標籤: News

綜合資安外媒報導，ESET 的研究人員於 2021 年 10 月首次向聯想報告，有三個高風險漏洞影響統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI），即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被發現它們會影響聯想的各種設備，如聯想Flex、IdeaPads和Yoga等筆電， 這可轉化為數百萬用戶擁有易受攻擊的設備。

據了解，其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972）會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式，UEFI是嵌入在現代設備晶元中的技術，它將韌體連結到操作系統，研究人員表示，聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中，而未被正確停用，駭客可以利用這些有缺陷的驅動程式來禁用保護，包括UEFI安全啟動，BIOS控制寄存器和受保護範圍寄存器，這些都內置SPI中，旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說，攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ，在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式，藉以從遠端下載其他惡意程式。

第三個漏洞，CVE-2021-3970，是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的，可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說，通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式，可以從特權內核模式進程中利用此漏洞，此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取，這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高，可能需要在其他地方利用一個或多個關鍵的其他漏洞，而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後，這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊，聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成，也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露，它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露，攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖，從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊，而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法，受影響的 OAuth 應用程式清單如下：

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示，OAuth 的權杖並不是通過入侵GitHub或其系統獲得的，因為GitHub 並未以原始的可用格式存儲權杖。此外，GitHub 警告說，攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容，被盜的 OAuth 權杖可以存取這些內容，以獲取可用於轉向其他基礎設施的機密的數據。

Github指出，它在 4 月 12 日發現了攻擊活動的早期證據，當時它遇到了使用被入侵的 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取。

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示，它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外，Salesforce子公司 Heroku確認了存取權杖的撤銷，並稱在另行通知之前，他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

雖然攻擊者能夠從入侵的存儲庫中竊取數據，但 GitHub 認為沒有任何套件(packages)被修改，用戶帳戶數據或憑證未在事件中被存取，並重申 npm 使用與GitHub.com 完全獨立的基礎設施；GitHub 沒有受到這次攻擊的影響， GitHub 正在努力通知所有受影響的用戶和組織並表示，儘管調查仍在繼續，但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

有被入侵和騎劫風險的 ICS/SCADA 設備包括，施耐德電機（Schneider Electric）與歐姆龍（OMRON）的Sysmac NEX可程式化邏輯控制器，開放平台通信統一架構 (OPC UA) 伺服器，另外，駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說，APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告，詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具，公告稱一旦在營運技術(OT)網路中建立存取權限，這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構，使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備，對設備詳細資料進行網路偵查，將惡意配置/程式碼上傳到目標設備，備份或恢復設備內容，以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括：

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現，APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統，在OS核心執行惡意程式碼，這些機構表示，其目的是利用對 ICS 系統的存取權來提升特權，在網路內橫向移動，入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱，但工業網路安全公司 Dragos表示， 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織，根據Dragos的說法，PIPEDREAM具有五個模組，EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO，通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC，從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外，聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離，對所有遠端存取實施多因素身份驗證，並按時更改所有 ICS/SCADA 設備和系統的密碼，並建議組織制定網路事件回應計劃並定期實施，並維護已知良好的離線備份，以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

VMware已發布安全更新以修補其產品中的 8個漏洞，其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告，針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明，VMware表示由於所有環境都不同，對風險的容忍度不同，且有不同的安全控管和縱深防禦來降低風險，客戶須自行決定如何進行，但鑑於漏洞的嚴重性，我們強烈建議立即採取行動。

五個重大漏洞，兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954（CVSS 風險值達：9.8）- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956（CVSS 風險值達：9.8） – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958（CVSS 風險值達：9.1） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959（CVSS 風險值達：8.8） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960（CVSS 風險值達：7.8）- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞，以及

*CVE-2022-22961（CVSS 風險值達：5.3）- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶，獲得對目標系統主機名的存取權限，並遠端執行任意程式碼漏洞，從而實現完全接管，強烈建議立即採取行動，修補漏洞來消除潛在威脅。好消息的是，VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得，無法立即修補其設備的用戶，VMware也提供臨時變通解決方法。

但VMware重申，變通方法並不能消除漏洞，因此，強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。

美國網路安全及基礎設施安全局(CISA) 已於週四 (3月 31 日) 下令聯邦機構在4 月 21 日之前修補一個重大的 Sophos 防火牆漏洞和其他7個漏洞，所有這些漏洞都在持續遭駭客鎖定。正如Sophos 在三月下旬披露的那樣，編號CVE-2022-1040 的驗證繞過漏洞使攻擊者能夠通過用戶入口網站和Web管理介面，繞過身份驗證並能讓攻擊者遠端執行程式碼，此漏洞CVSS 3.1風險值達9.8，Sophos在更新改其安全公告時，稱發現部分位於南亞地區用戶遭駭客鎖定。

CISA 還命令聯邦機構修補趨勢科技的Apex Central 產品管理控制台中的一個高嚴重性任意檔案上傳漏洞CVE-2022-26871，CVSS風險值達8.6，該漏洞可在遠端執行程式碼執行攻擊中被濫用。週二( 3月29日)，趨勢科技表示，觀察到已有駭客在積極的嘗試開採漏洞。

據BleepingComputer報導，CISA 今天在其已知被開採漏洞( Known Exploited Vulnerabilities Catalog)清單中增加了六個漏洞，所有這些漏洞也在持續的遭駭客鎖定。根據 2021 年 11 月根據具有約束性作業指引(BOD 22-01)，聯邦民事行政部門機構 (FCEB)必須保護其系統免受這些安全漏洞的影響，CISA要求他們在 4 月 21 日之前修補好今天增加的漏洞。

CISA解釋說：“這些類型的漏洞是所有類型的惡意網路參與者的常見攻擊媒介，並對聯邦企業構成重大風險 。 ”雖然 BOD 22-01 指令僅適用於 FCEB 機構，但 CISA 還敦促私營和公共部門組織優先修補這些積極濫用的安全漏洞，以減少其網絡遭受持續網路攻擊的風險。在發布此綁定指令後，CISA 在其積極利用的漏洞列表中添加了數百個漏洞，要求美國聯邦機構盡快修補它們以防止安全漏洞。

自今年年初以來，網路安全機構還下令各機構修補積極利用的零日漏洞：

Google瀏覽器(CVE-2022-1096)

Mozilla 的 Firefox 網絡瀏覽器 (CVE-2022-26485)

Google Chrome (CVE-2022-0609) 和 Adob​​e Commerce/Magento 開源 (CVE-2022-24086)

iPhone、iPad 和 Mac  (CVE-2022-22620)

3月29日網路設備製造商合勤 (Zyxel )已針對影響其部分企業級防火牆和 VPN 產品的韌體重大漏洞釋出安全更新，該漏洞可能使攻擊者能夠控制設備。在某些防火牆版本的 CGI 程式中發現了一個由於缺乏適當的存取控制機制而導致繞過身份驗證的漏洞，合勤發布的安全公告中表示，該漏洞可能允許攻擊者繞過身份驗證並獲得對設備的管理存取權限。該漏洞的編號為CVE-2022-0342，美國國家標準與技術研究院 (NIST) 尚未對風險值提供評分，但合勤的評估給出了 9.8 分（滿分 10 分），CVE-2022-0342涉及 USG/ZyWALL、USG FLEX、ATP、VPN 和 NSG（星雲安全網關）系列的產品。

以下合勤產品受到影響——

USG/ZyWALL系列韌體版本 ZLD V4.20 到 ZLD V4.70（合勤已釋出更新版韌體ZLD V4.71）

USG FLEX 系列韌體版本 ZLD V4.50 至 ZLD V5.20（合勤已釋出更新版韌體ZLD V5.21）

ATP 系列韌體版本 ZLD V4.32 至 ZLD V5.20（合勤已釋出更新版韌體 ZLD V5.21）

VPN 系列韌體版本 ZLD V4.30 至 ZLD V5.20（合勤已釋出更新版韌體ZLD V5.21 ）

針對NSG系列，合勤目前釋出Hotfix，預計5月5日釋出標準修補程式V1.33 Patch 5

雖然沒有證據表明該漏洞已被廣泛利用，但合勤建議用戶應儘速更新韌體。

今年最火的NFT 遊戲Axie Infinity，今傳出被駭客入侵，駭客從Axie Infinity 目前使用的側鏈 Ronin Network竊取了近 6.2 億美元的以太坊和 USDC 貨幣，這是加密貨幣圈迄今為止最大的劫案事件之一。

根據Ronin Network 的說法，入侵是今天首次發現的，但攻擊可以追溯到 3 月 23 日，駭客於23 日破解了其中由 Axie Infinity 母公司 Sky Mavis控制的 4 個節點，跟 1 個由 Axie DAO 所控制的節點。據稱，母公司Sky Mavis 開發的 Ronin 鏈目前由 9 個驗證節點組成，要能驗證存款或取款，最少要獲得其中 5 個節點同意。

加密貨幣持有者通常並不只在一個區塊鏈生態系統中運作，因此開發人員建立了跨鏈橋(Cross-Chain Bridges)，讓用戶將加密貨幣從一條鏈發送到另一條鏈。在這種情況下，Ronin橋將 Axie Infinity 連接到其他區塊鏈，例如以太坊。

使用這座橋， 玩家可以將以太坊或 USDC 存入 Ronin，並用它來購買NFT或遊戲內貨幣，然後他們可以出售他們的遊戲內資產並提取資金。

根據Ronin 橋接上的交易明細紀錄，駭客盜取資金在六天前就完成，並將資金轉移到 FTX 與 Crypto.com ; Ronin則是在 3/29 合法用戶無法在跨鏈橋提取5,000 枚以太坊後才發現。

另外根據Bloomberg 報導，資產證券公司Securitize Inc說，這個事情居然六天都沒有人注意到，直到今天才被發現，光是這一事實就讓人驚覺，應該建立一些架構來監控非法轉移。Ronin 表示，它正在與執法部門和鑑識密碼學家合作，以確保所有資金都得到追回，目前用戶無法提取或存入資金，同時Ronin將驗證門檻從 5 個增加到 8 個，也暫停了的橋接機制。

過去其他加密貨幣劫案涉及的金額:

PolyNetwork  ——  6億美元

Cream Finance  –  1.3 億美元 （10 月）

Liquid ——9700 萬美元

EasyFi  ——  8100萬美元

bZx  –  5500 萬美元

Cream Finance  –  3700 萬美元 （2 月）

Vee Finance  ——  3500萬美元

Cream Finance  –  2900 萬美元 （8 月）

pNetwork  ——  1200萬美元

Rari Capital  ——  1100萬美元