在本日資安新聞中,可以看出近期一些新的漏洞威脅值得關注,例如,ABB流量檢測器CVE-2022-0902漏洞修補值得關注,近日資安業者揭露漏洞細節,指出這類產品的弱點亦是石油與天然氣產業基礎設施防護關鍵。

還有不少攻擊手法與趨勢值得留意,例如,APT29的新攻擊手法是利用了Windows一項「憑證漫遊」的功能;又有駭客利用PyPI程式庫散布惡意程式,並且是採新混淆技術;有更多攻擊者濫用星際檔案系統(InterPlanetary File System,IPFS)來存放其惡意內容與工具。

其他資安防護態勢與產業消息焦點,包括MITRE評估計畫發布MDR代管服務驗證的結果,在國內,數位發展部推出政府專用短網址服務,我國行政院國家資通安全會報技術服務中心發布最新報告,當中顯示推動政府機關落實記錄保存的改變。

【攻擊與威脅】

ABB天然氣流量檢測器與分析儀關鍵系統漏洞,影響石油與天然氣產業

工控安全業者Claroty旗下Team82研究小組在8日發布報告,揭露存在於ABB流量檢測器CVE-2022-0902的漏洞細節。他們指出,流量檢測器(Flow Computer)的作用,對於石油、天然氣關鍵基礎設施環境同樣至關重要,該設備可對液體或氣體測量,並具有警報、日誌與配置設定功能,還可幫助計費。這次發現的漏洞屬於目錄穿越漏洞,CVSS風險評分達8.1分,攻擊者將可利用此弱點,獲取ABB流量檢測器的root存取權限,並能遠端執行程式碼。該漏洞經Claroty通報後,ABB已於今年7月釋出修補,這次也再提醒用戶更新修補。

有駭客利用新混淆技術將惡意內容藏於PyPI套件包

又有PyPI程式庫中的Python套件被植入惡意內容,Check Point Research研究團隊指出,他們最近在PyPI上檢測到新的惡意套件包,該套件名為apicolor,其套件介紹僅有一般性的描述,說明這是核心REST API的程式庫,特別的是,駭客採用新的混淆技術來將惡意內容隱藏於PyPI程式庫中,也就是透過圖像隱碼術(steganography)的技術,使普遍惡意偵測工具無法察覺。經Check Point通報之後,PyPI平臺已經將它移除。

為了躲避追緝,惡意軟體、網釣工具包濫用IPFS日益頻繁

IPFS遭濫用問題再受關注,Cisco旗下的威脅情報組織Talos在11月9日指出,觀察到多個網路威脅活動,是將其惡意軟體酬載(payloads)、網路釣魚攻擊套件及基礎架構寄身在IPFS網路,攻擊者藉其分散架構,使得上傳內容可以抵抗被接管刪除取締。從Talos的觀察來看,他們已經指出觀察到的樣本不斷增加,特別是今年9月開始急遽攀升,可能吸引更多攻擊者將惡意內容寄身存放於其上,報告中並實際舉出數個觀察到的案例。無論如何,企業應瞭解這些新興技術是如何被積極濫用,並評估應對控制措施。

俄羅斯駭客APT29在攻擊活動中利用了Windows少有人知的憑證漫遊功能

今年被Google併購的資安業者Mandiant,進日他們揭露俄羅斯駭客組織APT29(微軟稱其為Nobelium)的新攻擊手法,是濫用了Windows一項少為人知的憑證漫遊功能。關於這次發現,主要是今年初他們調查一個歐洲外交實體被網路釣魚成功的案件時,於受害網路中發現,攻擊者會使用Windows憑證漫遊(Credential Roaming)功能,以便對企業AD執行不正常的LDAP查詢,進而發現任意檔案寫入的漏洞CVE-2022-30170。該漏洞在今年4月通報後,微軟已在9月修補。

針對印度銀行帳戶使用者的攻擊不斷,出現大規模網路釣魚行為

關於假冒金融業者散布釣魚簡訊,以及諸多針對銀行客戶的攻擊,趨勢科技在11月7日揭露印度當地的發現,近兩年鎖定該國的網路釣魚活動增加,他們分析了針對當地七家銀行客戶的攻擊,包括Axis銀行、ICICI銀行與印度國家銀行(SBI)等,有五個惡意軟體家族活動的跡象,包括Elibomi、FakeReward、AxBanker、IcRAT與IcSpy。在這些網釣攻擊中,常見到攻擊者濫用合法銀行的Logo、名稱,或是品牌、服務,誘騙受害者訊息中的網址是官方網頁,但實際上是網路釣魚頁面,目的是竊取個資與信用卡資訊。

行政院國家資通安全會報技術服務中心發布第三季報告,資安通報能確認事因的比例增加

行政院國家資通安全會報技術服務中心(技服中心)發布第三季資通安全技術報告,以本季通報事件嚴重性來看,1級事件占81.94%,2級事件占15%,3級事件僅占3.06%,4級事件未發生,報告中同時指出政府防護態勢上有所轉變,主要是過往分析通報事件發生原因時,無法確認事件原因的比例仍高,不過,本季下降至9.79%,相較於上季的20.98%,比率明顯下降,技服中心指出,隨著資通安全管理法推動事件日誌與可歸責性已漸具成效。

 

【漏洞與修補】

開發人員注意.NET SqlClient安全漏洞 CVE-2022-41064修補

微軟在11月8日發布安全性更新修補逾60個漏洞,除了6個已出現攻擊行動的漏洞需特別關注,還有一個與.NET開發人員密切相關的CVE-2022-41064漏洞,也引起大家重視。儘管這項的攻擊利用相當複雜,不過該漏洞影響所有.NET版本,可用於洩漏資訊,且能從遠端發動攻擊,因此需注意修補。

 

【資安產業動態】

MITRE評估計畫2022首屆MDR評比結果發布,共16家業者參與

在2022年11月9日,MITRE Engenuity公布首屆ATT&CK Evaluations for Managed Services的評測結果,外界可瞭解MSSP與MDR業者在識別內部威脅能力的表現,這次共有16家業者參與,包括:微軟、趨勢、Palo Alto Networks、Bitdefender、BlackBerry、CrowdStrike、SentinelOne、Rapid7、OpenText、Sophos、WithSecure,以及Atos、BlueVoyant、Critical Start、NVISO與Red Canary。關於廠商名單,我們注意到Cybereason先前已報名,但最後並未提到該公司參加狀況。

連結標準聯盟CSA發布物聯網Matter標準,資訊安全面亦所有規範,已有超過190款產品申請認證

物聯網安全又有新進展,連結標準聯盟(Connectivity Standards Alliance,CSA)在10月初發布Matter 1.0,這是一種智慧家居協定標準,目的是打破各種連接協議之間的障礙,讓不同智慧家庭裝置、App,以及雲端服務之間能便利通訊,值得關注的是,當中也規範現代化的安全措施與協定,讓所有基於該標準的裝置能彼此安全地互動。在11月初,該聯盟宣布已有190款產品申請認證,Amazon也在同日宣布旗下Echo與eero都將支援該標準。

 

【資安防禦措施】

芬蘭政府推動資安提供企業補助方案,並將修法改善當局資安漏洞情資交換

推動資安多國政府都在努力,北歐芬蘭政府在10月13日頒布了支持資安發展的法令,是關於資安券補助方案(information security voucher),12月1日正式生效,此方案分為每家公司最高可獲1.5萬歐元補助的小型券(small voucher),用於企業資安稽核評估,人員資安技能訓練發展,以及最高10萬歐元的大型券(bigger voucher),用於網路攻擊預防的威脅模型與測試,以及資安強化措施。該國政府並在10月27日提議修訂幾項法規命令,目的是改善當局在資安漏洞方面的資訊交換。

 

【其他資安新聞】

數位部部長唐鳳採納網路意見,政府自建專用短網址服務登場

國內資安業者提醒民眾當心雙11暗藏騙錢騙個資的「4大陷阱」

研究人員意外發現Google Pixel螢幕鎖定繞過漏洞獲得7萬美元漏洞獎勵

Google One VPN開放22國,臺灣也適用,近日傳出將新增支援Windows與macOS

卡巴斯基將在今年關閉俄羅斯的VPN服務

趨勢科技旗下VicOne推出首款車載軟體遠端診斷服務Secured RDS

 

 

近期資安日報

【2022年11月10日】  SAP修補BusinessObjects與SAPUI5漏洞、兩大處理器業者修補旗下產品漏洞

【2022年11月9日】  沙烏地阿拉伯遭駭客組織Justice Blade鎖定、惡意瀏覽器擴充套件Cloud9鎖定Chrome而來

【2022年11月8日】  加拿大肉品供應商Maple Leaf Foods遭網路攻擊、Azov Ransomware寫入隨機資料破壞檔案

熱門新聞

Advertisement