運動用品業者在網站上發出公告,表示因系統故障,而可能會延遲出貨,但背後原因很可能是因為遭到勒索軟體攻擊。例如,日本大型運動用品業者美津濃(Mizuno)於美國分公司網站上指出,他們出現系統故障的情況,但根據消息人士向資安新聞網站Bleeping Computer透露,該公司就是遭到勒索軟體攻擊,而使得營運受到影響。

在今天的資安新聞裡,有2則漏洞的消息相當值得留意,因為都已被駭客用於攻擊行動。其中一個是電商網站軟體Magento的重大漏洞CVE-2022-24086,CVSS風險層級達到9.8分,使得Adobe呼籲用戶要儘速修補。

第2個則是Chrome瀏覽器電腦版的漏洞CVE-2022-0609,雖然Google沒有透露太多細節,但基於此漏洞已經遭到利用,用戶最好手動更新該瀏覽器至98.0.4758.102版。

【攻擊與威脅】

運動用品業者美津濃傳出將延遲出貨,原因疑似是遭到勒索軟體攻擊

運動用品業者遭到駭客盯上,傳出受到勒索軟體攻擊而影響營運。資安新聞網站Bleeping Computer取得消息人士的說法指出,日本大型運動用品業者美津濃(Mizuno)於2月4日遭到勒索軟體攻擊,導致該公司業務嚴重中斷,電話無法使用,或是延遲出貨的現象。美津濃也在美國網站上發出公告,表明該公司出現系統故障的情況,將可能會導致訂單處理延遲,但除此之外沒有透露進一步的資訊。也有客戶聯繫上客服得知,該公司內部系統被迫關閉,而無法搜尋訂單,或是訂購產品,再者,經銷商疑似無法存取該公司的B2B網站進行採購。截至目前為止,美津濃始終沒有對於此事做出回應,攻擊者身分也仍不明朗。

歐洲大型汽車經銷商成為Hive勒索軟體的受害者

汽車產業近年來也成為勒索軟體攻擊的目標之一。根據新聞網站ZDNet的報導,瑞士大型汽車經銷商Emil Frey,證實於1月11日遭到勒索軟體攻擊,並表示於數日後恢復公司營運。至於攻擊者的身分,該公司也於2月1日,出現於勒索軟體Hive的受害者名單裡。

勒索軟體Vice Society攻擊派遣人力業者Parasol Group,竊得資料疑似於暗網公開

在1月上旬,派遣人力業者Parasol Group疑似遭到網路攻擊,導致其處理工資的IT系統運作中斷,並得到母公司Optionis的證實。而到了2月初,這起事故出現了後續發展。根據新聞網站The Regsiter的報導,勒索軟體駭客Vice Society聲稱是由他們發動相關攻擊,並於2月11日公布部分竊得的資料。該新聞網站取得數名派遣人員的說法指出,他們僅有取得部分1月份的薪資報酬。

克羅埃西亞電信業者傳出資料外洩,20萬用戶恐受波及

又是電信業者資料外洩的事故。克羅埃西亞電信業者A1 Hrvatska近期發出公告,表示他們的用戶資料庫,疑似遭到未經授權的人士存取,大約有10%用戶(約20萬人)受到波及。該公司指出,遭到存取的資料包括用戶姓名、地址,以及電話號碼,至於信用卡與網路帳號的資料,則不受影響。

 

【漏洞與修補】

電商網站軟體Magento驚傳RCE漏洞

知名電商網站軟體Magento,最近出現新的重大漏洞而值得用戶留意。Adobe甫於2月13日,發布緊急更新,修補Magento(商業版稱為Adobe Commerce)的重大漏洞CVE-2022-24086,CVSS風險層級為9.8分,且已有開始利用該漏洞的攻擊行動,一旦駭客成功利用,可在無須身分驗證的情況下發動RCE攻擊。這項漏洞影響2.3.3版以上的Magento,較舊的版本不受影響。資安業者Sansec指出,雖然他們尚未看到有人能夠成功利用這項漏洞,但應該很快就會出現大規模的掃描行動。

Google緊急修補已被利用的瀏覽器漏洞

駭客利用零時差瀏覽器漏洞的情況,迫使開發者緊急發布軟體更新。Google於2月14日發布資安通告,針對Windows、macOS、Linux版用戶,推出Chrome 98.0.4758.102,本次共計修補11個漏洞,有數項與記憶體釋放的濫用(UAF)有關,其中,最值得留意的是CVE-2022-0609,因為已有相關攻擊行為。Google亦表示將會逐步推送新版Chrome,但由於本次已有漏洞遭到利用的情況,使用者應考慮透過手動更新的方式,取得Chrome 98.0.4758.102。而該漏洞也是Google今年修補的第一個零時差漏洞。

針對可被攻擊者用於規避掃描的弱點,微軟疑似悄悄修補了Windows防毒軟體

資安業者SentinelOne於1月揭露微軟防毒軟體Microsoft Defender的組態漏洞,該漏洞允許一般使用者透過Windows的搜尋功能,就能找到該防毒軟體不會掃描的資料夾,而可能被駭客用來存放惡意軟體以規避偵測。根據資安新聞網站Bleeping Computer的報導,近日Andy Dormann、Antonio Cocomazzi、CISOwithHoodie等資安人員發現,微軟疑似透過Microsoft Defender的情資更新機制,默默地修補此項漏洞。

針對部分已終止支援的NAS設備,威聯通將提供重大安全更新至10月

為了讓客戶有更多時間能夠汰換設備,廠商可能針對部分終止支援(EOL)的產品,破例延長維護安全更新的時間。例如,臺灣NAS業者威聯通(QNAP)於2月14日發出公告,表明針對部分已經終止支援的NAS產品,包含可執行QTS作業系統4.2.6、4.3.3、4.3.6、4.4.1版的款式,將額外提供重大漏洞與嚴重漏洞的安全更新至2022年10月。不過,該廠商還是呼籲,用戶最好不要將這些設備直接曝露於網際網路,以免攻擊者針對尚未修補的漏洞下手。

 

【資安產業動態】

思科擬開價200億美元買下大數據分析業者Splunk

近期大型資安業者併購動作頻頻。根據華爾街日報(WSJ)、路透社(Ruters)等多家新聞媒體於2月12日的報導指出,思科疑似打算以200億美元的價碼,購買大數據分析業者Splunk,此消息傳出後,Splunk股價大漲17%,最高達到126美元。消息人士透露,這筆交易雙方甫提出討論,尚未論及更進一步的細節。

 

近期資安日報

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement