駭客攻擊網站內容管理系統(CMS)的事故頻傳,其中又以針對市占高達6成的WordPress最多,但Wix、Joomla、Drupal等其他CMS平臺的安全也相當值得留意。以Drupal為例,最近修補了4項漏洞,其中最嚴重的漏洞是CVE-2022-25277,有機會讓駭客執行任意PHP程式碼。

開源的圖像化資料分析系統Grafana有不少組織採用,相關的漏洞也值得留意。其中,Grafana開發團隊最近修補了一項OAuth漏洞,這項漏洞存在於多個版本的Grafana,開發團隊已著手修補,並提供緩解措施。

針對俄羅斯駭客頻頻對其他國家發動攻擊的情況,有資安業者找到駭客在多個國家架設的C2伺服器,並指出這些伺服器具備不同的功能,且已經被用於兩起勒索軟體攻擊行動。值得留意的是,臺灣也存在著上述駭客部署的C2伺服器,有關單位應該採取行動,別讓臺灣成為這群駭客的幫兇。

【攻擊與威脅】

俄羅斯駭客在臺灣等多個國家架設C2伺服器,並用於發動勒索軟體攻擊

駭客組織架設用於攻擊行動的基礎設施,很可能相當複雜且分散在全球各地。資安業者Censys公布俄羅斯駭客架設的15個C2伺服器,並指出這些伺服器不只部署於俄羅斯,還部署在臺灣,以及美國、中國等地。

駭客將部分伺服器用於執行網站的弱點掃描工具Acunetix,或是利用滲透測試工具Metasploit來取得初步的存取權限,然後利用其他的C2伺服器散布惡意程式及勒索軟體。

研究人員發現,這些C2伺服器被用於勒索軟體Karma、MedusaLocker的攻擊行動,前者出現於去年10月,後者則是在今年6月底引起美國發布警告。

烏克蘭軟體開發業者遭到GoMet變種後門程式入侵,駭客意圖對該國政府機關發動軟體供應鏈攻擊

俄羅斯駭客鎖定烏克蘭的攻擊行動,很有可能已經暗中進行一段時間才被發現。思科揭露使用GoMet變種後門程式的攻擊行動,駭客取得開源的GoMet程式碼並加以修改,約從2020年開始,用來攻擊烏克蘭大型軟體開發公司,由於此業者開發的軟體廣受該國多個政府機關採用,研究人員推測這應該是供應鏈攻擊,且很有可能是俄羅斯政府撐腰的駭客所為。

而對於此後門程式的來歷,研究人員表示,開發者使用Go語言打造而成,並包含攻擊者遠端控制的多數功能,且支援在x86與Arm架構的電腦上運作。

烏克蘭電臺播放總統將政權移交的不實訊息,起因是遭到網路攻擊

俄羅斯駭客不斷透過網路攻擊進行心理戰,先前有散布烏克蘭總統澤倫斯基(Vladimir Zelensky)宣布投降的假影片,現在則是宣稱此人的健康出現狀況。根據新聞網站CyberScoop的報導,烏克蘭媒體TAVR Media旗下的電臺散播不實消息,指出澤倫斯基因健康狀況非常糟糕,且已將該國政權交給他人。

TAVR Media於7月21日發出聲明澄清,該電臺是因為遭到網路攻擊才會出現上述情況,發布與澤倫斯基健康問題相關的消息皆與事實不符。澤倫斯基也透過影片表示,自己持續在總統辦公室坐鎮,而上述宣稱他健康出狀況已經進醫院的消息,僅是俄羅斯散布不實資訊的其中之一。

研究人員揭露白俄羅斯駭客UNC1511、俄羅斯駭客UNC2589使用惡意軟體攻擊烏克蘭

美國網路司令部於7月20日指出,他們與烏克蘭國家安全局(SBU)合作,在最近幾個月發現數種惡意軟體,他們公布入侵指標(IoC)供各界防範。針對上述的攻擊行動內容,資安業者Mandiant指出,這些惡意軟體背後的攻擊者,很有可能是由白俄羅斯資助的駭客組織UNC1151,以及與俄羅斯政府有關的UNC2589。研究人員指出,這些駭客會假冒烏克蘭當局宣稱接下來可能會出現的攻擊行動,或是以薪資、防毒軟體為誘餌,來散布前述美國網路司令部公布的惡意軟體。

駭客外洩近550萬推特用戶資料,疑與行動裝置App漏洞有關

又有駭客從社群網站竊得大量用戶資料,並宣稱是利用平臺的漏洞而得逞。根據資安新聞網站Restore Privacy的報導,有人在地下論壇Breached Forums上,兜售5,485,636名推特用戶的資料,並宣稱他們是透過系統弱點取得,受害者不乏名人與公司行號。

駭客向該新聞網站進一步透露,這些資料是在2021年12月收集,並已有買家正在接洽當中,他們打算求售3萬美元,駭客也聲稱他們利用的漏洞,在今年一月被通報到HackerOne,該漏洞存在於安卓版的用戶端程式,現在已完成修補。該新聞網站也證實部分資料的內容正確。推特則表示正在著手調查此事。

針對去年遭網路攻擊的資料外洩事件,T-Mobile決定支付3.5億美元進行和解

去年8月傳出有駭客於地下論壇,兜售來自電信業者T-Mobile的1億用戶資料,隨後該公司證實約有7,660萬名美國使用者資料外洩,並引起用戶集體訴訟。

T-Mobile於7月22日提交給美國證交所的文件指出,他們決定支付3.5億美元,來與受害用戶和解,並承諾今年和明年總共會提撥1.5億美元來投資資料安全。該公司的決定將有待美國法院核准及執行。

臺灣虎航公告遭網路攻擊,客戶資料恐遭外洩

廉價航空業者臺灣虎航於7月22日傍晚,於臺灣證券交易所發布公告,證實該公司遭到網路攻擊,他們已聯合外部資安公司協同處理,並通報相關執法單位。該公司評估營運無重大影響,但在網站上公布反詐騙聲明,要旅客留意可能會衍生的網路詐騙攻擊。

 

【漏洞與揭露】

網站內容管理系統Drupal的RCE漏洞得到修補

駭客攻擊網站內容管理系統(CMS)的事故不斷發生,雖大多是針對WordPress而來,但Wix、Joomla、Drupal等系統的漏洞也值得留意。Drupal的開發團隊於7月20日發布資安通告,公告4項漏洞的細節與緩解措施,影響9.3與9.4版,當中最為嚴重的是CVE-2022-25277,一旦攻擊者加以利用,就有可能透過Apache網頁伺服器上傳惡意文件的方式,執行任意PHP程式碼。不過,要觸發這項漏洞存在限制,其中一項就是網站伺服器必須是使用Apache網頁伺服器,Drupal呼籲網站管理員要儘速檢查伺服器是否遭到入侵,並發布9.3.19與9.4.3版修補上述漏洞。

此外,資訊洩露漏洞CVE-2022-25275也影響Drupal 7,網站管理員應升級7.91版來緩解漏洞。

圖像化資料分析系統Grafana修補可能會導致管理員帳號遭到接管的漏洞

資安研究團隊HTTPVoid於6月底,在圖像化資料分析系統Grafana發現OAuth功能的漏洞CVE-2022-31107,一旦攻擊者加以利用,就有機會存取其他使用者的帳號,CVSS風險評分為7.1分,Grafana 5.3版以上都會受到影響。Grafana於7月14日發布8.3.10、8.4.10、8.5.9、9.0.3版予以修補。開發團隊指出,若是使用者暫時無法更新Grafana,也可透過停用所有的OAuth身分驗證機制,來緩解上述漏洞。

 

【其他資安新聞】

Zyxel修補防火牆資料夾穿越漏洞

SonicWall修補資安治理系統GMS的重大SQL注入漏洞

 

近期資安日報

【2022年7月22日】  勒索軟體Redeemer 2.0免費提供駭客使用、惡意軟體Lightning Framework鎖定Linux主機而來

【2022年7月21日】  上櫃生技醫療永昕生物醫藥遭遇資安事件、LinkedIn是今年第2季駭客偏好用於網釣攻擊的品牌

【2022年7月20日】  俄羅斯駭客APT29濫用檔案共享服務規避偵測、間諜軟體CloudMensis鎖定Mac電腦而來

熱門新聞

Advertisement