網頁解析URL的錯誤,很可能會被攻擊者利用,這樣的情況有多嚴重?有2家資安業者最近針對市面上16款URL解析器程式庫,進行分析後發現,這種問題存在於多個程式庫裡。他們至少發現8個漏洞,研究人員通報後已經得到修補。

最近半年來,NPM(Node Package Manager)熱門程式庫遭不明人士竄改的現象,也不時有消息傳出,但近期有2個套件,竟是因為作者不滿企業只想坐享其成,而不願意付出,決定寫入影響運作的程式碼,隨後更直接清除程式碼內容。此起事件也突顯,企業過往普遍視開源專案為降低成本、同時兼顧高品質的策略,可能要有所調整。

處於灰色地帶的挖礦軟體,因為有人會利用他人電腦挖礦,而不時引起爭議,甚至駭客藉此牟利站穩腳根,進而架設Abcbot殭屍網路──而且,還是操控原本用來挖礦的伺服器,來建置殭屍網路大軍。再者,防毒業者NortonLifeLock將挖礦軟體與防毒軟體結合的爭議,也因近期傳出相關功能被改為預設啟用,再度浮上檯面,並引起防毒軟體社會責任的討論。

【攻擊與威脅】

熱門NPM套件疑遭破壞,原因是開發者對大型企業無償使用不滿所為

近期2個NPM(Node Package Manager)熱門程式庫套件colors、faker,程式碼遭到破壞,導致數千個應用程式面臨可能無法正常運作的窘境。原本Bleeping Computer等新聞網站以為,本次事故是駭客竄改相關程式碼,但追查後發現,其實是作者Marak Squires所為,原因是這名開發人員已在2020年11月指出,他的專案廣受財星500大採用,但這些企業沒有回饋社群,決定不再無償提供這些軟體。Marak Squires此舉引起正反兩極反應,亦傳出NPM停用他的帳號,並將faker復原至之前的版本。

殭屍網路Abcbot與挖礦惡意軟體Xanthe的攻擊者身分,疑似為同一組駭客

資安業者Cado Security指出,他們比對殭屍網路Abcbot與挖礦惡意軟體Xanthe特徵,發現背後應為相同的駭客組織發起,且該組織意圖將原本在受害主機的挖礦行為,變成殭屍網路大軍,以進行如分散式阻斷服務(DDoS)等攻擊行動。

諾頓、Avira防毒在用戶電腦安裝挖礦軟體,且疑似預設啟用惹議

NortonLifeLock自2021年7月開始,為旗下的Norton 360防毒軟體,提供挖礦服務Norton Crypto,並宣稱在用戶開啟相關功能的情況下才會執行。但近期有部分用戶發現,這項功能約自1月4日開始,改為預設開啟,且可能還關不掉,甚至有些用戶依照廠商的方法停用挖礦功能,竟導致電腦當機。此外,去年被併購的Avira,近期防毒軟體也被發現加入挖礦的模組,但是否也出現類似情形有待觀察。資安專家Chris Vickery指控,NortonLifeLock為獲利犧牲用戶,且挖礦加速全球的能源消耗,此舉令人反感。

波蘭執政黨坦承購買間諜軟體Pegasus,否認用於監控政敵

加拿大多倫多大學公民實驗室(Citizen Lab)與美聯社(AP)聯手,於去年12月揭露參議員Krzysztof Brejza等多名波蘭反對黨人士,手機遭到間諜軟體Pegasus監控,疑似是執政黨所為,消息傳出遭到當局否認。直到最近,該國執政黨法律與正義黨(PiS)領袖暨副首相Jaroslaw Kaczynski,在接受訪問中坦承,他們確實有採購Pegasus,並認為若是國安組織沒有這種技術「很可悲」,但對於購買該軟體的用途仍交待不清,僅否認是用於監控反對黨。

印度駭客組織Patchwork冒充巴基斯坦政府,發動RAT木馬攻擊

資安業者Malwarebytes指出,他們發現印度駭客組織Patchwork(亦稱Dropping Elephant、TG-4410、APT-C-09等)於2021年11月下旬至12月上旬,以巴基斯坦政府的名義發動網釣攻擊,進而在受害組織植入RAT木馬程式Badnews(Ragnatela)。受害組織包含了巴基斯坦國防部、伊斯蘭堡國防大學、化學暨生物科學國際中心(ICCBS)等。比較特別的是,在研究人員調查的過程裡,發現駭客不慎用上述木馬程式感染了自己的開發環境,進而得知攻擊者採用虛擬機器(VM)和VPN服務,來隱藏IP位址。

.NET逆向工程工具dnSpy出現惡意版本,並透過Google搜尋廣告散布

資安研究團隊MalwareHunterTeam、研究人員0day Enthusiast近期發現,有不明人士竄改.NET逆向工程工具dnSpy,並透過GitHub散布,並成立專屬的下載網站。為了吸引開發人員下載,發布惡意版本dnSpy的人士還對於Google、Bing、Yahoo等多個搜尋引擎進行最佳化(SEO),並購買搜尋引擎廣告。MalwareHunterTeam指出,一旦開發人員執行惡意的dnSpy,該軟體會停用Microsoft Defender防毒軟體、使用者帳號控制(UAC),然後藉由BITS系統管理公用程式(bitsadmin.exe),下載多種惡意酬載並執行。

泰國大型醫院Siriraj傳出資料外洩,近4千萬筆病人記錄流入地下論壇

根據曼谷郵報(Bangkok Post)的報導,泰國最大的Siriraj醫院,驚傳有3,890萬筆病人記錄在網路論壇上求售,想要賣出資料的人士宣稱,這些資料包含姓名、地址、身分證資料、電話號碼、生日等資訊,他只打算與其中1名賣家交易。但這已不是當地醫院資料外洩的首例,2021年10月,有人在網路論壇公布來自11家泰國醫院的資料,影響約10萬人。

美國加州草谷市遭駭,市府員工與市民資料外洩

美國加州草谷市政府於1月7日發布新聞稿,表明他們於2021年4月13日至7月1日,發現未經授權的人士取得部分電腦的存取權限,並將資料傳輸到外部。經過調查後,該市確認市政府的員工、前員工、配偶,以及供應商,或是提供警方資料、申請貸款的市民,部分個資遭到外洩,草谷市將通知這些受到影響的人士,並提供一年的身分保護服務。

學校網站代管業者FinalSite勒索軟體事故調查結果出爐,宣稱尚未出現客戶資料外洩情事

學校網站代管業者FinalSite於1月4日遭到勒索軟體攻擊,迫使該公司關閉IT系統,約有5千個學校網站隨之遭到關閉。事隔一週該公司公布初步的調查結果,表明他們已經掌握攻擊者的身分與入侵管道,並確信用戶的資料沒有遭到異常存取,不過,該公司員工的資料是否遭到洩露,FinalSite沒有進一步說明。

 

【漏洞與修補】

數個URL解析器程式庫存在漏洞,波及JavaScript、PHP、Python等程式語言開發的網站應用程式

網路安全業者Claroty和Synk聯手,針對網站應用程式會使用的16款URL解析程式庫進行分析,結果發現,這些程式庫可能存在5種不一致的情況,這些情況包含了格式混淆、斜線混淆、反斜線混淆、URL解碼資料混淆,以及格式混亂等,可被攻擊者用於發動阻斷服務(DoS)攻擊、資料外洩,甚至在部分情形能用於發動RCE攻擊。研究人員總共發現了8個漏洞,開發者獲報後已完成相關修補工作。

 

【資安防禦措施】

針對網路下單安全,證交所邀及券商研議

2021年11月下旬多家證券遭到攻擊,傳出不明人士利用客戶的網路帳號下單。對此臺灣證券交易所於2022年1月7日,召集所有提供網路下單的券商,商討強化資安的做法,他們要求尚未提供雙因素驗證(2FA)身分驗證機制的業者,在建置相關設施的過程中,仍要透過其他方式來加強帳號安全,例如,強制要求用戶更換密碼,或是透過人工方式提供交易密碼等。

 

【近期資安日報】

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement