不要错过 - 頁面 9

資安廠商 Wiz 旗下的資安研究人員，近期在廣受歡迎的 Linux 發行版本 Ubuntu 的核心中發現兩個漏洞，可讓未擁有高等級權限的本機使用者提升其執行權限，並且執行任意程式碼。 這兩個漏洞分別為 CVE-2023-32629 和 CVE-2023-2640。CVE-2023-2640 是個存於 Ubuntu Linux 核心記憶體管理子系統中，一個不適當的權限檢查機制造成的權限提升漏洞，能夠存取本機的駭侵者，可以利用該漏洞來提升執行權限。 另一個漏洞 CVE-2023-32629 也存於 Ubuntu Linux 核心記憶體管理子系統中，在存取 VMA 時可能形成競爭狀況並導致記憶體發生「釋放後使用」（use-after-free）問題，使可以存取本機資源的駭侵者藉以執行任意程式碼。 CVE-2023-2640 的 CVSS 危險程度評分較高，為 7.8 分（滿分為 10 分），其危險程度評級為「高」（high）；而 CVE-2023-32629 的 CVSS 分數略低，為 5.4 分，其危險程度評級為「中」（medium）。 資安研究人員是在研究 Ubuntu Linux 在實作 OverlayFS 檔案系統發生的不相容問題時，發現這兩個漏洞。過去在 2018 年之前的 Ubuntu Linux 發行版，在執行 OverlayFS 時並不會發生任何問題，但在 2019 年和 2022 年，Linux 核心專案進行部分變動，就導致在 Ubuntu Linux 核心在執行 OverlayFS 時發生上述兩個漏洞。 由於 Ubuntu 的使用層面極廣，Wiz 的研究人員估計約有 40% 的 Ubuntu 系統含有此二漏洞；Ubuntu 基金會也已推出資安更新，用戶應立即套用。 Ubuntu 基金會也已針對這兩個漏洞與其他資安漏洞推出資安更新，建議用戶應立即套用。

Apple 近期釋出一個資安更新，用以修復已證實遭駭侵者用於攻擊 iPhone、iPad 和 Mac 裝置的 0-day 漏洞 CVE-2023-37450。 這個漏洞存在用於 iPhone、iPad 與 Mac 的 WebKit 瀏覽器核心之中，駭侵者可透過特製的網頁內容，來觸發 CVE-2023-37450 的發生，藉以執行任意程式碼。 該漏洞係由一位匿名的資安研究人員通報，Apple 在該公司發表的資安通報中指出，該公司已經知悉本漏洞已遭駭侵者積極用於攻擊活動之中。 此外，Apple 最新推出的資安更新，也同時解決另一個亦可能已遭駭侵者大規模用於攻擊的 0-day 漏洞 CVE-2023-38606；該漏洞存於作業系統的核心之內，駭侵者可以利用這個漏洞來竄改敏感的作業系統核心狀態。 針對 CVE-2023-38606，Apple 也在資安通報中指出，該公司業已獲悉有駭侵者利用此漏洞攻擊作業系統版本仍在 iOS 15.7.1 之前舊版本的 iOS 裝置。 資安廠商卡巴斯基旗下的首席資安研究員 Boris Larin 也針對 CVE-2023-38606 發表推文指出，有駭侵團體使用該漏洞，透過特製的 iMessage 內容來觸發此漏洞，配合其他攻擊方式來布署一個名為 Triangulation 的惡意軟體。 Apple 這次發表的資安更新，係針對 macOS Ventura 13.4、iOS/iPad OS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 等舊版本發行，加強其邊界檢查、輸入驗證與記憶體管理。 由於受兩個 0-day 漏洞的影響範圍很大，建議所有 iPhone、iPad 與 Mac 使用者均應立即更新到最新版本作業系統。

資安研究人員 iamdeadlyz 日前宣布，他發現一個全新的加密貨幣惡意軟體 Realst；該惡意軟體以 Apple 生產的 Mac 電腦為攻擊目標，竊取受害者電腦中加密貨幣錢包中的各種數位資產。 iamdeadlyz 指出，該惡意軟體主要是以假扮成多種區塊鏈遊戲來騙取受害者下載安裝，例如 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles、SaintLegend 等。 這些遊戲在多個社群媒體或相關論壇都有刊登廣告，駭侵者會利用私訊，假稱傳遞可直接玩這些遊戲的密碼給受害者，讓受害者從駭侵者設立的假網站中下載安裝內含惡意軟體的假遊戲檔案。駭侵者也可以藉由不同的密碼來辨識個別受害者，並且躲避資安防護軟體的追蹤。 一旦受害者安裝了這些假遊戲，安裝程式就會針對受害者使用的作業系統，安裝不同的惡意軟體；Windows 系統會安裝 RedLine Stealer，而這次發現的 Realst 惡意軟體則是針對 macOS 作業系統。 資安研究人員所取得的樣本指出，某些版本的 Realst 惡意軟體甚至能夠支援尚未正式推出，目前僅有測試版的 macOS 14 Sonoma。 據資安廠商 SentinetOne 取得的十多個 Realst 取樣研究報告指出，該惡意軟體會竊取安裝於 macOS 系統上的多種瀏覽器和通訊軟體，例如 Firefox、Chrome、Opera、Brave、Vivaldi、Telegram，以竊取其中儲存或傳遞的機敏資訊，但都未針對 Safari 進行攻擊。 建議 Mac 使用者應避免自官方 App Store 以外來源安裝 .PKG 檔或 .DMG 檔，以免遭到惡意軟體攻擊。

資安廠商 Flare 分析近 2000 萬筆求售資訊竊盜惡意軟體的記錄檔後，發現有近 38 萬筆企業用於各種雲端服務的登入資訊遭到竊取。 Flare 分析的惡意軟體記錄檔，係取自駭侵者在暗網上的駭侵相關論壇與 Telegram 駭侵討論頻道中出售的大量記錄資料，因而發現企業登入資訊大量遭竊的情形。 Flare 分析的資訊竊取惡意軟體包括 Redline、Raccoon、Titan、Aurora、Vidar 等，這些惡意軟體以出租的方式提供給駭侵分子使用，並透過各種方法引誘用戶下載，不但對個人使用者造成資安威脅，也對企業造成很大的資安風險。駭侵者可以利用這些竊得的登入資訊，攻擊企業使用的 VPN、RDP、CRM 系統，進行更大的破壞。 Flare 指出，這些惡意軟體主要攻擊企業使用者，並且竊得許多主流企業用雲端系統的登入資訊；Flare 取得的記錄檔數量如下： 179,000 筆 AWS Console 登入資訊； 2,300 筆 Google Cloud 登入資訊； 64,500 筆 DocuSign 登入資訊； 15,500 筆 QuickBooks 登入資訊； 23,000 筆 Salesforce登入資訊； 6,600 筆 CRM 登入資訊。 Flare 也表示，這些資訊中有 74% 是取自 Telegram 頻道，其餘約 25% 則來自駭侵論壇上的賣場，如「Russian Market」。 另外 Flare 也發現有 20 萬筆資訊竊取記錄內含 OpenAI 的登入資訊，這表示企業使用 OpenAI 時輸入或取得的相關資訊，也面臨遭駭侵者利用的風險。 建議企業應全面加強各種資安防護能力，並強化員工資安意識，以免成為資安破口，導致惡意軟體有機可趁。

資安廠商 Lookout 指出，進階持續性威脅團體 APT41 近期利用兩個間諜軟體 WyrmSpy 和 DragonEgg，鎖定 Android 手機使用者發動攻擊。 APT41 過去長期針對美國、亞洲和歐洲各國的各種目標發動攻擊，曾受 APT41 駭侵攻擊的單位包括軟體開發、硬體製造、政策智庫、電信通訊、大專院校與外國政府等等。 Lookout 是在 2017 年時首先發現 WyrmSpy，並在 2021 年初發現 DragonEgg；近期則是在 2023 年 4 月再次發現其攻擊活動。這兩個 Android 惡意軟體都具有強大的資料竊取能力。 據 Lookout 指出，WyrmSpy 的感染方式主要是以偽裝為 Android 系統維護軟體為主，而 DragonEgg 則會偽裝為第三方鍵盤軟體或即時通訊軟體，且透過各種手段來避免遭到防毒防駭軟體的偵測。 由於 WrymSpy 和 DragonEgg 使用相同的 Android 數位簽章，因此可以推測這兩個惡意軟體係為同一來源。Google 也指出，目前尚未在 Google Play Store 中發現任何 App 含有這兩個惡意軟體。 據 Lookout 發表的報告指出，APT41 除了會入侵政府單位竊取情報之外，也會針對私人企業發動駭侵攻擊，以取得財務上的不法收入。而過去 APT41 主要是利用各種 Web App 和曝露於外網裝置中的漏洞來發動攻擊，但近年來也開始利用如 WyrmSpy 和 DragonEgg 之類的惡意軟體來攻擊 Android 裝置。 建議 Android 使用者應避免安裝來路不明的 apk 檔案，apk 檔案為 Adnroid 惡意軟體的來源之一。

烏克蘭警方的網路警察部門，日前宣布破獲一個大型機器人機房，除了搜索超過 12 處地點、250 台以上 GSM 閘道器、逮捕 100 人以上之外，還查獲 15 萬張 SIM 卡。 烏克蘭警方說，這個機器人機房是用以在烏克蘭發送俄羅斯入侵烏克蘭正當性的政治軍事宣傳之用，同時也涉及多起詐騙案件。 烏克蘭警方一共在 Vinnytsia、Zaporizhzhia 和 Lvivand 同步執行 21 個搜索行動，緝獲大量電腦設備、手機、250 個以上 GSM 閘道器，以及多家電信業者近 15 萬張 SIM 卡。 烏克蘭警方說，駭侵者使用特殊設備和軟體，利用這些 SIM 卡門號，在多個社群網站大量註冊數千個帳號，並以這些帳號來發送違反烏克蘭法律的內容，包括政治軍事宣傳、假訊息、詐騙攻擊，並且傳送烏克蘭公民的個人資料，威脅烏克蘭人民的人身與財產安全。 這並不是烏克蘭首次破獲用來傳遞假消息和政治軍事宣傳的機房，2022 年 8 月和 9 月共破獲兩處機房，其中一處有多達 100 萬台假帳號機器人。這些被破獲的機房位於 Kharkiv、Cherkasy、Ternopil 和 Zakarpattia。 在過去多次假消息攻擊中，烏克蘭總統澤倫斯基也成為攻擊目標，有多支利用深偽技術的假訊息影片，透過這些機器人網路在 Facebook 和其他熱門社群網路上散布，甚至連烏克蘭境內的廣播電台也曾遭挾持並用以發送假訊息。 建議政府單位加強一般民眾對假訊息的媒體識讀能力，並加強偵測各種境內境外的假訊息活動；平台應強化對於帳號註冊的管控與協同貼文限制。

非營利資安組織 Shadowserver Foundation 旗下的資安研究人員，近日發現有至少 15,000 台的 Citrix NetScaler ADC 與 Gateway 伺服器，內含可能導致駭侵者遠端執行任意程式碼的嚴重漏洞 CVE-2023-3519，且曝露在對外網路上，風險極高。 根據 Shadowserver Foundation 提供的報告指出，含有 CVE-2023-3519 漏洞且曝露於外網的伺服器，以分布在美國境內的裝置數量最多，達到 5,700 台，其次為德國（1,500 台）、英國（1,000 台）、澳大利亞（582 台）、瑞士（509 台）、加拿大（509 台）、法國（451 台）、中國（402 台）、荷蘭（358 台）、瑞典（308 台）、義大利（290 台）、日本（253 台）等。 CVE-2023-3519 最早是在 2023 年 7 月初時因某駭侵者在某駭侵論壇上張貼一則關於 Citrix  0-day 漏洞廣告而曝光；該漏洞可讓駭侵者在沒有獲得授權的情形下，遠端執行任意程式碼，且其 CVSS 危險程度評分高達 9.8 分（滿分為 10 分）。 受此漏洞影響的 Citrix 裝置與版本相當多，Citrix 也在 7 月 18 日針對 CVE-2023-3519 推出了更新版韌體，以修復該漏洞。甚至美國資安主管機關 CISA 也在上周明令政府單位須限期更新此漏洞。 不過按照 Shadowserver Foundation 的報告，全球顯然還有許多內含此漏洞尚未更新的裝置，且都曝露於對外網路上。 CVE 編號：CVE-2023-3519 影響產品：NetScaler ADC 與 NetScaler Gateway 13.1-49.13 與先前版本；其他產品請參閱 Citrix 發布之資安通報 解決方案：建議立即依原廠指示升級到指定版本韌體，相關裝置也應受防火牆之保護，避免曝露於外部網路連線。

美國計畫推出一個名為「網路安全信任標誌」（Cyber Trust Mark）的資安防護認證產品標章，供通過認證的網站標示，以協助美國消費者在選購連網裝置時，可以依該標章選購安全性較高、對抗駭侵攻擊韌性較強的產品。 Cyber Trust Mark 標章的提案，是由美國聯邦通訊委員會（Federal Communication Commission, FCC）提出，並接受各方建議。這個標章預計在明年正式上路，供各種智慧連網製造商申請使用。 在提案中規定，要獲得 Cyber Trust Mark 標章的產品，必須符合美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出的資安規範標準，包括預設使用強式密碼、資料保護、軟體或韌體更新、事故偵測能力等標準。 在由白宮發表的一份新聞稿中指出，FCC 推出 Cyber Trust Mark 的目的，除了要保護美國消費大眾在使用各種連網裝置時的安全性外，更要提高這類裝置的一般資安保護水準。 這個標章預計將適用於各類連網裝置，包括智慧家電如冰箱、微波爐、電視、空調系統、健身追蹤器材等等。目前已有多家智慧連網家電暨裝置大廠宣布加入這個標章系統，包括 Amazon、Best Buy、Google、LG Electronics USA、Logitech、Samsung Electronics 等。 待 Cyber Trust Mark 上路後，符合標準的產品將可貼上專屬標章，並列表於一份可公開查閱的產品清單中，以供消費者選購產品時參考之用。 建議政府單位、廠商與相關資安單位，可參考該標章的標準與做法，推動在國內市場販售的連網裝置也有同類標示，可供消費者參考，並強化社會大眾的資安意識。

資安廠商 Mandiant 日前發表研究報告，指出該公司旗下的資安研究人員，近期發現新一波透過 USB 隨身碟發動攻擊的案例，且攻擊量在 2023 年上半年再創歷年新高。 Mandiant 發現的 USB 隨身碟攻擊活動共有兩大系統，其一稱為「Sogu」，疑似與駭侵團體「TEMP.HEX」有關；另一個稱為「Snowydrive」，疑似由另一個駭侵團體「UNC4698」有關，針對亞洲的多家石油與瓦斯公司發動攻擊。 在 Sogu 的攻擊活動方面，Mandiant 指出該駭侵團體鎖定的攻擊目標十分廣泛，遍及美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼和菲律賓。 以行業別來看，遭到 Sogu 攻擊的行業以製藥業和 IT 業最多，均達 11.8%，其次為能源產業（9.4%）、通訊業（9.4%）、醫療業（8.2%）、物流業（7.1%）、非營利組織（5.9%）、零售業（4.7%）、媒體業（4.7%）等。 據 Mandiant 分析，Sogu 使用 DLL order 綁架技術，將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中，然後在登錄檔中新增 Run 機碼，以常駐在電腦中並自動執行，並掃瞄電腦中的 MS Office、PDF 檔案與文字檔，試圖竊取其中的有價值資訊，並上傳到控制伺服器中。 而 Sonwydrive 則會在受害電腦中安裝一個後門，讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry，竊取檔案內容等。 雖然 USB 隨身碟攻擊的手法已十分老舊，但由於人員資安警覺低，仍有相當的成功率；建議各單位應針對電腦 USB 埠的存取權限提高防範能力，並且加強資安教育訓練，並避免使用任何形式的外部實體儲存裝置。

一個名為 All-in-One Security（AIOS）的 WordPress 資安防護外掛程式，近日遭到用戶發現，其運作方式以明文方式來儲存用戶輸入的密碼，而未經加密儲存；這可能導致使用者的資安曝於風險之下。 All-in-One Security（AIOS）是由軟體開發廠商 Updraft 開發的 WordPress 網站專用資安防護外掛程式，可以提供 web application 的防火牆、內容防護、登入安全等額外的資安防護功能，以防殭屍網路機器人或暴力試誤法的攻擊。 約在三個多星期前，有位 All-in-One Security（AIOS）的使用者在 WordPress.org 的支援討論區中發文指出，他發現 All-in-One Security（AIOS）v5.19 不只會把使用者的登入記錄寫入到 aiowps_audit_log 這個用來記錄用戶登入、登出、登入失敗等事件的資料表中，更會以明文方式記錄用戶輸入的密碼。 該用戶在發文中也強調，這種做法已經明顯違反 NIST 800-63 3、ISO 27000、GDPR 等資安規範或法規。 All-in-One Security（AIOS）的開發廠商 Updraft 在看到相關貼文後，先是以該問題是一個已知的錯誤（a known bug）來回應，但並未立即承諾具體的修正時間和做法；雖然 Updraft 隨即提供開發中版本供使用者下載，但使用者回報指出新的開發版並未解決問題，也沒有刪除記錄在資料表中的密碼。 不過 Updraft 在 7 月 11 日時提供了新版的 All-in-One Security（AIOS）v5.2.0，自此版本起不再以明文儲存用戶輸入的密碼，同時會自資料表中刪除先前儲存的密碼。 建議 All-in-One Security（AIOS）的用戶應立即將該外掛程式升級至 V5.2.0 版。