標籤: News

Key Points:

*香奈兒韓國分公司發生了資料庫不法存取事件，造成客戶個資外洩。

*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。

*受香奈兒事件影響的潛在受害者數量未被公開，韓國香奈兒未提供任何身份盜用保護服務

據外媒Korea Times的報導，國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩，由於銷售的是昂貴奢侈品，高端客戶和貴婦們對其個資看待尤其嚴謹，因此，此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。

香奈兒通知其客戶稱，駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心，由於這是存儲客戶資料的地方，因此造成敏感資料被存取甚至複製。

據了解已洩露的個資包括：姓名、生日、電話號碼和產品購買清單，同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了，但這家法國奢侈品牌補充說，被盜數據不包括註冊會員的用戶名和密碼。

韓國香奈兒在6日發現事件後，立即封鎖了IP和非法存取路徑，修補了用於破壞網路的漏洞，目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局（Korea Internet & Security Agency，KISA） 和個人信息保護委員會 (PIPC) 進行調查，韓國香奈兒也稱，這次駭客入侵攻擊沒有對其他系統造成損害。

目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭，台灣、南韓客戶及員工個資被竊。

美國國家安全局 (NSA) 和網路安全與基礎設施安全局 (CISA)發布了一份 59 頁有關強化 Kubernetes 集群的安全技術指南，以加強組織的 Kubernetes 系統的安全性。

Kubernetes最初由 Google 工程師開發，後來在 Cloud Native Computing Foundation 下開源， 是一種流行的開源解決方案。Kubernetes 主要用於基於雲的基礎架構，允許系統管理員使用軟體容器輕鬆部署新的 IT 資源。它提供了更大的靈活性，但也經常成為攻擊者的目標，該報告建議對Kubernetes系統進行加固。

由於 Kubernetes與傳統的單體式軟體平台不同，因此許多系統管理員常遇到了安全性錯誤配置的問題。在過去幾年中，發現一些加密貨幣採礦殭屍網路營運組織針對這些錯誤配置，威脅參與者掃描互聯網上的 Kubernetes Management feature，這些功能在沒有身份驗證的情況下暴露在網上，或在大型 Kubernetes 集群上運行的應用程式(如 Argo Workflow或 Kubeflow)，獲得對 Kubernetes 後端的存取權限，然後使用此存取權限在受害者的雲端基礎設施內部部署加密挖礦程式。這些攻擊在 2017 年初開始發生，但現在已到達多個威脅參與組織爭相在攻擊同一錯誤配置。

CISA 和 NSA 的聯合報告還詳細介紹了公司和政府機構可以實施的基本緩解措施，以防止或限制 Kubernetes 被入侵的嚴重程度。這些包括：

*掃描容器和 Pod 是否存在漏洞或錯誤配置。

*以盡可能最少的權限運行容器和 Pod。 

*使用網路分離來控制入侵可能造成的損害程度。

*使用防火牆限制不需要的網路連接和加密以保護機密性。

*使用強式身份驗證和授權來限制用戶和管理員存取以及限制攻擊面。

*使用日誌審核，以便管理員可以監控活動並就潛在的惡意活動收到警報。

*定期檢查所有 Kubernetes 設置並使用弱點掃描來幫助確保適當考慮風險並應用安全修補程式。

Source:

https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中，前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助，並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures，CVE) 數據，分析了大約 32,500個 CVEs特性與CVSS（常見漏洞評分系統）分數後，公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入（Out-of-bounds Write）缺陷。

2021年列出的前三名最危險漏洞類別中，第1名是CWE-787的越界寫入（Out-of-bounds Write）缺陷，這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據，這會導致數據損壞、當掉或允許程式執行，使軟體可修改index或執行指標運算（Pointer arithmetic）來引用緩衝區邊界之外的存儲位置，令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79，是在網頁生成的過程中，出現不當的中和輸入（Improper Neutralization of Input During Web Page Generation）而可能衍生出各種跨站程式攻擊（Cross-site scripting，XSS），CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取（Out-of-bounds Read）指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據，可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言，前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞，攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等，企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

美國國務院（Department of State）今天宣布Rewards for Justice(正義獎勵) 計畫，為遏止重大基礎設施遭網攻和勒索軟體事件的激增，將懸賞最高1000萬美元(約新台幣2.79億元)給可以提供識別駭客身份、位置的資訊或線索的相關人士。

最近兩個月，美國最大肉類加工巨頭JBS Foods 和美運油公司Colonial Pipeline 遭駭攻，影響了美國的食品和燃料供應數天，甚至在某些地區引起美國民眾恐慌。許多資安公司和行業專家指責俄羅斯，指責克里姆林宮容忍並允許這些駭客在不攻擊俄羅斯組織的情況下從其他國家開展攻擊活動。

通過今天公告，可見國務院正在尋找證據，以證明這些駭客是在當地政權的某種幫助或指導下運作的。

懸賞的1000萬美元是通過國務院的正義獎勵 (Rewards for Justice) 計劃提供的，該計劃曾懸賞500萬美元以獲取有關北韓駭客及其正在進行的駭客活動的情報，並對有關任何國家資助的駭客干預美國大選提供資訊者予以最高1000 萬美元的獎勵。

為了保護潛在消息來源的安全，國務院表示願意以加密貨幣支付獎勵金，甚至建立了一個專門的暗網入口網站來接收匿名提示。

Microsoft 敦促客戶立即安裝這些例外的安全更新以解決 PrintNightmare 漏洞，但有研究人員指出這次修補只補好RCE漏洞，本地權限升級(LPE)漏洞仍未修補好。

今天微軟發布了緊急的例外(Out-of-band)安全更新，以修補以一個關鍵的零日漏洞（稱為“PrintNightmare”）， 該漏洞影響Windows Print Spooler 服務，可讓攻擊者執行任意程式碼並接管易受攻擊的系統。

在上周微軟警告稱已檢測到攻擊者針對編號為CVE-2021-34527（CVSS 8.8）的開採，且該遠端程式碼執行缺陷影響所有市場上的Windows版本。

根據美國CERT協調中心(CERT Coordination Center)，Windows Print Spooler 服務未能限制對允許用戶添加印表機和相關驅動程式功能的存取，這可允許遠端身份驗證的攻擊者以系統權限在易受攻擊的系統上執行遠端程式碼。

值得注意的是，PrintNightmare漏洞包括遠端程式碼執行(RCE)和本地特權升級(LPE) 向量，可在攻擊中被濫用以在目標 Windows 機器上運行具有系統權限的命令。

CERT/CC 漏洞分析師 Will Dormann說: 微軟針對 CVE-2021-34527 的更新似乎只解決​​了 PrintNightmare 的遠端程式執行(RCE)，而不是本地特權升級（LPE）。這實際上意味著修補不全，攻擊者仍可以在本地利用該漏洞獲得系統(SYSTEM)權限。在微軟發布例外更新後，安全研究員 Matthew Hickey也證實該修補僅修復了 RCE 而不是 LPE 組件。

另外另一個變通方法，Microsoft 建議停止和關閉Print Spooler 列印緩衝處理服務或通過群組政策(Group Policy Object)關閉接收遠端列印以阻止遠端攻擊。CISA 上週也發布了關於 PrintNightmare 零日漏洞的通知，鼓勵管理員在不用於打印的服務器上關閉 Windows Print Spooler 服務。

Windows針對以下版本已發布了修補：

Windows Server 2019

Windows Server 2012 R2

Windows Server 2008

Windows 8.1

Windows RT 8.1, and

Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, and 1507)

微軟甚至採取了不常見的做法，為去年正式停止支援的Windows 7 發布修補。Windows 10 版本 1607、Windows Server 2016 或 Windows Server 2012 的安全更新尚未發布，但據微軟稱，它們也將很快發布。

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已發布關於關鍵 PrintNightmare 零日漏洞的說明，並建議資安人員在不用於列印的伺服器上停用(Disable) Windows Print Spooler 列印緩衝處理服務。

CISA表示，CERT 協調中心已針對 Windows Print spooler 服務中的一個關鍵遠端程式碼執行漏洞發布了VulNote，並指出：“雖然 Microsoft 已發布針對 CVE-2021-1675的更新，但更新並未解決CVE-2021-1675 的公共漏洞利用。” 攻擊者可以利用此漏洞（稱 PrintNightmare）來控制受影響的系統。

CISA 鼓勵資安人員應採用 Microsoft 在2021 年 1 月 11 日發布的操作指南作最佳實踐：“由於存在暴露的可能性，網域控制器和AD管理系統需要停用列印後台處理程式服務，推薦的方法是使用群組原則(Group policy object)。

根據 Microsoft 的建議，應通過群組原則在所有網域控制器和 AD管理系統上停用Print Spooler 服務，因為它會增加遭受攻擊的風險，微軟補充說，由於大多數 Windows 客戶端和伺服器平台上預設啟用這服務，建議在所有不需要的伺服器上停用它，以減輕未來受攻擊的風險。

目前，在Microsoft完全解決PrintNightmare零日漏洞之前，停用Print Spooler 服務是確保駭客，尤其是勒索軟體組織不會趁機攻擊企業網路的最簡單方法。