電動車提供許多智慧功能,一旦相關業者遭到網路攻擊,就有可能導致各式的服務被迫中斷。臺灣電動機車大廠Gogoro在上週末於使用者論壇發出公告,證實他們遭到網路攻擊,但強調對營運沒有造成重大影響。這起事故在公告數日後,受到各家媒體報導,原因是即將交車的客戶指控,疑似因此被迫延後取得機車,但Gogoro卻沒有主動通知,讓這名民眾只能空等。但交車延期是否與這起網路攻擊有關?顯然有待釐清。

近期勒索軟體駭客鎖定NAS下手的情況,已經不是新鮮事,但最近一起攻擊行動中,出現與過往不同的情況,駭客不只要NAS用戶付錢換回檔案,還囂張地打算將他們用於攻擊的零時差漏洞,賣給NAS廠商,頗有挖苦NAS廠商的意味。

對於Linux作業系統上的漏洞,最近陸續有資安研究人員公布他們的發現,而在今天的資安日報裡,出現了2個影響相當廣泛的漏洞,一個存在於系統元件,可能影響幾乎所有的Linux發行版;而另一個漏洞則是可被用於攻擊Kubernetes環境。

【攻擊與威脅】

電動機車業者Gogoro遭網路攻擊,疑影響交車、無法預約進廠維修時間

隨著電動車越來越普遍,針對相關業者發動攻擊,可能導致多種服務受到波及。電動車Gogoro在1月22日晚間9點表示,他們在1月21日週五偵測到部分資訊系統遭受駭客網路攻擊,該公司資訊部門在偵測偵測到網路異常後,已啟動資安事件應變,與外部資安公司協同處理,並通報政府單位。根據他們的說明,目前,受影響的部分資訊系統正陸續回復,對日常營運並無重大影響,電池交換網路、銷售與維修通路、客戶服務系統皆持續運作。

巧合的是,最近幾日陸續有民眾指控,已經即將交車的時程被迫延期,也有車主反應無法預約進廠維修的時間,使得這起事件引起外界關注,但這些情況是否與網路攻擊有關?顯然還有待釐清。

該公司在公告指出,同時間亦有其他臺灣廠商遭遇類似的狀況,但這些廠商是否為採用Gogoro電池交換系統Powered by Gogoro Network(PBGN)的聯盟成員?該公司沒有進一步說明。

勒索軟體DeadBolt攻擊威聯通NAS,意圖向製造商兜售漏洞細節

勒索軟體入侵NAS設備的情況,陸續傳出事故,但如今駭客得寸進尺,打算將攻擊事故做為向設備廠商兜售漏洞細節的管道。資安新聞網站Bleeping Computer指出,他們發現勒索軟體DeadBolt約自1月25日開始,攻擊威聯通(QNAP)的NAS設備,並向受害者索討0.03個比特幣,相當於1,100美元,至少有15臺NAS受害,駭客宣稱是透過未揭露的漏洞來下手。值得留意的是,在勒索訊息裡,還包含給威聯通的「重要訊息」,內容是他們打算向該公司以50個比特幣(約185萬美元)的價格,出售上述漏洞的細節,以及可解鎖所有受害設備資料的主鑰(Master Key)。

加拿大外交部遭網路攻擊,部分服務中斷

外交單位屢屢成為國家級駭客的攻擊目標,而這次事故發生的原因,疑似與俄羅斯和烏克蘭的政治局勢有關。加拿大於1月19日證實,該國外交機構加拿大全球事務部(Global Affairs Canada)遭到網路攻擊,部分網路服務將無法使用。加拿大政府強調,尚無跡象指出其他政府機關遭到波及。雖然該國政府沒有透露攻擊者的身分,但意有所指地要求公部門,加強對於俄羅斯網路威脅的防護。

DazzleSpy後門程式發動水坑式攻擊,鎖定香港macOS用戶下手

Google在2021年8月,發現到駭客鎖定香港的媒體網站,以及社會運動網站展開水坑式攻擊,並運用漏洞CVE-2021-30869於受害者的蘋果電腦、行動裝置上,植入木馬程式,這起攻擊事故的調查最近有了更多進展。資安業者ESET指出,這些駭客分別入侵當地的網路廣播電臺D100,並製作帶有惡意iframe的假社會運動聲援網站,來引誘香港的民主運動人士上當,其中,針對瀏覽廣播電臺網站的Mac電腦使用者,駭客使用名為DazzleSpy的後門程式,來控制受害電腦。研究人員指出,這起攻擊行動與2020年iOS惡意程式LightSpy手法相似,但無法斷定是由同一組駭客出手。

平衡車業者Segway網路商店遭Magecart攻擊

網路商店遭到Magecart交易資料側錄攻擊(Card Skimming)的現象,不時有業者受害。資安業者Malwarebytes指出,他們發現Magecart Group 12約自2021年1月6日開始,攻擊銷售平衡車、電動滑步車的中國業者Segway,駭客疑似利用Magento漏洞入侵,並將側錄交易資料的程式碼,藏匿於其購物網站的圖示(favicon.ico)。 資安新聞網站Bleeping Computer指出,迄今相關程式碼尚未移除。

安道爾候國網路遭DDoS攻擊,原因疑似與Minecraft魷魚遊戲錦標賽有關

又是針對電玩產業而來的攻擊行動。由電玩影片串流平臺Twitch舉辦的Minecraft 錦標賽「Squidcraft Games」,從1月20日開始舉行,鎖定使用西班牙語Minecraft玩家而來,但過程中傳出,來自安道爾候國(Andorra)的十多名直播主,因當地的ISP業者遭到DDoS攻擊,而被迫中斷比賽。消息人士向Recorded Future透露,DDoS攻擊的流量一度高達100 Gbps。

電玩遊戲黑暗靈魂驚傳RCE漏洞

電玩遊戲一旦連接到網際網路,很有可能成為攻擊者入侵電腦的管道。根據電玩新聞網站Dexerto的報導,一名SkeleMann玩家提出警告,他發現電腦版的黑暗靈魂3(Dark Souls 3),存在嚴重的RCE漏洞,有可能對電腦造成損害,並呼籲其他玩家暫時不要執行網路對戰模式,以免遭到攻擊。後來,有其他玩家通報,即將上市的遊戲艾爾登法環(Elden Ring),可能也存在相同的漏洞。遊戲業者萬代南夢宮娛樂(Bandai Namco)於1月23日發出公告,為調查網路服務所出現的問題,提供電腦玩家的PVP伺服器將暫時停止運作。

 

【漏洞與修補】

Linux系統元件漏洞PwnKit可被用於取得root權限,恐波及所有發行版

Linux系統元件所存在的漏洞,很可能影響各種版本的作業系統。資安業者Qualys揭露名為PwnKit的漏洞(CVE-2021-4034),這項漏洞存在於控制系統層級的元件Polkit(舊稱PolicyKit)裡,一旦攻擊者利用該漏洞,就能以不具特權身分的使用者,在Linux主機上取得root權限,影響自2009年5月以來所有版本的Polkit。研究人員在預設組態部署的Ubuntu、Debian、Fedora、CentOS上,透過PwnKit於本機取得root權限,研判該漏洞存在於多數版本的Linux作業系統,紅帽已發布修補程式。資安新聞網站Bleeping Computer於上述漏洞細節公布後不久,就在網路上看到概念性驗證(PoC)攻擊工具。

Linux核心存在漏洞,恐被用於逃脫K8s容器並攻擊主機

Linux核心的嚴重漏洞,有可能危及容器平臺Kubernetes(K8s)。搶旗賽(CTF)團隊Crusaders of Rust發現,記憶體緩衝區溢位漏洞CVE-2022-0185,存在於Linux核心5.1-rc1以上版本的檔案系統框架(File System Context)元件,一旦駭客利用這個漏洞,將有機會發動越界寫入、阻斷服務(DoS)、任意程式碼執行攻擊,而使得駭客能夠逃脫容器,進而存取K8s伺服器的資源。該漏洞已於Linux 5.16.2版修補,IT人員也可以針對沒有具備特殊權限的使用者,停用命名空間(Namespace)的相關功能,來緩解這項漏洞。

 

【資安防禦措施】

英國政府以Nmap程式碼打造檢測工具,供IT人員掃描OT環境漏洞

工業控制系統(ICS)安全日益受到重視,政府亦提供相關的工具給企業,以便儘速因應重大漏洞。英國國家網路安全中心(NCSC)於1月25日,發布針對網路安全工具Nmap編寫的指令碼,以協助企業掃描Exim訊息傳輸代理(MTA)設備裡,合稱為21Nails的RCE漏洞。NCSC表示,即使企業沒有部署Exim MTA,IT人員還是可以試著運用這個指令碼來掃描網路環境。

 

【近期資安日報】

2022年1月25日,CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

2022年1月24日,鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

2022年1月22日,WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

2022年1月21日,Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

2022年1月20日,臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

2022年1月19日,再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

2022年1月18日,數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement