【資安日報】2022年11月2日,Dropbox證實130個GitHub儲存庫遭竊、Azure Cosmos資料庫被發現存在身分驗證漏洞
駭客鎖定開發者盜取GitHub帳號的手法,9月下旬傳出有人假借CI/CD平臺CircleCI的名義發動網釣攻擊,如今有大型網路公司受害──雲端檔案存取服務業者Dropbox遭到相關攻擊,駭客成功竊得130個GitHub儲存庫資料。
資安業者揭露Azure Cosmos資料庫的身分驗證漏洞CosMiss,一旦遭到利用,攻擊者就有可能用於執行遠端命令(RCE),微軟獲報後已著手修補。
2014年因HeartBleed漏洞而嚴重影響IT業界的開源程式庫OpenSSL,於10月底突然預告要修補一項重大漏洞,但在新版本推出後僅修補了高風險漏洞。開發團隊表示是因為原本認定的重大漏洞實際影響有限,而將其改列高風險等級。
【攻擊與威脅】
駭客鎖定企業軟體開發部門下手的情況,,這樣的攻擊行動如今傳出有大型線上服務業者受害。
雲端檔案存取服務業者Dropbox於11月1日發出公告,表示他們遭到網釣攻擊,導致130個GitHub儲存庫被入侵。這些駭客假冒CircleCI向該公司員工發動攻擊,約於10月初就有員工收到相關郵件,一旦員工依照指示,就會被導向冒牌CircleCI登入網頁。攻擊者藉此取得部分員工的帳密,進而存取Dropbox其中一個GitHub據點,複製130個儲存庫,其內容包含該公司修改的第三方程式庫、資安團隊工具,以及數千名員工、客戶、供應商的姓名與電子郵件信箱,但不含Dropbox用戶端程式或是基礎設施的程式碼。
GitHub於10月13日察覺異狀,並於隔日通報Dropbox。值得留意的是,Dropbox已導入專屬的OTP密碼產生器裝置,仍無法倖免於難,該公司擬規畫基於FIDO的WebAuthn機制來防堵相關攻擊。
資安業者卡巴斯基揭露中國駭客APT10(亦稱Cicada)鎖定日本組織的攻擊行動,這些駭客自今年3月,利用魚叉式網路釣魚郵件發動攻擊,郵件挾帶了RAR自解壓縮檔案,企圖濫用防毒軟體K7Security Suite的元件,來載入惡意DLL程式庫K7SysMn1.dll,研究人員指出,由於此惡意DLL檔案由防毒軟體主程式側載(Side-loading),而使得電腦裡的防毒軟體可能不會將其視為有害,該DLL檔案執行後將會藉由XOR金鑰,解碼名為Lodeinfo的Shell Code。
此外,研究人員於今年6月發現另一種攻擊手法,駭客使用惡意Word檔案並引誘受害者啟用巨集,然後透過名為Downiissa的Shell Code部署Lodeinfo。
國防單位為招考相關人員而在網路上提供題庫,竟不慎將自主研發武器的細節納入,而使得這類機密隨之曝險。,他們發現國防部陸軍砲兵指揮部於10月27日,在網站上公布的111年、110年雇員教考測驗試題當中,提及我國自主研發的防空偵查巡弋武器「蜂眼雷達」多項機密參數,包含了雷達角度、搜索範圍、距離參數等性能資料,一旦遭中國利用,恐導致此款武器遭到反制。
對此,邱國正坦承確有此事,蜂眼雷達的參數公開,是因為招考的相關人員需具備相關學能,陸軍已下架相關資料。
【漏洞與修補】
資安業者Orca Security揭露Azure Cosmos資料庫的漏洞CosMiss,該漏洞涉及該服務所採用的Jupyter Notebook元件,只要攻擊者得知Notebook Workspace的UUID,就有機會取得Notebook的完整權限,進而發動遠端命令執行(RCE)攻擊。
研究人員於10月3日通報並得到證實,微軟於10月5日修補完成。針對此漏洞的影響範圍,,他們估計99.8%的Azure Cosmos客戶沒有遭到波及,該漏洞並未出現遭到利用的跡象。
開源加密程式庫OpenSSL的。該版本OpenSSL如期推出,但該團隊修補的漏洞當中,並未包含先前預告提及的重大漏洞,僅有高風險漏洞CVE-2022-3602、CVE-2022-3786。
想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線
推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。
網頁設計最專業,超強功能平台可客製化
窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。
好山好水露營車漫遊體驗
露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢
回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
產品缺大量曝光嗎?你需要的是一流包裝設計
窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。
綠能、環保無空污,成為台中電動車最新代名詞,目前市場使用率逐漸普及化
台中景泰電動車行只是一個單純的理由,將來台灣的環境,出門可以自由放心的深呼吸,讓空氣回歸自然的乾淨,減少污染,留給我們下一代有好品質無空污的優質環境
Google地圖已可更新顯示潭子電動車充電站設置地點!!
日本、大陸,發現這些先進的國家已經早就讓電動車優先上路,而且先進國家空氣品質相當好,電動車節能減碳可以減少空污
南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務
南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務
回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
對此,OpenSSL提出說明──CVE-2022-3602就是原本他們認為的重大等級漏洞。此為任意4位元組的記憶體堆疊溢位漏洞,有可能被用於RCE攻擊,但在許多組織投入相關測試後發現,部分Linux作業系統上不會觸發漏洞,使得該團隊決定調降CVE-2022-3602的風險等級。
手機應用程式市集App一旦出現漏洞,有可能成為駭客植入惡意程式的管道!漏洞懸賞社群SSD Secure Disclosure指出,三星應用市集Galaxy Store存在漏洞,可被攻擊者用來在手機上部署惡意程式,進而執行遠端命令發動攻擊,該漏洞存在於4.5.32.4版App。
此漏洞與Galaxy Store處理深層連結(Deeplink)有關,該應用程式並未在使用者存取深層連結網址的時候執行相關檢查,導致攻擊者可在Galaxy Store的Webview元件上執行JavaScript程式碼,進行跨網站指令碼(XSS)攻擊。三星獲報後已發布修補程式,並推送至所有該廠牌的裝置。
【資安防禦措施】
美國國安局(NSA)、網路安全及基礎設施安全局(CISA)、國家情報總監辦公室(ODNI)於10月31日聯手,發布保護軟體供應鏈的實作指南,內容總共有40頁,提及檢查軟體的安全性、保護程式碼、驗證軟體的完整性、如何開發安全的軟體,以及如何辨識、分析與緩解安全漏洞的說明。此文件奠基於NSA及CISA主導的長期安全框架(Enduring Security Framework,ESF),此框架除針對供應商,亦打算對開發者及客戶提供相關建議。
【資安產業動態】
雙因素驗證(MFA)雖強化了密碼安全,近年來卻衍生出MFA疲勞攻擊(MFA fatigue)的情況。對此,有驗證碼產生器開發商嘗試提出對策。微軟於10月25日宣布,為防堵上述駭客疲勞轟炸的情況,他們計畫在驗證碼產生器Microsoft Authenticator上,加入號碼比對(number matching)的新功能,一旦啟用,日後使用者在收到核淮請求通知時,將必須輸入登入網頁上顯示的數字,這麼做的目的是減少使用者誤觸許可的按鈕。這項號碼比對機制目前已可用在政府雲Azure Government的登入,並預計於明年2月28日成為預設啟用的功能。
【其他資安新聞】
近期資安日報
https://www.ithome.com.tw/news/153972
