資安一周第16期：TI藍牙晶片爆零時差漏洞影響數百萬無線AP。群募公司貝殼放大驚傳數萬筆個資外洩

1101-1107一定要看的資安新聞

＃晶片漏洞　＃藍牙　＃無線路由器

TI藍牙晶片遭爆兩個零時差漏洞，數百萬無線AP陷風險，思科、Aruba急搶修

以色列資安業者Armis本周揭露，由德州儀器（Texas Instruments，TI）所生產的低功耗藍牙晶片含有兩個重大的安全漏洞，成功開採相關漏洞的駭客將可入侵企業網路，掌控無線AP或散布惡意程式，包括思科、Meraki與Aruba的無線AP都採用了含有漏洞的藍牙晶片，讓全球數百萬個企業AP拉警報。

Armis將所發現的漏洞命名為BleedingBit，第一個BleedingBit漏洞影響型號為CC2640及CC2650的TI BLE晶片，成功的開採可能造成BLE堆疊的記憶體損毀，可進一步危害AP的主系統，並取得AP的完整控制權，不論是思科或Meraki的AP都採用了這兩款晶片。更多內容

＃資料外洩　＃Amazon S3設置不當

貝殼放大驚傳數萬筆個資外洩，時代力量也遭殃

群募、集資公司貝殼放大傳出資料外洩事件，他們旗下建置之線上金流管理工具「Backme貝殼集器」，於11月2日凌晨發現部份個資出現外洩事件，他們隨即在當日於官方網站發出公告，主動揭露此事件的影響範圍、被洩漏的資訊。而在貝殼放大的企業用戶中，包括像是時代力量、社會民主黨等多個專案，故而使相關贊助者有資料外洩疑慮。

根據貝殼放大的聲明，這次事件外洩的資料筆數約十萬筆，主要是2017年2月前，使用過Backme之贊助者的訂單資料，包含註冊名、Email、寄件地址、聯絡電話與贊助項目，但不包含用戶登入密碼。至於其他敏感資料，像是信用卡號、信用卡安全碼與銀行付款帳號等，因未儲存於Backme貝殼集器，因此不受波及，也沒有盜刷的疑慮。

至於外洩管道，他們表示有國外第三方爬蟲網站，爬取了超過7萬個於Amazon S3 Server建置的網站，並將相關資料連結發布於該爬蟲網站所導致，因為Backme提案團隊亦將贊助者資料存放於Amazon S3 Server上。不過，企業自身因Amazon S3配置不當，而造成資料外洩的意外，已不勝枚舉，這起事件應該也是類似的問題所造成。更多內容

＃WPA3　＃無線路由器　＃無線網路加密通訊協定

支援WPA3無線路由器正式登場，10月底近百款產品通過認證

自從2017年底，無線網路加密通訊協定WPA2弱點遭到揭露，也促使Wi-Fi聯盟（Wi-Fi Alliance）加速推動WPA3，今年1月，他們宣布推出WPA3，目標是在改善WPA2的漏洞問題，以及進一步增加Wi-Fi安全性，而WPA3的相關細節則是在6月下旬正式公布。隨著新標準底定，後續大家關心的就是支援WPA3的產品何時能問世。

最近，我們注意到已有將近百款無線路由器，通過WPA3認證。這也意謂著，近期可能就有大量支援WPA3的Wi-Fi基地臺推出。從Wi-Fi聯盟揭露的資訊來看，支援WPA3的第一波產品，是在10月底至11月1日之間通過驗證，包含HPE Aruba、Dell、Ruckus與群暉的設備。

現階段，這些產品都是路由器設備，包含80臺HPE Aruba產品、16臺Dell產品，以及群暉與Ruckus產品各一。綜觀這些廠商的送測，以HPE Aruba的產品線最積極，而國內也有廠商參與，跟上國際腳步。更多內容

圖片來源／翻攝自Wi-Fi聯盟官方網站

＃甲骨文　＃中國電信　＃流量劫持

甲骨文去年發現中國電信誤導網路流量，警告客戶安裝過濾器避開受影響線路

甲骨文網際網路分析總監Doug Madory，在官方部落格發表文章提到，2017年時他們發現中國劫持了美國及其他國家的網路流量，而他們花費了很大的心力阻止這件事造成的影響。

早先軍事網路專家協會（Military Cyber Professionals Association）研究發現，中國政府為攔截網際網路流量，而操縱邊界閘道協定（Border Gateway Protocol，BGP）路由。Doug Madory表示，不論這些行為背後的動機為何，他們確實也發現，近年中國電信劫持了美國及其他國家的網路流量。

在過去幾個月中，Doug Madory向Verizon和其他的一級電信商發出警告，最終這些線路中最大的電信商Telia和GTT都安裝了過濾器，以確保他們不會再接收來自中國電信的Verizon線路，而這樣的行動只阻止了90％的影響，直接與中國電信對等網路連接仍無可避免。因而受影響的甲骨文客戶之一，是一家美國主要網路基礎設施公司，他們在與中國電信對等對話（Peering Sessions）中部署過濾器，以防止Verizon線路被接受。更多內容

圖片來源／Orcale

＃固態硬碟加密機制漏洞　＃Windows BitLocker

固態硬碟加密機制遭爆有漏洞，可能外洩加密資料

荷蘭研究人員發現數款市售固態硬碟（SSD）產品有漏洞，任何存取硬碟的有心人士，可能不用密碼能存取其中的資料。研究人員利用網路上的公開資訊及100歐元（約3600元台幣）左右的漏洞評估設備，針對5款具備自主加密能力的知名固態硬碟產品進行測試，果然發現兩組漏洞。

而在使用Windows BitLocker的情況下，若搭配的硬碟有加密功能，BitLocker就會自動關閉軟體加密，轉成硬體加密。這時如果固態硬碟有漏洞，由於BitLocker信任硬體加密，就等於無法提供有效防護。更多內容

＃帳號安全　＃雙因素身分驗證

研究：美國前34大網站中，只有8個提供完整的雙因素身分認證機制

密碼管理業者Dashlane發布調查，鎖定全美的前34個消費者網站進行雙因素身分認證（Two-Factor Authentication，2FA），分析這些網站所使用的2FA機制，發現當中只有8個網站提供完整的驗證，且有4個網站完全沒有任何的2FA機制，顯示這些網站對於保護用戶登入的安全性有待加強。

Dashlane的評分標準是以2FA機制的強弱來判斷，例如若支援簡訊及電子郵件認證就得到1分，若支援軟體令牌（Token）也得1分，若支援硬體令牌則得到3分，Dashlane認為要同時支援上述3種，也就是5分才算及格。而及格的業者只有Google、臉書、Dropbox、Twitter、Stripe、E*TRADE、美國銀行（Bank of America）與富國銀行（Wells Fargo）。更多內容

圖片來源／Dashlane

＃硬體安全　＃思科　＃SIP

思科多款安全硬體爆SIP零時差漏洞，尚未修補但已有攻擊出現

思科上周發出安全公告，旗下多款安全硬體存在SIP（Session Initiation Protocol）協定零時差漏洞，可能導致駭客重新啟動硬體引發阻斷服務（Denial of Service）攻擊。該漏洞尚未有修補程式。思科同時警告網路上已有開採情形出現。

編號CVE-2018-15454的漏洞是由思科產品安全事件回應小組（PSIRT）發現，出現在該公司產品中二項軟體，包括Adaptive Security Appliance（ASA）9.4版以上以及Firepower Threat Defense（FTD）6.0版以上的SIP檢測引擎。這項漏洞歸因於對SIP流量未能正確處理，讓攻擊者傳送變造過的SIP呼叫指令來開採。

漏洞一經開採，將使未授權的遠端攻擊者得以重新啟動有漏洞的硬體，導致DoS攻擊。如果未能重啟硬體，則會持續佔用CPU運算資源，拖慢其回應速度。思科將之列為CVSS Score 8.6的高風險漏洞。更多內容

＃電子郵件詐騙　＃TWCERT/CC　＃比特幣

專騙一般民眾的郵件詐騙手法激增，對方聲稱知道你的密碼，並以恐嚇方式騙取比特幣

最近一個月，不少用戶可能收到一種新型態詐騙電子郵件，信中標題就是指稱使用者的郵件或裝置被入侵，同時指出你所使用的密碼，並以詐騙與恐嚇方式向民眾勒索比特幣。我們先是在10月上半，發現身邊已經有人收過這樣的信件，10月底時，又看到臺灣電腦網路危機處理暨協調中心（TWCERT/CC），在臉書粉絲專頁發出警告，提醒民眾注意。

信中一開始就聲稱，已經入侵你的Email與裝置，或者是聲稱知道你的帳戶密碼，同時又提到即使用戶改密碼也來不及了，因為已經將惡意程式植入你的裝置。這對於一般民眾來說，可能搞不清楚狀況，看到對方聲稱知道你的電子郵件密碼，而且他所指稱的密碼，就是用戶曾使用過的密碼或個人資料，有可能會信以為真的受害。更多內容

＃LibSSH漏洞

存在4年的LibSSH弱點，可讓駭客無須輸入密碼就能控制伺服器

大多數Unix與Linux伺服器，都以SSH連線，提供管理者遠端控管的機制，因此，若是與SSH連線有關的元件出現漏洞，便可能讓伺服器大開後門，讓任何人對其下達指令。其中，用來作為SSH加密傳輸通訊的伺服器元件LibSSH，最近終於推出新版本0.8.4與0.7.6，修補一項存在長達4年之久的漏洞，駭客只要利用這項弱點，就能繞過密碼驗證的程序，取得網站伺服器的管理權限。

這項漏洞已列為CVE-2018-10933，影響範圍涉及伺服器的元件，並不會波及用戶端電腦。Red Hat根據通用漏洞評分系統（CVSS）第3版進行評估，該漏洞的嚴重程度高達9.1分，因此若是伺服器採用了LibSSH 0.6版以上的程式庫，管理員應儘速升級到新版本。更多內容

＃資料外洩　＃國泰航空

國泰航空個資外洩風波在香港延燒，多名乘客表示信用卡已遭盜刷，議員疾呼需要修法

在10月底，國泰航空發出聲明，表示發現約有940萬名旅客的個資外洩，並已經向香港警方通報，該公司行政總裁何杲（Rupert Hogg）先後2次公開向乘客道歉。不過，該公司揭露事件之後，引起香港社會高度關注，許多媒體接獲乘客的投訴，指稱購買過機票的信用卡遭到盜刷，同時，多名議員指責國泰航空處理速度緩慢，也疾呼香港政府應儘速調整私隱法規，要求企業加強個資保護，發生事件時也要即時通報。

該公司指出，他們最早在3月時發現網路出現可疑活動，5月初著手進行調查，確認乘客的個資遭到外洩。洩露的內容涵蓋了國籍、生日、身分證字號，以及飛行記錄等。其中，外洩的個資包含403筆逾期信用卡號碼，以及27筆不含安全碼（CCV）的信用卡卡號等，但國泰航空表示，他們尚未發現外洩個資遭到濫用的情事。然而，這樣的說明，讓人不免質疑，為何該公司經過長達半年以上才揭露此事。更多內容

＃加密勒索病毒　＃醫療院所　＃健保署

桃園地區傳多家醫院遭勒索病毒入侵，健保署：北區僅1家遇害

桃園地區的醫院傳出遭勒索病毒入侵，資料因此被加密。近年來，勒索病毒帶來的危害其實持續不斷，雖然今年發生的事件變得零散，但仍不容輕忽。

關於這次醫院遭到勒索病毒入侵，我們也向健保署進一步了解情況。健保署北區業務組專門委員游慧真表示，這起事件他們是在10月26日收到通知，而該醫療院所是在10月24日遭受影響，由於院所無法在24小時內完成相關資料上傳，因此向健保署通報。

據院方向他們回報，事發當時該院所看診系統出問題，導致醫院人員無法開啟檔案作業，因此當下使用紙本作業替代，後續也已經復原。至於受勒索病毒感染的電腦臺數，以及入侵的管道，目前還沒有這方面的資訊。同時游慧真也澄清，這次事件只有一家醫療院所遭受勒索病毒感染，並非一些媒體傳言多家醫院遇害，同時這起事件，也是今年北區醫院中勒索病毒的第一例。更多內容

攝影／洪政偉

更多資安動態

Google隱形reCAPTCHA技術正式版出爐
研究人員揭露Edge零時差漏洞
強化用戶帳號安全，Google要瀏覽器啟用JavaScript才能登入
惡名昭彰的殭屍網路病毒Mirai作者之一被判賠償860萬美元
美國指控10名中國人涉嫌駭入美國及歐洲企業以竊取商業機密