駭客鎖定開發者盜取GitHub帳號的手法,9月下旬傳出有人假借CI/CD平臺CircleCI的名義發動網釣攻擊,如今有大型網路公司受害──雲端檔案存取服務業者Dropbox遭到相關攻擊,駭客成功竊得130個GitHub儲存庫資料。

資安業者揭露Azure Cosmos資料庫的身分驗證漏洞CosMiss,一旦遭到利用,攻擊者就有可能用於執行遠端命令(RCE),微軟獲報後已著手修補。

2014年因HeartBleed漏洞而嚴重影響IT業界的開源程式庫OpenSSL,於10月底突然預告要修補一項重大漏洞,但在新版本推出後僅修補了高風險漏洞。開發團隊表示是因為原本認定的重大漏洞實際影響有限,而將其改列高風險等級。

【攻擊與威脅】

雲端檔案存取服務業者Dropbox傳出130個GitHub儲存庫外洩事故,起因是員工遭到網釣攻擊

駭客鎖定企業軟體開發部門下手的情況,近期有人假冒持續整合與交付平臺CircleCI的名義發動攻擊,竊取GitHub帳密資料,這樣的攻擊行動如今傳出有大型線上服務業者受害。

雲端檔案存取服務業者Dropbox於11月1日發出公告,表示他們遭到網釣攻擊,導致130個GitHub儲存庫被入侵。這些駭客假冒CircleCI向該公司員工發動攻擊,約於10月初就有員工收到相關郵件,一旦員工依照指示,就會被導向冒牌CircleCI登入網頁。攻擊者藉此取得部分員工的帳密,進而存取Dropbox其中一個GitHub據點,複製130個儲存庫,其內容包含該公司修改的第三方程式庫、資安團隊工具,以及數千名員工、客戶、供應商的姓名與電子郵件信箱,但不含Dropbox用戶端程式或是基礎設施的程式碼。

GitHub於10月13日察覺異狀,並於隔日通報Dropbox。值得留意的是,Dropbox已導入專屬的OTP密碼產生器裝置,仍無法倖免於難,該公司擬規畫基於FIDO的WebAuthn機制來防堵相關攻擊。

中國駭客APT10鎖定日本組織,以提供防毒軟體名義散布惡意軟體Lodeinfo

資安業者卡巴斯基揭露中國駭客APT10(亦稱Cicada)鎖定日本組織的攻擊行動,這些駭客自今年3月,利用魚叉式網路釣魚郵件發動攻擊,郵件挾帶了RAR自解壓縮檔案,企圖濫用防毒軟體K7Security Suite的元件,來載入惡意DLL程式庫K7SysMn1.dll,研究人員指出,由於此惡意DLL檔案由防毒軟體主程式側載(Side-loading),而使得電腦裡的防毒軟體可能不會將其視為有害,該DLL檔案執行後將會藉由XOR金鑰,解碼名為Lodeinfo的Shell Code。

此外,研究人員於今年6月發現另一種攻擊手法,駭客使用惡意Word檔案並引誘受害者啟用巨集,然後透過名為Downiissa的Shell Code部署Lodeinfo。

陸軍將考題放上網路,疑將自主研發武器「蜂眼雷達」參數外洩

國防單位為招考相關人員而在網路上提供題庫,竟不慎將自主研發武器的細節納入,而使得這類機密隨之曝險。民眾黨立法委員邱臣遠於11月1日質詢國防部長邱國正時指出,他們發現國防部陸軍砲兵指揮部於10月27日,在網站上公布的111年、110年雇員教考測驗試題當中,提及我國自主研發的防空偵查巡弋武器「蜂眼雷達」多項機密參數,包含了雷達角度、搜索範圍、距離參數等性能資料,一旦遭中國利用,恐導致此款武器遭到反制。

對此,邱國正坦承確有此事,蜂眼雷達的參數公開,是因為招考的相關人員需具備相關學能,陸軍已下架相關資料。

 

【漏洞與修補】

Azure Cosmos資料庫被發現存在身分驗證漏洞,可被用於發動RCE攻擊

資安業者Orca Security揭露Azure Cosmos資料庫的漏洞CosMiss,該漏洞涉及該服務所採用的Jupyter Notebook元件,只要攻擊者得知Notebook Workspace的UUID,就有機會取得Notebook的完整權限,進而發動遠端命令執行(RCE)攻擊。

研究人員於10月3日通報並得到證實,微軟於10月5日修補完成。針對此漏洞的影響範圍,微軟表示,僅有啟用Jupyter Notebook元件的用戶才會受到影響,他們估計99.8%的Azure Cosmos客戶沒有遭到波及,該漏洞並未出現遭到利用的跡象。

開源加密程式庫OpenSSL釋出3.0.7版,修補2個高風險漏洞

開源加密程式庫OpenSSL的開發團隊日前預告,將於11月1日發布3.0.7版並修補重大漏洞。該版本OpenSSL如期推出,但該團隊修補的漏洞當中,並未包含先前預告提及的重大漏洞,僅有高風險漏洞CVE-2022-3602、CVE-2022-3786。

對此,OpenSSL提出說明──CVE-2022-3602就是原本他們認為的重大等級漏洞。此為任意4位元組的記憶體堆疊溢位漏洞,有可能被用於RCE攻擊,但在許多組織投入相關測試後發現,部分Linux作業系統上不會觸發漏洞,使得該團隊決定調降CVE-2022-3602的風險等級。

三星應用程式市集漏洞恐被用於安裝惡意程式

手機應用程式市集App一旦出現漏洞,有可能成為駭客植入惡意程式的管道!漏洞懸賞社群SSD Secure Disclosure指出,三星應用市集Galaxy Store存在漏洞,可被攻擊者用來在手機上部署惡意程式,進而執行遠端命令發動攻擊,該漏洞存在於4.5.32.4版App。

此漏洞與Galaxy Store處理深層連結(Deeplink)有關,該應用程式並未在使用者存取深層連結網址的時候執行相關檢查,導致攻擊者可在Galaxy Store的Webview元件上執行JavaScript程式碼,進行跨網站指令碼(XSS)攻擊。三星獲報後已發布修補程式,並推送至所有該廠牌的裝置。

 

【資安防禦措施】

美國為軟體供應商提出供應鏈安全指南

美國國安局(NSA)、網路安全及基礎設施安全局(CISA)、國家情報總監辦公室(ODNI)於10月31日聯手,發布保護軟體供應鏈的實作指南,內容總共有40頁,提及檢查軟體的安全性、保護程式碼、驗證軟體的完整性、如何開發安全的軟體,以及如何辨識、分析與緩解安全漏洞的說明。此文件奠基於NSA及CISA主導的長期安全框架(Enduring Security Framework,ESF),此框架除針對供應商,亦打算對開發者及客戶提供相關建議。

 

【資安產業動態】

微軟為驗證碼產生器加入防範多因素驗證疲勞的功能

雙因素驗證(MFA)雖強化了密碼安全,近年來卻衍生出MFA疲勞攻擊(MFA fatigue)的情況。對此,有驗證碼產生器開發商嘗試提出對策。微軟於10月25日宣布,為防堵上述駭客疲勞轟炸的情況,他們計畫在驗證碼產生器Microsoft Authenticator上,加入號碼比對(number matching)的新功能,一旦啟用,日後使用者在收到核淮請求通知時,將必須輸入登入網頁上顯示的數字,這麼做的目的是減少使用者誤觸許可的按鈕。這項號碼比對機制目前已可用在政府雲Azure Government的登入,並預計於明年2月28日成為預設啟用的功能。

 

【其他資安新聞】

惡意軟體假借開源圖片編輯工具GIMP名義,透過Google廣告散布

惡意安卓App上架Google Play市集,已被下載逾百萬次

 

近期資安日報

【2022年11月1日】  資料破壞軟體Azov Ransomware抗議西方國家對抗俄羅斯不力、澳洲國防部傳出資料外洩

【2022年10月31日】  德國銅供應商Aurubis遭到網路攻擊、GitHub出現可利用重新命名來挾持儲存庫的漏洞

【2022年10月28日】  親中駭客Dragonbridge散布假訊息操縱美國政局、資料庫程式庫SQLite修補22年的高風險漏洞

熱門新聞

Advertisement