圖片來源: 

兆勤科技

2020.12.31-2021.1.6 一定要看的資安新聞

 

#漏洞揭露

部分合勤網路與資安設備含有程式碼寫死的漏洞

荷蘭資安業者Eye Control在2020年11月,發現臺灣網通設備製造商合勤(Zyxel)釋出的韌體含有後門帳號,同時影響多款防火牆及AP控制器產品,可能波及逾10萬臺合勤裝置,呼籲合勤用戶應儘速更新韌體。

含有此項漏洞的韌體為ZLD 4.60版,適用於該公司旗下多個系列防火牆,包含ATP、USG、USG FLEX,以及VPN系列,另有2款AP控制器NXC2500及NXC5500也受到影響。合勤在12月提供防火牆相關修補程式,AP控制器的部分預計在1月8日推出。詳全文

圖片來源:兆勤科技

 

#惡意程式

以Go語言撰寫的新蠕蟲,鎖定Windows與Linux伺服器散布挖礦程式

雲端資安業者Intezer於12月29日,揭露以Go語言撰寫的新蠕蟲,它同時針對Windows與Linux伺服器展開攻擊,鎖定採用弱密碼且存在於公開網路上的應用系統,包括MySQL、Tomcat、Jenkins,以及WebLogic等,暴力破解管理者密碼,然後植入挖礦程式XMRig。

由於Go語言具有支援跨平臺開發的特性,Intezer也警告,2021年將會出現以這種程式語言開發,而且同時鎖定不同平臺的惡意程式。詳全文

 

#協作平臺  #漏洞揭露

Google Docs漏洞可讓駭客劫持文件

因提供回報意見的功能存在漏洞,竟能讓他人對Google Doc用戶的文件拍下螢幕截圖來竊密。在12月27日,資安研究人員Sreeram KL揭露他向Google於7月通報的漏洞,攻擊者只要在外部網站使用iFrame嵌入Google Docs文件,劫持傳送回饋的iFrame,攻擊者就能藉此取得這個文件的螢幕截圖。Google也頒發了3133.7美元的抓漏獎金給這名研究人員。詳全文

圖片來源:Sreeram KL

 

#圖像驗證機制

研究人員破解reCAPTCHA語音驗證

針對reCAPTCHA提供盲人使用的語音驗證機制,再度被研究人員找到方法繞過。電腦科學研究人員Nikolai Tschacher,使用了美國馬里蘭大學研究團隊開發的unCAPTCHA 2.0為基礎,藉由Google提供的Speech-to-Text API,破解reCAPTCHA第2版,成功機率高達97%。詳全文

 

#資料外洩

T-Mobile資料庫被駭,20萬用戶電話號碼外流

美國第三大電信業者T-Mobile坦承客戶資料庫遭駭,包含電話號碼及通話記錄等資訊外洩。該公司網路安全部門發現,該公司系統遭到非經授權的惡意存取,致使部分用戶帳號中的客戶專屬網路資訊(CPNI)被不法存取。該公司表示,他們已在發現時切斷惡意活動,且已展開調查並通報執法機關。

究竟有多少人受害?T-Mobile告訴Bleeping Computer,受影響用戶比例小於0.2%。根據T-Mobile宣布於11月突破1億用戶來看,此起事件估計約有20萬名用戶受到影響。詳全文

 

#資料外洩  #國家級攻擊

芬蘭國會傳駭客入侵,議員電郵遭不法存取

芬蘭政府於12月28日發出公布,指出他們在秋天遭到網路攻擊,導致部分國會議員及員工電子郵件帳號遭到存取。根據新聞網站Euronews報導,2020年芬蘭政府曾遭到多次網路攻擊,導致網站關閉數小時,但這次由於攻擊目標的特殊性,警方朝疑似大規模駭客及間諜行動方向偵辦,並研判駭客的動機,是出於外國政府利益或對芬蘭造成損害。而此起事件是繼8月挪威國會遭駭後,北歐第2起國會網路遭駭的事件。詳全文

 

#資料外洩  #供應鏈攻擊

美國安泰人壽近50萬客戶個資曝險,起因是合作廠商員工郵件帳號被駭

眼科醫療服務及眼鏡設備銷售商EyeMed發出公告,指出他們於7月1日,發現該公司一名員工電子郵件帳號被駭,隨後攻擊者向此帳號的聯絡人發送釣魚信件,由於EyeMed是美國安泰人壽(Aetna)合作的醫療服務廠商,這起網路攻擊可能導致近50萬名安泰保戶個資外洩。

這家眼科服務商表示,攻擊者可能也存取了這些保戶的個資,以及部分帳號的社會安全號碼、財務資料,以及醫療診斷資料等。詳全文

 

#勒索軟體攻擊

加拿大國營運輸業者遭勒索軟體攻擊,多項服務尚未復原

在加拿大溫哥華地區提供公共運輸服務的國營企業TransLink,2020年12月遭到勒索軟體攻擊,儘管並未實際影響運輸服務,但許多網路服務仍未恢復正常,包括即時GPS服務、巴士追蹤服務,以及檢舉系統等。

外界從曝光的勒索信件中推測,TransLink是受到Egregor勒索軟體的攻擊,CyberSC負責人Dominic Vogel向溫哥華太陽報表示,這家公司對於事件流程的揭露非常不透明,並呼籲該公司應儘速向納稅人交待。詳全文

 

#謊報攻擊  #物聯網資安

美國駭客劫持物聯網裝置並用來發動謊報攻擊事件頻傳

隨著直播成為新興的資訊傳播模式,資安問題也跟著浮現。美國聯邦調查局(FBI)於12月29日提出警告,呼籲使用者確保連網攝影機及影音設備的安全,以免遭到惡意人士劫持發動謊報攻擊(Swatting Attack)。

FBI指出,最近有人利用受害者的智慧聯網裝置發動謊報攻擊。攻擊者先找到受害者外流於網路上或失竊的郵件密碼,來登入使用同組密碼的視訊攝影機裝置,然後打電話給911謊稱受害者家中有犯罪事件。等警方破門而入時,歹徒再透過攝影機觀看取樂,或是利用影音裝置和警方互動,不少人還在社群平臺串流直播相關過程。詳全文

 

#漏洞修補  #行動裝置  #供應鏈攻擊

台灣大哥大引進中國白牌手機貼牌銷售,驚傳資安漏洞

台灣大哥大的自有品牌手機Amazing A32,在生產製程階段被植入惡意程式,使得詐騙集團可濫用使用者的門號,作為詐騙遊戲點數的人頭帳號。台灣大哥大近日也宣布召回計畫,並提供更新韌體或是更換手機折抵方案。

由於這款手機是中國代工製造,本次事件也引起國家通訊傳播委員會(NCC)的高度重視,表示日後針對此類以臺灣品牌銷售的中國白牌手機,將採行更嚴格的管理措施。詳全文

圖片來源:台灣大哥大

 

 

更多資安動態

Linux之父認為中央處理器ECC功能應普及,以防範Rowhammer
日本川崎重工揭露資料外洩事件,呼籲防範網釣郵件攻擊
分散式金融保險業者Cover Protocol被駭,幣值大跌75%
Ticketmaster駭入對手網路,遭罰款千萬美元

熱門新聞

Advertisement