Citrix針對旗下的Citrix ADC與Citrix Gateway,於上個月和本月各修補了1個CVSS風險層級近乎滿分的重大漏洞,但最近有資安業者提出警告,超過7千臺採用這系列產品的系統尚未完全修補,至少存在其中一個漏洞,而有可能成為駭客鎖定的目標。

智慧音箱提供聲控的功能為使用者帶來便利,一旦這類設備出現漏洞,就有可能成為駭客用來監控使用者的管道。有研究人員發現了能挾持Google Home智慧音箱的漏洞,Google認為此項漏洞也可能波及Google Nest與Fitbit等連網裝置,而二度頒發獎勵。

微軟日前針對來自網際網路上的Office檔案,大幅限縮執行VBA巨集的功能,而使得駭客改以濫用Excel範本檔案XLL來發動攻擊,有威脅情報研究團隊揭露其手法的演進,並指出駭客濫用應用程式開發框架來打造這種惡意範本檔案。

 

【攻擊與威脅】

數千臺Citrix伺服器存在重大漏洞

Citrix於11月、12月上旬先後修補了CVE-2022-27510及CVE-2022-27518兩個重大漏洞,CVSS風險層級分別達到9.8分與10分,影響Citrix ADC與Citrix Gateway,後者更已傳出被用於攻擊行動,但仍有不少設備尚未修補上述漏洞。資安業者Fox IT指出,在網際網路上公開的設備約有2.8萬臺,當中約有3,000臺同時存在上述兩項漏洞,約1,000臺受到CVE-2022-27510影響,約3,500臺可能曝露在CVE-2022-27518的風險之中。

研究人員指出,公開於網際網路的Citrix ADC與Citrix Gateway設備,數量最多的依序是美國、德國、英國,分別有42%、57%、45%修補上述2個漏洞。

因應微軟圍堵VBA巨集,駭客濫用.NET開發框架製作惡意Excel範本檔案,並用於網釣攻擊

思科的威脅情報小組Talos揭露近期駭客濫用Excel範本檔案(XLL)的攻擊行動,指出隨著微軟對於來自網際網路(MoTW)的Office檔案限縮VBA巨集的功能,駭客開始偏好使用惡意XLL來發動攻擊,且於去年年底達到高峰。這些駭客採用Excel-DNA和Add-In Express等應用程式開發框架,以.NET程式語言開發惡意Excel範本檔案。

其中,名為Warzone(亦稱Avemaria)的木馬程式在今年8月就是透過這類XLL檔案散布,駭客假冒匈牙利警方對當地使用者發動釣魚郵件攻擊。

印度鐵路公司外洩大量資料,3千萬筆乘客個資流入暗網

根據新聞網站Economic Times的報導,12月27日,印度鐵路餐飲暨旅遊公司(IRCTC)傳出大規模資料外洩事件,駭客於暗網兜售相關資料,聲稱掌握了3千萬筆曾經搭乘的旅客個資與發票,個資內容包括使用者名稱、電子郵件信箱、手機號碼、性別、城市代碼、偏好使用的語言等。而發票的部分,其中有些的到期日為今年的12月31日。

駭客表示政府人員與重要人物的個資已被盜用,他們的資料已有10個人購買。這並非IRCTC首度遭駭,該公司曾於2019年遭到攻擊,而在隔年有900萬人個資出現在網際網路上。

 

【漏洞與修補】

Google智慧音箱弱點恐讓駭客能偷窺語音指令

研究人員Matt揭露於去年通報的Google Home智慧音箱漏洞,這項漏洞一旦遭到利用,攻擊者有可能在該智慧音箱新建帳號,然後在網路環境裡部署後門程式,以便遠端進行控制,並且存取麥克風來監聽使用者說話的內容。 研究人員對此也公布了3個概念性驗證程式,分別利用該漏洞監控麥克風、發出任意HTTP請求,以及在智慧音箱讀寫任意檔案。Google獲報後於2021年4月修補,研究人員得到10.7萬美元獎勵。

 

【資安防禦措施】

美國將全面禁止公務裝置安裝抖音

根據華盛頓郵報、路透社報導,美國參議院12月14日無異議通過名為《No Tiktok on Government Devices Act》的法案,將禁止美國政府或國營企業的任何裝置下載或使用抖音。一旦獲得該國總統拜登簽署,將成為正式法律。美國行政管理與預算局(Office of Management and Budget)將於法律發布後的60天內,和其他相關單位諮詢後制定標準和指引,要求行政部門移除這個中國應用程式。這並非參議院首度封殺抖音──他們曾在2020年通過類似法律,但當時的總統川普並未簽署而沒有實施。

 

【其他資安新聞】

加密貨幣投資機器人3Commas坦承資料外洩,駭客聲稱竊得10萬個API金鑰

DeFi平臺Defrost Finance聖誕節前夕遭閃電貸攻擊,損失1,200萬美元,被社群懷疑是自導自演

印度針對LastPass資料外洩事件可能衍生的網釣攻擊提出警告

Netgear針對路由器的預先身分驗證記憶體溢位漏洞發出公告,呼籲用戶儘速修補

烏克蘭查獲詐欺客服中心,受害者達1.8萬人

 

近期資安日報

【2022年12月29日】 NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy

【2022年12月28日】 GuLoader惡意軟體下載器又有新Shellcode規避偵測技術;台積電在年底前設置資安長一職

【2022年12月27日】 逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

熱門新聞

Advertisement