為了讓使用者能透過自然語言(NLP)來查詢SQL資料庫,許多資料庫採用了Text-to-SQL的機器學習模型,但研究人員發現,駭客可以設計一些問題輸入,讓這種機器學習模型產生惡意程式碼並執行,進而竊取資料或是阻斷資料庫的運作。
半年前公開揭露的NPM套件JsonWebToken高風險漏洞CVE-2022-23529,研究人員本週公開更多細節,他們表示,該漏洞影響的範圍相當廣泛,超過2.2萬個專案會受到波及,呼籲使用者應儘速修補。
美國政府打算製作AI為基礎的資安分析沙箱系統CAP-M,並打算將其分析成果與公部門、企業、學術機構共享。新聞網站The Register指出,此沙箱應為美國總統拜登國防政策的其中一環。
【攻擊與威脅】
研究人員揭露新型態的Text-to-SQL機器學習模型弱點,恐被用於竊取資料或是發動阻斷服務攻擊
謝菲爾德大學、北京航空航天大學、Amazon的研究人員聯手,揭露透過機器學習模型產生惡意程式碼的攻擊手法,可藉此竊取資料庫的敏感資訊,或是發動阻斷服務(DoS)攻擊。
研究人員藉由特別設計的問題,進而欺騙Text-to-SQL機器學習模型產生惡意程式碼,由於前述模型產生的程式碼會直接在資料庫自動執行,可能帶來相當嚴重的後果,經過他們的測試與驗證,此手法可用於Baidu-Unit及AI2sql這兩種商用的Text-to-SQL模型。
另一種攻擊手法則是針對事先訓練過的語言模型(Pre-trained Language Models,PLM)而來,透過詞語替換、特殊的設計提示、變更句子樣式等手法,而能夠在機器學習模型植入後門程式。研究人員目前針對4種開源模型Bart-Base、Bart-Large、T5-Base、T5-3B進行實驗,由於這樣的攻擊手法不會對效能產生很顯著的影響,可能使得IT人員難以察覺。
惡意軟體Kinsing入侵Kubernetes環境的攻擊行動升溫
微軟的資安研究人員提出警告,他們發現惡意軟體Kinsing攻擊Kubernetes叢集的行動顯著增加,其入侵管道是容器映像檔的弱點,或是利用配置不當的PostgreSQL容器。
其中,針對容器映像檔的部分,駭客會找尋PHPUnit、 Liferay、Oracle WebLogic、WordPress等應用程式的漏洞,研究人員指出,對於WebLogic的部分,駭客會掃描預設的7001連接埠,找尋存在CVE-2020-14882、CVE-2020-14750、CVE-2020-14883等RCE漏洞的映像檔。
至於PostgreSQL伺服器配置不當的而成為攻擊目標情況,包含了來源IP位址管制太過寬鬆、位址解析協定(ARP)中毒等。
法國航空、荷蘭航空通知旅客帳號遭竊事故
荷蘭皇家航空(KLM)及法國航空(Air France)近日通知客戶,姓名、電子郵件、電話等資訊可能外洩,呼籲用戶儘速變更密碼。有數名人士在推特公布荷航的電子郵件,內容提及里程累積系統Flying Blue的帳號出現可疑活動,導致部分個資可能遭到異常存取。根據資安新聞網站Bleeping Computer的報導,法航也向用戶發出相關通知。
荷航表示,信用卡及支付資料並未受影響,並強調攻擊已及時阻斷,用戶里程數相關資料沒有受到影響。不過,荷航並未針對受影響用戶人數、攻擊性質,以及時間點做出說明。
雲端服務業者Rackspace再透露12月資安事故調查結果,駭客存取部分用戶資料
在2022年12月初,雲端代管公司Rackspace代管Exchange服務遭到勒索軟體攻擊,該公司隨後委託資安業者CrowdStrike進行鑑識調查,並於1月5日公布調查結果,證據顯示駭客存取了27名用戶的個人儲存表格(Personal Storage Table)。Rackspace已經主動聯絡這些用戶。另外,該公司不再重建Exchange代管服務環境,將全部搬遷至Microsoft 365。
而對於攻擊者的身分,研究人員指出是由駭客組織Play發動,並利用尚未發現的漏洞取得初始存取的權限。Rackspace預計在兩星斯內提供全數用戶復原Exchange所需的備份資料。
【漏洞與修補】
NPM套件JsonWebToken的RCE漏洞恐導致2.2萬專案曝險
資安業者Palo Alto Networks揭露NPM套件JsonWebToken的高風險漏洞CVE-2022-23529,攻擊者一旦利用此漏洞,就有可能藉由偽造的JSON Web Token(JWT)請求,在伺服器上通過驗證,進行遠端執行任意程式碼(RCE)攻擊,CVSS風險層級為7.6分,影響8.5.1版的JsonWebToken,開發團隊Auth0已於12月21日發布9.0.0版修補。
JsonWebToken由身分驗證解決方案業者Okta旗下的Auth0維護,每週下載超過900萬次,有2.2萬專案採用。雖然此漏洞的利用難度並不低,但研究人員認為影響相當廣泛,不能低估駭客對漏洞的興趣,呼籲該套件的使用者應儘速安裝新版元件。
【資安防禦措施】
美國國土安全局、CISA計畫打造以AI為基礎的資安分析沙箱
根據新聞網站The Register的報導,美國國土安全局(DHS)、網路安全暨基礎設施安全局(CISA)聯手,打算開發以AI為基礎的資安分析沙箱系統CISA Advanced Analytics Platform for Machine Learning(CAP-M),完成建置後,CAP-M將具備多雲環境與多種資料結構,供美國公部門運用,並將分析得到的情資與政府機關、學術機構、企業分享。但除此之外,DHS、CISA並未提及建置的時間表,以及其他具體的細節。
【其他資安新聞】
護理之家Consulate Health Care遭勒索軟體Hive攻擊
冒牌OnlyFans成人約會網站濫用英國政府網站的開放重新導向弱點
近期資安日報
【2023年1月9日】 程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆
【2023年1月7日】 駭客利用Fortinet漏洞進行勒索軟體攻擊、研究人員在採用高通處理器的筆電發現UEFI漏洞
【2023年1月6日】 Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦
熱門新聞
2024-11-25
2024-11-22
2024-11-25
2024-11-24
2024-11-25
2024-11-25