綜合資安外媒報導，ESET 的研究人員於 2021 年 10 月首次向聯想報告，有三個高風險漏洞影響統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI），即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被發現它們會影響聯想的各種設備，如聯想Flex、IdeaPads和Yoga等筆電， 這可轉化為數百萬用戶擁有易受攻擊的設備。

#ESETresearch discovered three high-impact UEFI vulnerabilities affecting Lenovo consumer laptops. Their exploitation would allow attackers to deploy and successfully execute UEFI malware, such as LoJax or ESPecter, on the affected devices. @smolar_m https://t.co/bRfFgZvfO7 1/7

— ESET research (@ESETresearch) April 19, 2022

據了解，其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972）會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式，UEFI是嵌入在現代設備晶元中的技術，它將韌體連結到操作系統，研究人員表示，聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中，而未被正確停用，駭客可以利用這些有缺陷的驅動程式來禁用保護，包括UEFI安全啟動，BIOS控制寄存器和受保護範圍寄存器，這些都內置SPI中，旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說，攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ，在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式，藉以從遠端下載其他惡意程式。

第三個漏洞，CVE-2021-3970，是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的，可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說，通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式，可以從特權內核模式進程中利用此漏洞，此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取，這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高，可能需要在其他地方利用一個或多個關鍵的其他漏洞，而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後，這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊，聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成，也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露，它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露，攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖，從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊，而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法，受影響的 OAuth 應用程式清單如下：

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示，OAuth 的權杖並不是通過入侵GitHub或其系統獲得的，因為GitHub 並未以原始的可用格式存儲權杖。此外，GitHub 警告說，攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容，被盜的 OAuth 權杖可以存取這些內容，以獲取可用於轉向其他基礎設施的機密的數據。

Github指出，它在 4 月 12 日發現了攻擊活動的早期證據，當時它遇到了使用被入侵的 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取。

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示，它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外，Salesforce子公司 Heroku確認了存取權杖的撤銷，並稱在另行通知之前，他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

GitHub has uncovered evidence that an attacker abused stolen OAuth user tokens issued to two third-party OAuth integrators, Heroku and Travis-CI. Read more about the impact to GitHub, npm, and our users. https://t.co/eB7IJfJfh1

— GitHub Security (@GitHubSecurity) April 15, 2022

雖然攻擊者能夠從入侵的存儲庫中竊取數據，但 GitHub 認為沒有任何套件(packages)被修改，用戶帳戶數據或憑證未在事件中被存取，並重申 npm 使用與GitHub.com 完全獨立的基礎設施；GitHub 沒有受到這次攻擊的影響， GitHub 正在努力通知所有受影響的用戶和組織並表示，儘管調查仍在繼續，但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

有被入侵和騎劫風險的 ICS/SCADA 設備包括，施耐德電機（Schneider Electric）與歐姆龍（OMRON）的Sysmac NEX可程式化邏輯控制器，開放平台通信統一架構 (OPC UA) 伺服器，另外，駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說，APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告，詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具，公告稱一旦在營運技術(OT)網路中建立存取權限，這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構，使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備，對設備詳細資料進行網路偵查，將惡意配置/程式碼上傳到目標設備，備份或恢復設備內容，以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括：

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現，APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統，在OS核心執行惡意程式碼，這些機構表示，其目的是利用對 ICS 系統的存取權來提升特權，在網路內橫向移動，入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱，但工業網路安全公司 Dragos表示， 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織，根據Dragos的說法，PIPEDREAM具有五個模組，EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO，通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC，從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外，聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離，對所有遠端存取實施多因素身份驗證，並按時更改所有 ICS/SCADA 設備和系統的密碼，並建議組織制定網路事件回應計劃並定期實施，並維護已知良好的離線備份，以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

VMware已發布安全更新以修補其產品中的 8個漏洞，其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告，針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明，VMware表示由於所有環境都不同，對風險的容忍度不同，且有不同的安全控管和縱深防禦來降低風險，客戶須自行決定如何進行，但鑑於漏洞的嚴重性，我們強烈建議立即採取行動。

五個重大漏洞，兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954（CVSS 風險值達：9.8）- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956（CVSS 風險值達：9.8） – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958（CVSS 風險值達：9.1） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959（CVSS 風險值達：8.8） – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960（CVSS 風險值達：7.8）- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞，以及

*CVE-2022-22961（CVSS 風險值達：5.3）- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶，獲得對目標系統主機名的存取權限，並遠端執行任意程式碼漏洞，從而實現完全接管，強烈建議立即採取行動，修補漏洞來消除潛在威脅。好消息的是，VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得，無法立即修補其設備的用戶，VMware也提供臨時變通解決方法。

但VMware重申，變通方法並不能消除漏洞，因此，強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。