Stormous勒索軟體組織聲稱入侵了可口可樂,竊取了161 GB 的數據,可口可樂表示已展開調查

Stormous在暗網上正以約 64,000 美元的價格出售這批數據,據稱包含財務數據、管理檔、電子郵件和密碼的文檔、用戶和支付資料等及壓縮檔,共13個檔。

Stormous在暗網上出售可口可樂的數據

4月26日Stormous勒索軟體組織在其Telegram頻道上,宣布入侵了跨國飲料公司可口可樂,並從一些可口可樂的伺服器中竊取了 161GB的數據。

Stormous在Telegram頻道上宣布入侵了可口可樂

在這之前,Stormous於4月20日在Telegram發起了一項線上投票活動,要其 Telegram頻道的追隨者投票決定誰應該成為他們下一個攻擊的受害者,並承諾攻擊將包括DDoS、數據入侵、外洩露軟體源始碼和客戶端數據,可口可樂以 72% 的選票贏得了該項活動,最終成為攻擊的對象。

Stormous在Telegram發起線上投票活動

Stormous是一個相對較新的勒索軟體組織的名字,於今年第一季度初出現,但目前沒有跡象顯示在受害者網路植入加密資料的檔案,在 Stormous宣布從 Epic Games 竊取約200 GB 數據後,開始獲得了關注。雖然Stormous並未表示將可口可樂對作為支持烏克蘭的報復,但在俄羅斯入侵烏克蘭後不久,Stormous迅速追隨勒索軟體Conti腳步,並宣布支持俄羅斯。可口可樂此前暫停了在俄羅斯的業務,並承諾捐款約150億美元,以援助和支持紅十字會和烏克蘭的救援工作。

可口可樂公司尚未證實他們的數據被盜,但目前正在與執法部門合作,正在調查這起事件。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

REvil勒索軟體又捲土重來!印度關鍵基礎設施-國營石油公司Oil India遭駭,被勒索7500萬美元贖金

資安研究人員發現操作REvil的駭客重啟其伺服器、揭秘網站Happy Blog也重新在暗網上洩露數據

REvil的Happy Blog的Oil India

REvil有時被稱為 Sodinokibi,在2021年發動了一些引人注目的勒索軟體攻擊,包括對AcerKaseyaJBS Food、和廣達電腦等的駭客攻擊,然後在年底因多國執法機構合作剿滅而消聲匿跡。據 BleepingComputer 報導, TOR 網路中的 REvil 伺服器現在正在重定向到一個新網站,該網站目前有 26個頁面,其中已上傳了REvil成功入侵的數據,其中大部分來自REvil舊的攻擊,只有最後兩名受害者與新的操作有關,其中一個是印度石油公司Oil India,另一個則是Visotec Group,該公司尚未被公開披露任何數據,其網站仍在運行。除了舊的Happy Blog重定向到新的網站外,研究人員的另一個觀察結果是,REvil 的舊 TOR 支付網域也重定向到新的網站。

Oil India 的官網上跑馬燈字幕顯示公司因不可避免的狀況,其E-Portal系統不能使用

被列為遭到REvil最新攻擊的公司印度石油公司,該公司在上週4 月 12 日披露,遭遇駭客攻擊,在被加密的電腦上發現來自駭客的勒索信,被196 個比特幣,約7500萬美元的贖金,印度石油的官網上有跑馬燈字幕顯示公司因不可避免的狀況,其E-Portal至今仍不能使用,作為預防措施,該公司伺服器、網路等相關服務均受到影響,同時禁用受影響的系統。Twitter上多名資安研究人員對印度石油有限公司的勒索軟體攻擊歸因於 REvil。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

聯想Lenovo設備的韌體曝3項UEFI漏洞,可影響至少 100 款機型,多達數百萬台筆電

Photo Credit: HVEPhoto via Shutterstock

綜合資安外媒報導,ESET 的研究人員於 2021 年 10 月首次向聯想報告,有三個高風險漏洞影響統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI),即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被發現它們會影響聯想的各種設備,如聯想Flex、IdeaPads和Yoga等筆電, 這可轉化為數百萬用戶擁有易受攻擊的設備。

據了解,其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972)會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式,UEFI是嵌入在現代設備晶元中的技術,它將韌體連結到操作系統,研究人員表示,聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中,而未被正確停用,駭客可利用這些有缺陷的驅動程式來禁用保護,包括UEFI安全啟動,BIOS控制寄存器和受保護範圍寄存器,這些都內置SPI中,旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說,攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ,在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式,藉以從遠端下載其他惡意程式。

第三個漏洞,CVE-2021-3970,是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的,可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說,通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式,可以從特權內核模式進程中利用此漏洞,此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取,這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高,可能需要在其他地方利用一個或多個關鍵的其他漏洞,而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後,這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊,聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成,也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Github: 駭客使用被盜的OAuth 用戶權杖入侵了NPM 等數十個組織

OAuth Access Tokens
Photo Credit: The Hacker News

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露,它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露,攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖,從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊,而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法,受影響的 OAuth 應用程式清單如下:

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示,OAuth 的權杖並不是通過入侵GitHub或其系統獲得的,因為GitHub 並未以原始的可用格式存儲權杖。此外,GitHub 警告說,攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容,被盜的 OAuth 權杖可以存取這些內容,以獲取可用於轉向其他基礎設施的機密的數據。

Github指出,它在 4 月 12 日發現了攻擊活動的早期證據,當時它遇到了使用被入侵 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示,它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外,Salesforce子公司 Heroku確認了存取權杖的撤銷,並稱在另行通知之前,他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

雖然攻擊者能夠從入侵的存儲庫中竊取數據,但 GitHub 認為沒有任何套件(packages)被修改,用戶帳戶數據或憑證未在事件中被存取,並重申 npm 使用與GitHub.com 完全獨立的基礎設施;GitHub 沒有受到這次攻擊的影響, GitHub 正在努力通知所有受影響的用戶和組織並表示,儘管調查仍在繼續,但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府警告稱APT駭客組織利用客製化的工具將目標瞄準工控系統ICS/SCADA

有被入侵和騎劫風險的 ICS/SCADA 設備包括,施耐德電機(Schneider Electric)與歐姆龍(OMRON)的Sysmac NEX可程式化邏輯控制器,開放平台通信統一架構 (OPC UA) 伺服器,另外,駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說,APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告,詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具,公告稱一旦在營運技術(OT)網路中建立存取權限,這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構,使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備,對設備詳細資料進行網路偵查,將惡意配置/程式碼上傳到目標設備,備份或恢復設備內容,以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括:

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現,APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統,在OS核心執行惡意程式碼,這些機構表示,其目的是利用對 ICS 系統的存取權來提升特權,在網路內橫向移動,入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱,但工業網路安全公司 Dragos表示, 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織,根據Dragos的說法,PIPEDREAM具有五個模組,EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO,通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC,從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外,聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離,對所有遠端存取實施多因素身份驗證,並按時更改所有 ICS/SCADA 設備和系統的密碼,並建議組織制定網路事件回應計劃並定期實施,並維護已知良好的離線備份,以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

VMware呼籲客戶立即修補多個產品中的的 8個漏洞

VMware已發布安全更新以修補其產品中的 8個漏洞,其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告,針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明,VMware表示由於所有環境都不同,對風險的容忍度不同,且有不同的安全控管和縱深防禦來降低風險,客戶須自行決定如何進行,鑑於漏洞的嚴重性,我們強烈建議立即採取行動。

五個重大漏洞,兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954(CVSS 風險值達:9.8)- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956(CVSS 風險值達:9.8) – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958(CVSS 風險值達:9.1) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959(CVSS 風險值達:8.8) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960(CVSS 風險值達:7.8)- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞,以及

*CVE-2022-22961(CVSS 風險值達:5.3)- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶,獲得對目標系統主機名的存取權限,並遠端執行任意程式碼漏洞,從而實現完全接管,強烈建議立即採取行動,修補漏洞來消除潛在威脅。好消息的是,VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得,無法立即修補其設備的用戶,VMware也提供臨時變通解決方法

但VMware重申,變通方法並不能消除漏洞,因此,強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。

日本月桂冠株式會社的核心系統遭勒索軟體入侵,下單及出貨中斷,另外,驚見台灣某飲料製造商遭LockBit攻擊!

月桂冠&台灣某飲料製製造商

日本大型清酒公司月桂冠4月6日公告,其內部系統的伺服器遭勒索軟體入侵,部分數據已被加密,並使其系統無法正常運作,月桂冠在4 月 2 日確認了由勒索軟體攻擊的未經授權存取,並於 4 月 3 日通過中斷相關伺服器與外部網路的連接來應對,然而攻擊影響了公司的訂單和發貨系統,根據日經和NHK等日本媒體的報導,由於暫停所有受影響的系統,使月桂冠延後與客戶和供應商的部分交易,另外經月桂冠證實,在其員工電腦及伺服器上發現勒索信,目前聯同外部鑑識專家針對銷售和其他系統的影響、勒索軟體的攻擊途徑以及可能被非法存取的資料內容等進行調查,該公司公關表示目前沒有證據顯示有任何資料外洩,然而也沒有透露是哪種勒索軟體所引起。

據悉,月桂冠還未確認對其郵件伺服器的未授權存取,目前以中斷互聯網連接作為對策,因而影響日常工作的運作,另一方面,月桂冠將從4月7日起恢復訂單,使用電話和傳真機代替發生問題的訂單及出貨系統。

月桂冠子公司,生產食品製造商kinrei corporation也宣布,由於其伺服器和營運外包給母公司月桂冠管理,已確認部分伺服器也因未經授權的存取而出現系統故障,並表示正在配合母公司採取相應措施。

月桂冠子公司kinrei corporation的公告

插播報導,竣盟科技在LockBit的暗網揭秘網站上,發現我國某一飲料原物料商,已被LockBit列為受害者,並將於4月10日公開該飲料製造商的所有數據,但LockBit暫無䆁出任何截圖或透露所盜的數據量,該製造商總部位於台北,在上海及泰國也設有分公司,目前其官網運作正常。

美國聯邦調查局(FBI)於2021年9月預警食品供應鏈的攻擊升溫,勒索軟體積極瞄準攻擊及中斷食品/農業供應鏈,以造成經濟損失並直接影響食品供應鏈的正常運作,呼籲業者要加強資安防護來因應這類攻擊。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

CISA下令要求聯邦機構三週內修補好八個漏洞,包含Sophos 防火牆的重大漏洞,另外,合勤修補了影響防火牆和 VPN 設備的重大漏洞

八個聯邦機構需要在 4 月 21 日前修補好的漏洞

美國網路安全及基礎設施安全局(CISA) 已於週四 (3月 31 日) 下令聯邦機構在4 月 21 日之前修補一個重大的 Sophos 防火牆漏洞和其他7個漏洞,所有這些漏洞都在持續遭駭客鎖定。正如Sophos 在三月下旬披露的那樣,編號CVE-2022-1040 的驗證繞過漏洞使攻擊者能夠通過用戶入口網站和Web管理介面,繞過身份驗證並能讓攻擊者遠端執行程式碼,此漏洞CVSS 3.1風險值達9.8,Sophos在更新改其安全公告時,稱發現部分位於南亞地區用戶遭駭客鎖定。

CISA 還命令聯邦機構修補趨勢科技的Apex Central 產品管理控制台中的一個高嚴重性任意檔案上傳漏洞CVE-2022-26871,CVSS風險值達8.6,該漏洞可在遠端執行程式碼執行攻擊中被濫用。週二( 3月29日),趨勢科技表示,觀察到已有駭客在積極的嘗試開採漏洞。

BleepingComputer報導,CISA 今天在其已知被開採漏洞( Known Exploited Vulnerabilities Catalog)清單中增加了六個漏洞,所有這些漏洞也在持續的遭駭客鎖定。根據 2021 年 11 月根據具有約束性作業指引(BOD 22-01),聯邦民事行政部門機構 (FCEB)必須保護其系統免受這些安全漏洞的影響,CISA要求他們在 4 月 21 日之前修補好今天增加的漏洞。

CISA解釋說:“這些類型的漏洞是所有類型的惡意網路參與者的常見攻擊媒介,並對聯邦企業構成重大風險 。 ”雖然 BOD 22-01 指令僅適用於 FCEB 機構,但 CISA 還敦促私營和公共部門組織優先修補這些積極濫用的安全漏洞,以減少其網絡遭受持續網路攻擊的風險。在發布此綁定指令後,CISA 在其積極利用的漏洞列表中添加了數百個漏洞,要求美國聯邦機構盡快修補它們以防止安全漏洞。

自今年年初以來,網路安全機構還下令各機構修補積極利用的零日漏洞:

Google瀏覽器(CVE-2022-1096)

Mozilla 的 Firefox 網絡瀏覽器 (CVE-2022-26485)

Google Chrome (CVE-2022-0609) 和 Adob​​e Commerce/Magento 開源 (CVE-2022-24086)

iPhone、iPad 和 Mac  (CVE-2022-22620)

合勤發布的安全公告

3月29日網路設備製造商合勤 (Zyxel )已針對影響其部分企業級防火牆和 VPN 產品的韌體重大漏洞釋出安全更新,該漏洞可能使攻擊者能夠控制設備。在某些防火牆版本的 CGI 程式中發現了一個由於缺乏適當的存取控制機制而導致繞過身份驗證的漏洞,合勤發布的安全公告中表示,該漏洞可能允許攻擊者繞過身份驗證並獲得對設備的管理存取權限。該漏洞的編號為CVE-2022-0342,美國國家標準與技術研究院 (NIST) 尚未對風險值提供評分,但合勤的評估給出了 9.8 分(滿分 10 分),CVE-2022-0342涉及 USG/ZyWALL、USG FLEX、ATP、VPN 和 NSG(星雲安全網關)系列的產品。

以下合勤產品受到影響——

USG/ZyWALL系列韌體版本 ZLD V4.20 到 ZLD V4.70(合勤已釋出更新版韌體ZLD V4.71)

USG FLEX 系列韌體版本 ZLD V4.50 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21)

ATP 系列韌體版本 ZLD V4.32 至 ZLD V5.20(合勤已釋出更新版韌體 ZLD V5.21)

VPN 系列韌體版本 ZLD V4.30 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21 )

針對NSG系列,合勤目前釋出Hotfix,預計5月5日釋出標準修補程式V1.33 Patch 5

雖然沒有證據表明該漏洞已被廣泛利用,但合勤建議用戶應儘速更新韌體。

史上最大的加密貨幣劫案~駭客從Axie Infinity遊戲背後的區塊鏈 Ronin Network 盜走 6.2億美元

今年最火的NFT 遊戲Axie Infinity,今傳出被駭客入侵,駭客從Axie Infinity 目前使用的側鏈 Ronin Network竊取了近 6.2 億美元的以太坊和 USDC 貨幣,這是加密貨幣圈迄今為止最大的劫案事件之一。

根據Ronin Network 的說法,入侵是今天首次發現的,但攻擊可以追溯到 3 月 23 日,駭客於23 日破解了其中由 Axie Infinity 母公司 Sky Mavis控制的 4 個節點,跟 1 個由 Axie DAO 所控制的節點。據稱,母公司Sky Mavis 開發的 Ronin 鏈目前由 9 個驗證節點組成,要能驗證存款或取款,最少要獲得其中 5 個節點同意。

加密貨幣持有者通常並不只在一個區塊鏈生態系統中運作,因此開發人員建立了跨鏈橋(Cross-Chain Bridges),讓用戶將加密貨幣從一條鏈發送到另一條鏈。在這種情況下,Ronin橋將 Axie Infinity 連接到其他區塊鏈,例如以太坊。

使用這座橋, 玩家可以將以太坊或 USDC 存入 Ronin,並用它來購買NFT或遊戲內貨幣,然後他們可以出售他們的遊戲內資產並提取資金。

根據Ronin 橋接上的交易明細紀錄,駭客盜取資金在六天前就完成,並將資金轉移到 FTX 與 Crypto.com ; Ronin則是在 3/29 合法用戶無法在跨鏈橋提取5,000 枚以太坊後才發現。

紀錄1
紀錄2

另外根據Bloomberg 報導,資產證券公司Securitize Inc說,這個事情居然六天都沒有人注意到,直到今天才被發現,光是這一事實就讓人驚覺,應該建立一些架構來監控非法轉移。Ronin 表示,它正在與執法部門和鑑識密碼學家合作,以確保所有資金都得到追回,目前用戶無法提取或存入資金,同時Ronin將驗證門檻從 5 個增加到 8 個,也暫停了的橋接機制。

過去其他加密貨幣劫案涉及的金額:

PolyNetwork  ——  6億美元

Cream Finance  –  1.3 億美元 (10 月)

Liquid ——9700 萬美元

EasyFi  ——  8100萬美元

bZx  –  5500 萬美元

Cream Finance  –  3700 萬美元 (2 月)

Vee Finance  ——  3500萬美元

Cream Finance  –  2900 萬美元 (8 月)

pNetwork  ——  1200萬美元

Rari Capital  ——  1100萬美元