擷取自Seclists.org

1205-1211一定要看的資安新聞

 

#Linux安全

Linux漏洞將允許駭客挾持VPN連線

圖片來源/擷取自Seclists.org

新墨西哥大學的幾名資安研究人員發現,大多數Linux版本都含有編號為CVE-2019-14899的安全漏洞,這個弱點將允許駭客挾持VPN連線,目前波及眾多基於Linux與Unix的作業系統,涵蓋Android、iOS、macOS、Ubuntu、Fedora、Debian、Arch、Manjaro、Devuan、MX Linux 19、Void Linux、Slackware、Deepin、FreeBSD與OpenBSD等。除了作業系統之外,研究人員也在不同的VPN服務上測試該漏洞,結果顯示,不論是OpenVPN、WireGuard或IKEv2/IPSec,都會受害。研究人員William Tolley建議,用戶可啟用反向路徑過濾機制,並執行加密封包,以執行暫時性的補救。更多內容

 

#資安預測

地緣政治風險加劇,IDC預測將促使資安在地化發展

年底將至,不少業者開始公布新一年度的市場觀察,在12月5日,研究機構IDC發布最新的臺灣ICT市場十大趨勢預測。其中關於資安產業的面向,他們指出,「地緣政治風險加劇,持續驅動資安在地化」的新趨勢,預期到了2022年,將有4成比例高速發展數位基礎建設的國家,走向資安在地化,以確保經濟發展的穩定性與國家安全。隨著近年的國際局勢轉變,他們認為,臺灣除了要持續強化關鍵技術自主布局,以及資安人才培育,在特殊的政治經濟背景之下,將有望發展出獨特的資安產業優勢。對於更多未來的資安方面預測,在前一年度的IDC的十大預測中,他們曾表示,在2024年資安管理服務市場中,全球將有9成的客戶採用威脅生命週期管理(Threat Life-Cycle Management)服務,並預期資安管理服務仍將是臺灣資安市場成長的重要驅動力。更多內容

 

#勒索軟體

美國資料中心供應商CyrusOne也成勒索軟體受害者

圖片來源/擷取自CyrusOne

在12月5日,美國知名資料中心供應商CyrusOne證實,該公司位於紐約的資料中心遭到勒索軟體攻擊。他們在全球共有45個資料中心,其中有10個位於美國。這次受影響的是紐約資料中心的管理服務,因為勒索軟體而被加密了特定裝置,並波及了他們的6家客戶。至於該公司的資料中心託管服務,包括IX及IP Network服務都未受害。目前CyrusOne還在調查中,並未公布細節,但率先報導的ZDNet則說CyrusOne所感染的是勒索軟體是Sodinokibi。在此之前,今年8月牙醫診所備份公司Digital Dental Record也是感染這支勒索軟體,資安業者Cybereason甚至推測Sodinokibi將成為GandCrab後,下一個全球感染力最強的勒索軟體。更多內容

 

#APT攻擊

BMW與現代汽車遭越南駭客鎖定

圖片來源/擷取自BR

最近德國媒體Bayerischer Rundfunk披露,有一個可能是由越南政府支持的駭客集團OceanLotus,正嘗試入侵全球的汽車產業,目的是竊取智慧財產,包括BMW與現代汽車(Hyundai)都是受害者。報導指出,OceanLotus從今年3月發動攻擊,在BMW的電腦系統上安裝了Cobalt Strike的滲透工具──這是一款提供滲透測試與紅隊演練人員使用的工具,只是最近這幾年經常受到駭客的青睞。BMW直到最近才發現,內部網路藏有Cobalt Strike。不過該公司表示,駭客尚未進入BMW的核心系統,而現代汽車則尚未對此回應。更多內容

 

#系統安全 #無檔案攻擊

北韓駭客發展出Mac環境的無檔案攻擊程式手法

圖片來源/擷取自Dinesh Devadoss's Twitter

研究人員表示,最新他們觀察到的木馬程式,顯示北韓駭客也逐漸學習新技巧,透過無檔案攻擊手法增加匿蹤的能力。上週,研究人員Dinesh_Devadoss發現一隻Mac木馬程式名為UnionCrypto的樣本,研判來自北韓駭客組織Lazarus Group,而該惡意樣本一開始在VirusTotal的57個防毒引擎中,只有2個將它判斷為可疑程式。另一研究人員Patrick Wardle也指出,Lazarus Group經常對macOS下手,但這次攻擊展現的高明手法,卻是前所未見,Unioncrypto不只是在加密交易App注入木馬程式,特別的是,可直接在記憶體寫入與執行惡意程式碼。更多內容

 

#雲端存取安全

強化雲端存取安全,AWS宣布加強與簡化S3的存取控管

圖片來源/李宗翰攝

在今年的re:Invent大會上,AWS執行長Andy Jessy在大會第二天的主題演講當中,宣布推出S3 Access Points的功能,可簡化應用程式對於S3資料存取方式的管理,用戶可以更容易管理S3環境當中每個儲存桶(bucket)的數百個存取點,針對應用程式自定名稱與存取權限許可,這麼一來,不只是為共用資料集的存取提供新的方法,針對共享S3資料桶存取方法的建立與維護,也能更為便利。在存取控管政策的制定上,S3 Access Points能讓用戶透過前置字元和物件標籤來強制施行許可,因此可限制物件資料的存取。而且,這項功能可將S3資料存取的範圍,局限在AWS的VPC到防火牆之間,而當中提供的Service Control Policies,也能用於確保所有存取點都在限用的VPC當中。更多內容

 

#安全更新漏洞

駭客釋出工具以免費使用Windows 7的延伸安全更新

微軟即將在明年的1月14日,終止對Windows 7的支援,若要持續取得該作業系統的安全更新,則必須額外購買延伸安全更新(Extended Security Updates,ESU),不過,有駭客在MyDigitalLife論壇上釋出了一項BypassESU工具,安裝後就能繞過系統對ESU授權的檢查,讓Windows 7用戶可免費取得延伸安全更新資格。不過,這個工具顯然是違法的,外界也猜測,在BypassESU曝光之後,微軟很快就會修補這個臭蟲。更多內容

 

#個資外洩

75萬筆的美國出生證明申請書在AWS上曝光

圖片來源/Techcrunch

資安業者Fidus Information Security與媒體TechCrunch,在12月10日共同揭露一起AWS上的資料外洩事件。他們發現一個不需密碼就能存取的儲存體,存放了75.2萬筆的美國出生證明申請文件,似乎是某家私人公司所擁有。這些文件內容包含了申請人的名字、生日、地址、電子郵件、電話號碼、家庭成員名字,以及申請理由,同時,也包含9萬筆的死亡證明申請書。此外,這是經常更新的資料庫,在一周內就新增了9,000筆的申請文件。他們曾經聯繫該業者,但一直未收到回應,只好通知AWS代為轉達,同時也聯繫了當地的資料保護機關。更多內容

 

#釣魚網站 #社交工程

詐騙集團假冒國內企業與機關網站事件不斷,近期中華郵政、鉅亨網與經濟部相繼發出警告

圖片來源/擷取自經濟部

最近半個月來,企業收到民眾通報釣魚網站並發出警告的案例增加,從11月中旬到12月初,中華郵政、鉅亨網與經濟部接連發出公告,表示出現假冒公司網站與名義的情況,各自提醒民眾或用戶不要受到釣魚網站詐騙個人資料與敏感資訊。例如,中華郵政在11月15日發出警告,指出接獲民眾通報,有詐騙集團假冒中華郵政公司網頁,疑似取自公司的歷史網頁資訊,且另外嵌入了原本網頁所沒有的輸入欄位,並標示「請輸入您的手機號碼查詢包裹信息」。到了12月3日,經濟部也發出相關警告,指出有不肖份子假借經濟部名義,發送邀請招標的電子郵件,以及要求至網站登錄相關資訊。更多內容

 

物聯網資安標章 網路攝影機 無線路由器

臺灣物聯網資安標章發展上軌道,已有9家業者的22款產品取得資安標準合格證書

圖片來源/羅正漢攝

為了強化臺灣產品在國際上的競爭力,近年由政府帶頭,推動的物聯網資安檢測認證標準,自2018年6月開始,經濟部與國家通訊傳播委員會(NCC),共同發布相關資安驗證標章制度,期望帶動臺灣產品資安水準。在這項計畫執行一年半後,在12月6日,相關單位舉辦了物聯網資安標章成果發表會,並公布目前最新的進展。其中,在物聯網資安認可實驗室方面,已經從去年底的4家增至8家,而取得標章合格的產品,更是從原本單一業者的2款產品,增至9家業者22款產品。從多家業者陸續響應的態勢來看,顯然這項資安標準的推動,正開始步上發展軌道。更重要的是,自今年12月開始,其中的網路攝影機資安產業標準,已發布成為國家標準(CNS 16120)。未來目標,期望達到國際標準相互認證。更多內容

更多資安動態
Google與Mozilla移除過度追蹤使用者行為的Avast擴充程式
Microsoft Edge 79將強化追蹤保護且不危及相容性
報導:有人在黑市盜賣莫斯科監視器畫面
Google:8成Android程式都已加密傳輸流量
LINE資安團隊任務分工首度在臺公開!
物聯網興起,大幅帶動PKI防護需求,1/5物聯網採用HSM驗證設備資料的完整性
 

熱門新聞

Advertisement