雲達修補伺服器BMC元件漏洞、Zyxel修補防火牆與網路設備漏洞

今天我們想要特別提出的資安新聞，是與臺廠設備的漏洞修補有關的消息。首先，是有關伺服器的基板管理控制器（BMC）元件漏洞。最近幾年，有研究人員揭露Supermicro伺服器BMC元件漏洞。而在本週，有另一家臺灣雲達（QCT）的伺服器BMC模組，也被發現有重大漏洞。

第二個是網路設備廠商兆勤科技，他們公布多項產品線的修補消息。以CVSS風險評分來看，這些漏洞的危險程度多半為中等。

【攻擊與威脅】

隨著烏克蘭戰爭的進行，有中國駭客暗中向俄羅斯政府發動攻擊，散布惡意軟體。資安業者Malwarebytes指出，他們從2022年2月至4月，發現疑似中國駭客發動了至少4次的網路釣魚攻擊，目的是向對方散布RAT木馬程式。

第一起攻擊行動出現在俄羅斯入侵烏克蘭數日後，駭客以提供互動式的烏克蘭地圖為誘餌，想要引誘收信人上當；第二波攻擊行動中，駭客針對俄羅斯聯邦數位發展局、電信業者、聯邦大眾通訊部，宣稱提供Log4Shell漏洞修補程式，其中大部分釣魚郵件寄到了當地國有電視臺RT。

而在第三起攻擊行動裡，這些駭客針對該國國防企業Rostec出手，並設置Rostec.digital網站、Instagram與臉書帳號，想要讓開啟信件的人認為真有這家公司；最後一起則是假冒沙烏地阿拉伯國家石油公司（Saudi Aramco）發出徵才訊息，並引誘收信人打開Word附件檔案後啟用巨集。

研究人員指出，駭客透過控制流程扁平化（Control Flow Flattening）的手法，來混淆木馬程式的惡意內容，而使得這些駭客的意圖不易被察覺。

微軟自去年底推出Windows 11後，有攻擊者以免費提供相關的安裝工具來發動攻擊。例如，資安業者Zscaler最近發現，有人架設假的Windows 11網站，來散布名為Vidar的竊密軟體，駭客使用了與此作業系統名稱相關的網域（如：ms-win11[.]com）讓受害者難以察覺有異。

這些網站提供ISO映像檔下載，且檔案相當大，超過300 MB，研究人員指出駭客這麼做的目的，是為了規避防毒軟體偵測，而該映像檔內容含有EXE可執行檔，並冒用防毒業者Avast的過期簽章，來源疑似是2019年系統清理軟體CCleaner遭駭所洩露的簽章。研究人員分析後發現，實際的檔案大小只有3.3 MB，其餘為駭客填充的內容。

一旦受害者執行該EXE檔案，電腦就會被植入Vidar，該竊密程式會從建置於加密即時通訊軟體Telegram、社群網站Mastodon伺服器的C2中繼站下載程式庫，進而竊取上網應用程式與網頁瀏覽器的資料。研究人員發現，這些駭客也以免費提供Adobe Photoshop的名義散布Vidar，他們呼籲使用者要從開發者的網站下載軟體。

勒索軟體攻擊航空業者的事故，有可能導致航班受到波及。印度廉價航空業者SpiceJet於5月25日上午，證實前一天晚間部分系統遭到勒索軟體攻擊，而使得當天航班起降受到延遲，但表示IT團隊成功阻止攻擊行動，該公司運作將恢復正常。但在此同時，有許多該公司的客戶在推特、臉書上指出，他們不只遇到誤點，打電話給客服也不通，網路訂票系統亦無法使用。

根據資安新聞網站Bleeping Computer進一步了解，只有SpiceJet的首頁、航班狀態頁面正常運作，該公司發言人表示，25日出現的航班誤點，是前一天的事故產生的連鎖效應，部分航班也被取消。

 

【漏洞與修補】

伺服器的基板管理控制器（BMC）元件，可供管理者進行遠端管理，一旦出現漏洞，很有可能被攻擊者用於掌控主機，但最近有研究人員發現，先前揭露的漏洞，影響的範圍可能還會更廣泛。資安業者Eclypsium指出，他們在2021年10月向雲達（QCT）通報，該廠牌有多款伺服器型號，受到BMC重大漏洞Pantsdown（CVE-2019-6260）影響，CVSS風險層級達9.8分。

這項漏洞最早在2019年1月揭露，與臺廠信驊科技（Aspeed）生產特定版本的BMC元件有關，當時揭露的研究人員指出，該BMC的SoC硬體功能存在共用組態的情況，導致攻擊者可在未經授權就能執行惡意程式，並在BMC實體位址空間讀寫，而有可能藉接管伺服器，植入勒索軟體、竊密，或是關閉BMC，甚至有機會攻擊其他伺服器。雲達獲報後已著手修補，但表示這些新版韌體將私下提供客戶，不會公開發布。

臺廠兆勤科技於5月24日，發布資安通告，修補旗下防火牆、無線基地臺、AP控制器等多項產品的漏洞，這些漏洞包含了CVE-2022-0734、CVE-2022-26531、CVE-2022-26532、CVE-2022-0910。其中最嚴重的是CVE-2022-26532，這是追蹤流量封包的CLI命令漏洞，波及該廠牌的防火牆、無線基地臺、AP控制器等設備，攻擊者可在取得本機權限的情況下，利用此漏洞於CLI命令注入惡意參數，進而執行作業系統的命令，CVSS風險評分為7.8分。

另一個需要注意的部分，有些漏洞只影響特定類型的產品。CVE-2022-0734、CVE-2022-0910會影響防火牆產品，前者為跨網站指令碼（XSS）漏洞，後者為CGI程式存取權限控制不當漏洞，恐讓雙因素驗證降級，使得攻擊者可繞過第2層驗證。

 

想知道最厲害的網頁設計公司嚨底家!

RWD（響應式網頁設計）是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗，所以不用擔心有手機版網站兩個後台的問題，而視覺效果也是透過我們前端設計師優秀的空間比例設計，不會因為畫面變大變小而影響到整體視覺的美感。

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站，提高曝光率!

以設計的實用美學觀點，規劃出舒適、美觀的視覺畫面，有效提昇使用者的心理期待，營造出輕鬆、愉悅的網站瀏覽體驗。

來源鏈接：https://www.ithome.com.tw/news/151184

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗，所以不用擔心有手機版網站兩個後台的問題，而視覺效果也是透過我們前端設計師優秀的空間比例設計，不會因為畫面變大變小而影響到整體視覺的美感。