電腦UEFI韌體出現漏洞的情況相當值得留意,其中,有研究人員發現Dell、HP、聯想等多家廠牌使用的韌體裡,竟使用了大量舊版OpenSSL加密程式庫,其中最舊的是2009年推出的程式庫元件。研究人員指出,這樣的問題牽涉到採用第三方元件的軟體供應鏈生態,而難以修復。
推特今年7月傳出540萬用戶資料流入駭客論壇的事故,原因是駭客利用該社群網站的漏洞發動攻擊得逞;但資安新聞網站Bleeping Computer指出,該漏洞造成資料外洩的情況遠比當時公布的嚴重許多,根據研究人員的最新發現,有人因此竊得約1,700萬筆資料。
【攻擊與威脅】
Dell、HP、聯想等廠牌的個人電腦韌體使用老舊版本的OpenSSL程式庫,恐因相關漏洞而曝險
資安業者Binarly針對Dell、HP、聯想電腦的UEFI韌體,調查其使用的OpenSSL加密程式庫元件,結果發現,這3家廠商前後使用的OpenSSL版本多達22個,最舊的是2009年推出的0.9.8l,最新的則是今年3月推出的1.1.1n(編按:該分支最新版本為11月推出的1.1.1s)。其中,研究人員特別以聯想ThinkPad商用產品線為例,該產品線的電腦韌體就採用了3種老舊的OpenSSL版本:1.0.0a、0.9.8zb、1.0.2j,分別是2010年、2014年、2018年推出。
Binarly認為,上述研究成果突顯了第三方程式碼供應鏈衍生的問題,引用這些程式碼的韌體開發商通常無法掌握相關的基礎程式碼,使得軟體供應鏈變得更加複雜。
導致540萬筆用戶個資外洩的推特漏洞,災情可能比先前揭露時嚴重,因為有人將其用於收集上千萬筆個資
今年7月推特傳出540萬筆(5,485,635筆)用戶資料流入駭客論壇求售,該公司隨後證實起因是社群網站的漏洞遭到利用所致,但上述漏洞造成的災情,實際上可能更加嚴重。根據資安新聞網站Bleeping Computer的報導,駭客論壇Breached的經營者Pompompurin向他們透露,前述的資料已免費散布,但該名駭客表示後來取得140筆遭停權的推特帳號資料。
此外,資安研究員Chad Loder先後於推特、Mastodon爆料,有人利用相同的漏洞從推特收集多達1,700萬筆資料,內容自2021年開始收集,光是美國與歐洲就有數百萬用戶受到影響。該新聞網站取得其中部分資料,當中有1,377,132個法國用戶的電話號碼,他們進行檢驗發現是有效資料,並指出這些個資並未在先前的外洩事件流出。
加拿大男裝業者Harry Rosen遭到網路攻擊
勒索軟體BianLian聲稱攻陷加拿大男性服飾業者Harry Rosen,並取得該公司檔案伺服器的資料,涉及專案計畫、市場行銷、人力資源、公共關係等業務。資安業者Emsisoft指出,駭客公布1GB的樣本資料,內容是該公司Gold+級客戶名單、行銷資料等文件。Harry Rosen執行長Larry Rosen證實此事,表示他們在10月9日遭到網路攻擊,目前該公司的網路已復原,但不願證實這起事故是否為勒索軟體攻擊。
加拿大食品供應商Maple Leaf Foods證實遭勒索軟體攻擊,並表明不會支付贖金
11月初加拿大食品供應商Maple Leaf Foods發生資安事故,導致營運受到衝擊,現在該公司坦承遭到勒索軟體攻擊,但不會向駭客低頭。根據資安新聞網站Cybernews的報導,勒索軟體Black Basta近日將該食品業者列為受害組織,並公布部分竊得檔案,內有標為機密的文件,該新聞網站研判包含了生產工廠與其他設施有關的資料。
對此,Maple Leaf Foods向另一家媒體IT World Canada證實是勒索軟體攻擊,並表明不會支付贖金,但對於攻擊者的身分,該公司不願透露。
加拿大教師公會OSSTF證實遭到勒索軟體攻擊,會員個資遭到外洩
根據加拿大報社Peterborough Examiner的報導,當地安大略省高中教師公會OSSTF於5月25日至30日,遭到未經授權的第三方存取,並透過勒索軟體加密系統檔案,導致其成員的個資遭到外洩,像是社會安全碼、居住地址等。OSSTF表示尚未發現相關資料遭到濫用的跡象,但沒有說明受影響的人數。
美國辛辛那堤州社區學院遭到勒索軟體Vice Society攻擊
勒索軟體Vice Society聲稱攻擊了辛辛那堤州技術與社區學院(Cincinnati State Technical and Community College),並公布竊得的資料。根據駭客公布的資料,內容包含2022年11月24日的檔案,資安新聞網站Bleeping Computer指出,這很可能代表駭客能夠持續存取該校內部網路。
對此,辛辛那堤州技術與社區學院於11月22日表示,他們修復了校園網路、電子郵件系統,以及部分的教室電腦;但語音信箱、網路列印、VPN,以及數項線上申請服務仍無法使用。
Meta因資料外洩遭愛爾蘭罰2.65億歐元
針對日前Meta遭人利用「資料抓取」手法收集5億筆用戶個資,而可能違反GDPR的情況,愛爾蘭資料保護委員會(DPC)自2021年4月著手調查,最近結果出爐,他們於11月28日宣布,將處以2.65億歐元的行政罰款,相當於新臺幣86億元。這是DPC今年對Meta祭出的第3次處罰。
【漏洞與修補】
宏碁擬修補能停用安全開機的UEFI漏洞
宏碁於11月23日發布資安通告,指出旗下數款筆電的UEFI韌體漏洞CVE-2022-4020,攻擊者有可能藉由竄改NVRAM記憶體的參數,來更動UEFI韌體的安全開機設定,進而植入惡意軟體,並繞過防毒軟體與作業系統的防護機制,該公司旗下Aspire系列的A315-22、A115-21、A315-22G,以及Extensa產品線的EX215-21、EX215-21G,都存在上述漏洞,該公司著手製作修補程式。
揭露該漏洞的資安業者ESET表示,這項漏洞與DXE驅動程式的HQSwSmiDxe模組有關,由於此模組會檢查NVRAM的BootOrderSecureBootDisable參數,一旦該參數存在內容,DXE將會停用安全開機。
思科修補身分驗證系統ISE的命令注入漏洞
11月16日思科修補身分驗證系統ISE的4個漏洞,這些漏洞的共通點,是攻擊者必須取得有效的ISE使用者權限才能利用。其中嚴重程度最高的漏洞是CVE-2022-20964,存在於ISE的網頁管理介面,攻擊者取得相關權限後,可存取tcpdump模組觸發漏洞,進而發動命令注入攻擊,此漏洞的CVSS風險層級為6.3分。資安業者Yoroi指出,假如駭客將CVE-2022-20964與10月份修補的CVE-2022-20959串連,攻擊者能輕易遠端取得ISE的root shell。
【其他資安新聞】
近期資安日報
【2022年11月28日】 Windows網際網路金鑰交換機制漏洞被用於攻擊、Docker Hub存在逾1,600個易受攻擊的映像檔
【2022年11月25日】 閰羅王勒索軟體背後的駭客是俄羅斯人、駭客假借提供微星Afterburner公用程式散布挖礦軟體
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23