開源軟體受到廣泛使用,背後卻可能僅有數名無償付出的志工進行維護,這種現象再度因Log4Shell這樣的漏洞出現時,而引進政府重視。美國國家資安顧問更指出,開源軟體的資安問題,已是國家安全層級的議題。他們為此召集IT大廠、開源社群組織Apache軟體基金會,來探討IT大廠能否提供更多資源,來提升開源軟體的資訊安全,而不是單純仰賴志工的付出。

而在Log4Shell引起的後續效應之餘,國內最近陸續有數起前員工引起的內部威脅事件傳出,最近,電子零組件大廠臺灣東電化的員工,打算帶著公司研發機密到新東家使用,而在此之前,虛擬實境內容平臺業者愛實境(iStaging)傳出的資安事故,就是前員工發起的DDoS攻擊。

【攻擊與威脅】

電子零組件大廠臺灣東電化爆研發機密外洩,前員工意圖投靠競爭對手

國內最大綜合性電子零組件供應商臺灣東電化公司爆發違反營業秘密案,張姓等4名前工程師擅自下載有關手機鏡頭防震馬達(微致動器)的研發資料,其中2人打算跳槽到香港競爭對手新科公司(SAE),並宣稱目的是為了在即將到職的新公司運用,檢方偵結依營業秘密法起訴4人。這些工程師下載的資料,包含內部的數據分析、設計變更、提升耐衝製程參數等文件,粗估產值至少120億元。

勒索軟體Magniber假借瀏覽器更新名義,鎖定Windows 10電腦發動攻擊

濫用通用視窗應用程式(UWP)的安裝檔案(.APPX),來誘騙使用者在網頁瀏覽器安裝惡意軟體的現象,陸續有這種型態的攻擊事故發生。資安業者AhnLab揭露一起散布勒索軟體Magniber的攻擊行動,駭客以要求Edge和Chrome的使用者手動更新名義,引誘下載APPX更新程式,一旦下載安裝,電腦檔案就會被Magniber加密。

攻擊者使用Golang編譯勒索軟體TellYouThePass,鎖定Windows和Linux電腦

有越來越多的攻擊者使用Go語言(Golang)開發惡意軟體,以便在少許修改的情況下,就能跨平臺攻擊多種作業系統的電腦。例如,資安業者CrowdStrike表明,他們針對利用Log4Shell漏洞的勒索軟體TellYouThePass進行研究,結果發現,該勒索軟體Windows和Linux版本,85%程式碼幾乎相同。

 

【漏洞與修補】

研究人員宣稱透過第三方管理軟體漏洞,控制位於十多個國家的25臺特斯拉汽車

電動車往往被視為能夠移動的電腦,相關的資安議題也引進關注,而電動車大廠特斯拉近期傳出能遠端控制車輛的漏洞,但原因不完全與該廠商的系統有關,而是部分車主所使用的第三方軟體造成。一名年僅19歲的德國資安人員David Colombo宣稱,他透過名為Teslamate的車輛事件記錄軟體,藉由其漏洞,控制位於13個國家的25輛特斯拉汽車,可遠端開啟車門,並使用車內的攝影鏡頭監控司機,甚至可停用防盜機制「哨兵模式(Sentry Mode)」。David Colombo表示,他已經接獲特斯拉的通知,將提供該軟體的漏洞細節,並強調這並非特斯拉基礎設施本身的問題。

 

【資安防禦措施】

針對Log4Shell漏洞背後存在的開源軟體維護議題,美國召集IT業者討論

企業廣泛使用的開源軟體,多半倚賴志工免費維護,一旦出現類似Log4Shell的重大漏洞,卻往往只有志工著手處理,美國國家安全顧問Jake Sullivan更指出,開源軟體安全是主要的國家安全議題。

針對這種現象,美國白宮於1月13日召集Amazon、Google、IBM等大型IT公司,以及維護日誌記錄框架Log4j的Apache軟體基金會、維護Java程式語言的Orcale,希望能透過IT業界來促進開源軟體的安全。而Log4Shell也不是這種情況的首例——在2014年發現、存在於OpenSSL加密程式庫的Heartbleed漏洞,也有類似的情形,OpenSSL被用於全球三分之二的網路伺服器上,同樣仰賴志工維護。

針對電信業者資料外洩事故,美國擬祭出更嚴格的通報規則

為了因應電信業者遭到資料外洩事故時,客戶個資可能隨即就面臨威脅,開始有政府打算採取更為嚴格的通報措施。美國聯邦通訊委員會(FCC)主席Jessica Rosenworcel,於1月12日發出聲明,表示將針對境內電信業者客戶專屬網路資訊(CPNI)的外洩事件,祭出更嚴格的通告規定。其中,將取消事故發生後的強制等待期間規定,再者,則是這些電信業者未來也要向FCC通報相關事故。

為強化資安管理,銓敘部將成立專責單位

政府機關日益重視資安,並成立專責單位來因應的情況越來越顯著,銓敘部於1月13日表示,為精進資訊安全管理作業,他們將會增列預算,聘請4名專門負責資安業務的人員,並成立資安科,然後評估在現有的人力和物力下,提升資安的策略、管理、以及技術層面。此外,他們也會從現有資訊人力調度,來逐步增加資安可用的人力。

 

【近期資安日報】

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement