這幾個月駭客頻頻利用Atlassian Confluence漏洞發動攻擊,但近期也有針對協作平臺Zimbra漏洞的情況──近期又有資安業者揭露新的漏洞攻擊事故,而且,這次駭客串連了兩個漏洞CVE-2022-27925、CVE-2022-37042,於受害伺服器植入Web Shell。

本週有兩組研究人員不約而同公布Intel、AMD的處理器漏洞ÆPIC Leak及SQUIP,但這次的兩個漏洞性質與過往有所不同,出現在架構層面,與推測執行較無關連。有研究人員指出,一旦駭客能夠利用漏洞,成功竊得機敏資料的機會比推測執行來得高。

Palo Alto Networks防火牆作業系統的漏洞CVE-2022-0028也相當值得用戶留意,此漏洞已被用於攻擊行動,但該廠商僅對部分版本作業系統完成修補。

【攻擊與威脅】

協作平臺Zimbra身分驗證繞過漏洞被用於攻擊全球組織,上千臺伺服器遇害

資安業者Volexity提出警告,根據他們的調查,駭客在6月底開始對全球上千個協作平臺Zimbra發動攻擊,利用的就是該公司向軟體開發者通報的RCE漏洞CVE-2022-27925、身分驗證繞過漏洞CVE-2022-37042,駭客於受害的Zimbra伺服器上植入Web Shell。

研究人員指出,組織若是沒有在5月底前修補CVE-2022-27925,Zimbra伺服器就有可能遭到入侵。美國網路安全暨基礎設施安全局(CISA)也要求聯邦機構,在9月1日前完成修補這兩個漏洞。

駭客鎖定新加坡網路賣家竊取線上購物的信用卡資料,並試圖透過OTP洗劫銀行帳戶

資安業者Group-IB在2020年發現專門竊取網路賣家信用卡資料的駭客集團Classicscam,過往攻擊目標為美國、歐洲、俄羅斯,但研究人員發現,這些駭客約自今年3月開始也攻擊新加坡人。駭客假借線上購物買家的名義,宣稱要向網路賣家購物,進而竊取賣家的信用卡資料,甚至是企圖藉由OTP洗劫銀行存款。研究人員指出,整個Classicscam集團共有超過200個網域用於攻擊,其中有18個是針對新加坡。

Google Sites、Azure Web App遭到濫用,駭客架設加密貨幣詐騙網站

資安業者Netskope指出,從今年年初開始到現在,駭客利用Google Sites與Azure Web App來架設釣魚網站,企圖騙取Coinbase、MetaMask、Kraken,以及Gemini用戶的加密貨幣錢包或帳戶,他們一開始利用其他網站、部落格的留言,來散播上述釣魚網站的URL,駭客也濫用Google搜尋的SEO技術,讓受害者在搜尋結果中,就看到設置於Google Sites的釣魚網站。

駭客架設與上述加密貨幣業者極為相似的釣魚網站,一旦使用者依照指示登錄系統,就會被帶往另一個建置於Azure Web App的網站,要求輸入帳密或通關密語,並進行側錄。研究人員指出,由於這些網站架設於雲端服務上,一般資安系統可能會將其視為合法而不會封鎖,他們呼籲使用者要提高警覺。

英國NHS的MSP業者Advanced證實遭到勒索軟體攻擊

英國NHS的111緊急通報系統於8月5日傳出服務中斷,起因與代管服務業者Advanced遭到攻擊有關,此業者於10日提出進一步說明。Advanced表示,他們約於8月4日上午7時遭到勒索軟體攻擊,共有7款產品的用戶受到影響,該公司委請Mandiant和微軟協助調查,並強化系統安全。初步調查結果顯示,他們的客戶並未受到攻擊,惡意軟體只有出現在該公司部分伺服器。

而對於受到波及的111系統,該公司表示重新提供相關服務可能需要三到四星期以上的時間。

為規避偵測,殭屍網路Orchard濫用比特幣交易資訊來產生網域名稱

中國網路公司奇虎360旗下的360網路實驗室(360 Netlab)指出,他們針對名為Orchard的殭屍網路進行長期追蹤,結果發現,與許多殭屍網路相同的是,Orchard使用網域產生演算法(DGA),來產生與C2連線的網域名稱,並用來在受害電腦部署各式惡意軟體,以及挖取門羅幣。但Orchard在DGA產生網域名稱的做法上可說是非常罕見,駭客利用了比特幣創始人中本聰的錢包,並以此人持有的比特幣金額資訊來產生部分網域名稱。

研究人員指出,比特幣交易的不確定性很高,使得利用這種DGA演算法產生的網域名稱不易推測,資安人員也難以追蹤此殭屍網路的源頭。

 

【漏洞與修補】

研究人員揭露攻擊Intel處理器的手法ÆPIC Leak,Core第10至12代處理器曝險

AWS、德國亥姆霍玆資安中心(CISPA)、羅馬大學、格拉茨科技大學的研究人員聯手,揭露名為ÆPIC Leak處理器架構漏洞CVE-2022-21233,該漏洞與處理器的進階可程式化中斷控制器(APIC)元件有關,存在於Intel第10代至12代Core處理器,攻擊者透過APIC MMIO未定義範圍的中斷請求,有機會從快取竊得敏感資料。此漏洞對於仰賴Intel SGX保護的應用程式造成重大風險,對於一般使用者的影響較為有限。

Intel於8月9日發布資安通告,指出主要波及的是第3代Xeon Scalable處理器(Ice Lake-SP),並提出緩解措施。

處理器攻擊手法SQUIP恐影響AMD產品

格拉茨科技大學、喬治亞理工學院、資安研究所Lamarr的研究人員聯手,公布名為SQUIP(Scheduler Queue Usage via Interference Probing)的處理器攻擊手法,影響採用 Zen 1、Zen 2、Zen 3微架構、同步多執行緒(SMT)的AMD Ryzen處理器,一旦攻擊者運用該漏洞,有可能取得完整的RSA-4096加密金鑰。

AMD於去年12月獲報後,將上述處理器弱點登記為CVE-2021-46778列管,評估此漏洞具備中等風險,並於今年8月9日發布資安通告,公布受影響的處理器型號。

Palo Alto Networks修補被用於阻斷服務攻擊的防火牆漏洞

資安業者Palo Alto Networks於8月11日發布資安通告,指出防火牆作業系統PAN-OS存在CVE-2022-0028漏洞,他們獲報有人將其嘗試用於發動反射式阻斷服務(Reflected Denial-of-Service,RDoS)攻擊。此漏洞與PAN-OS的URL過濾政策組態不當有關,一旦攻擊者利用該漏洞,就有可能製造及放大TCP流量,發動DoS攻擊,CVSS風險評分為8.6分。

該公司指出,此漏洞影響實體設備、虛擬設備、容器版本防火牆,他們已針對PAN-OS 10.1發布更新軟體,其他版本的修補軟體預計將於下週推出。

 

【其他資安新聞】

美國祭出千萬美元緝捕勒索軟體駭客組織Conti成員

為強化選務系統資安,美國CISA發布資安工具包

水上及雪上摩托車Sea-Doo、Ski-Doo製造商BRP遭網路攻擊而暫停營運

臺灣基督教長老教會網站遭駭,網站被換上中國統一的恐嚇訊息

 

近期資安日報

【2022年8月11日】  思科證實遭駭客組織閰羅王入侵、勒索軟體組織Conti旗下駭客利用BazarCall網釣攻擊

【2022年8月10日】  微軟發布8月例行修補、中國駭客以後門程式PortDoor、CotSam攻擊東歐組織

【2022年8月9日】  丹麥7-11便利商店因網路攻擊所有門市暫停營業、美國警告協作平臺Zimbra漏洞遭駭客積極利用

熱門新聞

Advertisement