News - 竣盟科技

美國聯邦機構：中國APT駭客利用常見漏洞，入侵電信公司，窺探網路流量，藉以竊取受害者數據

Posted on 2022 年 6 月 8 日2023 年 2 月 13 日 by blogadmin

美國國家安全局 (NSA)、網路安全暨基礎安全局 (CISA) 和聯邦調查局 (FBI)在周二(6/7)發布了聯合網路安全諮詢報告，警告說中國APT駭客如何通過利用眾所周知的漏洞來鎖定和入侵電信公司和網路服務提供商，受影響的網路範圍從小型企業的路由器到任何中型和大型企業的網路設備。一旦入侵，駭客會將這些設備用作他們自己的攻擊基礎設施的一部分，作為C2伺服器和proxy系統，使他們可以用來破壞更多的網路。

根據安全諮詢報告，自2020年以來，中國一直在利用特定技術和常見漏洞在網路攻擊活動中發揮其優勢。利用這些漏洞，他們可以建立廣泛的基礎設施網路，以針對目標的政府部門和私人機構。

一旦在電信組織或網路服務提供商獲得切入點後，中國APT駭客會先確認關鍵用戶和基礎設施，如對維護身份驗證，授權和會計安全性至關重要的系統，然後攻擊者再竊取憑證以存取底層 SQL 數據庫，並使用 SQL 命令從關鍵的遠端驗證撥入使用者服務 (RADIUS)伺服器轉儲用戶和管理員憑證。

聯邦機構進一步說，憑藉來自受感染的 RADIUS 伺服器和路由器配置的有效帳戶和憑證，攻擊者利用他們的存取權限和技術成功驗證和執行路由器命令，偷偷地將流量路由，捕獲和滲透到攻擊者控制的網路基礎設施。

以下常見漏洞 (CVEs)是美國聯邦機構表示，自 2020 年以來中國APT駭客最常利用的網路設備漏洞:

通過利用這些漏洞，中國APT駭客建立了廣泛的基礎設施網路，幫助他們進一步更廣泛的入侵政府部門和私人機構。

NSA、CISA 和 FBI 還敦促美國和盟國政府、關鍵基礎設施和私營行業組織應用一系列緩解措施，以幫助降低類似攻擊破壞其網路的風險。聯邦機構建議組織盡快應用安全修補，禁用不必要的端口和協議以縮小其攻擊面，並更換不再接收安全修補的報廢網路基礎設施。他們還建議對網路進行分段以阻止橫向移動，並在互聯網公開服務上啟用強大的日誌記錄以盡快檢測攻擊嘗試。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

印度廉航香料航空SpiceJet遭到勒索軟體攻擊，航班停飛，大批乘客滯留機場

Posted on 2022 年 5 月 27 日2023 年 2 月 13 日 by blogadmin

綜合外媒報導，印度香料航空（SpiceJet airline）稱其 IT 基礎設施於24日晚上面臨了企圖的勒索軟體攻擊(Attempted ransomware attack)，導致航班延誤，許多乘客滯留在機場。根據該航空公司於25日早上在Twitter的公告，表示某些香料航空系統在24日晚遭勒索軟體攻擊，影響並減慢了25日早上的航班起飛，但表示其 IT 團隊成功阻止了此次攻擊，因此現已恢復正常運行的狀態。

#ImportantUpdate: Certain SpiceJet systems faced an attempted ransomware attack last night that impacted and slowed down morning flight departures today. Our IT team has contained and rectified the situation and flights are operating normally now.
— SpiceJet (@flyspicejet) May 25, 2022

然而，直到當地時間中午過後仍起飛延誤和航班取消，使旅客抱怨連連，據報導，許多人在登機後被困在飛機上數小時，被告知由於系統問題，航班無法起飛，多個乘客在Twitter 和 Facebook 上抱怨，反映了持續存在的航班延誤，無法通過電話進行客戶服務，預訂系統仍然不可用等問題

乘客在Twitter上抱怨

香料航空於25日傍晚發布了更新，稱雖然他們的 IT 團隊在很大程度上控制和糾正了這種情況，但這對我們的航班產生了連鎖反應，導致延誤，並補充說一些飛往限制夜間運營的機場的航班已被取消，因此香料航空正在就此問題與專家和當局保持聯繫。

根據BleepingComputer報導，香料航空網站的主頁(homepage)雖然可運作，然而大多數底層系統和網頁都無法載入。根據公開數據，香料航空是印度第二大航空公司，運營著由 102 架飛機組成的機隊，服務60多個目的地，當地市場佔有率約15%，並擁有超過 14,000 名員工。因此影響其運營的勒索攻擊會影響大量的印度和國際乘客，而這些長時間的延誤會轉化為重大的經濟損失。

香料航空過去曾面臨過網路安全問題，據TechCrunch 報導，2020 年 2 月，一名美國安全研究員暴力破解了香料航空系統，並獲得了一個未加密的數據庫備份檔案，該檔案包含超過 120 萬乘客的個資。據報導，研究人員向印度電腦緊急應變小組(Computer Emergency Response Team India , CERT-In) 通報，CERT-In確認了安全漏洞並將警報發布給香料航空，然而該航空公司拒絕證實 CERT-In 的調查結果。

航空公司經常成為駭客的熱門目標，在最近的一次攻擊中，發現一個伊朗國家級APT駭客組織濫用 Slack的 API，在一家亞洲航空公司的系統中部署後門，竊取航空公司數據。另外，勒索軟體LockBit2.0也曾在2021年8月攻擊了泰國的曼谷航空，導致乘客的個人識別資訊(PII)遭外洩， 200多GB的數據被公開。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

國際刑警組織(Interpol)警告說，軍用的網路武器將在暗網上出現!

Posted on 2022 年 5 月 25 日2023 年 2 月 13 日 by blogadmin

Key Points:

*國際刑警組織秘書長Jurgen Stock表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，並估計這一進程難以逆轉。

*長期以來，網路戰爭一直是全球各國政府關注的話題，但在俄羅斯與烏克蘭的戰爭中，它又得到了新的聚焦。

*根據世界經濟論壇的《全球網路安全展望》報告，2021年全球網路攻擊的數量增加了一倍以上。

在科技持續發展、戰略不斷變化的時代，網路世界越來越重要，網路已經成為現代戰爭的新武器。最近在俄羅斯和烏克蘭之間持續的衝突中，由國家級駭客和非國家級駭客開發的惡意軟體對全球關鍵基礎設施和組織構成嚴重風險。週一（5月23日）國際刑警組織秘書長Jurgen Stock在瑞士Davos舉行的世界經濟論壇上表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，他解釋說，這已經成為現實世界中的一大主要問題——戰場上使用的武器逐漸落入有組織的犯罪集團手中，同樣地，數位武器也不例外，也許當前由軍方開發並使用，但明天將會被惡意駭客所利用。

Stock指出在俄羅斯入侵烏克蘭後的最初幾個月裡，資安公司觀察到針對烏克蘭政府實體和組織的多次襲擊。與俄羅斯有關的APT駭客組織使用資料破壞軟體wipers摧毀目標系統。本月初，歐盟譴責俄羅斯於 2 月 24 日對由衛星通訊業者 Viasat 運營的烏克蘭KA-SAT衛星網路發起網路攻擊，企圖癱瘓烏克蘭國內的通訊，以利俄羅斯軍隊的攻擊，這次攻擊導致烏克蘭的通訊中斷，還影響了幾個歐盟成員國。由於這次襲擊的溢出效應，德國的5800台Enercon風力渦輪機無法存取。SentinelLabs的安全研究人員調查了這次攻擊，發現了一個以前未被發現的破壞性刪除程式，被跟蹤為AcidRain，移除了KA-SAT數據機及路由器中的所有資料，造成KA-SAT衛星網路服務失效。

Stock呼籲商界領袖加強與政府及執法部門的合作，以防止國家級惡意軟體在暗網上擴散，確保更行之有效地監管網路犯罪。

他表示，“一方面，我們需要把握當前態勢；而另一方面，我們需要私營機構數據的支持。我們需要企業的網路入侵報告。沒有這些報告，我們將無法看到威脅形勢。”然而Stock說，目前大量的網路攻擊未被上報。

根據世界經濟論壇全球網路安全展望報告(World Economic Forum’s Global Cybersecurity Outlook report)，2021年全球網路攻擊數量增加了一倍以上。報告稱，勒索軟體仍是當下最流行的攻擊類型，各受訪組織每年平均被攻擊270次。

參與討論的企業高管和政府官員表示，網路安全事件正在令關鍵的能源基礎設施和供應鏈面臨風險。工控系統（ICS）安全公司Dragos聯合創始人兼CEO Robert Lee也敦促企業關注現實世界威脅的場景，比如2015年由俄羅斯APT駭客組織Sandworm對烏克蘭電網攻擊，今年4月烏克蘭已經成功抵擋住俄駭客企圖破壞電網的攻擊等，而非一味假設風險場景。

Lee總結道，我們的問題用不著Next gen AI、區塊鍊或者其他技術來解決。我們的問題在於，很多已經投資並開發完成的成果仍未得到實際的應用。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

AvosLocker勒索軟體的變種濫用驅動程式檔案以禁用防毒軟體，藉以掃描Log4j漏洞

Posted on 2022 年 5 月 4 日2022 年 5 月 4 日 by blogadmin

資安研究人員披露了 AvosLocker勒索軟體的一種新變種，該變種通過利用未修補的安全漏洞log4shell，在破壞目標網路後禁用防毒軟體以逃避檢測， TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說，我們從美國觀察到的一種AvosLocker新變種的第一個樣本，該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案， AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞，以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織，於 2021年7月首次被發現，與針對美國關鍵基礎設施（包括金融服務和政府設施）的一系列攻擊有關，如果受害目標實體拒絕支付贖金，AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告，AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣，在2021 年 7 月 1 日至 2022 年 2 月 28 日期間，食品和飲料行業是受災最嚴重的行業，其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本，其中包含一個 shellcode，能夠連接回C2伺服器以執行任意命令，這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式，後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本，用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 )，以及一個名為 PDQ 的大規模部署工具，用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能，允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復，此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外，AvosLocker還使用了aswArPot.sys，一個合法的 Avast 反 rootkit 驅動程式，來阻止與不同安全解決方案相關的進程，其舊版本中存在漏洞，捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示，已與微軟密切合作，在 Windows 操作系統（10 和 11）中發布了一個組塊，無法將舊版本的 Avast 驅動程式加載到memory中，因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

中國APT駭客組織Naikon透過新的間諜攻擊，重新浮出水面

Posted on 2022 年 5 月 3 日2023 年 2 月 13 日 by blogadmin

資安研究員發現，在最近幾週，名為Naikon的中國APT駭客組織又重新露面，並發起了新的網路釣魚攻擊，再次針對東南亞國家，旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva，至少自 2005 年以來，該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中，觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案，這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月，Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關，研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同，利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈，Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標，旨在啟動和執行一個載入型的 Shellcode Loader。

據了解，Viper是一種開源的滲透測試工具並可從GitHub下載，是一款由中國人開發的工具，大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面，讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具一樣，Viper允許輕鬆生成有效負載，例如 Meterpreter、ReverseShell 和其他自定義的信標。據說， Viper具有 80 多個模組，使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中，通過觀察 Naikon的駭客武器庫，可以得出結論，該組織傾向於進行長期的情報和間諜活動，是典型旨在對外國政府和官員進行攻擊的組織，同時，Naikon為了避免檢測並最大化結果，隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示，鑑於Naikon早期的攻擊的歷史，這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256 05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256 8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256 ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256 eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

群暉Synology就多個產品中存在重大的Netatalk漏洞發出警告

Posted on 2022 年 4 月 29 日2023 年 2 月 13 日 by blogadmin

Synology群暉科技針對影響其產品中的重大的Netatalk漏洞發布了公告，目前已針對 DSM 7.1 發布了更新，升級至7.1-42661-1 可修補漏洞，但並非在所有設備上提供自動更新，Synology NAS 用戶可以手動將其操作系統升級到最新版本，Synology其他版本仍受到影響。如果您正在使用 AFP服務，請立即關閉(Disable)它。根據 bleepingComputer報導，Synology警告用戶，其部分網路附加存儲 (NAS) 設備的操作系統中存在重大的Netatalk 漏洞，面臨被駭客鎖定開採的風險。Synology 目前使用舊版本的 Netatalk 來運行 Apple網路協議，結果發現了一些嚴重的漏洞，威聯通Qnap也曾對這些漏洞發出警告，漏洞能讓攻擊者可以遠端獲取敏感數據並執行遠端任意程式碼，漏洞存在於 Synology 的 DiskStation Manager 操作系統、VS 韌體2.3 和 Synology Router Manager 1.2 的不同版本中。

Netatalk 是一種Apple Filing Protocol的開源軟體，它允許運行 *NIX/*BSD 的系統充當 macOS 用戶端的 AppleShare 檔案伺服器。Netatalk 開發團隊解決了3.1.1 版本中的安全漏洞，該版本於 3 月 22 日發布。Synology 目前正在努力更新，在易受攻擊的 NAS 系統上實施此修補，目前SM 7.1 的 7.1-42661-1 版本已修補漏洞，該公司表示，目前其他版本的修補仍在進行中。

Netatalk 漏洞

本週早些時候，另一家台灣 NAS 設備製造商 QNAP 敦促其客戶禁用其 NAS 設備的 AFP服務協議，直到它修補了關鍵的 Netatalk 安全漏洞。

威聯通表示，Netatalk 漏洞影響多個 QTS 和 QuTS hero 操作系統版本以及公司的雲端優化 NAS 操作系統 QuTScloud。

與 Synology 一樣，QNAP 已經為其中一個受影響的操作系統版本發布了修補，並且已經為運行 QTS 4.5.4.2012 build 20220419 及更高版本的設備提供了修補復程式，鑑於漏洞的嚴重性，呼籲用戶密切關注更新及版的本修補。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Stormous勒索軟體組織聲稱入侵了可口可樂，竊取了161 GB 的數據，可口可樂表示已展開調查

Posted on 2022 年 4 月 27 日2023 年 2 月 13 日 by blogadmin

Stormous在暗網上正以約 64,000 美元的價格出售這批數據，據稱包含財務數據、管理檔、電子郵件和密碼的文檔、用戶和支付資料等及壓縮檔，共13個檔。

4月26日Stormous勒索軟體組織在其Telegram頻道上，宣布入侵了跨國飲料公司可口可樂，並從一些可口可樂的伺服器中竊取了 161GB的數據。

在這之前，Stormous於4月20日在Telegram發起了一項線上投票活動，要其 Telegram頻道的追隨者投票決定誰應該成為他們下一個攻擊的受害者，並承諾攻擊將包括DDoS、數據入侵、外洩露軟體源始碼和客戶端數據，可口可樂以 72% 的選票贏得了該項活動，最終成為攻擊的對象。

Stormous是一個相對較新的勒索軟體組織的名字，於今年第一季度初出現，但目前沒有跡象顯示在受害者網路植入加密資料的檔案，在 Stormous宣布從 Epic Games 竊取約200 GB 數據後，開始獲得了關注。雖然Stormous並未表示將可口可樂對作為支持烏克蘭的報復，但在俄羅斯入侵烏克蘭後不久，Stormous迅速追隨勒索軟體Conti腳步，並宣布支持俄羅斯。可口可樂此前暫停了在俄羅斯的業務，並承諾捐款約150億美元，以援助和支持紅十字會和烏克蘭的救援工作。

可口可樂公司尚未證實他們的數據被盜，但目前正在與執法部門合作，正在調查這起事件。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

REvil勒索軟體又捲土重來!印度關鍵基礎設施-國營石油公司Oil India遭駭，被勒索7500萬美元贖金

Posted on 2022 年 4 月 22 日2023 年 2 月 13 日 by blogadmin

資安研究人員發現操作REvil的駭客重啟其伺服器、揭秘網站Happy Blog也重新在暗網上洩露數據

REvil有時被稱為 Sodinokibi，在2021年發動了一些引人注目的勒索軟體攻擊，包括對Acer、Kaseya、JBS Food、和廣達電腦等的駭客攻擊，然後在年底因多國執法機構合作剿滅而消聲匿跡。據 BleepingComputer 報導， TOR 網路中的 REvil 伺服器現在正在重定向到一個新網站，該網站目前有 26個頁面，其中已上傳了REvil成功入侵的數據，其中大部分來自REvil舊的攻擊，只有最後兩名受害者與新的操作有關，其中一個是印度石油公司Oil India，另一個則是Visotec Group，該公司尚未被公開披露任何數據，其網站仍在運行。除了舊的Happy Blog重定向到新的網站外，研究人員的另一個觀察結果是，REvil 的舊 TOR 支付網域也重定向到新的網站。

Oil India 的官網上跑馬燈字幕顯示公司因不可避免的狀況，其E-Portal系統不能使用

被列為遭到REvil最新攻擊的公司印度石油公司，該公司在上週4 月 12 日披露，遭遇駭客攻擊，在被加密的電腦上發現來自駭客的勒索信，被196 個比特幣，約7500萬美元的贖金，印度石油的官網上有跑馬燈字幕顯示公司因不可避免的狀況，其E-Portal至今仍不能使用，作為預防措施，該公司伺服器、網路等相關服務均受到影響，同時禁用受影響的系統。Twitter上多名資安研究人員對印度石油有限公司的勒索軟體攻擊歸因於 REvil。

After successfully locking Oil India, the #ransomware group trying to impersonate REvil (or maybe REvil ?!) added a new victim to their blog:Visotec Group.

I'll be calling them useransom.187201 until an "official" name is given to them.@ValeryMarchive @SOSIntel @ransomwaremap pic.twitter.com/6HMvQ8522j
— Soufiane Tahiri (@S0ufi4n3) April 20, 2022

The URL for REvil's old leak site now redirects to a new one, which lists both old and seemingly new victims. And they're recruiting. h/t @pancak3lullz @S0ufi4n3 1/2 pic.twitter.com/cLB513qDwY
— Brett Callow (@BrettCallow) April 20, 2022

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

聯想Lenovo設備的韌體曝3項UEFI漏洞，可影響至少 100 款機型，多達數百萬台筆電

Posted on 2022 年 4 月 20 日2023 年 2 月 13 日 by blogadmin

綜合資安外媒報導，ESET 的研究人員於 2021 年 10 月首次向聯想報告，有三個高風險漏洞影響統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI），即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被發現它們會影響聯想的各種設備，如聯想Flex、IdeaPads和Yoga等筆電，這可轉化為數百萬用戶擁有易受攻擊的設備。

#ESETresearch discovered three high-impact UEFI vulnerabilities affecting Lenovo consumer laptops. Their exploitation would allow attackers to deploy and successfully execute UEFI malware, such as LoJax or ESPecter, on the affected devices. @smolar_m https://t.co/bRfFgZvfO7 1/7
— ESET research (@ESETresearch) April 19, 2022

據了解，其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972）會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式，UEFI是嵌入在現代設備晶元中的技術，它將韌體連結到操作系統，研究人員表示，聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中，而未被正確停用，駭客可以利用這些有缺陷的驅動程式來禁用保護，包括UEFI安全啟動，BIOS控制寄存器和受保護範圍寄存器，這些都內置SPI中，旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說，攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ，在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式，藉以從遠端下載其他惡意程式。

第三個漏洞，CVE-2021-3970，是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的，可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說，通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式，可以從特權內核模式進程中利用此漏洞，此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取，這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高，可能需要在其他地方利用一個或多個關鍵的其他漏洞，而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後，這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊，聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成，也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Github: 駭客使用被盜的OAuth 用戶權杖入侵了NPM 等數十個組織

Posted on 2022 年 4 月 19 日2023 年 2 月 13 日 by blogadmin

OAuth Access Tokens — Photo Credit: The Hacker News

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露，它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露，攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖，從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊，而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法，受影響的 OAuth 應用程式清單如下：

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板 – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示，OAuth 的權杖並不是通過入侵GitHub或其系統獲得的，因為GitHub 並未以原始的可用格式存儲權杖。此外，GitHub 警告說，攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容，被盜的 OAuth 權杖可以存取這些內容，以獲取可用於轉向其他基礎設施的機密的數據。

Github指出，它在 4 月 12 日發現了攻擊活動的早期證據，當時它遇到了使用被入侵的 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取。

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示，它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外，Salesforce子公司 Heroku確認了存取權杖的撤銷，並稱在另行通知之前，他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

GitHub has uncovered evidence that an attacker abused stolen OAuth user tokens issued to two third-party OAuth integrators, Heroku and Travis-CI. Read more about the impact to GitHub, npm, and our users. https://t.co/eB7IJfJfh1
— GitHub Security (@GitHubSecurity) April 15, 2022

雖然攻擊者能夠從入侵的存儲庫中竊取數據，但 GitHub 認為沒有任何套件(packages)被修改，用戶帳戶數據或憑證未在事件中被存取，並重申 npm 使用與GitHub.com 完全獨立的基礎設施；GitHub 沒有受到這次攻擊的影響， GitHub 正在努力通知所有受影響的用戶和組織並表示，儘管調查仍在繼續，但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”