Apache針對旗下的程式庫Commons Text,在9月底修補重大漏洞CVE-2022-42889,並於近日提出警告。這個漏洞引起不少研究人員高度關注,但原因為何?有資安專家指出,由於有許多Java專案都採用這個程式庫,嚴重程度很可能直逼Log4Shell。

滲透測試工具Cobalt Strike近日發布更新,原因是修補一項9月下旬修補不全引發的RCE漏洞CVE-2022-42948。軟體開發商表示,這項漏洞涉及該工具所使用的框架。

【攻擊與威脅】

伊恩颶風災情慘重,美國政府救濟金發放被駭客盯上,駭客透過即時通訊討論如何冒領的內容曝光

伊恩颶風重創美國佛羅里達州,該國政府對此提供民眾救濟金,但傳出有人意圖詐領的現象。資安業者Cofense發現,多個駭客WhatsApp群組流傳申請災害補助的資訊,內容包含在DisasterAssistance.gov網站填寫表格的螢幕截圖,但其實相關的對話,都是駭客之間交流如何向聯邦緊急事務管理署(FEMA)詐領救濟金,過程中他們會填寫竊得或買來的社會安全碼(SSN)來提出申請。研究人員指出,這些企圖詐領救助金的人士很可能都來自奈及利亞,並向FEMA通報。

郵件安全業者Inky、SlashNext也發現針對佛羅里達州民眾的釣魚郵件攻擊,並研判目標是為了騙取個資,而有可能被用於冒領政府補助。

需要就學貸款的美國學生遭網路釣魚攻擊鎖定

美國針對學生推出聯邦學生援助計畫(Federal Student Aid)並於近日開放申請,美國聯邦調查局提出警告,駭客也在此同時盯上這些想要申請優惠貸款的學生──他們會設置樣貌雷同的詐騙網站,並以釣魚郵件引誘人們上鉤,進行竊取受害者的資料,或是巧立名目收取各式費用。

Microsoft 365的訊息加密功能可能會洩漏結構性資訊

資安業者WithSecure提出警告,微軟Office 365提供的訊息加密(OME)機制,因使用電子密碼本(ECB)的保護模式不夠安全,有可能洩漏關鍵資訊。研究人員強調,利用此漏洞不需要知道加密金鑰,所以,就連自帶金鑰或是類似的加密金鑰保護措施,都無法緩解這個問題。然而,微軟認為這不算是漏洞,所以不會變更程式碼,也不會發布CVE漏洞公告。為此,研究人員呼籲用戶應避免使用OME。

 

【攻擊與威脅】

出現影響程度直逼Log4Shell的漏洞!Apache修補Commons Text重大漏洞CVE-2022-42889

Apache軟體基金會(ASF)於9月底發布字串演算法程式庫Commons Text 1.10.0,修補重大漏洞CVE-2022-42889,其CVSS風險評分達到9.8分,影響1.5至1.9版Commons Text,起因是該軟體執行變量差值(interpolation)採用的預設參數不安全。最近該基金會發布資安公告呼籲用戶儘速更新,美國國家標準暨技術研究院(NIST)也提出相關警告。

由於該程式庫在Maven Central套件庫約有2,558個專案採用,資安專家Kevin Beaumont認為,這樣的漏洞很有可能引發類似Log4Shell的效應。資安業者GreyNoise表示,此漏洞已有概念性驗證(PoC)攻擊程式出現。

滲透測試工具Cobalt Strike出現重大RCE漏洞,起因是修補不全造成

軟體開發商HelpSystems發出公告,他們針對滲透測試工具Cobalt Strike的漏洞CVE-2022-42948,發布外部修補(out-of-band patch),這項漏洞只影響4.7.1版Cobalt Strike。

起因是該公司於9月20日發布的更新程式不完整,原本是要修補跨網站程式碼(XSS)漏洞CVE-2022-39197,卻被IBM的研究人員發現,駭客可在特定情況下,透過開發商用於設計使用者操作介面的Java Swing框架,來觸發遠端程式碼執行攻擊。

 

【資安防禦措施】

美國政府提供紅隊分析工具RedEye

美國網路安全及基礎設施安全局(CISA)與美國能源部太平洋西北國家實驗室(CNNL)聯手,開發紅隊分析工具RedEye,並透過GitHub以開放原始碼的方式提供。此為互動式分析工具,可用來視覺化及匯報紅隊的命令及控制活動,讓操作者可快速存取複雜的資料,評估緩解策略,最終促進有效的決策,且只需少數的人為介入就能達成目的。

 

【其他資安新聞】

行政院將修正禁用中國資通產品條例,例外使用需經資安長同意

Verizon警告預付卡用戶手機門號挾持攻擊,至少有250個用戶受到影響

法國、拉脫維亞、西班牙警方逮捕31名偷車賊,涉及竄改汽車診斷系統繞過無錀匙啟動機制

網路酒商Vinomofo傳出外洩客戶資料

 

近期資安日報

【2022年10月18日】  日本科技公司大宮化成遭勒索軟體LockBit攻擊、駭客兜售UEFI惡意軟體BlackLotus

【2022年10月17日】  澳洲警方跨國緝毒機密因哥倫比亞政府遭駭外流、荷蘭警方取得155個勒索軟體DeadBolt解密金鑰

【2022年10月14日】  資安業者發現簡中介面的C2攻擊框架Alchimist、駭客使用新網釣攻擊套件租賃服務Caffeine

熱門新聞

Advertisement