有資安業者發現知名製藥廠AstraZeneca的伺服器帳密,居然在程式碼儲存庫GitHub被公開,而使得部分用戶的資料可能曝光。該製藥廠已證實此事,但不願說明這些資料為何會被用於開發測試環境。
中國在去年立法要求研究人員必須向政府通報漏洞,此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據,並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。
商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞,其中4個被評為高風險等級。若不修補,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)攻擊。
【攻擊與威脅】
製藥廠AstraZeneca曝露病人個資,原因是疑似有開發人員不慎在GitHub上洩露帳密
資安業者SpiderSilk向新聞網站TechCrunch透露,有個開發者不慎在程式碼儲存庫GitHub上,曝露製藥廠AstraZeneca內部伺服器的帳密,一旦取得這些帳號資料,就能夠存取該公司的Salesforce客戶關係管理平臺,在這套CRM系統當中,存放了一些病人的資料,以及藥物處方費用儲蓄系統AZ&ME應用程式的部分資料。TechCrunch向該製藥廠通報後,對方已關閉該儲存庫。
AstraZeneca表示,此起事故是使用者錯誤造成,導致有人能夠透過開發者平臺能夠暫時存取到部分資料記錄,他們已在收到通報後,立即停用這些資料的存取,目前正著手調查根本原因,以及探究法規遵循層面的責任,然而,該公司並不願透露為何會將病人資料存放在開發測試環境裡,以及這些資料是否遭到異常存取。
關於中國漏洞揭露政策導致國家級駭客先行利用零時差漏洞,微軟研究人員提出5個案例
中國政府於去年9月1日實施《網路產品安全漏洞管理規定》,要求發現網路系統安全漏洞的研究人員與組織,必須在2日內先向該國工業和信息化部通報,且不得將相關資訊透露給境外人士。這樣的政策,使得中國政府撐腰的駭客很可能會利用這些零時差漏洞發動攻擊,如今外界的疑慮也被證實。
微軟於11月4日發布2022年數位防禦報告,當中提及在中國政府在實行上述的漏洞揭露法律後,有許多重大漏洞都是中國的國家級駭客首先利用,這些漏洞包含了檔案共享系統SolarWinds Serv-U的漏洞CVE-2021-35211、AD自助管理平臺Zoho ManageEngine ADSelfService Plus的CVE-2021-40539、服務臺Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2021-44077、郵件伺服器系統Exchange的反序列化漏洞CVE-2021-42321,以及Atlassian Confluence漏洞CVE-2022-26134等。
波音日本子公司Jeppesen遭到網路攻擊事故,相關服務被迫中斷
根據資安新聞網站The Record的報導,波音旗下的日本子公司Jeppesen於11月3日於網站上公告,表示該公司提供的部分產品及服務面臨技術問題,客戶若需要協助,可透過網站聯繫,電話支援暫不提供。該公司亦指出,這起事故亦影響通知飛行員(Notice To Airmen,NOTAM)的服務。
波音公司向The Record透露這是網路安全事故,正在復原相關服務的運作。旅遊專家Matthew Klint取得知情人士的說法,此起事件很可能是勒索軟體攻擊。
丹麥火車因網路攻擊而被迫停駛
根據資安新聞網站Security Affair的報導,10月29日,專為丹麥鐵路經營者提供資產管理的業者Supeo遭到網路攻擊,導致當天早上該國各地的火車停止行駛,直到約下午1時才恢復。駭客針對此業者架設的Digital Backpack 2系統發動攻擊,這是提供火車司機以行動裝置存取重要訊息的系統。有專家推測這可能是勒索軟體攻擊。
大型火車營運業者DSB則表示,Supeo向他們透露,駭客入侵了測試環境而引發這起事故。
【漏洞與修補】
Splunk修補9個漏洞,其中4個為高風險等級
Splunk於11月2日發布資安通告,表示他們針對Splunk Enterprise修補了9個漏洞,當中包含4個CVSS風險評分達8.8分的高風險漏洞,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)等攻擊手法。
其中,CVE-2022-43571、CVE-2022-43567為RCE漏洞,攻擊者一旦通過身分驗證,可能藉由儀表板產生PDF的元件,或是該系統發送警示訊息至行動裝置App的功能,以偽造請求來進行攻擊;CVE-2022-43570為XXE漏洞,一旦遭到利用,可導致Splunk Web嵌入不正確的文件檔案而出錯;CVE-2022-43568是反射式跨網站指令碼漏洞,存在於啟用Splunk Web功能的Splunk Enterprise,攻擊者可發送含有特定搜尋參數的JSON檔案來利用。因應這些資安問題,Splunk推出9.0.2、8.2.9、8.1.12版Splunk Enterprise,供用戶進行修補。
思科修補旗下身分驗證系統、電子郵件防護解決方案漏洞
思科於11月2日針對旗下多項產品發布資安通告,其中最為嚴重的漏洞為CVE-2022-20961,屬跨網站偽造請求(CSRF)弱點,出現在網路安全存取管理解決方案Identity Services Engine(ISE),未經身分驗證的攻擊者可用於遠端執行任意行動,起因是ISE的網頁管理介面的CSRF保護不足,CVSS風險評分為8.8分。
該公司同日亦公告其他資安產品的漏洞修補,範圍包括:郵件安全閘道Email Security Appliance、上網安全閘道Secure Web Appliance,以及Secure Email and Web Manager,修補的弱點為CVE-2022-20868、CVE-2022-20868。
【資安產業動態】
擴大培育校園資安人才管道,112年度大學推甄首度新增資安組
大學甄選入學委員會於11月4日發布112學年度的大學「繁星推薦」與「申請入學」招生簡章,但與過往招生最為不同之處在於,教育部在申請入學的部分首度增加了「資安組」,共有16個校系、招生68人,報名者在第一階段將會使用「大學程式設計先修檢測(APCS)」做為評比的依據。
【資安防禦措施】
第二屆反勒索軟體倡議高峰會落幕,37國決議透過管制加密貨幣金流來打擊犯罪
為因應勒索軟體威脅,美國白宮今年於10月31日至11月1日,第2次舉辦反勒索軟體倡議高峰會(CRI),共有37國、13家企業參與,各國代表最後達成一項共識,為了遏止勒索軟體犯罪,會將加密貨幣的生態系統列為重點項目,各國政府也支持共享用於洗錢的加密貨幣錢包情資,並聯手阻止駭客透過加密貨幣的生態系統取得贖金。此外,CRI亦打算制訂共通的框架和指南來預防及因應勒索軟體。
【其他資安新聞】
美國針對ETIC Telecom、Nokia、Delta工控系統漏洞發出警告
澳洲科技集團Pnors遭到遭到網路攻擊,維多利亞州居民個資外洩
IT服務業者Kearney & Company傳出遭到勒索軟體LockBit攻擊
近期資安日報
【2022年11月4日】 美國財政部傳出遭親俄駭客組織Killnet攻擊、勒索軟體Black Basta疑與駭客組織FIN7有關
【2022年11月3日】 國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊、數百個美國新聞網站遭到供應鏈攻擊
【2022年11月2日】 Dropbox證實130個GitHub儲存庫遭竊、Azure Cosmos資料庫被發現存在身分驗證漏洞
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-12-06