不要错过 - 頁面 8

德國柏林科技大學（Technical University of Berlin）的資安研究人員，日前表研究報告，指出研究人員發展出一種破解 Tesla 車內資訊娛樂系統（Infotainment systems）的方法，可以破解 Telsa 對某些付費專屬軟體的限制。 Tesla 車內配備的資訊娛樂系統，採用由晶片設計大廠 AMD 生產製造的 AMD Zen 1 CPU 作為主要處理器；研究人員利用逆向工程技術，追蹤該系統的啟動流程，並且找到該晶片系統的「越獄」（jailbreak）方法。 研究團隊表示，在越獄後，研究人員即可自由啟用通常必須付費才能使用的 Tesla 車內進階功能，例如電熱椅或更凌厲的加速動力。 此外，由於研究人員能夠以這種破解法取得該資訊娛樂系統的 root 權限，因此也能夠竊得車主的多種機敏個人資料，包括車主個人資訊、通訊錄內容、行事曆項目、電話通聯紀錄、Spotify 與 Gmail 連線階段的 cookie、Wi-Fi 密碼、曾造訪過的地點等多項資訊。 研究人員也說，這個破解方式也能夠讓車輛在尚未支援的地區行駛，並且讓車主可以自行進行車輛維修、系統修改等。 研究團隊在找到破解的概念驗證方法後，隨即通報 Tesla 原廠；Tesla 原廠在稍後發表聲明，指出該團隊用以破解以啟動電熱椅的方法，僅適用於舊版 Tesla 韌體，新版韌體已加強安全簽署流程；然而研究團隊指出該攻擊方法照樣可適用於目前推出的最新版韌體。 此外，有部分媒體在相關報導中指出，可利用該破解法啟用「完全自動駕駛」（Full Self-Driving, FSD）功能，但該團隊指出報導是錯誤的，並無法使用該破解方式啟用 FSD。 建議智慧車輛車主對此類破解消息應謹慎處理，避免自行套用，以免影響行車安全。

Microsoft 日前推出 2023 年 8 月例行資安更新修補包「Patch Tuesday」，共修復 87 個資安漏洞；其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 87 個，較上個月（2023 年 7 月）的 132 個資安漏洞少了很多；而在這 87 個漏洞中，有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 23 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：18 個； 資安防護功能略過漏洞：3 個； 遠端執行任意程式碼漏洞：23 個； 資訊洩露漏洞：10 個； 服務阻斷（Denial of Service）漏洞：8 個； 假冒詐騙漏洞：12 個； Edge -Chromium 漏洞：12 個。 本月的 Patch Tuesday 有 2 個已遭大規模濫用的 0-day 漏洞： 第一個是 CVE 編號為 CVE-2023-36884 的 Microsoft Office Defense 遠端執行任意程式碼漏洞；該漏洞存可讓駭侵者跳過先前針對該漏洞發表過的資安更新，再次利用此漏洞來遠端執行任意程式碼。Microsoft 也指出該漏洞已遭一個名為 RomCom 的駭侵團體大規模用於攻擊。 第二個值得注意的漏洞是 CVE-2023-38180，是存於 Microsoft .Net 與 Visual Studio 的服務阻斷漏洞（Denial of Service, DoS）；不過 Microsoft 並未公開說明這個漏洞是否已遭用於攻擊，也沒有分享該漏洞的細節。 CVE 編號：CVE-2023-36684、CVE-2023-38180 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶盡速依照指示，套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

資安廠商 Fireblocks 旗下的加密演算法研究團隊，在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中，發現一批稱為「BitForge」的多個  0-day 資安漏洞；駭侵者可利用這批漏洞，無需與用戶與錢包發行商互動，即可竊走錢包中的加密貨幣資產。 受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商，包括多家知名交易所如 Coinbase、ZenGo、Binance 等。 這批 BitForge 0-day 漏洞群中，第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」（Threshold signature schemes）；研究人員發現駭侵者可利用特製的訊息，在 16 位元的 Chunk 中取出金鑰分片；重覆操作 16 次後即可取得完整私鑰。 另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤，攻擊者只要重覆 200 次操作就可以取得完整的私鑰。 Fireblocks 在報告中指出，該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞，並在第一時間通報多家加密貨幣交易所，並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是，在報告公開的現在，Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞，但 Binance 和其他多家加密貨幣錢包供應商，仍未能及時修復這批問題。 建議加密貨幣交易者如有利用受影響的錢包，可透過 Fireblocks 提供的網頁，檢視受影響錢包是否已經提供更新版本，並立即加以更新。

資安廠商 CYFIRMA 旗下的資安研究人員，近期發現有 APT 駭侵團體，利用假冒的 Android 即時通訊軟體來散布惡意軟體，以竊取受害者手機中的通話記錄、文字簡訊、GPS 定位資訊與其他多種即時通訊軟體的對話內容。 CYFIRMA 指出，涉及這波攻擊行動的印度 APT 駭侵團體稱為「Bahamut」，過去主要透過 WhatsApp 來進行魚叉式釣魚攻擊，直接把惡意軟體傳送給目標對象，以進行攻擊行動。另一家資安廠商 ESET 過去也曾發現 Bahamut 使用假冒的 Android 平台 VPN 軟體來進行大規模資安攻擊。 這次 CYFIRMA 發現 Bahamut 利用一個名為「SafeChat」的假冒 Android App，在其中植入一個名為「Coverlm」的惡意軟體，用以竊取 Telegram、Signal、WhatsApp、Viber、Facebook Messenger 等多種即時通訊軟體內的對話內容；主要的攻擊對象以南亞地區的 Android 手機用戶為主。 CYFIRMA 針對 SafeChat 的分析指出，一旦用戶誤信該軟體是真實的即時通訊軟體並且安裝後，SafeChat 會要求用戶授與輔助使用權限，以自動取得存取簡訊、通訊錄、通話記錄、GPS 資訊、外接儲存裝置等權限，並進行後續的惡意軟體酬載載入與安裝。 SafeChat 甚至會要求用戶同意存取手機的電池電力最佳化子系統，這是為了阻止系統在使用者很少使用該 App 時，自動中止該 App 的執行。 建議 Android 使用者除應避免自非 Google 官方管道下載安裝 App 外，如遇 App 要求輔助使用等權限，應立即拒絕並移除該軟體。

奧地利格拉茨科技大學（Graz University of Technology）的研究團隊，近日發現各廠牌推出的中央處理器（Central Processing Unit, CPU）中，存有一個共同的漏洞「Collide+Power」，可讓駭侵者以特殊方式竊得 CPU 內傳輸的資料。 根據格拉茨科技大學團隊的報告指出，該漏洞的實作方式，是駭侵者可藉由駭侵者對CPU 發出的資料集，在 CPU 中與其他應用程式送出的資料發生「對撞」（collision）時，改寫先前存在 CPU 快取記憶體中儲存的資料時，來測量 CPU 的耗電量變化，因而取得某些機敏資訊。 研究人員指出，受此 Collide+Power 漏洞影響的 CPU 款式可能十分廣泛，包括 Intel、AMD 或基於 ARM 架構設計的 CPU 都可能含此漏洞；雖然目前無法一一確認實際含有該漏洞的 CPU 型號有哪些，但研究人員假設所有型式的 CPU 都含有此漏洞。 該漏洞也已經提報為 CVE-2023-20583，但其 CVSS 危險程度評分僅有 4.7 分（滿分為 10 分），危險程度並不高；對此研究人員指出主要是因為 Collide+Power 攻擊取得的資料精確度並不高，而且必須以繁雜的方式進行實體接線，並進行複雜的計算分析，才能測量到 CPU 耗電量的變化，因此包括研究人員與 AMD 公司，都認為終端用戶不太容易受到駭侵者以此方式進行攻擊。 研究人員也表示，當代 CPU 的設計中，不容易避免資料碰撞的問題發生；即使發現 Collide+Power 理論上可使用資料碰撞問題來竊取資料，但因此而大幅修改 CPU 的設計方式是不切實際的；比較合理的方式是阻止駭侵者有機會接觸電腦設備，以測量 CPU 的用電量變化才對。 CVE 編號：CVE-2023-20583 影響產品：各廠牌 CPU 都可能有此問題，但攻擊實作困難，一般用戶無需擔憂。 解決方案：建議妥善管制重要設備的存取權限，避免駭侵者有機會接觸電腦實體，並裝設測量設備。

五眼聯盟（The Five Eyes）所屬資安主管機關，近期會同美國多個資安主管單位如網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）、美國國家安全局（National Security Agency, NSA）、美國聯邦調查局（Federal Bureau of Investigation, FBI） 等單位，共同發表 2022 年最常遭到用於駭侵攻擊的 12 個資安漏洞。 五眼聯盟是由美國、澳洲、加拿大、紐西蘭與英國等五個英語系國家組成的情報合作組織；其下轄的資安單位近期發表這批漏洞，意在敦促全球各公私單位，立即針對這些已造成嚴重資安風險的漏洞進行處理，以降低繼續遭到攻擊的危險。 該報告指出，近年來駭侵者更偏好使用已知的舊漏洞來發動攻擊，而非使用未公開或較新的漏洞。由於這些舊漏洞往往很長一段時間仍未受到修補，再加上有較多現成的攻擊工具與方法可以使用，因此帶來極大的資安風險。 報告也說，雖然在 2022 年中新增了近 25,000 個指派有 CVE 編號的漏洞，但名列榜上的最常遭駭漏洞中，只有 5 個是在 2022 年新發現的漏洞。 名列該份清單的漏洞如下： CVE-2018-13379：Fortinet SSL VPN 登入資訊外洩； CVE-2021-34473（Proxy Shell）：Microsoft Exchange Server RCE 漏洞； CVE-2021-31207（Proxy Shell）：Microsoft Exchange Server 資安防護功能跳過漏洞； CVE-2021-34523（Proxy Shell）：Microsoft Exchange Server 執行權限提升漏洞； CVE-2021-40539：Zoho ADSelfService Plus RCE/登入驗證跳過漏洞； CVE-2021-26084：Atlassian Confluence Server/Data Center 任意程式碼執行漏洞； CVE-2021-44228（Log4Shell）：Apache Log4j2 的 RCE 漏洞； CVE-2022-22954：VMware Workspace ONE 的 RCE 漏洞； CVE-2022-22960：VMware Workspace ONE 權限管理不良漏洞； CVE-2022-1388：F5 Networks BIG-IP 驗證流程漏洞； CVE-2022-30190：Microsoft 多種產品的 RCE 漏洞； CVE-2022-26134：Atlassian Confluence Server/Data Center 的 RCE 漏洞。  建議系統管理者需在接獲軟體系統更新通報後立即進行更新，勿留下已知漏洞，以免遭到資安攻擊而造成損失。

資安專業媒體 BleepingComputer 日前發現一個偽裝成 FlipperZero 官方網站的詐騙網站，以送出免費 Flipper Zero 裝置為由，誘騙受害者進入惡意網站並安裝惡意瀏覽器外掛程式。 Flipper Zero 是一個在近期引起資安研究人員與自造者高度興趣的多功能開源工具，具備相當廣泛的功能與界面，支援 RFID 模擬、多頻段無線電通訊、NFC、紅外線通訊、藍牙、乙太網路等。自該裝置推出後，許多資安人員與相關技術愛好者紛紛發表多種該裝置可使用的控制軟體，因此十分受到歡迎，出現一機難求的現象。 BleepingComupter 是在近日發現一個假冒 Flipper Zero 官方網站的詐騙活動，頻繁在 Reddit 論壇與各社群媒體上刊登廣告，宣稱只要填寫一份問卷，就能免費獲得一台原價 169 美元的 Flipper Zero。 BleepingComputer 的資安研究人員進一步發現，該詐騙網站雖然外觀十分接近 Flipper Zero 正宗官網，但網站上許多連結都代管於一個惡名昭彰的瀏覽器詐騙通知與惡意外掛程式平台 trkrspace[.]com 上。 BleepingComupter 指出，使用者如果填寫了該詐騙網站上的問卷，其個資就會被蒐集成功，包括姓名、地址、Email 等，並用於其他釣魚攻擊與詐騙攻擊活動之上；有些使用者瀏覽器還會出現假警訊，謊稱使用者的電腦發生問題、系統過載或有安全漏洞，需要安裝資安防護軟體等，藉以進一步誘騙使用者。 建議使用者對於過份好康（too good to be true）的各種廣告訊息都必須提高警覺，且勿隨意提供個人資訊。

Google 日前發表年度報告「The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022」，在報告中除了列出在 2022 年被駭侵者積極用於攻擊的多個 0-day 漏洞之外，Google 更指出由於各 Android 設備製造廠在韌體更新推出時程的延遲，加上 Android 生態系的複雜度，由 Google 修補完成的 0-day 漏洞，駭侵者往往仍可在數月後用於攻擊。 Google 指出的這個問題，可說是 Android 系統上長年未解的老問題，主要肇因於 Google 生態系的複雜性。在該生態系，最上游的 Google 到最下游的手機製造廠，中間還有許多角色，例如品牌商（如三星、小米等）、電信業者等。這樣複雜的結構，造成即使 Google 在第一時間發表了 0-day 漏洞的修補方案，也要等品牌商或製造商針對各款手機推出韌體更新，使用者才能修補裝置上的 0-day 漏洞。 Google 說，從 Google 修補漏洞到使用者有更新版韌體可以安裝，中間往往會有好幾個月的時間間隔；而這麼長的時間差，就讓駭侵者有機可乘，可利用事實上早就可以修補的 0-day 漏洞，在很長一段時間內仍可用來發動攻擊。 舉例來說，CVE-2022-38181 是個發生在 ARM Mali CPU 的 0-day 漏洞，該漏洞於 2022 年 7 月時提報給 Android 開發團隊，並於 2022 年 10 月由 ARM 發表漏洞修補程式，但直到 2023 年 4 月時才納入 Android 2023 年 4 月的更新之中，時隔長達半年。而駭侵者早在 2022 年 11 月起，就開始利用該漏洞發動攻擊。 鑑於 Android 生態系的複雜度與較大的資安風險，Android 使用者應加強本身的資安防護措施，或考慮改用其他較安全的系統。

資安廠商 SlashNext 發現有駭侵者推出專門用於進行釣魚與惡意軟體投放攻擊的 AI 聊天機器人，分別採用最新的 ChatGPT 與 Google Bard AI 技術來訓練。 SlashNext 旗下的資安研究人員，在 7/25 發現一個自稱為 CanadianKingpin12 的駭侵者，於多個駭侵相關論壇上刊登廣告，推廣其用於進行網路詐騙、駭侵攻擊與垃圾訊息發送專用的 AI 聊天機器人 FraudGPT。 在進一步追蹤後，SlashNext 的資安研究人員證實 CanadianKingpin12 很早就開始利用在暗網上出售的各種駭侵資料集，以 ChatGPT 和 Google Bard 等大型語言模型（Large Language Model, LLM）來訓練自己的 AI 聊天機器人 DarkBART；研究人員也發現 CanadianKingpin12 也利用韓國研究人員研發的另一個大型語言模型，來訓練另一個 AI 聊天機器 DarkBERT。 根據 CanadianKingpin12 的說詞，DarkBERT 在各種運用暗網資料來訓練的 AI 駭侵工具中，可說是功能最強大的一款，可以用來進行以下攻擊： 發動成熟的釣魚攻擊活動，用以取得目標對象的密碼與信用卡資訊； 執行先進的社交工程攻擊，以取得機敏資訊或目標系統的登入權限； 利用電腦系統、軟體或網路的資安漏洞加以攻擊； 製作並散布惡意軟體； 利用 0-day 漏洞來獲得不法所得，或破壞目標系統。 SlahNext 指出，這兩個 AI 惡意聊天機器人的開發時程都不到一個月就完成推出，由此可見 AI 的濫用，即將成為資安防護與網路犯罪令人頭痛的嚴重問題。 建議資安研究與防治單位應加強研究如何偵測並防範由 AI 執行的各種惡意攻擊手法，擁有 LLM 等先進 AI 技術的大型科技公司，亦應加強防範其工具遭到濫用於資安攻擊之上。

區塊鏈分析師指出，APT 駭侵團體 Lazarus 疑似與近期發生的加密貨幣付款平台 Alphapo 攻擊事件有關；該攻擊事件造成高達 6,000 萬美元的加密貨幣被竊。 Alphapo 是一個集中化的加密貨幣付款平台，服務對象包括多個線上博弈平台、電子商務訂閱等多種網路平台。該服務於 2023 年 7 月 23 日遭到駭侵攻擊，當時估計的被竊加密貨幣總額高達 2,300 萬美元，計有 600 萬美元的 USDT、10.8 萬枚 USDC、1,002 萬美元的 FTN、430 萬美元的 TFL、2,500 美元的 ETH、1,700 美元的 DAI 等。 據指出，上述 Alphapo 被竊的數位資產，都竊自該平台的線上熱錢包；可能是因為該平台的錢包私鑰遭竊所致。 另外也有區塊鏈投資者與分析師指出，Lazarus 另外還竊得 3,700 萬美元的 TRON 與比特幣，所以總共因攻擊取得的數位資產高達 6,000 萬美元之多。 Lazarus 駭侵團體長久以來均以加密貨幣相關駭侵為主要攻擊領域；過去該團體曾經涉及高達 3,500 萬美元的 Atomic 錢包竊案、1 億美元的 Harmony Horizon 攻擊，以及 6.17 億美元的 Axie Infinity 竊案。 該駭侵團體也經常在 LinkedIn 等求職網站，以詐騙的高薪求才廣告招徠，引誘大型加密貨幣業者的員工跳槽，藉以駭入這些受害者的電腦，竊取其所屬企業的機敏資訊與數位資產。 建議加密貨幣相關業者務必將客戶資金存放在冷錢包中，且應隨時檢測資安防護，以免大筆資金遭竊。