統計數字報告，在報告中指出該公司在 2022 年間除了封鎖 170 萬個存有隱私、資安與違反內容政策問題的 App 之外，也防止超過 20 億美元疑似詐騙的交易。 該公司在報告中說，在 2022 年有超過 420,000 個開發者帳號因涉及詐騙或惡意行為而遭停權； 且有超過 2.82 億個用戶帳號亦因類似原因而遭停權。 Apple 也說，有 150,000 個開發者帳號在申請註冊時就因偵測到可疑活動而遭到中止；也有接近 400,000 個 App 因為內含試圖在未告知用戶的情形下獲取用戶個資，因而遭到 App Store 審核人員拒絕上架。 另外，也有 153,000 個 App 因為試圖誤導用戶，或因抄襲現有其他 App 而遭到拒絕上架；也有 29,000 個 App 因為含有未載明或隱藏的功能，也遭拒絕上架到 App Store 內。 App Store 也表示，2022 年中有多達 24,000 個 App 因為試圖以假功能先引誘用戶安裝，之後再出現惡意功能，因而遭到該團隊封鎖。 而在 App Store 的支付方面，該團隊一共封鎖了 20.9 億美元的詐騙交易，破歷年新高紀錄，亦有 714,000 個假帳號因涉及詐騙交易而遭封鎖，無法再次進行交易。 App Store 在去年一年之中，也封鎖了近 390 萬張遭到盜刷，試圖在 App Store 中進行詐騙交易的信用卡。 此外，App Store 在去年也刪除了超過 1.47 億則詐騙 App 評價，以防用戶受到假冒評價誤導而下載到不符所需的 App。 建議用戶下載手機 App 時，應避免在非官方管道下載或進行測載；即使在官方 App Store 下載，也應仔細閱讀其他用戶評價，以避開資安風險。

一名 Twitter 工程師發現廣為使用的通訊軟體 WhatsApp 的 Android 版本，會在閒置時頻繁存取 Adnroid 裝置的麥克風，引發資安與隱私疑慮；但 WhatsApp 的開發者 Meta 在回應該問題時表示，該問題為 Android 系統內的錯誤所造成。 發現問題的 Twitter 工程師 Foad Dabiri，日前在 Twiiter 上發表一張截圖，表示安裝在其 Google Pixel 7 Pro 手機上的 WhatsApp 通訊軟體，從清晨 4 時左右頻繁使用該手機的麥克風；但該時間 Foad Drbiri 仍在睡眠中，並未使用 WhatsApp 進行語音通訊。 在該篇 Twitter 文章之後，陸續也有其他 WhatsApp 用戶通報相同的問題，不只會發生在 Google 品牌手機上，也會發生在 Samsung 手機上，包括 Samsung Galaxy S22 與 Galaxy S23。 在該推文下方也有不少用戶加入討論，分享其發現的狀況；有用戶注意到在未使用 WhatsApp 時，其 Android 手機右上角的通知區內，也會頻繁出現綠色小亮點（表示手機的敏感性硬體裝置，如相機或麥克風正在使用中）。 在相關討論愈來愈多時，WhatsApp 官方帳號也貼文回應，表示已與推文原作者的 Twitter 工程師聯絡並了解狀況。WhatsApp 也強調，當用戶授予手機麥克風的存取權限後，WhatsApp 僅在會使用者進行語音通話、視訊通話或錄製語音訊息時，才會使用裝置上的麥克風，且所有通訊內容皆以端對端加密進行傳輸。 WhatsApp 也表示，該問題可能是來自 Android 系統在隱私儀表板中發生的屬性錯誤，且已通報 Google 調查並解決該問題。 由於 Android 系統上較常出現要求過多權限的惡意軟體，因此建議用戶在授予 App 存取權限時應特別注意，且如果發現不正常的相機與麥克風存取情形，應特別提高警覺並移除可疑軟體。

資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777，在該廠商公布相關漏洞資訊後短短 24 小時，就開始遭到駭侵者藉以大量發動攻擊。 該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式（Plugin）Advanced Custom Fields，屬於高危險性的跨站指令碼攻擊（Cross-site scripting, XSS）漏洞；未經授權的攻擊者可透過該漏洞竊取機敏資訊，並且在受到攻擊的 WordPress 網站中提升自身的執行權限。 該漏洞的 CVSS 危險程度評分為 7.1 分（滿分為 10 分），危險程度評級為「高」（High）；Patchstack 於 2023 年 5 月 2 日發現此漏洞，並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證（proof of concept）。Advanced Custom Fields 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復，並且推出更新版本 6.1.6。 然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出，該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動；報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼，針對眾多 WordPress 網站發動攻擊。 據估計，目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站，高達 140 萬個之多，因此給駭侵者很大的攻擊空間。 建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員，應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本，以避免遭到攻擊。

資安廠商 Mandiant 近期發表 2022 年 0-day 漏洞濫用研究報告，指出駭侵者持續使用 0-day 漏洞發動惡意攻擊；報告指出，2022 年有 55 個 0-day 漏洞遭大規模濫用，其中大部分漏洞來自 Microsoft、Google 和 Apple 產品。 遭駭侵者濫用的 0-day 漏洞共有 55 個，其中有 53 個可讓駭侵者在受害裝置上提升其執行權限，或是遠端執行任意程式碼。 以遭攻擊產品而來說，2022 年 Microsoft Windows 共有 15 個 0-day 漏洞遭利用，Chrome 排名第二，有 9 個遭濫用的 0-day 漏洞，iOS排名第三，有 5 個 0-day 漏洞，macOS 排名第四，有四個 0-day 漏洞。 報告說，由於 0-day 漏洞是在開發者得知或發表修補程式之前，就遭到駭侵者利用的漏洞，因此幾乎沒有任何保護或監控措施可用於保護，因而成為駭侵者樂於使用的攻擊目標。 Mandiant 於 2022 年追蹤 13 個 0-day 漏洞的濫用情形，據其報告指出，駭侵者使用 7 個 0-day 漏洞發動攻擊，主要攻擊作業系統、網路瀏覽器和網路管理產品，以進行網路問諜攻擊為主，佔比達 50%以上。另外有 4 個 0-day 漏洞用於金融方面的攻擊，其中又有 75% 的攻擊屬於勒贖。 在 2021年，駭侵者利用了 81 個 0-day 漏洞發動資安攻擊入侵，2022 年的數字略有下降；然而，2022 年受到濫用的 0-day 漏洞的數量也比 2021 年之外的年份來得多。Mandiant 預計在 2023 年，這一趨勢將繼續上升。 建議企業和個人用戶應採取以下措施：及時更新作業系統、網路瀏覽器和其他軟體；使用網路安全防護產品，如防火牆和入侵檢測系統，並加強內部網路監控，以便及時發現各種可疑活動，並增強人員的資安意識與教育訓練。