有被入侵和騎劫風險的 ICS/SCADA 設備包括，施耐德電機（Schneider Electric）與歐姆龍（OMRON）的Sysmac NEX可程式化邏輯控制器，開放平台通信統一架構 (OPC UA) 伺服器，另外，駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說，APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告，詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具，公告稱一旦在營運技術(OT)網路中建立存取權限，這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構，使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備，對設備詳細資料進行網路偵查，將惡意配置/程式碼上傳到目標設備，備份或恢復設備內容，以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括：

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現，APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統，在OS核心執行惡意程式碼，這些機構表示，其目的是利用對 ICS 系統的存取權來提升特權，在網路內橫向移動，入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱，但工業網路安全公司 Dragos表示， 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織，根據Dragos的說法，PIPEDREAM具有五個模組，EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO，通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC，從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外，聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離，對所有遠端存取實施多因素身份驗證，並按時更改所有 ICS/SCADA 設備和系統的密碼，並建議組織制定網路事件回應計劃並定期實施，並維護已知良好的離線備份，以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

VMware已發布安全更新以修補其產品中的 8個漏洞，其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告，針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明，VMware表示由於所有環境都不同，對風險的容忍度不同，且有不同的安全控管和縱深防禦來降低風險，客戶須自行決定如何進行，但鑑於漏洞的嚴重性，我們強烈建議立即採取行動。

五個重大漏洞，兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954（CVSS 風險值達：9.8）- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956（CVSS 風險值達：9.8） – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958（CVSS 風險值達：9.1） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959（CVSS 風險值達：8.8） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960（CVSS 風險值達：7.8）- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞，以及

*CVE-2022-22961（CVSS 風險值達：5.3）- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶，獲得對目標系統主機名的存取權限，並遠端執行任意程式碼漏洞，從而實現完全接管，強烈建議立即採取行動，修補漏洞來消除潛在威脅。好消息的是，VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得，無法立即修補其設備的用戶，VMware也提供臨時變通解決方法。

但VMware重申，變通方法並不能消除漏洞，因此，強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。

美國網路安全及基礎設施安全局(CISA) 已於週四 (3月 31 日) 下令聯邦機構在4 月 21 日之前修補一個重大的 Sophos 防火牆漏洞和其他7個漏洞，所有這些漏洞都在持續遭駭客鎖定。正如Sophos 在三月下旬披露的那樣，編號CVE-2022-1040 的驗證繞過漏洞使攻擊者能夠通過用戶入口網站和Web管理介面，繞過身份驗證並能讓攻擊者遠端執行程式碼，此漏洞CVSS 3.1風險值達9.8，Sophos在更新改其安全公告時，稱發現部分位於南亞地區用戶遭駭客鎖定。

CISA 還命令聯邦機構修補趨勢科技的Apex Central 產品管理控制台中的一個高嚴重性任意檔案上傳漏洞CVE-2022-26871，CVSS風險值達8.6，該漏洞可在遠端執行程式碼執行攻擊中被濫用。週二( 3月29日)，趨勢科技表示，觀察到已有駭客在積極的嘗試開採漏洞。

據BleepingComputer報導，CISA 今天在其已知被開採漏洞( Known Exploited Vulnerabilities Catalog)清單中增加了六個漏洞，所有這些漏洞也在持續的遭駭客鎖定。根據 2021 年 11 月根據具有約束性作業指引(BOD 22-01)，聯邦民事行政部門機構 (FCEB)必須保護其系統免受這些安全漏洞的影響，CISA要求他們在 4 月 21 日之前修補好今天增加的漏洞。

CISA解釋說：“這些類型的漏洞是所有類型的惡意網路參與者的常見攻擊媒介，並對聯邦企業構成重大風險 。 ”雖然 BOD 22-01 指令僅適用於 FCEB 機構，但 CISA 還敦促私營和公共部門組織優先修補這些積極濫用的安全漏洞，以減少其網絡遭受持續網路攻擊的風險。在發布此綁定指令後，CISA 在其積極利用的漏洞列表中添加了數百個漏洞，要求美國聯邦機構盡快修補它們以防止安全漏洞。

自今年年初以來，網路安全機構還下令各機構修補積極利用的零日漏洞：

Google瀏覽器(CVE-2022-1096)

Mozilla 的 Firefox 網絡瀏覽器 (CVE-2022-26485)

Google Chrome (CVE-2022-0609) 和 Adob​​e Commerce/Magento 開源 (CVE-2022-24086)

iPhone、iPad 和 Mac  (CVE-2022-22620)

3月29日網路設備製造商合勤 (Zyxel )已針對影響其部分企業級防火牆和 VPN 產品的韌體重大漏洞釋出安全更新，該漏洞可能使攻擊者能夠控制設備。在某些防火牆版本的 CGI 程式中發現了一個由於缺乏適當的存取控制機制而導致繞過身份驗證的漏洞，合勤發布的安全公告中表示，該漏洞可能允許攻擊者繞過身份驗證並獲得對設備的管理存取權限。該漏洞的編號為CVE-2022-0342，美國國家標準與技術研究院 (NIST) 尚未對風險值提供評分，但合勤的評估給出了 9.8 分（滿分 10 分），CVE-2022-0342涉及 USG/ZyWALL、USG FLEX、ATP、VPN 和 NSG（星雲安全網關）系列的產品。

以下合勤產品受到影響——

USG/ZyWALL系列韌體版本 ZLD V4.20 到 ZLD V4.70（合勤已釋出更新版韌體ZLD V4.71）

USG FLEX 系列韌體版本 ZLD V4.50 至 ZLD V5.20（合勤已釋出更新版韌體ZLD V5.21）

ATP 系列韌體版本 ZLD V4.32 至 ZLD V5.20（合勤已釋出更新版韌體 ZLD V5.21）

VPN 系列韌體版本 ZLD V4.30 至 ZLD V5.20（合勤已釋出更新版韌體ZLD V5.21 ）

針對NSG系列，合勤目前釋出Hotfix，預計5月5日釋出標準修補程式V1.33 Patch 5

雖然沒有證據表明該漏洞已被廣泛利用，但合勤建議用戶應儘速更新韌體。

今年最火的NFT 遊戲Axie Infinity，今傳出被駭客入侵，駭客從Axie Infinity 目前使用的側鏈 Ronin Network竊取了近 6.2 億美元的以太坊和 USDC 貨幣，這是加密貨幣圈迄今為止最大的劫案事件之一。

根據Ronin Network 的說法，入侵是今天首次發現的，但攻擊可以追溯到 3 月 23 日，駭客於23 日破解了其中由 Axie Infinity 母公司 Sky Mavis控制的 4 個節點，跟 1 個由 Axie DAO 所控制的節點。據稱，母公司Sky Mavis 開發的 Ronin 鏈目前由 9 個驗證節點組成，要能驗證存款或取款，最少要獲得其中 5 個節點同意。

加密貨幣持有者通常並不只在一個區塊鏈生態系統中運作，因此開發人員建立了跨鏈橋(Cross-Chain Bridges)，讓用戶將加密貨幣從一條鏈發送到另一條鏈。在這種情況下，Ronin橋將 Axie Infinity 連接到其他區塊鏈，例如以太坊。

使用這座橋， 玩家可以將以太坊或 USDC 存入 Ronin，並用它來購買NFT或遊戲內貨幣，然後他們可以出售他們的遊戲內資產並提取資金。

根據Ronin 橋接上的交易明細紀錄，駭客盜取資金在六天前就完成，並將資金轉移到 FTX 與 Crypto.com ; Ronin則是在 3/29 合法用戶無法在跨鏈橋提取5,000 枚以太坊後才發現。

另外根據Bloomberg 報導，資產證券公司Securitize Inc說，這個事情居然六天都沒有人注意到，直到今天才被發現，光是這一事實就讓人驚覺，應該建立一些架構來監控非法轉移。Ronin 表示，它正在與執法部門和鑑識密碼學家合作，以確保所有資金都得到追回，目前用戶無法提取或存入資金，同時Ronin將驗證門檻從 5 個增加到 8 個，也暫停了的橋接機制。

過去其他加密貨幣劫案涉及的金額:

PolyNetwork  ——  6億美元

Cream Finance  –  1.3 億美元 （10 月）

Liquid ——9700 萬美元

EasyFi  ——  8100萬美元

bZx  –  5500 萬美元

Cream Finance  –  3700 萬美元 （2 月）

Vee Finance  ——  3500萬美元

Cream Finance  –  2900 萬美元 （8 月）

pNetwork  ——  1200萬美元

Rari Capital  ——  1100萬美元