為了能讓用戶儘速修補漏洞,IT業者往往會發布資安通告,讓用戶能儘速部署相關的更新程式或是韌體,但最近資安廠商Fortinet揭露這類訊息的方式令人意外,因為對於一個嚴重等級評分高達9.6的資安漏洞,他們並未先在自家網站公告,而是私下向部分使用者通知,有用戶將這訊息公布之後,大家才知道有這個漏洞。

因外部廠商管理不當,不慎將用戶資料在網路上公開的情況也相當值得注意。汽車大廠Toyota最近就因為車輛管理系統T-Connect的原始碼公開,導致可存取使用者資料庫的帳密曝光,原因與他們配合的網站開發業者有關。

以臉書登入(Log-in with Facebook)的功能相當常見,但也成為攻擊者騙取該社群網站帳號資料的手段!Meta表示他們找到400個惡意App,其共通點就是會要求使用者需要登入臉書帳號,而且,這些應用程式幾乎可從Google Play與蘋果App Store市集下載(現已全數移除)。

【攻擊與威脅】

汽車大廠Toyota不慎把車輛管理系統的金鑰公開在GitHub上,恐外洩近30萬用戶資料

日本汽車大廠豐田(Toyota)於10月7日發出資安通告,他們提供車主的車輛管理系統T-Connect,部分原始碼在GitHub公開,這些程式碼從2017年12月至2022年9月15日可被他人存取,內有資料伺服器的存取帳密,此伺服器存放了296,019名用戶資料,該公司於今年9月17日修改資料伺服器的帳密,來防堵用戶資料曝光的情況。

豐田表示,目前尚未發現資料遭到盜用的跡象,但不能排除有他人存取的可能性。但為何會出現上述情況?該公司指出是外部的網站開發廠商不慎公開所致。

英特爾證實Alder Lake處理器的BIOS原始碼外洩,但宣稱資料供漏洞懸賞所用

根據電腦硬體新聞網站Tom's Hardware報導,有人在網路論壇4chan上,公開英特爾第12代Core系列處理器(Alder Lake)的BIOS相關資料,並透過ZIP檔案打包,解壓縮後檔案大小為5.86 GB,內容是Alder Lake的BIOS及UEFI開發文件與工具,這些資料不久後也被人上傳到GitHub。

這起事故得到英特爾證實,該公司指出這些資料與抓漏獎勵專案Circuit Breaker有關,並非內部系統存在漏洞導致資料外洩。但資料從何外洩,以及駭客的動機為何?英特爾並未說明。

威剛傳出資料外洩,但該公司表示駭客掌握的是一年前事故的資料

勒索軟體駭客組織RansomHouse於10月4日,聲稱攻擊臺灣記憶體大廠威剛科技,並偷到1 TB的資料。不過,威剛表示,根據他們的比對,這些駭客提供的檔案,來自去年勒索軟體駭客Ragnar Locker的攻擊事故。雖然RansomHouse聲稱已經和威剛進行談判,但威剛表示,駭客並未留下勒索訊息。

遊戲業者2K客服系統遭駭,玩家個資流入地下論壇

9月20日,遊戲業者2K證實客服系統遭到入侵,駭客透過該系統向玩家發送竊密軟體RedLine的連結,該公司於10月6日揭露進一步的調查結果,他們發現未經授權的外部人士,存取了客服系統部分資料,包含了玩家的姓名、電子郵件信箱、玩家ID、工單編號等,目前沒有跡象顯示玩家的密碼與金融資料外洩。資安新聞網站Bleeping Computer指出,駭客已將竊得的資料在地下論壇求售,但強調這批資料不含密碼。

幣安跨鏈橋遭駭,被盜走1億美元資產

大型加密貨幣交易所幣安(Binance)於10月7日上午,傳出跨鏈橋BSC Token Hub遭到入侵,估計在攻擊行動裡造成1億美元損失,但該公司與社群合作,凍結其中的700萬美元加密貨幣。幣安執行長趙長鵬指出,此次駭客攻擊導致該系統產生大量幣安幣(BNB),再將其轉走。該公司暫停Beacon Chain(BEP2)與Smart Chain(BSC)之間的跨鏈交易,並針對後者進行修補,也公告禁止交易的黑名單網址。

逾10座美國機場的網站傳出遭俄羅斯駭客Killnet癱瘓

根據CNN、ABC News、NBC等美國媒體報導,美東時間10月10日上午,亞特蘭大、紐約、芝加哥、洛杉磯、鳯凰城等城市,傳出14座機場的網站遭到DDoS攻擊而斷線,無法提供航班查詢服務。不過,這些機場發言人都表示,攻擊僅造成網站停擺,不影響飛航運作,內部系統也未受影響。而針對攻擊者的身分,俄羅斯駭客組織Killnet聲稱是他們所為,並於Telegram頻道列出打算發動攻擊的49個機場。

400個手機App竊取百萬用戶臉書帳號資料

臉書的母公司Meta指出,他們發現有403個手機惡意程式濫用「以臉書登入(Log-in with Facebook)」的功能,竊取臉書用戶的帳密資料,且這些App幾乎都上架到Google Play與蘋果App Store市集,該公司估計有近百萬用戶受到影響,他們也向這些使用者發出資料外洩通知,前述的App通報給Google與蘋果後皆已下架。Meta提出警告,這些惡意App的共通特徵是提供了以臉書登入的按鈕,部分甚至在沒有登入臉書帳號的狀態下無法使用。

 

【漏洞與修補】

Fortinet修補防火牆、網頁安全閘道RCE漏洞,但先私下通知部分用戶

資安業者Fortinet修補重大身分驗證繞過漏洞CVE-2022-40684,此漏洞影響執行FortiOS的防火牆,以及網頁安全閘道系統FortiProxy,CVSS風險評分為9.6分,影響7.0版以上的FortiOS或FortiProxy。但這次修補引起用戶關注的是,Fortinet約於10月7日先透過電子郵件通知特定用戶,而非在資安通告網站上發布公告,直到有人將這樣的通知信公布後外界才得知此事。

事隔3日,Fortinet發布資安公告,指出該漏洞已被用於攻擊行動,影響範圍除FortiOS與FortiProxy外,亦包含交換器管理系統FortiSwitch Manager。

IKEA智慧照明系統漏洞恐導致組態遭到重設、使用者失去調整亮度的能力

資安業者Synopsys指出,IKEA TRÅDFRI智慧照明系統存在漏洞CVE-2022-39064,攻擊者可傳送特定的IEEE 802.15.4(Zigbee)訊號,使得燈泡閃爍,但若是重覆傳送相同的訊號,就有可能導致燈泡組態被重設,相關的網路與亮度配置都會被清除,最終所有燈泡都會以最高亮度發光,且使用者無法透過手機App或遙控器調整設定。類似的漏洞也存在於該廠牌的物聯網裝置閘道設備上,並以CVE-2022-39065列管。

研究人員指出,攻擊者只需使用筆電與25美元的無線電裝置,並在距離設備100公尺內就能發動攻擊。IKEA表示,上述漏洞與Zigbee協定有關,很可能也會在其他物聯網裝置出現,但不會外洩此照明系統儲存的敏感資訊。

 

【其他資安新聞】

電子郵件系統Zimbra尚未修補的RCE漏洞已出現攻擊行動

Google修補42個Android漏洞,其中3個為涉及高通無線模組的重大漏洞

駭客組織LofyGang鎖定開發者發動供應鏈攻擊,目標為信用卡資料

 

近期資安日報

【2022年10月7日】  利用電信公司Optus外洩資料進行簡訊詐騙的青年遭到逮捕、Uber前資安長掩飾被駭事件罪名成立

【2022年10月6日】  新的ProxyNotShell緩解措施可被繞過、研究人員發現Akamai組態錯誤配置漏洞

【2022年10月5日】  電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道向中國用戶散布惡意Tor瀏覽器安裝程式

熱門新聞

Advertisement