SecurityWeek RSS Feed Latest cybersecurity news and expert insights from SecurityWeek’s RSS feed
- IAM for MSPs Provider Evo Security Raises $6 Millionby Ionut Arghire on July 26, 2024 at 14:27
TechOperators leads a $6 million Series A funding round for Evo Security, a provider of IAM solutions for MSPs. The post IAM for MSPs Provider Evo Security Raises $6 Million appeared first on SecurityWeek.
- Progress Patches Critical Telerik Report Server Vulnerabilityby Ionut Arghire on July 26, 2024 at 13:43
Progress Software calls attention to a critical remote code execution flaw in the Telerik Report Server product. The post Progress Patches Critical Telerik Report Server Vulnerability appeared first on SecurityWeek.
- Threat Actors Exploit Fresh ServiceNow Vulnerabilities in Attacksby Ionut Arghire on July 26, 2024 at 11:24
Threat actors have started exploiting critical-severity vulnerabilities in ServiceNow shortly after public disclosure. The post Threat Actors Exploit Fresh ServiceNow Vulnerabilities in Attacks appeared first on SecurityWeek.
- In Other News: FBI Cyber Action Team, Pentagon IT Firm Leak, Nigerian Gets 12 Years in Prisonby SecurityWeek News on July 26, 2024 at 11:00
Noteworthy stories that might have slipped under the radar: FBI article on agency’s Cyber Action Team, data of Pentagon IT provider Leidos leaked, Nigerian cybercriminal sentenced to 12 years in prison. The post In Other News: FBI Cyber Action Team, Pentagon IT Firm Leak, Nigerian Gets 12 Years in Prison appeared first on SecurityWeek.
- US Offers $10 Million Reward for Information on North Korean Hackerby Ionut Arghire on July 26, 2024 at 10:13
The US is offering a reward of up to $10 million for information on Rim Jong Hyok, a member of the North Korean hacking group APT45. The post US Offers $10 Million Reward for Information on North Korean Hacker appeared first on SecurityWeek.
- PKfail Vulnerability Allows Secure Boot Bypass on Hundreds of Computer Models by Eduard Kovacs on July 26, 2024 at 08:50
A vulnerability dubbed PKfail can allow attackers to run malicious code during the boot process, which can be used to deliver UEFI bootkits. The post PKfail Vulnerability Allows Secure Boot Bypass on Hundreds of Computer Models appeared first on SecurityWeek.
- 97% of Devices Disrupted by CrowdStrike Restored as Insurer Estimates Billions in Lossesby Eduard Kovacs on July 26, 2024 at 07:45
CrowdStrike says 97% of Windows systems impacted by its bad update are back online, just as an insurer predicts billions in losses for major companies. The post 97% of Devices Disrupted by CrowdStrike Restored as Insurer Estimates Billions in Losses appeared first on SecurityWeek.
- North Korean Charged in Cyberattacks on US Hospitals, NASA and Military Basesby Associated Press on July 25, 2024 at 19:18
A man who allegedly carried out attacks for a North Korean military intelligence agency has been indicted in a conspiracy to hack healthcare firms, NASA, military bases and other entities. The post North Korean Charged in Cyberattacks on US Hospitals, NASA and Military Bases appeared first on SecurityWeek.
- Chainguard Raises $140 Million, Expands Tech to Secure AI Workloadsby Ryan Naraine on July 25, 2024 at 15:50
Software supply chain security startup Chainguard raises a $140 million Series C round that values the company at $1.2 billion. The post Chainguard Raises $140 Million, Expands Tech to Secure AI Workloads appeared first on SecurityWeek.
- BIND Updates Resolve High-Severity DoS Vulnerabilitiesby Ionut Arghire on July 25, 2024 at 13:05
The latest BIND security updates address remotely exploitable vulnerabilities leading to denial-of-service. The post BIND Updates Resolve High-Severity DoS Vulnerabilities appeared first on SecurityWeek.
iTnews – Security iTnews
- Insured losses from CrowdStrike outage could reach US$1.5 billionon July 25, 2024 at 20:22
Counting the costs of IT outage.
- North Korean hackers stealing military secrets, say US and allieson July 25, 2024 at 20:22
Threat actors dubbed Anadriel or APT45.
- Hackers leak documents from Leidoson July 24, 2024 at 20:16
From a system used for internal investigations.
- CrowdStrike promises more testing of security content updateson July 24, 2024 at 05:50
File that crashed Windows machines worldwide mistakenly passed validation.
- Google scraps plan to remove cookies from Chromeon July 23, 2024 at 12:20
In major reversal.
- Wiz calls off US$23 billion deal with Googleon July 23, 2024 at 12:20
According to a leaked memo.
- Delta Air Lines struggles to recover from IT outageon July 22, 2024 at 20:50
Caused by CrowdStrike update.
- Announcing the inaugural iTnews Benchmark Awards: Security 2024on July 22, 2024 at 20:45
Calling all security leaders!
- Australian police seize devices used to send over 318 million phishing textson July 22, 2024 at 00:35
In just a few months.
- Oracle reaches US$115 million consumer privacy settlementon July 21, 2024 at 11:27
Denies wrongdoing.
iThome 新聞 iThome 最新新聞
- 1U提供288核與2TB記憶體,Dell推出首款Xeon 6伺服器by 李宗翰 on July 27, 2024 at 01:07
在4月舉行的Vision大會,英特爾下一代伺服器處理器平臺正式定名為Xeon 6,代號為Sierra Forest的處理器稱為搭載E-Core 的Intel Xeon 6,代號為Granite Rapids的處理器稱為搭載 P-Core的Intel Xeon 6,而在一個月後登場的Dell Technologies World大會,Dell預告7月將推出兩款採用Xeon 6處理器的伺服器機型,分別是:採用1U尺寸機箱的R670 C
- 企業必學的超級資安框架2024新變革by 羅正漢 on July 26, 2024 at 12:07
NIST Cybersecurity Framework已成全球重要資安實務標準,今年2.0版發布,更是直指網路安全在企業治理與風險管理策略的重要性。從公司治理的高度去運作,讓原有的識別、保護、偵測、回應、應變,更有效運作。
- 重大層級ServiceNow漏洞已被用於攻擊行動,駭客恐藉此竊取帳密資料by 周峻佑 on July 26, 2024 at 12:07
本月10日數位工作流程管理解決方案業者ServiceNow公布重大層級的輸入驗證漏洞CVE-2024-4879,並提供更新軟體予以修補。 隔日通報此事的資安業者Assetnote公布相關細節,並指出這項漏洞相當嚴重,但攻擊者若是串連另一個重大層級的輸入驗證漏洞CVE-2024-5217,以及中度風險的敏感檔案讀取漏洞CVE-2024-5178(編按:這兩個漏洞也同樣在10日被修補),就有機會存取資料庫。這些細節公布後,很快就出相關攻擊行動。
- 當企業資安與生產力發生火車對撞by 李宗翰 on July 26, 2024 at 12:07
臺灣時間7月19日下午,我們注意到全球網路論壇Reddit傳出巨大騷動,網友反映他們有多臺Windows 10電腦同時出現藍色當機畫面,問題出在端點偵測與應變系統(EDR)廠商CrowdStrike的代理程式Falcon sensor組態更新出錯、觸發邏輯錯誤,導致許多Windows電腦停擺而出現藍色當機畫面(BSOD)。
- 企業導入SBOM軟體物料清單有六大常見迷思的考驗by 余至浩 on July 26, 2024 at 11:07
近年來,國外許多政府開始要求軟體供應商建立SBOM(Software Bill of Materials,軟體物料清單)。例如美國白宮在2021年發布行政命令,為了強化國家網路安全,要求其供應商都要提供SBOM。歐盟在幾個月前通過《網路韌性法案》(EU Cyber Resilience Act, CRA),同樣要求2027年前軟體供應商必須提供SBOM,不提供的話,將面臨至少1,500萬歐元的罰款。另外還有醫療相關產品,包括在美國FDA和歐盟MDR醫療法規中都有要求SBOM,臺灣食藥署也有相關要求。
- 【資安月報】2024年6月by 羅正漢 on July 26, 2024 at 10:07
在這一期的資安月報中,國內上市櫃公司遭受網路攻擊的情形再成焦點,原因在於:臺灣證券交易所在5月底發布新的規範,要求上市公司發生資安事件,不論是否涉及核心、機密都要發布重訊,後續
- AI趨勢周報第257期: Mistral AI用Mamba架構打造程式碼生成模型by 王若樸 on July 26, 2024 at 10:07
重點新聞(0719~0725)
- 要贏AI就加快大腦迭代問題速度by iThome on July 26, 2024 at 06:07
雖然我們可能並不自覺,但心智模型時時刻刻都在運作。但也有時候,我們會清楚意識到,自己正運用怎樣的觀點在衡量局勢,而且也能夠刻意堅持觀點或改變觀點。 需要做出重大決定的時候(像是換工作、生小孩、買房子、關掉工廠、蓋一棟摩天大樓),就最常有這樣的感受,你會發現自己的決定除了出於客觀邏輯,還會有一些更根本的理由,像是看待當下情境的視角、認定世界運作的方式。而這種潛藏的認知因素,就是由各種心智模型組成的。 所謂的思考框架(frame),也就是我們所選擇應用的心智模型,會決定我們如何理解世界,也決定我們如何行動。思考框架讓我們能夠歸納類推,得出抽象的概念,再應用到其他的情境當中。
- 翔耀進軍AI算力服務市場,第4季將建置國內首個H200 AI運算中心by 蘇文彬 on July 26, 2024 at 05:07
看準AI應用普及,對於AI模型訓練或推論的算力需求有增無減,國內提供電商服務的翔耀實業宣布與美超微、是方電訊、VMFIVE、無敵科技、數位無限等業者合作,將採用Nvidia H200、H100等GPU打造AI運算中心翔耀AICC(AI Computing Center),未來可望在全球超級電腦排名第15名,成為亞洲最快的AI算力中心之一。 翔耀實業董事長林以山今天(7/26)與美超微共同創辦人廖益賢進行AICC設備採購簽約儀式,翔耀AICC將使用是方電訊的LY2 AI資料中心大樓,借助是方電訊新建置的資料中心大樓,包括每平方公尺可承重2,000公斤,以及骨幹網路,搭配溫水冷卻技術、冷熱通道,資料中心的PUE值降到1.09。
- Deepmind人工智慧系統在2024國際數學奧林匹亞競賽達銀牌標準by 李建興 on July 26, 2024 at 04:07
DeepMind展示了其在數學領域最新的人工智慧研究,透過結合AlphaProof與AlphaGeometry 2兩個系統,解決了2024年國際數學奧林匹亞競賽(IMO)6道數學難題中的4道題目,達到了與銀牌得主一樣的水準。
- 雲端平臺GCP的服務存在權限提升漏洞ConfusedFunction,未經授權的攻擊者可藉此存取敏感資料by 周峻佑 on July 26, 2024 at 04:07
7月24日資安業者Tenable揭露影響Google Cloud Platform(GCP)的權限提升漏洞ConfusedFunction,這項弱點發生在名為Cloud Functions的無伺服器運算服務,以及稱做Cloud Build的CI/CD管道服務。一旦遭到利用,攻擊者有機會以未經授權的狀態存取其他服務,或是敏感資料。他們通報此事,GCP已於部分的Cloud Build帳號著手採取緩解措施。
- 【資安日報】7月26日,資安業者KnowBe4驚傳僱用北韓駭客,對方利用深偽技術應徵工作得逞,直到從事可疑行為才東窗事發by 周峻佑 on July 26, 2024 at 04:07
上週末CrowdStrike旗下EDR系統更新引發全球大當機的事故,在本週持續延燒,並出現多組駭客藉此事故發動攻擊的情況。但在此同時,我們認為本週資安意識教育訓練業者KnowBe4揭露的內部威脅事故,也非常值得留意。 這起事故的特殊之處在於,他們不慎聘僱到北韓駭客當軟體工程師,但在面試的過程竟然完全沒有察覺可疑的地方,對於專門指導企業員工提升資安意識的業者而言,出現這類事故相當尷尬,因為該公司人力資源部門理應要比其他公司更有警覺,可惜並非如此。
- Docker揭露嚴重度高達10分資安漏洞,問題出在外掛程式AuthZ的身分驗證,而且經過5年才發覺by 周峻佑 on July 26, 2024 at 03:07
本週Docker發布資安公告,指出部分版本的Docker引擎存在弱點,導致攻擊者能在特定的情況下繞過用於授權的外掛程式AuthZ,影響19.03版以上的Docker引擎,目前被登記為CVE-2024-41110列管,CVSS風險評為10分(滿分10分)。
- Rust 1.80新增延遲初始化型別,大幅提升資源管理效能by 李建興 on July 26, 2024 at 03:07
Rust 1.80加入了多項提高效率、程式碼安全性和靈活性的功能更新,標準函式庫新增LazyCell和LazyLock延遲初始化型別,並且強化模式(Pattern)比對的靈活性,而Rust套件管理器Cargo現在則會檢查所有已知的cfg名稱和值,並且偵測錯誤配置。
- 針對美國醫院及醫療保健服務供應商部署勒索軟體的北韓駭客遭美國起訴by 陳曉莉 on July 26, 2024 at 03:07
美國司法部本周四(7/25)起訴了北韓駭客Rim Jong Hyok,指控他參與多起針對美國醫院及醫療保健服務供應商的勒索軟體攻擊行動,並利用所獲得的贖金作為竊取全球國防及技術組織機密資訊的基金,同一天,包括
資安新聞 – TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 RSS channel.
- 基於 Golang 的勒索軟體 Eldorado,可跨平台攻擊on July 26, 2024 at 03:17
資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado,勒索軟體專門針對大型企業進行攻擊,並且具有跨平台攻擊能力,可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS),利用先進的方式加密金鑰及目標檔案,以SMB協定進行橫向擴散,並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。 隨著科技的進步,攻擊者不斷探索新的攻擊方式,勒索軟體即服務已經演變成類似於大型企業的運作模式,這些勒索軟體組織持續在暗網論壇招募新的合作夥伴,並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP,當企業受駭後,Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月,全球已有 16 家公司遭到 Eldorado 攻擊,其中大部分位於美國,受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。 為了支援跨平台功能,Eldorado 使用 Golang 程式語言開發,讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案,以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰,被加密的檔案其副檔名會被改為”.00000001”,並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案,裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定(SMB2/3)方式加密共用網路上的文件,且在加密完檔案後,使用 PowerShell 的命令,先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案,以抹除相關加密的痕跡,最後也在系統中刪除windows的陰影複製(shadow copy)備份資料,防止受害電腦透過此機制復原被加密的檔案。 整體而言,儘管企業的網路安全意識不斷提高,但總有新形式的網路攻擊在不斷精進和發展。Group-IB 建議採取以下防禦措施: 採多重身份驗證(Multi-factor authentication,MFA) 建置端點偵測和回應(Endpoint Detection and Response,EDR),以協助識別勒索軟體的活動跡象 定期進行資料備份 使用人工智慧進行即時偵測入侵 定期更新系統並執行安全性修補 安排教育訓練,以幫助員工識別網路攻擊(如:釣魚郵件) 每年針對系統進行技術稽核或安全性評估 永遠不要支付贖金 受到攻擊時,尋求專家協助 Group-IB 強調,企業必須在網路安全工作中保持警覺和主動,以減輕這些不斷演變的威脅所帶來的風險。
- 大量Windows出現藍色當機畫面,資安公司CrowdStrike緊急修補更新程式on July 23, 2024 at 00:52
2024年7月19日資安公司CrowdStrike的Falcon Sensor更新程式出現故障,導致全球各地Windows電腦出現藍色畫面當機(BSOD)狀況,全球企業和政府機關產生影響,包括航空公司、醫院、運輸機構及媒體公司等,許品Falcon Sensor市佔率為前幾名,因此這次更新問題導致大量Windows電腦多機構的運營受到嚴重干擾。CrowdStrike是知名的網路安全公司,其端點防護產陷入當機及系統重啟的循環,使得用戶無法正常使用電腦。 此次事件是由於Crowdstrike的Falcon平台派送有缺陷的更新所引起,導致已安裝該產品的某些版本Windows系統大範圍崩潰。許多企業反映其Windows電腦會自動重新啟動,並不斷循環地進入藍色當機畫面,其影響巨大,使全球的關鍵基礎設施營運產生嚴重衝擊,包含德國、日本、印度和美國的企業都出現類似問題。在台灣,許多公私立機關和企業也受到了影響,多家銀行、醫療機構及科技公司在事件發生後紛紛發現其系統無法正常運作,部分機構的業務運營因此中斷超過1小時。 CrowdStrike在發現問題後迅速做出了反應,發布了修補程式及解決方案。該公司表示這不是網路攻擊,問題的根源是某個Falcon Sensor更新檔案未經充分檢查所致。CrowdStrike已經刪除錯誤更新檔案並發布了修補程式,用戶可透過官方網站提供的步驟回復系統(可參考相關連結)。 此外,微軟針對此當機狀況提出2個復修方式,分別是「從WinPE復原」及「從安全模式復原」。若選擇從「從WinPE復原」,可以快速並直接復原系統,不需要系統管理者的權限,但系統已透過BitLocker或第三方軟體加密時,需先解除加密狀況才能修復受影響的系統。若選擇「從安全模式復原」,則需使用本地管理者權限的使用者登入後進行修復。需要注意的是,在復修之前需先下載已簽署的Microsoft Recovery Tool,並透過工具中的powershell檔案建立USB開機碟。 全球資訊科技研究顧問公司 Gartner 指出,企業即使在此次事件未受影響,以安全性的角度來看,仍需關注其帶來的影響,以防範未來類似事件的發生。Gartner 同時建議企業應重視資安事件的應變措施,資安事件發生時的相關處理措施如下: 立即採取行動(第一到七天): 【事件應變與危機管理】 通知危機管理團隊,讓其參與並協助應處 通過有效的危機溝通通知所有利害關係人 驗證資訊來源以避免遭受二次網路攻擊 動員危機管理團隊以防止使用者操作失誤 指派專門的溝通團隊進行內部利害關係人的協調 讓安全運營團隊參與監控和應對新威脅 【技術修復】 讓 IT 專業人員幫助使用者解決問題 建立分類流程,以對資產進行分類並確定設備修復的優先順序 利用資產管理工具識別並列出已離線的設備 避免過度反應,例如完全停用或替換CrowdStrike 中期行動(第1到2週): 【評估影響與安全】 與 SOC 團隊一起檢視異常情況,以降低未檢測到的攻擊風險 參與營運衝擊分析會議,一同討論潛在的安全風險 向公司中高階領導報告設備的狀況,並持續提供穩定的環境 盡量讓端點保護工具在佈署更新檔時能先行測試,減少更新失敗的狀況 可透過輪班或其它方式,以減輕員工的壓力及倦怠感 長期行動(第8 至 12 週) 【韌性和準備】 重新審視公司在發生大規模主機當機時的預防、回應和支援程序 檢查並更新停機程序,並根據需要修訂危機溝通計劃、事件反應流程及災害復原和持續營運計畫 確保關鍵員工有能力並參與測試企業系統 CrowdStrike 的停機事件強調了專注於韌性的必要性,必需建立全面性的策略目標 部署安全產品前評估其效益,選擇合適的工具以改善現有的防護機制
- 新型態的工控攻擊逐漸成為主流:以 PLC 作為惡意中繼站on July 12, 2024 at 06:29
2024年7月8日俄羅斯資安公司 Solar 的網路威脅情資中心(4RAYS)資安人員揭露一個親烏克蘭APT 組織:Lifting Zmiy 對俄羅斯政府和私人公司進行一系列的攻擊活動。 攻擊活動追蹤時間為 2023 年 9 月至 2024 年 6 月發生的4 起攻擊事件作分析,目標為俄羅斯工控自動化公司Tekon-Avtomatika 的可程式化邏輯控制器(Programmable Logic Controller,PLC) 設備,型號為 KUN-IP8,並在設備上部署中繼站,進而以此攻擊其他目標,研究人員分析發現受害者遍及各個行業,Linux 和 Windows 系統均無法幸免。 此次威脅研究足以表明,過往大多認為營運科技(Operation Technology, OT)網路攻擊是透過入侵資訊科技(Informatiom Technology, IT)系統做為跳板,進而滲透至OT環境,而本次的攻擊則是先透過入侵OT環境後,轉攻擊IT。此次問題的原因在於PLC設備使用了預設的憑證資訊。 資安人員Jose Bertin 在2022年3月研究指出存在大量使用預設最高管理員憑證的PLC設備,而這些憑證資訊當時公開在 Tekon-Avtomatika 公司的官方網站上,儘管該公司隨後即刪除預設最高管理員憑證,但仍有不少設備並未更改,而APT組織 Lifting Zmiy 即利用這些資訊入侵PLC設備,並將其作為中繼站。此外,這些中繼站IP的供應商為 Starlink Services LLC ,其為SpaceX的一個部門,SpaceX在全世界各地提供衛星網路服務,駭客透過SpaceX的 Starlink 基礎設施來隱蔽其行蹤,且受益於動態IP,以規避物理位置的檢測分析,為駭客提供一個難以被追蹤和監控的攻擊平台。 然而,在此之前已有資安人員對OT環境安全感到憂心,BlackHat USA 2015 演講:INTERNET-FACING PLCS-A NEW BACK ORIFICE 和BlackHat Asia 2016演講:PLC-Blaster:A Worm Living Solely in the PLC共同探討透過感染 PLC 作為中繼站的展示,此次研究是歷史上首個公開研究針對攻擊 PLC 作為 中繼站跳板的攻擊,研究人員寫了一個概念性驗證程式,給其名字為:PLC-Blaster,他是研究人員為了測試而開發的概念性驗證的蠕蟲(一種惡意程式類型)。攻擊對像為西門子所開發的PLC設備,型號為 S7-1200,研究人員是透過將惡意程式寫入至PLC,使PLC作為跳板執行命令作攻擊行為。 此次研究站在防禦的角度上,過往工控資安防禦主要為對HMI和PLC之間的流量建立Baseline來偵測異常,並實施白名單管制,從Purdue Model角度來看,關注的安全防護主要是垂直的。垂直的意思是HMI和PLC之間的通訊,也就是Purdue Model裡面Level 2 和Level 1之間的網路流量,而鮮少探討水平之間的流量檢測,水平的意思就是Purdue Model裡面Level 1和Level 1之間的通訊流量,且過往白名單會去信任PLC,所以透過PLC發出的流量會無條件被信賴,此次研究則利用此問題,透過控制 PLC 作為跳板進行攻擊以規避防禦產品偵測 近期2022 年由工控資安公司Claroty的Team82 研究團隊曾發布白皮書:EVIL PLC ATTACK: WEAPONIZING PLCS,內容研究的攻擊名字取名為:Evil PLC,主要是透過感染 PLC 讓其武器化可以執行命令。 研究人員撰寫了概念性驗證程式並對 7 家工控廠商(洛克威爾公司、施耐德電氣公司、通用電氣公司、貝加萊公司、信捷電氣公司、英國奧威公司、艾默生電氣公司)的PLC設備進行測試,顯示過往PLC多為攻擊的目標,如歷史出現過的資安事件:Stuxnet,Incontroller/Pipedream等,但此研究是將 PLC作為攻擊使用的武器,來進一步對其他系統作攻擊,雖然非真實的案件,但也證明這樣的攻擊情境是值得關注的。 總結來說,過往針對工控的安全大多會無條件去信任PLC,且一般已知攻擊主要都是透過感染IT系統之後擴散攻擊至OT 環境。 而從目前越來越多研究表明存在以PLC做為入侵端點,攻擊其他資訊系統,因此,在OT環境設置上,不能再無條件信任PLC發送的資料,同時也需要做好網路分段,避免所有人機介面(Human-Machine Interface,HMI)都可以跟 PLC 做連接,從而增加 PLC 被寫入惡意程式的可能性,也要盡量即時更新 OT 軟體,已避免存在已知漏洞能直接對 PLC 做寫入。
- GeoServer 漏洞曝光:開源地理位置資訊伺服器受到攻擊風險on July 5, 2024 at 08:54
近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞(CVE-2024-36401)。該漏洞源於GeoServer處理XPath表達式的方式,使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼,從而獲取伺服器權限,近期已經發現有駭客利用漏洞進行攻擊,建議使用者儘速完成更新。 GeoServer是一個開源的地理空間資訊伺服器,允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活,廣泛應用於政府、企業和學術機構。 CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容,GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作,允許未經身份驗證的攻擊者注入特製的XPath表達式,導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言,GeoServer使用的commons-jxpath函式庫,允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據,但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途,原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估,現在錯誤地被應用於簡單特徵類型,導致所有 GeoServer 實例都受到這個漏洞的影響。 在GeoServer中,WFS(Web Feature Service)是OGC定義的一個標準,用於在 Web 上共享地理空間資訊的標準化服務,它允許使用者通過 Web 服務查詢和擷取地理特徵的屬性資訊。在此漏洞中,WFS為攻擊者利用漏洞的一個入口點,攻擊者可以利用特製的請求觸發漏洞。 WFS功能中的WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 均存在漏洞,未經身份驗證的遠端使用者可透過特製的輸入內容在預設的 GeoServer 中執行遠端程式碼(RCE)。 根據研究報告,GeoServer及GetTools影響的版本如下: GeoServer •GeoServer< 2.23.6 •2.24.0 <= GeoServer < 2.24.4 •2.25.0 <= GeoServer < 2.25.2 GeoTools •GeoTools< 29.6 •31.0 <= GeoTools < 31.2 程式碼執行 •30.0 <= GeoTools < 30.4 為了減輕CVE-2024-36401漏洞帶來的風險,可依下列方式修補GeoServer和GeoTools: •刪除 gt-complex-x.y.jar 檔案:從 GeoServer 中刪除 gt-complex-x.y.jar 檔案,其中 x.y 為 GeoTools 版本(例如,如果運行 GeoServer 2.25.1,則刪除 gt-complex-31.1.jar)。此方法雖可提供臨時保護,但可能會影響 GeoServer 的某些功能。 •更新受影響的 JAR 檔案:修補版本已發布,用戶可以從 GeoServer 發布頁面下載受影響版本的 gt-app-schema、gt-complex 和 gt-xsd-core JAR 檔案。下載完畢後,只需用修補版本的檔案取代原始檔案即可。
- OpenSSH 問世以來第一個 RCE: CVE-2024-6387on July 3, 2024 at 05:50
OpenSSH 從1995 年問世以來,這是第一次出現遠端執行任意程式碼(RCE)漏洞(regreSSHion),可以用最高管理員權限來遠端執行指令對系統控制,研究人員將它稱為regreSSHion。 OpenSSH 是一個基於 SSH 協定的開源軟體,常見於 Linux 中使用,作為遠端登入系統管理,也可進行遠端檔案傳輸,此次漏洞在2024 年 5 月被資安公司 Qualys 發現並將其命為regreSSHion(漏洞編號:CVE-2024-6387),漏洞問題出現在檔案 sshd中,可以讓未經授權的攻擊者以 root 身分執行任意程式。 sshd 是 OpenSSH Server 的設定檔案,其存在一個變數 LoginGraceTime ,若沒有更改這個變數值,預設是 120 秒,它是代表給予使用者進行身分驗證的時間,所以當使用者使用 ssh 連接時,超過 LoginGraceTime 設定的時間 (預設 120 秒) 沒有完成身分驗證,則 sshd 會去呼叫 SIGALRM 信號處理,並會呼叫不安全的非同步函數做處理,而攻擊者可以在此時利用競爭情況(race condition) 以最高管理員權限執行任意程式碼。 競爭情況 (race condition) 常見於多執行緒的系統,當多個執行緒同時存取或修改共享的資料時就會發生這個問題。 在 sshd 處理 SIGALRM 信號時,就有可能觸發競爭情況,而這就可能導致未預期的行為。 經過研究人員的調查,此漏洞實際上是CVE-2006-5051 的回歸,CVE-2006-5051 是在 2006 年由 Mark Dowd 發現,他跟此次漏洞一樣都是信號處理競爭情況的漏洞,可以讓攻擊者造成阻斷服務攻擊。 稱之為回歸是因為在 2020 年 10 月 OpenSSH 版本 8.5p1 的更新(commit 編號:752250c),把 OpenSSH 裡面 sshd 程式的 SIGALRM 信號處理函數 sigdie() ,刪除其中一行程式碼#ifdef DO_LOG_SAFE_IN_SIGHAND,而這也造成了: OpenSSH 版本小於 4.4p1 會遭受漏洞影響,這是對 CVE-2006-5051 的錯誤修補 4.4p1 <= OpenSSH 版本 < 8.5p1 並無受此漏洞影響,因為 CVE-2006-5051 有添加 #ifdef DO_LOG_SAFE_IN_SIGHAND 8.5p1 <= OpenSSH 版本 < 9.8p1 再次容易受到威脅影響,因為 #ifdef DO_LOG_SAFE_IN_SIGHAND 意外被刪除了 Qualys 研究人員指出雖然漏洞影響很大,但要實際攻擊成功並不容易,在他們的測試實驗上,平均測試連線 1 萬次才成功一次做到攻擊。 研究人員用兩個不同的作業系統做測試,以 ubuntu-6.06.1-server-i386.iso 這個 Ubuntu 版本測試,平均成功攻擊一次約需要 1 ~ 2 天,而用 debian-12.5.0-i386-DVD-1.iso (這是目前 Debian 穩定版),平均攻擊成功一次約需要 6 ~ 8 小時。 目前研究人員透過 Shodan 和 Censys 對全世界網路進行掃描,有超過 1400 萬台的 OpenSSH Server 暴露在網路上。 而 Qualys 研究人員表示裡面存在 70 萬個 OpenSSH Server 處在易受攻擊的狀態。 受影響的軟體版本: OpenSSH 版本 < 4.4p1 8.5p1 <= OpenSSH版本 < 9.8p1 為了避免被攻擊,建議使用者: 升級 OpenSSH 到最新的版本 9.8p1 來修復此漏洞 如果暫時不能更新 OpenSSH ,則可以更改 sshd 的變數 LoginGraceTime ,將其設定為 0 ,惟可能會遭受阻斷服務攻擊
- Phoenix UEFI 漏洞影響多款 Intel CPU 設備on June 28, 2024 at 07:04
Phoenix SecureCore UEFI 韌體上發現了一個新漏洞 (CVE-2024-0762),該漏洞可能會影響可信賴平台模組 (Trusted Platform Module,TPM) 配置,從而導致緩衝區溢位和潛在惡意程式碼的執行。許多搭載Intel CPU的設備都會受到影響,Phoenix Technologies強烈建議將這些韌體更新到最新版本。 資安廠商Eclypsium首先在Lenovo ThinkPad 筆記型電腦上發現該漏洞,後來Phoenix Technologies 確認此漏洞也會影響多個在Intel處理器上運行SecureCore 韌體的設備,包括AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、MeteorLake、 RaptorLake、RocketLake 和TigerLake。換句話說,Lenovo、Dell、Acer、HP的大量機型都受到此漏洞的影響。 CVE-2024-0762漏洞源自於Phoenix SecureCore 韌體的系統管理模式 (System Management Mode, SMM) 子系統內的緩衝區溢位,由於安全開機(Secure Boot)讓攻擊者更難安裝長駐性的惡意軟體和驅動程式,這導致更多Bootkit的惡意軟體針對UEFI的漏洞進行攻擊。 Bootkit在整個UEFI啟動的過程中很早的階段就被載入,這不僅讓惡意程式可以在底層進行操作,也大幅增加它的隱蔽性,例如UEFI的惡意軟體BlackLotus、CosmicStrand。需要注意的是,這次的漏洞發生在處理TPM組態的UEFI 程式碼中,因此 TPM 晶片將失去保護的作用。儘管 UEFI 韌體具有安全開機功能,但 Bootkit 在啟動過程中很早就加載,這可能導致電腦允許攻擊者覆蓋相鄰記憶體並獲得特權和程式碼執行的權限。 Phoenix 已於 2024 年 5 月針對漏洞提供韌體更新版本,但可能並非包含所有的型號。建議使用者應升級到最新的韌體版本,注意是否有更新資訊,或聯繫供應商以提供相關協助。
- 2024年巴黎奧運之網路威脅探討on June 24, 2024 at 09:00
Mandiant 研究人員指出,俄羅斯贊助的國際 APT 組織對於 2024 年巴黎奧運可能造成高度威脅。威脅源自法國親烏克蘭的立場,以及俄羅斯無法正式參加奧運會的政治報復。相比之下,與中國、伊朗和北韓有關的 APT 組織對奧運構成的網路威脅相對較低。 Mandiant 列出了與奧運賽事相關的 APT 組織,分別是中國的 APT 15、APT 31、UNC 4713、Temp.Hex,北韓的 APT 43,俄羅斯的 APT 28、APT 44、UNC 4057,伊朗的 APT 42,以及白俄羅斯的 UNC 1151。這些組織針對奧運的網路威脅和潛在目標主要是政治因素或經濟利益驅動。從政治角度來看,網路釣魚可能以運動賽事為誘餌,達到特定的政治目的。而從經濟角度來看,這些攻擊可能涉及門票詐騙、攻擊 POS 機器、勒索軟體攻擊,以及竊取運動員個人資料並在暗網販售等。 俄羅斯可能造成的網路威脅 俄羅斯攻擊的因素主要有兩個,一是俄羅斯運動員今年可以參賽,但僅能以中立運動員身份參加,無法代表祖國,這引起了俄羅斯的不滿。二是法國在 2022 年俄羅斯入侵烏克蘭後提供了相關的軍事支持,這可能引發俄羅斯的報復行動。鑒於此,Mandiant 推測俄羅斯的 APT 組織對2024年巴黎奧運可能會造成相當的威脅。 過去的案例,這些 APT 組織也有針對奧運進行相關的網路威脅活動,例如: 英國國家網路安全中心(NCSC)觀察到 APT 44 針對 2020 年東京奧運的攻擊證據 Mandiant 指出 APT 44 在 2018 年冬季奧運期間使用惡意程式(Olympic Destroyer)中斷奧運賽事開幕期間網路服務 Google 威脅分析小組(TAG)發現 APT 44 在 2017 年底針對 2018 年冬季奧運進行攻擊,利用 Play 商店散播 CHEMISTGAMES 惡意程式 美國司法部在 2018 年指控 APT 28 攻擊 2016 年巴西奧運,並向反興奮劑組織發送釣魚信件 Mandiant 觀察到 APT 28 在 2016 年巴西奧運後洩漏運動員資料 中國及伊朗可能造成的網路威脅 針對中國的威脅,Mandiant 指出中國支持的 APT 組織長期以來對歐洲政府和企業進行攻擊,因此,也可能會影響2024 年奧運。這些威脅主要以網路釣魚和情報收集為主。過去針對歐洲的中國 APT 組織包括 APT 31、APT 15、UNC 4713 及TEMP.Hex,其中網路威脅事件包括:英國指出 APT 31 在 2021 年探查英國議員的電子郵件帳號;UNC 4713 針對多國進行釣魚攻擊,意圖在G7高峰會傳播 EIGHTFLY 惡意程式;TEMP.Hex 自 2023 年 4 月起對歐洲政府進行網路釣魚攻擊。 Mandiant 指出,伊朗贊助的 APT 42 組織過去一直針對歐洲進行間諜活動,近期的加薩衝突可能會影響其網路間諜行動。 奧運期間遭受的攻擊 在過去的歷史事件中,2021 年東京奧運和 2018 年冬季奧運均遭受多次網路攻擊。 2021 年東京奧運 北韓的 APT 組織利用東京奧運為誘餌進行網路釣魚,投放惡意程式 CABRIDE 和 CABSERVICE 世界反興奮劑組織(World Anti-Doping Agency , WADA)於 2019 年發現俄羅斯運動員藥檢結果有問題,導致俄羅斯被禁賽,進而引發俄羅斯政府支持的 APT 28 對反興奮劑機構的攻擊 日本奧委會指出其網路在 2020 年 4 月被一個不知名的勒索軟體攻擊,導致其組織運作暫時停止 2018 年冬季奧運 開幕期間官網遭受攻擊,造成網站中斷 12 小時,使得使用者無法列印門票和存取賽事資訊。Mandiant 認為這可能是由 Sandworm Team 駭客組織所為 出現利用韓語的奧運參賽程式作為誘餌,誘導使用者下載惡意程式 GARPUN APT 28組織註冊一組專門欺騙運動相關組織的網域名稱 Fancy Bears 駭客組織洩漏屬於國際奧林匹克委員會官員的信件 針對這些威脅,Mandiant建議參與賽事的相關單位應加強資安宣導和社交工程培訓,且參加賽事的使用者建議使用一次性設備,不隨意連接不認識的 WiFi,並避免遠端存取敏感資料;參加賽事期間盡量不要遠端存取敏感資料,帶出去的設備盡量不要存有敏感個資。透過相關安全措施,以減少網路安全威脅對所帶來的潛在風險。
- Github 成為網路勒索攻擊目標,駭客盜用帳號Gitloker 進行攻擊on June 21, 2024 at 07:57
智利資安公司 CronUp 研究人員German Fernandez 發現駭客攻擊 Github 專案儲存庫,駭客疑似竊取使用者憑證進行攻擊活動,此次攻擊即是利用Telegram中的Gitloker 帳號,偽造為資安分析師進行釣魚行為。 German Fernandez 指出,今年從 2 月開始,一直有駭客透過竊取或刪除他人的Github 專案儲存庫來勒索受害者。 攻擊者竊取受害者的專案儲存庫之後,重新命名專案儲存庫,並添加一個檔案:README[.]me,告知受害者可透過 Telegram聯繫攻擊者,其勒索信內容為:「這是一個緊急通知,你的資料已經外洩,我們有幫你備份好資料並確保其安全」。 German Fernandez指出,攻擊者主要利用 GitHub 的評論和通知功能,並透過 notifications@github[.]com 發送釣魚郵件,在這次事件中,使用2個假冒的網域名稱: Githubcareers[.]online Githubcareers[.]online 在此次事件前,今年也有多起相關 Github 資安事件: 2 月 22 日 Github 使用者 CodeLife234 回報一個朋友的帳號遭駭的資安事件,該事件是由於受害者點擊一個來自釣魚郵件的連結,該郵件偽造為招聘 GitHub 開發人員職位 Github 使用者 Mindgames 也聲稱收到來自 Github 偽造為招聘 GitHub 開發人員的釣魚信,寄件者被偽造為 notification@github[.]com 另一位 Github 使用者回報稱收到一個偽造為 Github 通知系統發送的釣魚郵件,內容是告知受害者其帳號資料已經外洩,並提供連結以引導受害者至釣魚網站:https://githubcareer[.]online Fernández 指出在 4 月 11 日的一個敲詐勒索的螢幕截圖,內容為 Gitloker 威脅一家 B2C 的公司,並聲稱已經竊取其資料,如不給 25 萬美金則會公開公司內部機密資料 而Github並不是第一次被針對作為攻擊的目標: 2020 年 3 月,發現駭客自 2018 年 6 月以來持續攻擊微軟的帳號,並從其員工 Redmond 的私人專案儲存庫獲取超過 500 GB 的檔案 2020 年 9 月,Github 警告存在針對使用者的釣魚攻擊,該次攻擊透過偽造 CircleCI 發送釣魚郵件給使用者,來竊取受害者的 Github 憑證 Github 建議受害的使用者採取以下措施: 更換密碼 檢查活動紀錄 檢查自己的訪問權杖(Access Token) 檢查授權的 OAuth 應用程式 不要點擊授權任何不明來源的 OAuth 應用程式授權請求 為了防止帳號被入侵,可參考下列建議: 啟用雙因子身分驗證 檢查過去授權的 ssh key 定期查看每個專案儲存庫最近的提交內容
- PHP 存在遠端程式碼執行漏洞(CVE-2024-4577),官方緊急發布修補版本on June 7, 2024 at 07:29
資安業者戴夫寇爾研究團隊發現PHP存在引數注入(Argument Injection)漏洞(CVE-2024-4577),可在遠端伺服器上執行任意程式碼並通報給 PHP 官方。 PHP 在網站開發中應用廣泛,官方已於 2024年6月6日在網站上發佈修補版本,建議使用者儘速更新。 此漏洞源於 PHP 設計未注意到 Windows 作業系統字元編碼轉換的Best-Fit 特性,使得未經身分鑑別之遠端攻擊者可透過特定字元序列繞過CVE-2012-1823之保護,並透過引數注入(Argument Injection)等攻擊,於遠端PHP伺服器上執行任意程式碼。 此漏洞影響所有安裝在 Windows 作業系統上的 PHP 版本,包括: PHP 8.3 版本低於 8.3.8 PHP 8.2 版本低於 8.2.20 PHP 8.1 版本低於 8.1.29 另因PHP 8.0 分支、PHP 7 以及 PHP 5 官方已不再維護,建議使用這些版本的網站管理員更換成PHP官方仍有維護之版本,或採取相應的緩解措施。 若需確認網站是否受影響,管理員可以檢查 Apache HTTP Server 的設定,當網站設定在CGI 模式下執行PHP或將 PHP 執行檔暴露在外時,該伺服器將容易成為攻擊的目標。需特別注意的是,若使用 XAMPP for Windows 預設安裝配置,也會受此漏洞影響。 研究團隊指出,當 Windows 作業系統設置為繁體中文、簡體中文或日文語系時,未經授權的攻擊者可以直接在遠端伺服器上執行任意程式碼。雖然其他語系的 Windows 系統也可能存在風險,但具體影響範圍仍需使用者自行檢查並盡早更新 PHP 版本。 PHP 官方目前已發布最新版本(8.3.8、8.2.20 和 8.1.29)來修復此漏洞,強烈建議所有使用者立即升級至最新版本,以確保系統安全。對於無法升級的系統,管理員可以考慮其他暫時緩解措施,如修改Rewrite 規則以阻擋攻擊或取消 PHP CGI的功能。 此外,PHP CGI 已被認為是一種過時且易受攻擊的架構,建議使用者評估並遷移至更為安全的 Mod-PHP、FastCGI 或 PHP-FPM 等架構。
- 針對 AI 語音生成工具的新型惡意程式 Gipyon June 5, 2024 at 06:32
卡巴斯基研究人員發現新型惡意程式並命名為 Gipy,此惡意程通過釣魚網站提供 AI 語音應用程式來感染使用者電腦,進行資料竊取和安裝其他惡意程式, 研究人員發現攻擊多數來自透過 WordPress 架設的網站,並從 Github 下載受密碼保護的 zip 檔案解壓出惡意程式,主要受害地區包括德國、俄羅斯、西班牙和台灣。 隨著 AI 工具普及,更多攻擊者利用這些工具進行惡意活動,顯示犯罪市場對資料竊取工具的需求增加。卡巴斯基在近期的攻擊活動中觀察到,攻擊者會架設釣魚網站,內容是提供AI語音相關應用程式,當使用者從這些網站下載並執行就會中毒,而目前觀察到多數都是透過 WordPress 架設起來。 卡巴斯基研究人員指出,Gipy 惡意程式最早出現於 2023 年,當惡意程式被成功植入,可以竊取使用者電腦資料,並在受害者電腦上安裝其他惡意程式,當使用者執行下載的程式,會正常的執行AI語音相關應程式,並在使用者電腦後台隱性的執行 Gipy 惡意程式,受害者不容易發現。 研究人員發現當 Gipy 惡意程式執行的時候,會從 Github 啟動受密碼保護的 zip 檔案,從中解壓縮出惡意程式,在整個研究的過程中,卡巴斯基研究員目前分析到了 200 多個檔案,並在一封電子郵件裡對這些分析的檔案做一個整理: 資料竊取工具:Lumma、RedLine、RisePro 和 LOLI Stealer 虛擬貨幣挖擴程式:Apocalypse ClipBanker 木馬程式:DCRat 和 RADXRat 後門程式:TrueClient 卡巴斯基研究員表示隨著人工智慧工具的普及,越來越多攻擊者利用人工智慧工具作誘餌來進行惡意威脅活動,Gipy 惡意程式並無特別針對哪個目標國家進行攻擊,但目前最主要受影響的前 4大地區有德國、俄羅斯、西班牙、台灣。 卡巴斯基針對從網路下載檔案,提出相關的安全建議: 下載軟體務必從官網下載,而不是其他第三方平台下載 務必驗證網站的合法性,確保網址是 https 開頭,且憑證是合法的而非自簽憑證或過期的憑證 使用者電腦的帳號密碼務必啟用雙重驗證,並為每個帳戶使用獨立的密碼 警惕任何未知來源的電子郵件和可疑連結
香港網絡安全事故協調中心資安快訊 — 警報及博錄頻道 資訊保安的重要新聞
- Microsoft Edge 多個漏洞on July 26, 2024 at 01:00
於 Microsoft Edge 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、遠端執行任意程式碼及敏感資… 影響 遠端執行程式碼 阻斷服務 資料洩露 受影響之系統或技術 Microsoft Edge (Stable) 127.0.2651.74 之前的版本 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝軟件供應商提供的修補程式: 更新至 Microsoft Edge (Stable) 127.0.2651.74 或之後版本
- ISC BIND 阻斷服務漏洞on July 25, 2024 at 01:00
於 ISC BIND 發現多個漏洞,遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況。 影響 阻斷服務 受影響之系統或技術 BIND 9.11.0 至 9.11.37 版本 BIND 9.16.0 至 9.16.50 版本 BIND 9.18.0 至 9.18.27 版本 BIND 9.19.0 至 9.19.24 版本 BIND Supported Preview Edition 9.9.3-S1 至 9.11.37-S1 版本 BIND Supported Preview Edition 9.11.33-S1 至 9.11.37-S1 版本 BIND Supported Preview Edition 9.16.8-S1 至 9.16.50-S1 版本 BIND Supported Preview Edition 9.18.11-S1 至 9.18.27-S1 版本 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝供應商提供的修補程式: BIND 9.18.28 版本 BIND 9.20.0 版本 BIND Supported Preview Edition 9.18.28-S1 版本
- 惡意軟件攻擊警告 – 以 CrowdStrike 故障事件為主題的惡意軟件攻擊活動on July 25, 2024 at 01:00
解決方案 HKCERT 呼籲公眾對此類釣魚攻擊提高警惕,並採取以下保安最佳實踐以保障自己: 依從官方網站提供的修復方法進行系統修復(例如由 CrowdStrike 提供的修復方法) 從可信任來源取得軟件修補程式更新(例如由微軟提供的修復工具) 打開從互聯網下載的檔案前,先使用防毒軟件進行掃描 在 IT 裝置遇到技術問題時,應諮詢 IT 專業人員的專業意見 不應點擊任何不明來歷的連結,包括來自不明電郵內和搜尋引擎的廣告等 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊 使用「CyberDefender 守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱 若公眾遭遇惡意軟件攻擊,HKCERT 建議用戶應該: 立即斷開網路以防止惡意軟件進一步傳播 進行全面的系統掃描以識別並刪除任何惡意軟件 從備份(例如外部硬碟)以還原遺失或受損的資料 安裝防毒軟件以防範未來的攻擊
- Google Chrome 多個漏洞on July 24, 2024 at 01:00
於 Google Chrome 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼及阻斷服務狀況。 … 影響 遠端執行程式碼 阻斷服務 受影響之系統或技術 Google Chrome 127.0.6533.72 (Linux) 之前的版本 Google Chrome 127.0.6533.72/73 (Mac) 之前的版本 Google Chrome 127.0.6533.72/73 (Windows) 之前的版本 Google Chrome 127.0.6533.64 (Android) 之前的版本 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝軟件供應商提供的修補程式: 更新至 127.0.6533.72 (Linux) 或之後版本 更新至 127.0.6533.72/73 (Mac) 或之後版本 更新至 127.0.6533.72/73 (Windows) 或之後版本 更新至 127.0.6533.64 (Android) 或之後版本
- 釣魚警報 – 以 CrowdStrike 故障事件為主題的網絡釣魚攻擊和其他惡意活動on July 22, 2024 at 01:00
解決方案 HKCERT 呼籲公眾對此類釣魚攻擊提高警惕,並採取以下保安最佳實踐以保障自己: 依從官方網站提供的修復方法進行系統修復(例如由 CrowdStrike 提供的修復方法) 從可信任來源取得軟件修補程式更新(例如由微軟提供的修復工具) 不應點擊任何不明來歷的連結,例如來自不明電郵內和搜尋引擎的廣告等 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊 使用「CyberDefender 守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱 以下一些惡意網域亦被發現正利用此事件進行進一步的社交工程攻擊: crowdstrike.phpartners[.]org crowdstrike0day[.]com crowdstrikebluescreen[.]com crowdstrike-bsod[.]com crowdstrikeupdate[.]com crowdstrikebsod[.]com www.crowdstrike0day[.]com www.fix-crowdstrike-bsod[.]com crowdstrikeoutage[.]info www.microsoftcrowdstrike[.]com crowdstrikeodayl[.]com crowdstrike[.]buzz www.crowdstriketoken[.]com www.crowdstrikefix[.]com fix-crowdstrike-apocalypse[.]com microsoftcrowdstrike[.]com crowdstrikedoomsday[.]com crowdstrikedown[.]com whatiscrowdstrike[.]com crowdstrike-helpdesk[.]com crowdstrikefix[.]com fix-crowdstrike-bsod[.]com crowdstrikedown[.]site crowdstuck[.]org crowdfalcon-immed-update[.]com crowdstriketoken[.]com crowdstrikeclaim[.]com crowdstrikeblueteam[.]com crowdstrikefix[.]zip crowdstrikereport[.]com
- CrowdStrike 阻斷服務狀況警報on July 19, 2024 at 14:00
2024 年 7 月 19 日,CrowdStrike Falcon Sensor 在 Windows 主機上造成當機。在 Azure、AWS 等雲端上執行的 Windows 主機也會受到影響。徵狀包括受影響的主… 影響 阻斷服務 受影響之系統或技術 於 2024 年 7 月 19 日(星期五) 04:09 UTC 至 05:27 UTC 期間上線或下載了更新配置的CrowdStrike Falcon Sensor for Windows 7.11 及更高的版本。 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 未受影響的 Windows 主機不需要採取任何行動,因為有問題的檔案已被還原。 個別主機的解決方案步驟: 重新啟動主機,讓主機有機會下載已還原的檔案。如果主機再次當機,則採用以下方法: 注意:Bitlocker 加密的主機可能需要復原金鑰。 請參閱以下有關 遠端用戶的 CrowdStrike 主機自我修復的影片。請按照影片中包含的說明進行操作。 將 Windows 開機至安全模式或 Windows 復原環境 注意:將主機置於有線網路上(非 WiFi 上)並使用「安全模式與網路」可有助於修復。 導覽至 %WINDIR%\System32\drivers\CrowdStrike 目錄 Windows Recovery預設路徑為 X:\windows\system32 首先導航到適當的分區(預設為C:\) 然後導航到crowdstrike目錄: C: cd windows\system32\drivers\crowdstrike 注意:在 WinRE/WinPE 上,導覽至作業系統磁碟區的 Windows\System32\drivers\CrowdStrike 目錄 找到檔案 「C-00000291*.sys」,並將其刪除。 請勿刪除或更改任何其他文件或資料夾 正常啟動主機。 關閉主機 從off state啟動主機 Microsoft 發布了 USB 工具來幫助 IT 管理員加快修復過程。已簽署的 Microsoft 復原工具可以在 Microsoft 下載中心找到。欲了解更多詳情,請瀏覽: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959 對於雲端平台上運行的虛擬機,請應用供應商發布的解決方法: Google Cloud Platform (GCP) https://www.crowdstrike.com/wp-content/uploads/2024/07/Automated-Recovery-from-Blue-Screen-on-Windows-Instances-in-GCP.pdf 請參閱 GCP CrowdStrike 檔案修復腳本 – 提供了一個 Python 腳本,客戶可用於修復駐留在 GCP 中的受影響主機。 Microsoft Azure https://azure.status.microsoft/en-gb/status Amazon Web Services (AWS) https://repost.aws/en/knowledge-center/ec2-instance-crowdstrike-agent Notes: 有關 CrowdStrike 的最新資訊請參考 https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
- Microsoft Edge 多個漏洞on July 19, 2024 at 01:00
於 Microsoft Edge 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況及遠端執行任意程式碼。 影響 遠端執行程式碼 阻斷服務 受影響之系統或技術 Microsoft Edge (Stable) 126.0.2592.113 之前的版本 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝軟件供應商提供的修補程式: 更新至 Microsoft Edge (Stable) 126.0.2592.113 或之後版本
- Apache HTTP Server 多個漏洞on July 19, 2024 at 01:00
於 Apache 產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發繞過保安限制及敏感資料洩露。 … 影響 繞過保安限制 資料洩露 受影響之系統或技術 Apache HTTP Server 版本 2.4.60 到 2.4.61 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝供應商提供的修補程式: https://httpd.apache.org/security/vulnerabilities_24.html
- 思科產品多個漏洞on July 18, 2024 at 01:00
於思科產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務、遠端執行程式碼、權限提升及… 影響 阻斷服務 遠端執行程式碼 權限提升 篡改 受影響之系統或技術 Cisco AsyncOS for Secure Email Gateway 15.0、14.2 及之前的版本 Cisco AsyncOS for Secure Email Gateway 啟用檔案分析功能或內容過濾功能,且內容掃描工具 23.3.0.4823 之前的版本 解決方案 在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。 安裝供應商提供的修補程式: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-priv-esc-ssti-xNO2EOGZ https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH
- Xen 多個漏洞on July 17, 2024 at 01:00
於 Xen 發現多個漏洞,攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況,權限提升,敏感資料洩露及仿冒。 影響 阻斷服務 權限提升 資料洩露 仿冒 受影響之系統或技術 運行 Xapi v1.249.x 的系統 Xen 4.4 以後的版本 解決方案 在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。 安裝供應商提供的修補程式: https://xenbits.xen.org/xsa/advisory-459.html/ https://xenbits.xen.org/xsa/advisory-458.html/
香港網絡安全事故協調中心資安快訊 — 新聞頻道 資訊保安的重要新聞
- Researchers Reveal ConfusedFunction Vulnerability in Google Cloud Platformon July 25, 2024 at 16:00
Cybersecurity researchers have disclosed a privilege escalation vulnerability impacting Google Cloud Platform’s Cloud Functions service that an attacker
- Docker fixes critical 5-year old authentication bypass flawon July 24, 2024 at 16:00
Docker has issued security updates to address a critical vulnerability impacting certain versions of Docker Engine that could allow an
- North Korean hacker got hired by US security vendor, immediately loaded malwareon July 24, 2024 at 16:00
KnowBe4, which provides security awareness training, was fooled by stolen ID.
- Google Chrome now warns about risky password-protected archiveson July 24, 2024 at 16:00
Google Chrome now warns when downloading risky password-protected files and provides improved alerts with more information about
- Threat Actor Distributes Python-Based Information Stealer Using a Fake Falcon Sensor Update Lureon July 23, 2024 at 16:00
On July 23, 2024, CrowdStrike Intelligence identified a malicious ZIP file containing a Python-based information stealer
- Lumma Stealer Packed with CypherIt Distributed Using Falcon Sensor Update Phishing Lureon July 23, 2024 at 16:00
On July 23, 2024, CrowdStrike Intelligence identified the phishing domain crowdstrike-office365[.]com, which
- Likely eCrime Actor Uses Filenames Capitalizing on July 19, 2024, Falcon Sensor Content Issues in Operation Targeting LATAM-Based CrowdStrike Customerson July 23, 2024 at 16:00
On July 19, 2024, an issue present in a single content update for the CrowdStrike Falcon® sensor
- Goodbye? Attackers Can Bypass ‘Windows Hello’ Strong Authenticationon July 23, 2024 at 16:00
Accenture researcher undercut WHfB’s default authentication using open source Evilginx adversary-in-the-middle (
- CrowdStrike: ‘Content Validator’ bug let faulty update pass checkson July 23, 2024 at 16:00
CrowdStrike released a Preliminary Post Incident Review (PIR) on the faulty Falcon update explaining that a bug allowed
- BreachForums v1 database leak is an OPSEC test for hackerson July 23, 2024 at 16:00
The entire database for the notorious BreachForums v1 hacking forum was released on Telegram Tuesday night, exposing a treasure