在今日的資安新聞裡,有不少與資料外洩相關,其中最引起注目的應該就屬美國聯邦調查局(FBI)的威脅情資交換平臺InfraGard遭駭的事故,此平臺提供美國企業與該單位公私合作的管道,但這起事故也讓研究人員發現,該平臺仍在使用不甚安全的簡訊驗證碼執行進階身分驗證, 而使得駭客有機可乘,取得該平臺的會員帳號,以便進行後續的竊密行動。
許多駭客會利用零時差漏洞來發動攻擊,但已修補多年的漏洞仍有可能成為被利用的對象。思科近期更新了近30則資安通告,原因是他們獲報這些漏洞出現被利用的情況,這些公告大多是2017年、2018年發出。
Samba最近修補的漏洞也相當值得留意,若不安裝新版軟體,攻擊者就有可能利用相關漏洞來控制受害電腦。
【攻擊與威脅】
FBI威脅情資交換平臺InfraGard遭駭,8.7萬成員資料一度流入駭客論壇
根據資安新聞網站HackRead的報導,美國聯邦調查局(FBI)提供的威脅情資交換平臺InfraGard驚傳資料外洩,名為USDoD的人士於12月10日,在駭客論壇BreachedForums以5萬美元的價格,出售逾8.7萬InfraGard成員的個資,號稱包含了這些人士的姓名、電子郵件地址、社群網站的使用者ID,以及歷年的就業記錄。駭客疑似假冒金融組織的執行長申請InfraGard帳號成功,然後滲透此系統。資安新聞網站Krebs On Security指出,駭客通過簡訊取得驗證碼而很快取得InfraGard帳號,接著利用API下載該組織的會員資料。
駭客於16日改口,表示為了避免惹上麻煩,他們不再出售上述資料,並會將電子郵件信箱的名單交給Have I Been Pwned網站。
4至5年前修補的思科產品漏洞出現攻擊行動
思科於12月15日至17日更新許多已修補漏洞的資安通告,原因是這些漏洞約於今年3月被用於攻擊行動,這些漏洞大多是在2017、2018年登記CVE編號並得到修補。
這些漏洞存在於網路管理軟體IOS及IOS XE、無線基地臺、超融合系統平臺HyperFlex HX,以及安全存取控制伺服器(ACS)等。其中,有多個重大漏洞,例如IOS及IOS XE的CVE-2017-12240、CVE-2018-0171,RV132W及RV134W的CVE-2018-0125,HyperFlex HX的CVE-2021-1497,以及ACS的CVE-2018-0147。
德國旅館連鎖集團H-Hotels遭Play勒索軟體攻擊
根據資安新聞網站Bleeping Computer報導,Paly勒索軟體聲稱攻擊了德國旅館連鎖集團H-Hotels,並竊得客戶的護照、身分證等文件。H-Hotels則是於12月12日證實他們在11日遭到網路攻擊,他們察覺攻擊跡象後隨即關閉IT系統,並切斷與網際網路的連接,來防止災害擴大,而導致該公司員工無法使用電子郵件與客戶聯繫。H-Hotels否認出現資料外洩情事,鑑識人員也沒有發現相關跡象。
社群網站分析平臺Social Blade證實資料外洩
有人在12月12日,於駭客論壇BreachedForums兜售從社群網站分析平臺Social Blade竊得的資料,賣家聲稱是在今年9月取得,內有560萬筆記錄,包括IP位置、電子郵件信箱、資料庫的結構。
對此,該公司表示確有資料外洩情事,並開始通知客戶,並指出駭客竊得電子郵件信箱、密碼雜湊值、使用者ID、Token,但沒有信用卡資料。該公司指出,目前尚未出現Token遭到濫用的情事,此外,第三方Token也會在建立的一個小時後失效。
餐廳顧客管理平臺SevenRooms證實資料外洩
12月15日,有人於駭客論壇BreachedForums聲稱,他們從跨國餐廳顧客管理平臺SevenRooms竊得427 GB資料,內有SevenRooms客戶名單、API金鑰、付款資料,以及使用大型連鎖餐廳名稱命名的資料夾。資安新聞網站Bleeping Computer向SevenRooms確認後得到證實。
SevenRooms表示,資料是從外部供應商流出,起因是該供應商的檔案傳輸管道遭到未經授權的存取。SevebRooms表示很可能會影響到經由他們平臺傳輸的檔案,包括了API金鑰交換,以及部分客戶的姓名、電子郵件信箱、電話號碼,但不含信用卡資料、銀行帳戶資料、社會安全碼。
T-Mobile門市店長入侵電信集團內部系統破解手機牟利,遭判10年監禁
前T-Mobile門市店長Argishti Khudaverdyan自2014年8月至2019年6月,入侵T-Mobile、Sprint、AT&T等電信業者的內部網路,意圖破解綁定特定電信業者的手機,並於黑市兜售牟利而遭到起訴。最近判決出爐,12月12日美國司法部表示,Argishti Khudaverdyan於今年8月坦承犯行,陪審團裁定14項罪名,他將面臨10年的監禁,並賠償電信業者2,847萬美元的損失。
美國司法部指出,Argishti Khudaverdyan藉由網路釣魚攻擊,取得逾50名T-Mobile員工的帳密,入侵該公司內部網路取得解鎖工具,解鎖數十萬臺iOS與安卓裝置,不法所得超過2,500萬美元。
【漏洞與修補】
Samba修補高風險漏洞,若不更新恐導致電腦被駭客控制
Samba開發團隊於12月15日發布安全性更新4.17.4、4.16.8、4.15.13,目的是修補CVE-2022-38023、CVE-2022-37966、CVE-2022-37967、CVE-2022-45141等多項漏洞,這些漏洞讓攻擊者有機會控制受害者的電腦。
上述的漏洞CVSS風險層級皆為高風險等級,除CVE-2022-37967為7.2分,其他都達到了8.1分。其中,CVE-2022-38023、CVE-2022-37966、CVE-2022-37967與網路通訊協定Kerberos有關,2022-45141則是存在於Samba Active Directory網域控制器。
熱門猜字遊戲網站Wordle存在API漏洞
資安業者Noname Security揭露紐約時報買下的猜字遊戲網站Wordle漏洞,研究人員透過Chrome瀏覽器的開發人員工具,從該網站使用的JSON格式API裡找到每一天的答案,雖然這樣的情況看似沒有什麼危害,但該資安業者表示,攻擊者有機會透過相同的漏洞,進一步竄改網站API提供的內容。該公司已向紐約時報進行通報,並認為該新聞媒體可能需要調整此網站的設計來緩解漏洞。
【其他資安新聞】
釣魚網站假冒思科及Grammarly的名義散布惡意軟體DarkTortilla
研究人員揭露macOS漏洞Achilles,能繞過應用程式檢測機制Gatekeeper
為防範中間人攻擊,Let's Encrypt在ACME-CAA支援帳戶綁定和驗證方法綁定
近期資安日報
【2022年12月19日】 連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊
熱門新聞
2024-11-25
2024-11-29
2024-11-15
2024-11-15
2024-11-28
2024-11-14