【資安週報】2021年12月27日至30日

Log4Shell漏洞的相關事故，以及新漏洞與攻擊手法的揭露，幾乎占滿了前幾個星期的資安新聞版面，直到了這個星期才明顯減少。雖然本週有新的加密貨幣交易所事故揭露，但這起事件發生在Log4Shell漏洞細節公布後的2至3天，值得留意的是，針對存在漏洞的系統，攻擊發生時業者還沒推出修補程式，而來不及防堵，即使該交易所在修補程式推出後就馬上更新，還是阻止不了駭客的攻擊行動。

但相較於Log4Shell，竊密軟體RedLine的攻擊行動也相當值得留意。我們先前曾報導，暗網市集2easy提供入侵組織初始存取管道的掮客（IAB），上架販售這種透過竊密軟體在受害電腦偷到的各式帳密，其中最多賣家使用的就是RedLine。而這週有資安業者揭露較為詳細的攻擊過程──他們看到的攻擊行動裡，駭客藉著RedLine，從員工遠距辦公的電腦，竊得儲存於網頁瀏覽器的VPN帳密，再用於攻擊企業。這種情況使得研究人員呼籲使用者，要重視瀏覽器儲存帳密可能存在的危機。

而在本週的攻擊行動之外，與操作科技（OT）有關的系統，所存在的漏洞，相關單位也要留意公告並儘速修補。這週研究人員公布的漏洞，不光是存在於SCADA、醫療器材，還有電動車所使用的充電站，業者都針對重大漏洞予以修補。比較特別的是，就連兒童的玩具電話，竟也曝露於藍牙配對不安全的危機之中。

【攻擊與威脅】

勒索軟體透過Log4Shell漏洞攻擊越南大型加密貨幣交易所

越南大型加密貨幣交易所ONUS傳出遭到勒索軟體攻擊，駭客於12月11日至13日之間，鎖定存在Log4Shell漏洞的付款系統Cyclos下手，這套付款系統含有近200萬筆客戶資料，包含了「了解你的客戶（E-KYC）」資料與密碼。駭客向ONUS勒索500萬美元遭拒，將竊得的資料於駭客論壇求售。

金融業恐淪Log4j漏洞風暴最大受害者！可能有高達一半比例的公司各自使用10個以上有漏洞的版本

開放原始碼軟體資安廠商WhiteSource代理商叡揚資訊，針對多個產業用戶進行調查，結果發現許多產業都無法倖免Log4Shell漏洞的風險。但其中，金融業所要處理的Log4j漏洞管理作業可能最繁重，因為他們的金融業用戶中，使用有漏洞Log4j版本超過10個的公司，竟高達50％。

竊密軟體RedLine鎖定網頁瀏覽器儲存的帳密下手，攻擊者藉此得到存取組織內部網路的管道

資安業者AhnLab指出，他們看到竊密軟體RedLine的攻擊行動，在其中一起事故裡，在家工作的員工透過公司提供的電腦，藉由VPN連線存取公司資源。被鎖定的員工使用網頁瀏覽器來儲存VPN帳密，且電腦遭到RedLine感染，攻擊者竊得該名員工的VPN帳密後，在3個月後用來攻擊這家公司。研究人員警告，瀏覽器儲存帳密的功能極為便利，但可能因電腦感染惡意軟體而外洩，使用者最好透過啟用雙因素驗證的方式，來保護自己各式網路服務的帳號。

密碼管理系統LastPass驚傳遭到帳號填充攻擊

根據資安新聞網站Bleeping Computer的報導，近期有許多密碼管理系統LastPass的用戶指出，他們收到有人異常存取自己帳號的通知。對此，母公司LogMeIn表示，這起事故攻擊者疑似是透過帳號填充（Credential Stuffing）的手法，企圖掌控用戶的帳號。資安研究人員Bob Diachenko也發現有數千個被竊密軟體RedLine偷到的LastPass帳密。但對於業者和資安人員公布的資料，許多受害者指出，他們的LastPass帳號使用獨立的密碼，且與資安人員找到的資料無關。究竟他們的帳密如何被外洩？有待進一步釐清。

電信業者T-Mobile證實用戶遭到SIM卡挾持攻擊

大型電信業者T-Mobile近期對於部分用戶發出聲明，指出某些帳號出現未經授權的攻擊行動，攻擊者可能會用來檢視客戶專用網路資訊（CPNI），或是進行SIM卡挾持（SIM Swapping）攻擊，該公司宣稱，只有一些資訊遭到曝露。根據資安新聞網站Bleeping Computer的確認，T-Mobile才坦承他們通知的客戶，大多是SIM卡挾持攻擊的受害者。

勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

根據資安新聞網站Bleeping Computer的報導，勒索軟體eCh0raix（亦稱QNAPCrypt）在聖誕節前夕發動的攻擊行動。有許多IT人員自12月20日開始指出，他們維護的威聯通NAS設備接連遭到eCh0raix攻擊，勒索軟體威脅情報網站ID ransomware也觀察到相關態勢，該攻擊行動約從19日開始顯著增加，直到26日才趨緩。有些用戶認為，駭客很可能是透過Photo Station軟體的弱點入侵。

惡意軟體鎖定HPE伺服器管理元件iLO，刪除硬碟內容

威脅情報業者Amnpardaz發現名為iLOBleed的Rootkit，鎖定HPE伺服器的管理元件Integrated Lights-Out（iLO）而來，這起攻擊行動約從2020年初開始，攻擊者透過假的iLO更新名義，引誘管理者安裝iLOBleed。由於iLO具備自己的處理器、儲存裝置、記憶體、網路卡，而能讓管理員遠端控管伺服器，研究人員指出，有攻擊者藉著iLOBleed藏匿於iLO，在受害組織重新安裝伺服器作業系統後仍能繼續進行活動。至於攻擊者的身分和目的，目前仍不明朗，Amnpardaz只有看到攻擊者用來刪除伺服器硬碟資料的情況。

美國物流龍頭D.W. Morgan雲端配置不當，曝露財星500大客戶資料

架站教學網站Website Planet指出，他們發現美國大型物流業者D.W. Morgan使用的AWS S3儲存桶，不需身分驗證就能存取，該儲存桶含有超過100 GB資料，至少有250萬個檔案，曝露員工個資及客戶資料，包含思科、愛立信等財星500大及全球500大企業客戶受到波及。D.W. Morgan獲報後數天已採取保護措施。

阿爾巴尼亞驚傳五分之一國民個資外洩

根據美國聯合通訊社（美聯社，AP）的報導，約於2星期前，含有阿爾巴尼亞政府與民間企業員工個資的Excel文件，經由WhatsApp散布到網路上，內容疑似為政府及民間企業自今年1月申報的員工薪資資料，受影響人數約64萬人，占該國總人口22%。對此，阿爾巴尼亞總理Edi Rama召開記者會證實及道歉，並指出此事是內部人員所為，而非遭到網路攻擊所致。

攻擊者濫用MSBuild發動寄生攻擊，執行滲透測試工具Cobalt Strike

Morphus實驗室研究人員Renato Marinho指出，他在1週內觀察到2個濫用MSBuild的惡意程式碼攻擊行動，攻擊者疑似利用遠端桌面協定（RDP）來存取受害電腦，並經由服務控制管理器（Service Control Manager，SCM）進行橫向移動，然後濫用微軟的應用程式編譯引擎Microsoft Build Engine（MSBuild），來執行滲透測試工具Cobalt Strike Beacon，攻擊者使用MSBuild的目的，在於編譯並執行特定的C#程式碼，再解譯組裝為Cobalt Strike，且執行Beacon。為防範相關攻擊，研究人員呼籲組織應利用應用程式權限控管的方式，來防堵這種攻擊手段。

中國駭客組織BlackTech使用Flagpro惡意軟體，攻擊日本組織

日本大型IT業者NTT的資安團隊發現，中國駭客組織BlackTech約自2020年10月開始，攻擊日本國防科技、媒體、電信業者，並使用名為Flagpro的惡意軟體，進行網路偵察、探測環境，然後下載第2階段的惡意軟體並執行。研究人員發現，攻擊者的程式碼不只能在日文環境運作，亦可在中文及英文環境執行，他們研判攻擊者也鎖定臺灣或其他英語系國家。

【漏洞與修補】

HPE、IBM、Nvidia、VMware說明產品受Log4Shell影響的情形

Log4Shell漏洞涉及範圍甚廣，許多IT業者也發出公告，表明旗下產品受影響的範圍。其中，Nvidia旗下受影響的產品，包含了程式設計模型CUDA 、遙測代理程式NetQ，以及人工智慧系統DGX Systems；HPE修補超過60項產品，包含融合Hyper Converged、3PAR、Ezmeral，以及超級電腦軟體Cray System等；IBM修補旗下100多項軟體，包含DB2、Websphere、Tivoli、SPSS等。VMware則指出vCenter Server及vCenter Cloud Gateway受到影響，並提供相關緩解措施。

Apache修補第5個Log4Shell漏洞

Apache基金會於12月28日，再度針對Log4j發布2.17.1版，修補CVSS風險層級為6.6分的RCE漏洞CVE-2021-44832。這項漏洞與Log4j缺乏對於JNDI存取的額外控制有關，一旦攻擊者取得能修改記錄事件的組態，可藉由JDBCAppender惡意配置，以參照JNDI的URI來執行遠端程式碼。而這項漏洞已是自12月9日開始，第5個被發現的Log4Shell漏洞。

電動汽車充電站存在數個漏洞，攻擊者可用來竄改充電記錄等資料

施耐德電機於12月14日發布資安通告，他們修補旗下的電動車充電系統7個漏洞，當中包含1個重大漏洞與5個高風險漏洞，影響EVlink City、EVlink Parking、EVlink Wallbox等產品線，這些漏洞可被用於跨網站請求偽造（CSRF）、跨網站程式碼（XSS）攻擊，或是透過Web界面進行暴力破解。其中最嚴重的漏洞可被用於伺服器端請求偽造（SSRF）攻擊，CVSS風險層級為9.3分。施耐德電機呼籲用戶要儘速安裝修補軟體。

SCADA系統驚傳重大漏洞，恐波多種關鍵基礎設施

美國網路安全暨基礎架構安全局（CISA）於12月21日發出警告，工業自動化系統業者mySCADA所推出的myPRO工控系統中，存在多個漏洞，該業者已於11月初完成修補。其中最嚴重的漏洞達到10分，主要與作業系統的命令裡可能藉由特殊字元觸發有關。CISA警告，這些受影響的系統存在於全球各地，運用於能源、食品、農業、水資源、交通運輸等行業，大部分受影響的客戶在歐洲。

注射幫浦系統存在多項漏洞，恐被用於竄改配置與記錄資料

資安業者McAfee與Culinda聯手，於2021年1月發現B. Braun Infusomat注射幫浦系統裡的數個漏洞，並向該廠商通報，漏洞亦獲得修補，該業者遂於8月下旬公布細節。其中最為嚴重的是CVE-2021-33885，CVSS風險層級為9.7分。但McAfee最近再度提出警告，表示這些漏洞很有可能被攻擊者串連利用，加上醫療院所往往無法即時修補，而有可能影響病人的生命安全。

玩具電話驚傳藍牙漏洞，攻擊者可竊聽通話內容

資安業者Pen Test Partners提出警告，他們近日發現幼兒玩具電話Fisher Price Chatter，存在嚴重的藍牙漏洞，這款玩具在連線範圍內，會自動連接到發出請求的藍牙裝置，而沒有任何配對的的安全機制，而使得攻擊者得以在該玩具電話的藍牙訊號範圍內，連接自己的設備來竊聽鄰居。再者，對於已連接的智慧型手機，該玩具的聽筒還有可能會自動接聽來電。研究人員認為，玩具業者美泰兒（Mattel）應著手處理相關問題。