【資安週報】2022年12月12日到12月16日
在本周資安新聞中,有多項漏洞修補消息受關注,包括微軟本周釋出12月Patch Tuesday,當中修補一項的零時差漏洞CVE-2022-44698,以及Citrix在13日公告修補ADC與網路閘道器產品的零時差漏洞CVE-2022-27518,都已有攻擊行動鎖定,必續盡快修補。
同時,Fortinet於11月修補SSL VPN漏洞CVE-2022-42475,後續該公司也發布資安通告說明已有攻擊行動鎖定利用的情形。還有要注意的是,iPhone的WebKit零時差漏洞CVE-2022-42856被鎖定,其中iOS 15.1手機用戶須特別注意。另外,本周新聞尚未提到的Veeam Backup & Replication的CVE-2022-26500與CVE-2022-26501漏洞修補,我們認為同樣須要留意。
關於新漏洞揭露上,亦有兩大焦點,其影響層面不小。研究人員發現多款WAF產品因無法識別JSON格式、恐被發動SQL注入攻擊,多家廠牌都受影響,已有5家廠商釋出修補,其他產品用戶也應設法了解;還有數款防毒軟體與EDR系統也被研究人員發現零時差漏洞,受關注的是,這些漏洞可能被用於打造資料破壞軟體(Wiper),多家廠商也紛紛釋出修補。
關於攻擊新趨勢方面,資安業者發現惡意軟體QBot有新的散布手法,攻擊者會在惡意郵件中的HTML附件中挾帶包含惡意JavaScript的SVG圖片;另外針對開源套件庫的方面,資安業者發現有網路攻擊者在NuGet、NPM、PyPI套件庫,透過自動化方式,打造並上傳了超過14萬個惡意套件。此外,還有一個值得留意的威脅態勢,是近來有勒索軟體攻擊濫用微軟簽章的驅動程式的情形,微軟獲報後發現數名開發人員計畫帳號被濫用。
而在國內方面,關於2022年臺灣APT攻擊現況,資安業者TeamT5揭露這方面資訊,他們觀察到全年有109起APT攻擊行動,以阿米巴Amoeba與畫皮Hupai這兩個駭客組織為大宗,政府與軍方是主要遭受攻擊目標。
至於安全防護面向上,本周Google新推的OSV-Scanner,是開發人員與資安人員重視的焦點,該機制可讓專案相依項目與已知漏洞列表,提供自動化比對的幫助。
防毒軟體與EDR系統有可能成為駭客破壞電腦資料的幫兇!有資安業者揭露微軟、趨勢科技、Avast、AVG、SentinelOne等廠牌的端點防護產品漏洞,其共通點是可被用來抹除電腦裡的資料。研究人員指出,有別於過往駭客使用的資料破壞軟體(Wiper),這種漏洞讓攻擊者無須取得高權限就能發動攻擊,且檔案更難復原。
存在漏洞的SSL VPN系統也是駭客用於入侵組織的管道,,但目前大量曝險的並非只有這個廠牌的設備,有資安業者公布Pulse Connect曝險的情況,值得留意的是,臺灣約有188臺VPN設備存在已知漏洞。
惡意軟體轉換入侵管道並增加攻擊力道的情況也相當值得留意。駭客自今年8月改變散布惡意軟體TrueBot的手法,先是濫用特定的資產管理工具,但隔了2個月他們改用另一款惡意軟體進行攻擊。
車輛共享業者Uber再度傳出資料外洩事故,但與過往不同的是,這次並非該公司本身遭到攻擊,而是他們的IT資產管理軟體的供應商成為目標,使得Uber、Uber Eats受到牽連。
有後門程式針對VMware虛擬化平臺下手,並利用已知漏洞入侵,值得留意的是,該後門程式其實也能用於攻擊其他執行Linux作業系統的電腦。
提供網路應用程式系統防護的應用程式防火牆(WAF),竟然出現了能被用於SQL注入的漏洞,而且,至少有5家知名的解決方案都存在相關漏洞(Palo Alto Networks、AWS、Cloudflare、F5、Imperva)。
網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益
昨日是本月的第二個星期二,許多廠商發布了12月份的例行修補程式,值得留意的是,所針對的資安弱點,有不少是已經出現攻擊行動的零時差漏洞。
例如,Citrix為旗下的Citrix ADC、Citrix Gateway發出資安通告,有人正利用CVE-2022-27518發動攻擊。美國國家安全局指出攻擊者的身分是中國駭客組織APT5。
另一個也相當值得留意的是與Safari瀏覽器有關,排版引擎WebKit被人發現有漏洞CVE-2022-42856。蘋果原先在11月底為iOS 16提供修補,但該公司現在也擴大對Mac電腦、Apple TV修補,原因是已出現攻擊行動。
殭屍網路針對WordPress網站而來的攻擊行動也值得關注,但這起事故透過暴力破解來挾持網站,而非利用WordPress網站或外掛程式的漏洞。
在12月份的例行修補當中,SAP、VMware也針對旗下產品緩解重大漏洞,用戶應提高警覺並儘速安裝修補程式。其中,SAP本次修補了4項重大漏洞,值得留意的是,當中有兩項與他們採用的元件有關,一項是Business Client所採用的Chrome網頁瀏覽器元件,另一個則是SAP Commerce的Apache Commons Text元件。
駭客在攻擊行動濫用驅動程式的情況也出現了新手法,在最近的一波攻擊行動中,駭客開始採用帶有微軟簽章的惡意驅動程式,以此發起勒索軟體攻擊,從而繞過資安系統偵測。微軟也證實有數名開發人員的帳號遭到濫用。
針對醫療機構的勒索軟體攻擊升溫也引起美國政府的關注,繼11月美國衛生與公共服務部對於4種勒索軟體提出警告後,他們本月針對惡名昭彰的BlackCat和LockBit發布相關警告,並指出這2種勒索軟體的攻擊手法更難以防範。
駭客利用PNG、JPG、GIF等圖片檔案挾帶惡意軟體的手法,不時有事故傳出,但現在有研究人員發現,駭客開始運用SVG格式的向量圖片檔案做為媒介。與前述幾種檔案格式有所不同,SVG採用XML語言為基礎並支援嵌入JavaScript,而使得駭客更容易透過惡意JavaScript指令碼發動攻擊。
竊取臉書帳號的攻擊行動近期越來越頻繁,然而最近有新的手法出現,不僅幾可亂真,也能騙過大多數資安系統的檢查。研究人員揭露濫用臉書貼文的網釣攻擊,這些貼文號稱是臉書的技術支援中心,並誘導受害者到釣魚網站。
Mozilla基金會近期推出Firefox 108、Thunderbird 102.6,美國CISA提出警告,該基金會甫修補的漏洞已出現攻擊行動,使用者應儘速更新。
https://www.ithome.com.tw/news/154774
