在上週末到今天的資安新聞裡,幾乎都與漏洞有關。這包含了針對WordPress外掛程式的攻擊行動,還有Intel、AMD處理器的漏洞Retbleed,已有多家企業級的系統軟體廠商已經著手修補。

資安業者揭露專門針對WordPress外掛程式WPBakery Page Builder而來的攻擊行動,駭客鎖定了開發者已不再維護的元件Kaswara下手,利用任意文件上傳漏洞發動攻擊,在10天內已有近160萬個網站遭到漏洞利用嘗試攻擊。

而在處理器漏洞Retbleed的部分,則是在研究人員公布細節後,很快就有企業級的軟體系統廠商著手修補,這些廠商多半為提供虛擬化平臺與Linux作業系統的業者。

【攻擊與威脅】

駭客鎖定近160萬個WordPress網站,攻擊外掛程式WPBakery Page Builder的元件

WordPress外掛程式的漏洞很可能因為開發者不再維護,而成為攻擊者用來對網站下手的管道。資安業者Wordfence針對一起大規模網站攻擊行動提出警告,駭客鎖定WordPress外掛程式WPBakery Page Builder的Kaswara元件下手,利用任意文件上傳漏洞CVE-2021-24284進行攻擊行動。

研究人員自今年7月4日至13日,總共偵測到1,599,852個網站成為攻擊目標,該公司平均一天攔截逾44萬次嘗試攻擊的行動。由於此漏洞CVSS風險評分達到10分,且沒有修補軟體,廠商也不再維護此外掛程式,攻擊者有可能將其用於接管網站,他們呼籲管理者最好移除此外掛程式。

研究人員揭露瀏覽器快取旁路攻擊手法,有可能導致上網用戶身分曝光

國家級駭客試圖運用各式的攻擊手法,企圖辨識網路上的用戶並進行跟蹤,有研究人員發現新的手法,能讓攻擊者將存取網站的使用者進行解析,將其數位生活拼湊起來,確認目標的身分,進行目標式去匿名化(Deanonymization)攻擊。

紐澤西理工學院(NJIT)的研究人員指出,他們發現攻擊者能透過特製的網站來收集使用者瀏覽器的資料,當受害者瀏覽攻擊者的網站時,此網站會在瀏覽器載入網頁的過程中,發出對於社群網站(如:YouTube、Dropbox、推特、臉書、TikTok等)嵌入式資源的跨網站請求,並忽略使用者身分驗證的Cookie,而這些社群網站會依據使用者的身分做出回應。攻擊者藉由上述的跨網站請求獲得的共享資源,就有機會得知受害者是否為他們鎖定的目標。

最後一步,攻擊者會確認共享資源在受害電腦(或行動裝置)上被載入的情形,他們會針對瀏覽器占用處理器快取的旁路通道資源進行比對,來確認此使用者就是他們鎖定的攻擊目標。

研究人員提出警告,這樣的手法很可能會影響政治人物、參與政治活動的人士,以及記者,而且不光能對於時下主流的網頁瀏覽器進行攻擊,還能對洋蔥瀏覽器(Tor Browser)下手。

木馬程式Sality宣稱提供密碼破解功能來感染ICS系統

工業控制系統(ICS)的管理者,很有可能因為需要管控許多設備而可能會忘掉密碼,有人在網路提供能夠破解可程式化邏輯控制器(PLC)或人機介面(HMI)密碼的工具,但也有人藉由提供這個工具的名義,進而在工控環境植入木馬程式。資安業者Dragos發現,有人在數個社群網站上投放廣告,宣稱提供PLC或是HMI的密碼廠解工具,針對的工控設備廠牌涵蓋了Automation Direct、歐姆龍(Omron)、西門子(Siemens)、富士電子(Fuji Electric)、三菱(Mitsubishi)、松下(Panasonic)、LG、Vigor、Pro-Face、Allen Bradley、Weintek,以及ABB等。

研究人員針對其中一個能解鎖Automation Direct系統的軟體進行分析,發現此工具確實能破解密碼,但是是利用工控系統的已知漏洞來進行,而在提供密碼的同時,此工具也暗中在工控設備植入木馬程式Sality。研究人員呼籲工控環境的管理者,在需要重新取得PLC或MHI的密碼時,應該尋求開發廠商協助,而非透過來路不明的軟體。

 

【漏洞與修補】

多家企業級系統軟體著手修補處理器漏洞Retbleed

上星期研究人員揭露影響Intel與AMD處理器的漏洞Retbleed(CVE-2022-29900、CVE-2022-29901、CVE-2022-28693、CVE-2022-23825),近期有多家企業級系統軟體,著手予以修補。根據資安新聞網站SecurityWeek的報導,虛擬化平臺Citrix Hypervisor、VMware ESXi、Xen都已提供修補程式,Red Hat、SUSE、Ubuntu等Linux作業系統也有相關的資安通報。此外,微軟在最新版Windows修補程式裡,也有對於AMD處理器的Retbleed漏洞著手修補。

IT稽核軟體Netwrix Auditor漏洞恐被駭客用於挾持AD網域

稽核軟體很可能握有高系統權限,而使得此種系統的漏洞引起嚴重的後果。資安業者Bishop Fox發出資安公告指出,他們在IT稽核軟體Netwrix Auditor上找到新的漏洞(尚未取得CVE編號),與不安全的物件反序列化有關,一旦攻擊者加以利用,就有可能在目標伺服器上執行任意命令。

研究人員指出,由於Netwrix Auditor對於指令的執行,是使用NT AUTHORITY\SYSTEM的權限,而使得上述漏洞的危害相當嚴重,除了攻擊者可能將Netwrix伺服器完全破壞,還能進一步挾持受害組織的AD網域。研究人員呼籲,組織應儘速更新Netwrix Auditor至10.5版,來避免此漏洞帶來的資安風險。

微軟Teams的貼圖功能存在漏洞,恐讓攻擊者用於XSS攻擊

協作平臺提供的貼圖功能可讓人更容易表達看法,但這樣的功能也有可能出現漏洞,而成為攻擊者利用的目標。研究人員Numan Turle在微軟Teams的貼圖(Sticker)功能裡,發現了能觸發跨網站指令碼(XSS)的漏洞, 起因與微軟採用了舊版JavaScript框架元件Angular有關。研究人員使用HTML程式碼製作惡意iframe,然後透過Teams的貼圖功能傳送後,能夠觸發前述的XSS漏洞。微軟於今年1月6日獲報,並在3月完成修補,研究人員在7月13日公布細節。

 

【其他資安新聞】

針對Log4Shell漏洞的態勢美國提出警告,可能影響會長達10年

阿爾巴尼亞遭到網路攻擊,被迫關閉政府線上申辦系統

駭客組織Predatory Sparrow聲稱攻擊伊朗鋼鐵廠,並傳出引發火災

勒索軟體駭客BlackCat也濫用紅隊測試工具Brute Ratel C4

駭客假冒記者的名義對新聞媒體發動攻擊

 

近期資安日報

【2022年7月15日】  駭客利用網釣工具包竊取PayPal用戶個資、惡意軟體ChromeLoader以瀏覽器外掛來入侵受害電腦

【2022年7月14日】  勒索軟體BlackCat聲稱攻擊遊戲業者萬代南夢宮、駭客挾持Office 365用戶的電子郵件進行BEC詐騙

【2022年7月13日】  雲端挖礦攻擊鎖定GitHub軟體開發自動化系統下手、VMware修補去年11月揭露的vCenter漏洞

熱門新聞

Advertisement