有資安業者發現知名製藥廠AstraZeneca的伺服器帳密,居然在程式碼儲存庫GitHub被公開,而使得部分用戶的資料可能曝光。該製藥廠已證實此事,但不願說明這些資料為何會被用於開發測試環境。

中國在去年立法要求研究人員必須向政府通報漏洞,此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據,並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。

商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞,其中4個被評為高風險等級。若不修補,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)攻擊。

【攻擊與威脅】

製藥廠AstraZeneca曝露病人個資,原因是疑似有開發人員不慎在GitHub上洩露帳密

資安業者SpiderSilk向新聞網站TechCrunch透露,有個開發者不慎在程式碼儲存庫GitHub上,曝露製藥廠AstraZeneca內部伺服器的帳密,一旦取得這些帳號資料,就能夠存取該公司的Salesforce客戶關係管理平臺,在這套CRM系統當中,存放了一些病人的資料,以及藥物處方費用儲蓄系統AZ&ME應用程式的部分資料。TechCrunch向該製藥廠通報後,對方已關閉該儲存庫。

AstraZeneca表示,此起事故是使用者錯誤造成,導致有人能夠透過開發者平臺能夠暫時存取到部分資料記錄,他們已在收到通報後,立即停用這些資料的存取,目前正著手調查根本原因,以及探究法規遵循層面的責任,然而,該公司並不願透露為何會將病人資料存放在開發測試環境裡,以及這些資料是否遭到異常存取。

關於中國漏洞揭露政策導致國家級駭客先行利用零時差漏洞,微軟研究人員提出5個案例

中國政府於去年9月1日實施《網路產品安全漏洞管理規定》,要求發現網路系統安全漏洞的研究人員與組織,必須在2日內先向該國工業和信息化部通報,且不得將相關資訊透露給境外人士。這樣的政策,使得中國政府撐腰的駭客很可能會利用這些零時差漏洞發動攻擊,如今外界的疑慮也被證實。

微軟於11月4日發布2022年數位防禦報告,當中提及在中國政府在實行上述的漏洞揭露法律後,有許多重大漏洞都是中國的國家級駭客首先利用,這些漏洞包含了檔案共享系統SolarWinds Serv-U的漏洞CVE-2021-35211、AD自助管理平臺Zoho ManageEngine ADSelfService Plus的CVE-2021-40539、服務臺Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2021-44077、郵件伺服器系統Exchange的反序列化漏洞CVE-2021-42321,以及Atlassian Confluence漏洞CVE-2022-26134等。

波音日本子公司Jeppesen遭到網路攻擊事故,相關服務被迫中斷

根據資安新聞網站The Record的報導,波音旗下的日本子公司Jeppesen於11月3日於網站上公告,表示該公司提供的部分產品及服務面臨技術問題,客戶若需要協助,可透過網站聯繫,電話支援暫不提供。該公司亦指出,這起事故亦影響通知飛行員(Notice To Airmen,NOTAM)的服務。

波音公司向The Record透露這是網路安全事故,正在復原相關服務的運作。旅遊專家Matthew Klint取得知情人士的說法,此起事件很可能是勒索軟體攻擊。

丹麥火車因網路攻擊而被迫停駛

根據資安新聞網站Security Affair的報導,10月29日,專為丹麥鐵路經營者提供資產管理的業者Supeo遭到網路攻擊,導致當天早上該國各地的火車停止行駛,直到約下午1時才恢復。駭客針對此業者架設的Digital Backpack 2系統發動攻擊,這是提供火車司機以行動裝置存取重要訊息的系統。有專家推測這可能是勒索軟體攻擊。

大型火車營運業者DSB則表示,Supeo向他們透露,駭客入侵了測試環境而引發這起事故。

 

【漏洞與修補】

Splunk修補9個漏洞,其中4個為高風險等級

Splunk於11月2日發布資安通告,表示他們針對Splunk Enterprise修補了9個漏洞,當中包含4個CVSS風險評分達8.8分的高風險漏洞,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)等攻擊手法。

其中,CVE-2022-43571、CVE-2022-43567為RCE漏洞,攻擊者一旦通過身分驗證,可能藉由儀表板產生PDF的元件,或是該系統發送警示訊息至行動裝置App的功能,以偽造請求來進行攻擊;CVE-2022-43570為XXE漏洞,一旦遭到利用,可導致Splunk Web嵌入不正確的文件檔案而出錯;CVE-2022-43568是反射式跨網站指令碼漏洞,存在於啟用Splunk Web功能的Splunk Enterprise,攻擊者可發送含有特定搜尋參數的JSON檔案來利用。因應這些資安問題,Splunk推出9.0.2、8.2.9、8.1.12版Splunk Enterprise,供用戶進行修補。

思科修補旗下身分驗證系統、電子郵件防護解決方案漏洞

思科於11月2日針對旗下多項產品發布資安通告,其中最為嚴重的漏洞為CVE-2022-20961,屬跨網站偽造請求(CSRF)弱點,出現在網路安全存取管理解決方案Identity Services Engine(ISE),未經身分驗證的攻擊者可用於遠端執行任意行動,起因是ISE的網頁管理介面的CSRF保護不足,CVSS風險評分為8.8分。

該公司同日亦公告其他資安產品的漏洞修補,範圍包括:郵件安全閘道Email Security Appliance、上網安全閘道Secure Web Appliance,以及Secure Email and Web Manager,修補的弱點為CVE-2022-20868、CVE-2022-20868。

 

【資安產業動態】

擴大培育校園資安人才管道,112年度大學推甄首度新增資安組

大學甄選入學委員會於11月4日發布112學年度的大學「繁星推薦」與「申請入學」招生簡章,但與過往招生最為不同之處在於,教育部在申請入學的部分首度增加了「資安組」,共有16個校系、招生68人,報名者在第一階段將會使用「大學程式設計先修檢測(APCS)」做為評比的依據。

 

【資安防禦措施】

第二屆反勒索軟體倡議高峰會落幕,37國決議透過管制加密貨幣金流來打擊犯罪

為因應勒索軟體威脅,美國白宮今年於10月31日至11月1日,第2次舉辦反勒索軟體倡議高峰會(CRI),共有37國、13家企業參與,各國代表最後達成一項共識,為了遏止勒索軟體犯罪,會將加密貨幣的生態系統列為重點項目,各國政府也支持共享用於洗錢的加密貨幣錢包情資,並聯手阻止駭客透過加密貨幣的生態系統取得贖金。此外,CRI亦打算制訂共通的框架和指南來預防及因應勒索軟體。

 

【其他資安新聞】

美國針對ETIC Telecom、Nokia、Delta工控系統漏洞發出警告

澳洲科技集團Pnors遭到遭到網路攻擊,維多利亞州居民個資外洩

IT服務業者Kearney & Company傳出遭到勒索軟體LockBit攻擊

網路釣魚工具訂閱服務Robin Banks捲土重來

 

近期資安日報

【2022年11月4日】  美國財政部傳出遭親俄駭客組織Killnet攻擊、勒索軟體Black Basta疑與駭客組織FIN7有關

【2022年11月3日】  國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊、數百個美國新聞網站遭到供應鏈攻擊

【2022年11月2日】  Dropbox證實130個GitHub儲存庫遭竊、Azure Cosmos資料庫被發現存在身分驗證漏洞

熱門新聞

Advertisement