在12月最後一周的漏洞消息中,主要焦點包括:Linux核心CVE-2022-47939漏洞(CVSS評分10)被揭露,Apache ShardingSphere-Proxy的CVE-2022-45347漏洞修補,Kubernetes政策管理引擎Kyverno的CVE-2022-47633漏洞修補,以及月前Citrix ADC與Gateway漏洞修補後的企業更新狀況。

特別要注意的是,TIBCO Software在2018與2019年針對JasperReports伺服器修補的兩個已知漏洞(CVE-2018-5430與CVE-2018-18809),最近有攻擊者正針積極鎖定利用,本周新聞中尚未提到,值得先行留意。

至於威脅趨勢上,有兩起值得留意,首先是美國電信業者Comcast Xfinity用戶帳號遭入侵的事件,駭客疑繞過雙因素驗證挾持帳號;其次是駭客在Google廣告散布竊密軟體是利用masquerAds規避審核。另外,針對WordPress外掛程式的攻擊行動又有新的事件。

還有一些國際資安新聞受到不小的關注,例如:美國參議院通過公務裝置全面禁用抖音的法案,南韓警方揭露當地外交智庫學者有近千人遭網釣攻擊,以及俄羅斯駭客企圖入侵北約國家煉油廠;在國內,金融資安行動方案2.0出爐消息最受注目。

【12月26日】容器驗證系統的弱點可被用於上傳惡意映像檔、WordPress禮物卡外掛程式重大漏洞出現攻擊行動

駭客入侵Kubernetes環境的管道,很可能藉由Docker映像檔來傳送惡意程式,但有專門把關這種映像檔的資安系統出現漏洞,一旦駭客加以利用,就能使得相關驗證流程形同虛設。研究人員提出警告,這樣的漏洞有可能會出現其他同類型的資安系統。

又有針對WordPress外掛程式的攻擊行動了!在聖誕節前夕,駭客鎖定讓電商平臺WooCommerce支援禮物卡的外掛程式下手,針對近期被修補的一項漏洞而來,此漏洞在研究人員公布相關細節後就被積極利用,使得資安業者呼籲網站管理者應儘速安裝新版外掛程式。

Linux核心的漏洞也相當值得留意,漏洞懸賞計畫Zero Day Initiative公布他們在7月向Linux基金會通報的漏洞,這些漏洞都與SMB元件ksmbd有關,其中最嚴重者CVSS分數達到了10分。

【12月27日】逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

推特於今年1月修補的漏洞,駭客在尚未修補之前運用的情況恐怕遠超過先前研究人員的發現!近日有人在駭客論壇兜售超過4億筆的推特用戶資料,與先前公布的資料不同之處在於,這次的資料量極為龐大,而且,賣家向推特喊話,要該公司把資料贖回。

美國電信業者Comcast Xfinity的用戶帳號遭竊的情況也相當值得留意,駭客疑似發動帳號填充攻擊,然後使用特製的動態密碼(OTP)繞過工具,而能成功挾持部分用戶的帳號,之後駭客還會對其他雲端服務下手,利用相同的帳密企圖入侵。

我們之前介紹過惡意軟體散布服務Pay-per-install,業者透過惡意軟體下載器PrivateLoader來散布客戶的惡意程式,最近有兩家資安業者發現名為RisePro的竊密軟體就以這種方式發動攻擊,且至少有2千臺電腦受害。

【12月28日】GuLoader惡意軟體下載器又有新Shellcode規避偵測技術;台積電在年底前設置資安長一職

在資安分析技術不斷進步之下,攻擊者也持續找出新的規避偵測的技術,本日有兩起資安人員研究公布亦突顯此一情形,包括新的Shellcode技術與新繞過Windows MoTW的方法。

南韓警察廳揭露集權鄰國發動大規模網釣與勒索軟體攻擊行動,值得關注,近千位外交專家與數十個購物網站成為鎖定攻擊目標。

在國內,金管會要求臺灣上市櫃大型企業在2022年底需設置資安長,今年已有多家公司陸續任命,如今台積電亦推出副總經理林錦坤擔任,明年底上市櫃第二級公司也要注意,必須設置資安專責主管與人員。

【12月29日】NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy

北韓駭客鎖定加密貨幣發動攻擊的情況不時傳出,最近有組織將目標轉向非同質化代幣(NFT)投資者身上。有資安業者在9月初發現大規模釣魚攻擊,這些駭客使用近200個網域來兜售惡意NFT,並在知名市集上架,而使得投資人可能降低警覺而受騙。

手機的揚聲器及動作感知器經過多年的發展,功能日益強大,但這也可能成為攻擊者監聽手機用戶的管道!有5所美國大學的研究人員揭露名為EarSpy的攻擊手法,就是利用動作感知器來收集揚聲器振動的頻率,來得知受害者通訊的對象特徵。

駭客投放Google廣告,以提供知名應用程式的名義來散布惡意軟體,但為何這些惡意廣告能躲過Google的審核機制?有資安業者指出,原因是駭客利用無攻擊特徵的masquerAds網域來上架廣告。

【12月30日】數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令

Citrix針對旗下的Citrix ADC與Citrix Gateway,於上個月和本月各修補了1個CVSS風險層級近乎滿分的重大漏洞,但最近有資安業者提出警告,超過7千臺採用這系列產品的系統尚未完全修補,至少存在其中一個漏洞,而有可能成為駭客鎖定的目標。

智慧音箱提供聲控的功能為使用者帶來便利,一旦這類設備出現漏洞,就有可能成為駭客用來監控使用者的管道。有研究人員發現了能挾持Google Home智慧音箱的漏洞,Google認為此項漏洞也可能波及Google Nest與Fitbit等連網裝置,而二度頒發獎勵。

微軟日前針對來自網際網路上的Office檔案,大幅限縮執行VBA巨集的功能,而使得駭客改以濫用Excel範本檔案XLL來發動攻擊,有威脅情報研究團隊揭露其手法的演進,並指出駭客濫用應用程式開發框架來打造這種惡意範本檔案。

 

熱門新聞

Advertisement