【資安日報】2022年12月30日,數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令

Citrix針對旗下的Citrix ADC與Citrix Gateway,於上個月和本月各修補了1個CVSS風險層級近乎滿分的重大漏洞,但最近有資安業者提出警告,超過7千臺採用這系列產品的系統尚未完全修補,至少存在其中一個漏洞,而有可能成為駭客鎖定的目標。

智慧音箱提供聲控的功能為使用者帶來便利,一旦這類設備出現漏洞,就有可能成為駭客用來監控使用者的管道。有研究人員發現了能挾持Google Home智慧音箱的漏洞,Google認為此項漏洞也可能波及Google Nest與Fitbit等連網裝置,而二度頒發獎勵。

微軟日前針對來自網際網路上的Office檔案,大幅限縮執行VBA巨集的功能,而使得駭客改以濫用Excel範本檔案XLL來發動攻擊,有威脅情報研究團隊揭露其手法的演進,並指出駭客濫用應用程式開發框架來打造這種惡意範本檔案。

 

【攻擊與威脅】

Citrix於11月、12月上旬先後修補了CVE-2022-27510及CVE-2022-27518兩個重大漏洞,CVSS風險層級分別達到9.8分與10分,影響Citrix ADC與Citrix Gateway,後者更已傳出被用於攻擊行動,但仍有不少設備尚未修補上述漏洞。資安業者Fox IT指出,在網際網路上公開的設備約有2.8萬臺,當中約有3,000臺同時存在上述兩項漏洞,約1,000臺受到CVE-2022-27510影響,約3,500臺可能曝露在CVE-2022-27518的風險之中。

研究人員指出,公開於網際網路的Citrix ADC與Citrix Gateway設備,數量最多的依序是美國、德國、英國,分別有42%、57%、45%修補上述2個漏洞。

思科的威脅情報小組Talos揭露近期駭客濫用Excel範本檔案(XLL)的攻擊行動,指出隨著微軟對於來自網際網路(MoTW)的Office檔案限縮VBA巨集的功能,駭客開始偏好使用惡意XLL來發動攻擊,且於去年年底達到高峰。這些駭客採用Excel-DNA和Add-In Express等應用程式開發框架,以.NET程式語言開發惡意Excel範本檔案。

其中,名為Warzone(亦稱Avemaria)的木馬程式在今年8月就是透過這類XLL檔案散布,駭客假冒匈牙利警方對當地使用者發動釣魚郵件攻擊。

根據新聞網站Economic Times的報導,12月27日,印度鐵路餐飲暨旅遊公司(IRCTC)傳出大規模資料外洩事件,駭客於暗網兜售相關資料,聲稱掌握了3千萬筆曾經搭乘的旅客個資與發票,個資內容包括使用者名稱、電子郵件信箱、手機號碼、性別、城市代碼、偏好使用的語言等。而發票的部分,其中有些的到期日為今年的12月31日。

駭客表示政府人員與重要人物的個資已被盜用,他們的資料已有10個人購買。這並非IRCTC首度遭駭,該公司曾於2019年遭到攻擊,而在隔年有900萬人個資出現在網際網路上。

 

【漏洞與修補】

研究人員Matt揭露於去年通報的Google Home智慧音箱漏洞,這項漏洞一旦遭到利用,攻擊者有可能在該智慧音箱新建帳號,然後在網路環境裡部署後門程式,以便遠端進行控制,並且存取麥克風來監聽使用者說話的內容。 研究人員對此也公布了3個概念性驗證程式,分別利用該漏洞監控麥克風、發出任意HTTP請求,以及在智慧音箱讀寫任意檔案。Google獲報後於2021年4月修補,研究人員得到10.7萬美元獎勵。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

 

【資安防禦措施】

根據華盛頓郵報、路透社報導,美國參議院12月14日無異議通過名為《No Tiktok on Government Devices Act》的法案,將禁止美國政府或國營企業的任何裝置下載或使用抖音。一旦獲得該國總統拜登簽署,將成為正式法律。美國行政管理與預算局(Office of Management and Budget)將於法律發布後的60天內,和其他相關單位諮詢後制定標準和指引,要求行政部門移除這個中國應用程式。這並非參議院首度封殺抖音──他們曾在2020年通過類似法律,但當時的總統川普並未簽署而沒有實施。

 

【其他資安新聞】

 

近期資安日報

https://www.ithome.com.tw/news/154957

您可能也會喜歡…