資安一周[0426-0502]：上百萬臺路由器爆發RCE漏洞，一行指令就可繞過驗證機制；資安專家發現Volkswagen及Audi兩款車可以遠端駭入的漏洞

光纖路由器爆RCE漏洞，上百萬臺家用路由器門戶洞開

資安公司vpnMentor日前針對大量GPON（Gigabit Passive Optical Network）家用路由器進行分析，發現這些路由器韌體存在兩個重大風險漏洞，分別為CVE-2018-10561 及CVE-2018-10562，前者漏洞可讓駭客在瀏覽器的網址列輸入一道URL，後加入?images/，就能繞過所有驗證機制；駭客若結合後者漏洞，即可注入指令，接管路由器甚至網路。
ZDNet引述研究人員報導，出現漏洞的路由器來自南韓的Dana Networks，而受影響最甚的ISP為墨西哥的Telmax。此外研究人員更指出，由於路由器的關鍵地位，上述漏洞可能殃及整個網路，使整個網路上的裝都淪為殭屍裝置。更多內容

九成SAP用戶權限沒關好！13年前問題設定恐讓駭客任意存取App

安全服務業者Onapsis發現一項攸關資料外洩的SAP 系統設定，即使SAP在13年前已經發出警告，但至今仍有九成用戶仍然未解決。本問題並非SAP產品的安全漏洞，而是一項系統設定，存在於SAP底層的NetWeaver中的SAP Message Server中。它的角色是支援SAP基礎架構軟體如SAP Application Server、SAP Central Instance交易流量尖峰時的通訊及負載平衡，當IT開發出新app時也需經由Message Server註冊。Message Server的安全把關功能是它支援存取控制表 (access control list，ACL)，決定誰可存取port 3900以註冊服務。問題在於由於各家企業網路環境不同，SAP NetWeaver Message Server軟體ACL出貨時預設為關閉，以利系統安裝設定。然而關閉ACL意謂著所有人都可以存取port 3900註冊app，包括外部攻擊者。更多內容
 

駭客發現Volkswagen及Audi兩款車可以遠端駭入的漏洞

資安公司Computest研究人員日前發現，兩款德國車Volkswagen及Audi有多處漏洞，駭客可以透過車載娛樂系統（IVI）模組化訊息平臺（MIB）連網後的漏洞，遠端操控麥克風、揚聲器以及導航系統，也就是說，駭客可以打開或關閉車上的麥克風予揚聲器進行竊聽外，也可以透過導航系統跟蹤車子。
這個研究是在2017年7月發現，研究人員與Volkswagen公司於同年8月見面，並於同年10月表示不會對外揭露該漏洞研究；Volkswagen公司於2018年2月完成該研究論文的審查，於今年4月完成相關的漏洞修補。更多內容
 

北韓本土防毒軟體盜版趨勢科技10年前防毒引擎

資安公司Check Point研究人員指出，他們針對北韓本土的防毒軟體SiliVaccine進行分析發現，該防毒軟體的防毒引擎是使用防毒公司趨勢科技在10年前所採用的防毒引擎：VSAPI掃描引擎8.9x ，而且該版引擎針對特定的惡意程式會選擇性掠過而不會有任何標示。趨勢科技對此表示，他們的研發資料並沒有任何外洩，但不排除這是軟體盜版的案件，看起來像是北韓取得趨勢科技防毒引擎DLL的公用版本，並對其進行修改。更有甚者，趨勢科技也發現到，北韓防毒公司將趨勢科技的軟體簽名名稱，更改成自己的名稱，完全隱藏趨勢科技防毒引擎的身分。更多內容

加拿大公布私部門個資及電子文件資料保護法，今年11月1日生效 

加拿大政府日前公布，規範私部門的「個資及電子文件資料保護法（Canada's Personal Information Protection and Electronic Documents Act，PIPEDA）」，預計在今年11月1日正式實施，企業目前還有7個月的時間進行合規。加拿大政府表示，「數位隱私法（Digital Privacy Act）」中已經規定，資料一旦外洩，私部門對當事人都有通報義務，但因為「個資及電子文件資料保護法」需要更多的細節規範，所以遲遲還沒有生效。
根據PIPEDA的規定，資料外洩必須對個人造成重大傷害的真實風險，才必須要有通報的義務，因此，考量到相關訊息的敏感性、資料被濫用的可能性，以及相關身體損傷、屈辱、名譽或關係受損，甚至會影響到失業或造成商業機會損失，帶來經濟損失、身分竊盜以及對信用記錄或相關財產損失的評估會帶來負面風險等，都包括在內。私部門資料外洩，若沒有針對當事人進行通報的話，每次都會罰款10萬元加幣（約新臺幣230萬元）。更多內容

F-Secure：連鎖飯店採用的電子鎖VingCard韌體漏洞可打造萬用鑰匙

資安公司F-Secure日前發現，全球連鎖飯點所使用的VingCard的電子鎖暨鑰匙卡產品線Vision有漏洞，駭客可透過設備讀取鑰匙卡，不論有效或是失效的，可以複製出一個萬用鑰匙，進出建築內的任何房間。VingCard的電子鎖暨鑰匙卡產品線Vision，估計被部署於全球逾160個國家的14萬間飯店。儘管Vision已是個不再開發的產品，但VingCard已為了仍在使用該產品的客戶修補了韌體。更多內容
 

微軟向關鍵基礎架構產業招手，展示鎖定物聯網裝置安全的TCPS專案

微軟日前於德國舉行的漢諾威工業博覽會上揭露了「可靠網路實體系統」（Trusted Cyber Physical Systems，TCPS）專案，該專案的目的在於建立一個安全模式來處理於分散式系統中流竄的資料，以確保關鍵基礎架構的安全性。微軟指出，TCPS準則是不論如何，關鍵系統所有人或營運商都不得失去它們對系統的控制權。為此，資料須在Intel SGX、ARM TrustZone與SecureElements等可靠環境執行，元件不僅應採用安全的協定、金鑰與資料，也必須於受到雲端代管業者與OS製造商保護的TEE中執行所有的重要操作。更多內容
 

Alexa遭爆有隱私漏洞，可能成為駭客監聽用戶的幫手

資安公司Checkmarx日前揭露，Amazon的語音助理Alexa存在隱私洩漏的漏洞，駭客能在使用者未發現的情況下，於使用者啟用Alexa後，偷偷記錄其收到的語音。而駭客要進入這個流程，需從Alexa被喚醒開始，Checkmarx在一款計算機App中加入了惡意程式碼，只要使用這款App就能完成竊聽的任務。所幸，Amazon已經與Checkmarx合作，Alexa應用程式認證程序現在已經可以偵測並阻擋惡意竊聽程式。更多內容
 

因Windows修補程式而冒出的漏洞攻擊程式碼公布於網路上

Meltdown漏洞陰影久久不散。微軟3月間修補Meltdown漏洞的程式引發新漏洞，現在有駭客將攻擊程式碼公佈於網路論壇上。微軟給予這個權限升級漏洞編號為CVE-2018-1038，不過自稱駭客及資安研究人員的駭客XPN稱之為Total Meltdown。他指出，Total Meltdown允許任何程序存取和修改PML 4記憶體分頁表的資訊，於是「趁本周有點空閒」寫出攻擊程式，已成功駭入了Windows中的記憶體管理機制，還清楚說明攻擊程式編寫示範，並將程式碼公佈於GitHub上。但他強調本文是提供學習，而非讓人拿來發動攻擊之用。微軟已經在3月底釋出最新更新，IT人員最好儘速升級安裝。更多內容
 

趨勢：惡意程式專門利用臉書Messenger感染Chrome用戶，直指加密貨幣而來

趨勢科技日前披露了一個專門藉由Facebook Messenger進行散布，且主要感染Chrome瀏覽器用戶的FacexWorm惡意程式，該惡意程式鎖定的目標為近來盛行的加密貨幣，包括竊取用戶加密貨幣憑證、進行加密貨幣詐騙、誘導用戶造訪遭植入採礦程式的網頁，以及挾持加密貨幣的交易等，功能非常完善。FacexWorm被植入於許多Chrome擴充程式中，在去年8月就被發現，但趨勢在今年4月上旬發現它更活躍了，同時出現在德國、突尼西亞、日本、臺灣、南韓與西班牙等市場。更多內容