聯想Lenovo設備的韌體曝3項UEFI漏洞,可影響至少 100 款機型,多達數百萬台筆電

Photo Credit: HVEPhoto via Shutterstock

綜合資安外媒報導,ESET 的研究人員於 2021 年 10 月首次向聯想報告,有三個高風險漏洞影響統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI),即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被發現它們會影響聯想的各種設備,如聯想Flex、IdeaPads和Yoga等筆電, 這可轉化為數百萬用戶擁有易受攻擊的設備。

據了解,其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972)會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式,UEFI是嵌入在現代設備晶元中的技術,它將韌體連結到操作系統,研究人員表示,聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中,而未被正確停用,駭客可利用這些有缺陷的驅動程式來禁用保護,包括UEFI安全啟動,BIOS控制寄存器和受保護範圍寄存器,這些都內置SPI中,旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說,攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ,在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式,藉以從遠端下載其他惡意程式。

第三個漏洞,CVE-2021-3970,是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的,可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說,通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式,可以從特權內核模式進程中利用此漏洞,此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取,這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高,可能需要在其他地方利用一個或多個關鍵的其他漏洞,而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後,這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊,聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成,也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Github: 駭客使用被盜的OAuth 用戶權杖入侵了NPM 等數十個組織

OAuth Access Tokens
Photo Credit: The Hacker News

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露,它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露,攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖,從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊,而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法,受影響的 OAuth 應用程式清單如下:

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示,OAuth 的權杖並不是通過入侵GitHub或其系統獲得的,因為GitHub 並未以原始的可用格式存儲權杖。此外,GitHub 警告說,攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容,被盜的 OAuth 權杖可以存取這些內容,以獲取可用於轉向其他基礎設施的機密的數據。

Github指出,它在 4 月 12 日發現了攻擊活動的早期證據,當時它遇到了使用被入侵 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示,它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外,Salesforce子公司 Heroku確認了存取權杖的撤銷,並稱在另行通知之前,他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

雖然攻擊者能夠從入侵的存儲庫中竊取數據,但 GitHub 認為沒有任何套件(packages)被修改,用戶帳戶數據或憑證未在事件中被存取,並重申 npm 使用與GitHub.com 完全獨立的基礎設施;GitHub 沒有受到這次攻擊的影響, GitHub 正在努力通知所有受影響的用戶和組織並表示,儘管調查仍在繼續,但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府警告稱APT駭客組織利用客製化的工具將目標瞄準工控系統ICS/SCADA

有被入侵和騎劫風險的 ICS/SCADA 設備包括,施耐德電機(Schneider Electric)與歐姆龍(OMRON)的Sysmac NEX可程式化邏輯控制器,開放平台通信統一架構 (OPC UA) 伺服器,另外,駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說,APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告,詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具,公告稱一旦在營運技術(OT)網路中建立存取權限,這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構,使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備,對設備詳細資料進行網路偵查,將惡意配置/程式碼上傳到目標設備,備份或恢復設備內容,以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括:

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現,APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統,在OS核心執行惡意程式碼,這些機構表示,其目的是利用對 ICS 系統的存取權來提升特權,在網路內橫向移動,入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱,但工業網路安全公司 Dragos表示, 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織,根據Dragos的說法,PIPEDREAM具有五個模組,EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO,通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC,從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外,聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離,對所有遠端存取實施多因素身份驗證,並按時更改所有 ICS/SCADA 設備和系統的密碼,並建議組織制定網路事件回應計劃並定期實施,並維護已知良好的離線備份,以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

攻擊者在佈署LockBit勒索軟體前,已在美國政府的內部網路潛伏長達五個月

安全研究人員發現,攻擊者入侵了美國地方政府機構的網路,在 LockBit 勒索軟體最終部署之前,駭客至少潛伏了五個月。Sophos研究人員從受感染機器中檢索到的日誌顯示,在部署payload之前,可能至少有兩組駭客在該政府機構的受感染網路上活躍。攻擊者試圖通過刪除事件日誌來刪除他們的踪跡,但檔案片段仍然允許威脅分析人員一睹攻擊者及其策略,Brandt 稱,雖然起初攻擊似乎是由看似新手的攻擊者執行的,不確定下一步該怎麼做,但後來可能有一組不同的攻擊者部署了勒索軟體,竊取數據並加密檔案。

研究人員表示這是一次非常混亂的攻擊,從最初的入侵事件發生大約4個月後,攻擊活動的性質發生了變化,顯示具有不同技能的攻擊者已經加入了戰場。在Sophos的分析報告中,2021 年9 月發生的攻擊的初始入侵點似乎是防火牆上的一個開放遠端桌面協定 (RDP) 端口,該端口被配置為提供對伺服器的公開存取。

在獲得初始公開存取權限後,攻擊者安裝了 Chrome 瀏覽器,以在受感染的伺服器上搜索和下載所需的工具。該工具集包括用於暴力破解、掃描、商業 VPN 的實用程式,以及允許檔案管理和命令執行的免費工具,例如 PsExec、FileZilla、Process Explorer 和 GMER。此外,駭客還使用了遠端桌面和遠端管理軟體,例如 ScreenConnect以及AnyDesk。在駭客竊取了同樣擁有網域管理員權限的本地伺服器管理員的憑證後,便在其他系統上建立了具有管理員權限的新帳戶。

研究表明,攻擊者的行為在 2022年1 月中旬發生了顯著變化,出現更加熟練和專注的活動,顯示一個更老練的攻擊者出現並接管了控制權。攻擊者利用目標在完成維護後無意中禁用了保護功能這一點,刪除了惡意加密礦工並卸載了安全軟體,然後收集並竊取數據並部署 Lockbit 勒索軟體,但幸運的是勒索軟體攻擊的成功有限,攻擊者未能加密某些機器上的數據。研究人員表示在一些機器上,雖然檔案已用 LockBit 的檔案重新命名,但攻擊者沒有完成他們的任務,並未進行加密。

最後,這個案例強調了維護和事件回應錯誤的問題,即使在緊急情況下也需要遵循安全檢查清單。

另外,根據在LockBit揭秘網站上的觀察,本週出現兩個在亞洲地區的受害者包含日本測試設備製造商Tokyo Plant co和新加坡的Bread Talk麵包物語。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

6684e1df360db67719f65bcd39467cc88bbd7bb910636d03071245b622e7cfa3

87bfb05057f215659cc801750118900145f8a22fa93ac4c6e1bfd81aa98b0a55            

db385ea6858db4b4cb49897df9ec6d5cc4675aaf675e692466b3b50218e0eeca

3d0e06086768500a2bf680ffbed0409d24b355887169b821d55233529ad2c62a

0d31a6d35d6b320f815c6ba327ccb8946d4d7f771e0dcdbf5aa8af775576f2d1

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

VMware呼籲客戶立即修補多個產品中的的 8個漏洞

VMware已發布安全更新以修補其產品中的 8個漏洞,其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告,針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明,VMware表示由於所有環境都不同,對風險的容忍度不同,且有不同的安全控管和縱深防禦來降低風險,客戶須自行決定如何進行,鑑於漏洞的嚴重性,我們強烈建議立即採取行動。

五個重大漏洞,兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954(CVSS 風險值達:9.8)- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956(CVSS 風險值達:9.8) – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958(CVSS 風險值達:9.1) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959(CVSS 風險值達:8.8) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960(CVSS 風險值達:7.8)- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞,以及

*CVE-2022-22961(CVSS 風險值達:5.3)- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶,獲得對目標系統主機名的存取權限,並遠端執行任意程式碼漏洞,從而實現完全接管,強烈建議立即採取行動,修補漏洞來消除潛在威脅。好消息的是,VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得,無法立即修補其設備的用戶,VMware也提供臨時變通解決方法

但VMware重申,變通方法並不能消除漏洞,因此,強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。

日本月桂冠株式會社的核心系統遭勒索軟體入侵,下單及出貨中斷,另外,驚見台灣某飲料製造商遭LockBit攻擊!

月桂冠&台灣某飲料製製造商

日本大型清酒公司月桂冠4月6日公告,其內部系統的伺服器遭勒索軟體入侵,部分數據已被加密,並使其系統無法正常運作,月桂冠在4 月 2 日確認了由勒索軟體攻擊的未經授權存取,並於 4 月 3 日通過中斷相關伺服器與外部網路的連接來應對,然而攻擊影響了公司的訂單和發貨系統,根據日經和NHK等日本媒體的報導,由於暫停所有受影響的系統,使月桂冠延後與客戶和供應商的部分交易,另外經月桂冠證實,在其員工電腦及伺服器上發現勒索信,目前聯同外部鑑識專家針對銷售和其他系統的影響、勒索軟體的攻擊途徑以及可能被非法存取的資料內容等進行調查,該公司公關表示目前沒有證據顯示有任何資料外洩,然而也沒有透露是哪種勒索軟體所引起。

據悉,月桂冠還未確認對其郵件伺服器的未授權存取,目前以中斷互聯網連接作為對策,因而影響日常工作的運作,另一方面,月桂冠將從4月7日起恢復訂單,使用電話和傳真機代替發生問題的訂單及出貨系統。

月桂冠子公司,生產食品製造商kinrei corporation也宣布,由於其伺服器和營運外包給母公司月桂冠管理,已確認部分伺服器也因未經授權的存取而出現系統故障,並表示正在配合母公司採取相應措施。

月桂冠子公司kinrei corporation的公告

插播報導,竣盟科技在LockBit的暗網揭秘網站上,發現我國某一飲料原物料商,已被LockBit列為受害者,並將於4月10日公開該飲料製造商的所有數據,但LockBit暫無䆁出任何截圖或透露所盜的數據量,該製造商總部位於台北,在上海及泰國也設有分公司,目前其官網運作正常。

美國聯邦調查局(FBI)於2021年9月預警食品供應鏈的攻擊升溫,勒索軟體積極瞄準攻擊及中斷食品/農業供應鏈,以造成經濟損失並直接影響食品供應鏈的正常運作,呼籲業者要加強資安防護來因應這類攻擊。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

CISA下令要求聯邦機構三週內修補好八個漏洞,包含Sophos 防火牆的重大漏洞,另外,合勤修補了影響防火牆和 VPN 設備的重大漏洞

八個聯邦機構需要在 4 月 21 日前修補好的漏洞

美國網路安全及基礎設施安全局(CISA) 已於週四 (3月 31 日) 下令聯邦機構在4 月 21 日之前修補一個重大的 Sophos 防火牆漏洞和其他7個漏洞,所有這些漏洞都在持續遭駭客鎖定。正如Sophos 在三月下旬披露的那樣,編號CVE-2022-1040 的驗證繞過漏洞使攻擊者能夠通過用戶入口網站和Web管理介面,繞過身份驗證並能讓攻擊者遠端執行程式碼,此漏洞CVSS 3.1風險值達9.8,Sophos在更新改其安全公告時,稱發現部分位於南亞地區用戶遭駭客鎖定。

CISA 還命令聯邦機構修補趨勢科技的Apex Central 產品管理控制台中的一個高嚴重性任意檔案上傳漏洞CVE-2022-26871,CVSS風險值達8.6,該漏洞可在遠端執行程式碼執行攻擊中被濫用。週二( 3月29日),趨勢科技表示,觀察到已有駭客在積極的嘗試開採漏洞。

BleepingComputer報導,CISA 今天在其已知被開採漏洞( Known Exploited Vulnerabilities Catalog)清單中增加了六個漏洞,所有這些漏洞也在持續的遭駭客鎖定。根據 2021 年 11 月根據具有約束性作業指引(BOD 22-01),聯邦民事行政部門機構 (FCEB)必須保護其系統免受這些安全漏洞的影響,CISA要求他們在 4 月 21 日之前修補好今天增加的漏洞。

CISA解釋說:“這些類型的漏洞是所有類型的惡意網路參與者的常見攻擊媒介,並對聯邦企業構成重大風險 。 ”雖然 BOD 22-01 指令僅適用於 FCEB 機構,但 CISA 還敦促私營和公共部門組織優先修補這些積極濫用的安全漏洞,以減少其網絡遭受持續網路攻擊的風險。在發布此綁定指令後,CISA 在其積極利用的漏洞列表中添加了數百個漏洞,要求美國聯邦機構盡快修補它們以防止安全漏洞。

自今年年初以來,網路安全機構還下令各機構修補積極利用的零日漏洞:

Google瀏覽器(CVE-2022-1096)

Mozilla 的 Firefox 網絡瀏覽器 (CVE-2022-26485)

Google Chrome (CVE-2022-0609) 和 Adob​​e Commerce/Magento 開源 (CVE-2022-24086)

iPhone、iPad 和 Mac  (CVE-2022-22620)

合勤發布的安全公告

3月29日網路設備製造商合勤 (Zyxel )已針對影響其部分企業級防火牆和 VPN 產品的韌體重大漏洞釋出安全更新,該漏洞可能使攻擊者能夠控制設備。在某些防火牆版本的 CGI 程式中發現了一個由於缺乏適當的存取控制機制而導致繞過身份驗證的漏洞,合勤發布的安全公告中表示,該漏洞可能允許攻擊者繞過身份驗證並獲得對設備的管理存取權限。該漏洞的編號為CVE-2022-0342,美國國家標準與技術研究院 (NIST) 尚未對風險值提供評分,但合勤的評估給出了 9.8 分(滿分 10 分),CVE-2022-0342涉及 USG/ZyWALL、USG FLEX、ATP、VPN 和 NSG(星雲安全網關)系列的產品。

以下合勤產品受到影響——

USG/ZyWALL系列韌體版本 ZLD V4.20 到 ZLD V4.70(合勤已釋出更新版韌體ZLD V4.71)

USG FLEX 系列韌體版本 ZLD V4.50 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21)

ATP 系列韌體版本 ZLD V4.32 至 ZLD V5.20(合勤已釋出更新版韌體 ZLD V5.21)

VPN 系列韌體版本 ZLD V4.30 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21 )

針對NSG系列,合勤目前釋出Hotfix,預計5月5日釋出標準修補程式V1.33 Patch 5

雖然沒有證據表明該漏洞已被廣泛利用,但合勤建議用戶應儘速更新韌體。

史上最大的加密貨幣劫案~駭客從Axie Infinity遊戲背後的區塊鏈 Ronin Network 盜走 6.2億美元

今年最火的NFT 遊戲Axie Infinity,今傳出被駭客入侵,駭客從Axie Infinity 目前使用的側鏈 Ronin Network竊取了近 6.2 億美元的以太坊和 USDC 貨幣,這是加密貨幣圈迄今為止最大的劫案事件之一。

根據Ronin Network 的說法,入侵是今天首次發現的,但攻擊可以追溯到 3 月 23 日,駭客於23 日破解了其中由 Axie Infinity 母公司 Sky Mavis控制的 4 個節點,跟 1 個由 Axie DAO 所控制的節點。據稱,母公司Sky Mavis 開發的 Ronin 鏈目前由 9 個驗證節點組成,要能驗證存款或取款,最少要獲得其中 5 個節點同意。

加密貨幣持有者通常並不只在一個區塊鏈生態系統中運作,因此開發人員建立了跨鏈橋(Cross-Chain Bridges),讓用戶將加密貨幣從一條鏈發送到另一條鏈。在這種情況下,Ronin橋將 Axie Infinity 連接到其他區塊鏈,例如以太坊。

使用這座橋, 玩家可以將以太坊或 USDC 存入 Ronin,並用它來購買NFT或遊戲內貨幣,然後他們可以出售他們的遊戲內資產並提取資金。

根據Ronin 橋接上的交易明細紀錄,駭客盜取資金在六天前就完成,並將資金轉移到 FTX 與 Crypto.com ; Ronin則是在 3/29 合法用戶無法在跨鏈橋提取5,000 枚以太坊後才發現。

紀錄1
紀錄2

另外根據Bloomberg 報導,資產證券公司Securitize Inc說,這個事情居然六天都沒有人注意到,直到今天才被發現,光是這一事實就讓人驚覺,應該建立一些架構來監控非法轉移。Ronin 表示,它正在與執法部門和鑑識密碼學家合作,以確保所有資金都得到追回,目前用戶無法提取或存入資金,同時Ronin將驗證門檻從 5 個增加到 8 個,也暫停了的橋接機制。

過去其他加密貨幣劫案涉及的金額:

PolyNetwork  ——  6億美元

Cream Finance  –  1.3 億美元 (10 月)

Liquid ——9700 萬美元

EasyFi  ——  8100萬美元

bZx  –  5500 萬美元

Cream Finance  –  3700 萬美元 (2 月)

Vee Finance  ——  3500萬美元

Cream Finance  –  2900 萬美元 (8 月)

pNetwork  ——  1200萬美元

Rari Capital  ——  1100萬美元

駭客劫持未修補的 Exchange伺服器上的電郵,植入惡意的回覆內容來傳播惡意軟體IcedID

研究人員發現了一個新的釣魚郵件活動,該活動旨在劫持的電子郵件的回覆內容 (Email Thread Hijacking) 並植入難以發現的惡意payload,瞄準未修補和暴露網路上Microsoft Exchange伺服器,將用於資料竊取的IcedID惡意軟體傳送到受感染的機器上。

IcedID 是一種模組化銀行木馬,於 2017 年首次被發現,已發展成為駭客建立切入點,用於部署第二階段的惡意軟體,例如勒索軟體或Cobalt Strike工具。IcedID使攻擊者能連接到遠端伺服器並下載下一階段的植入程式和工具,使駭客能執行後續活動並在受影響的網路中橫向移動,以投放其他的惡意軟體。根據以色列資安公司Intezer週一(3/28) 發布的報告,此次活動針對以前的被盜電子郵件並偽造回覆,以用作說服收件者打開附件,值得注意的是,在3 月中旬檢測到的最新一波攻擊瞄準了能源、醫療保健、法律和製藥領域的組織。

Photo Credit: Intezer

攻擊是如何發生

據悉,雖然早期的 IcedID 活動利用網站聯繫表格(Website Contact Form)向組織發送帶有惡意軟體的鏈結,但此次活動的攻擊在易受攻擊的 Microsoft Exchange伺服器上從被劫持的帳號發送誘騙電子郵件,這表明社交工程攻擊的進一步發展。Intezer的研究人員Joakim Kennedy和Ryan Robinson說,payloads也已經從使用Office檔轉向使用帶有Windows LNK檔和DLL檔的ISO檔案,使用ISO檔案允許威脅行為者繞過Web標記控制,導致惡意軟體的執行而不會向使用者發出警告。

研究人員觀察到攻擊中使用的釣魚郵件帶有誘騙的警告,警告用戶在最近的合約中有未處理的付款,並指向附件中的法律文件,攻擊者在這些電子郵件中利用對話劫持,使用合法的、受感染的電子郵件並將自己插入現有對話中,使釣魚攻擊更具說服力,最終使用戶難以檢測到。

據悉,附件的 zip存檔文件受密碼保護,密碼在電子郵件中給出。存檔包含一個 ISO 檔案。當受害者點擊該檔案時,它會使用regsvr32.exe來執行一個 DLL 檔案,研究人員稱這是一種通過允許proxy執行 main.dll 的惡意程式碼來實現防禦規避的技術。

誰是新的 IcedID活動的幕後黑手?

雖然 Intezer 沒有在 IcedID 活動與網路犯罪組織TA551 的之間直接聯繫起來,但分析報告確實提及到 Proofpoint 在2021 年6月的一份報告,該報告強調了網路犯罪組織 TA577 和 TA551 傾向於使用 IcedID 作為其惡意軟體。但Intezer認為這次的活動由TA551發起,因為該組織已知以DDL的二進位檔proxy和受密碼保護的ZIP檔執行regsvr32.exe。

研究人員總結說,對話劫持的使用是一種強大的社交工程技術,可提高網路釣魚的成功率。

有關IcedID的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250