數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

廣受許多組織使用的網站內容管理系統WordPress,再度傳出有數個外掛程式存在重大的存在請求偽造(CSRF)漏洞,CVSS風險層級高達8.8分,研究人員估計總共有8.4萬個網站受到影響。

另外,不少企業採用的SAP,其中一個CVSS風險層級9.1分的重大漏洞,研究人員發現可被用於供應鏈攻擊,讓攻擊者在SAP應用程式植入惡意軟體,呼籲用戶要儘速修補漏洞。

除了上述的嚴重漏洞之餘,北韓APT駭客組織去年大肆透過加密貨幣業者竊取資金的現象,也較以往增加4成,而成為北韓在許多國家對其經濟制裁下,用來發展軍事的資金來源。

【攻擊與威脅】

根據國內多家媒體報導,中華職棒YouTube官方頻道在1月17日晚間21時20分被盜用,頻道名稱被更改為MicroStrategy,直播內容則是講解比特幣,狀況在22時30分左右排除,但張貼的影片有被刪除的狀況。不過這起事件並未結束,我們從針對此事的回應來看,在1月18日上午5時到9時,被盜狀況仍繼續發生,並指出這樣的直播維持有2千人觀看。

勒索軟體Qlocker曾於2021年4月下旬,鎖定威聯通(QNAP)的NAS用戶發動攻擊,利用備份資料同步元件HBS 3的漏洞入侵。但最近,該勒索軟體再度出現新一波的攻擊行動而值得留意。根據資安新聞網站Bleeping Computer於1月15日的報導,他們發現Qlocker疑似在1月6日有了新的攻擊行動,一旦NAS遭到威染,檔案被加密後攻擊者會留下勒索訊息,要求支付0.02至0.03個比特幣來恢復檔案,至少有數十臺NAS遭到感染。該新聞網站呼籲用戶,參考威聯通的最佳實務來強化NAS安全。

今年1月初,資安業者Cluster25揭露北韓駭客組織鎖定俄國外交部的攻擊,對於這樣的攻擊行動,臺灣資安業者TeamT5在1月中旬也公開自家分析結果,解析其攻擊手法,是透過惡意魚叉式電子郵件進行,一旦使用者上鉤開啟郵件附檔中的螢幕保護程式поздравление.scr,該程式背地裡將連線中繼站並下載惡意Payload,再透過Base64演算法取得惡意CAB檔案,當中將包含後門程式scrnsvc.dll,經TeamT5分析,該後門程式與北韓駭客組織Konni所慣用的後門程式家族Sanny有關,與Cluster25的研究分析有相同結論。

過往網路釣魚攻擊中,攻擊者較為偏好利用微軟和Google等IT業者的名義,來取得受害者的信任,進而得手對方的帳密等資料,但這個情況近期出現了變化。資安業者Check Point針對2021年第4季,駭客在發動網路釣魚攻擊的行動裡,所假冒的廠牌名稱,調查後發現,全球有23%網路釣魚是利用物流業者DHL的名義發動攻擊,不只比2021年第3季(9%)高出不少,也超越微軟(20%)、WhatsApp(11%)、Google(10%)。

北韓駭客鎖定加密貨幣來獲利的情況,近期又有相關的攻擊行動出現。卡巴斯基揭露Lazarus旗下的駭客組織BlueNoroff,約在2021年11月發起SnatchCrypto攻擊行動,鎖定專門處理加密貨幣、數位合約、DeFi、區塊鏈的中小型新創公司下手,對於這些企業的員工傳送具備監控功能的後門程式,最終目的是清空受害組織的加密錢包。為了讓受害者上當,該組織偽裝成超過15家風險投資業者。

 

美國與其他國家長期對於北韓實施經濟制裁,使得該國長期以來,倚賴APT駭客攻擊全球各地的金融機構,來竊取資金。但最近2到3年,北韓駭客更加關注如何偷取加密貨幣,根據區塊鏈資安業者Chainalysis調查,這些駭客在2021年總共對於加密貨幣平臺發起至少7次攻擊行動,並取得近4億美元的加密貨幣,較2020年要多出40%。其中,被竊的加密貨幣以太幣占超過半數(58%)、比特幣居次(20%)、22%是ERC-20或替代幣(Altcoin)。

攻擊者鎖定Linux作業系統發動攻擊的現象,去年頻繁傳出攻擊事故,許多勒索軟體駭客開始針對這種環境製作專屬攻擊工具,就連Log4Shell漏洞攻擊,也有不少是針對Linux伺服器而來,但這種情況有多嚴重?根據資安業者CrowdStrike的調查,2021年Linux惡意軟體的數量,較2020年多出35%,其中XorDDoS、Mirai、Mozi家族最為氾濫,占所有惡意軟體的22%,其中又以Mozi攻擊出現爆炸性成長,去年的惡意軟體數量是前年的十倍。

 

【漏洞與修補】

專注於WordPress網站安全的Wordfence指出,他們發現3個WordPress外掛程式存在請求偽造(CSRF)漏洞CVE-2022-0215,CVSS風險層級為8.8分。這些存在漏洞的外掛程式為Login/Signup Popup、Side Cart Woocommerce、Waitlist Woocommerce,各有超過2萬個、4千個、6萬個網站使用,套件開發者XootiX獲報後已修補上述漏洞。

甫被公布細節不久的軟體漏洞,很可能因為有其他利用的方式,而使得漏洞潛藏的危害比原本預期的還要嚴重,甚至可能引發類似SolarWinds供應鏈攻擊的事故。例如,專精於SAP安全的資安業者SecurityBridge,針對一項存在於NetWeaver AS ABAP、ABAP平臺的重大漏洞CVE-2021-38178提出警告,表示這項漏洞原先被發現是不正確的授權問題,能讓攻擊者將程式碼跳過檢測程序就發布,但研究人員發現,攻擊者還能竄改發布狀態,允許在正式發布程式碼後將狀態變更為「可修改」,使得攻擊者可以任意加入惡意程式進行供應鏈攻擊。這項漏洞SAP已於2021年10月發布修補程式,研究人員呼籲用戶要儘速安裝相關更新。

資安業者FingerprintJS揭露Safari 15瀏覽器的WebKit頁面呈現引擎漏洞,這項漏洞與Indexed Database(IndexedDB)的API有關,一旦被攻擊者利用,可透過網站追蹤使用者的網路活動,甚至得知用戶的身分,例如Google帳號的細節,無論是蘋果個人電腦(macOS)或是行動裝置(iOS、iPadOS)用戶都受到影響。這項漏洞自研究人員於1月15日公開後,蘋果已於17日著手於WebKit原始碼加入相關的修補程式,但尚未提供給一般用戶。

 

【資安產業動態】

在2022年1月17日,全球首個半導體晶圓產線設備資安標準已正式上架於SEMI網站,名稱為「SEMI E187 – Specification for Cybersecurity of Fab Equipment」。特別的是,這也是首次由臺灣主導制定的半導體相關國際標準,此項標準在四大方面提出要求,包括:作業系統規範、網路安全相關、端點保護相關,以及資訊安全監控,建立晶圓廠設備資安最低標準。

 

【近期資安日報】

台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!

還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」

南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

搬家費用:依消費者運送距離、搬運樓層、有無電梯、步行距離、特殊地形、超重物品等計價因素後,評估每車次單

想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

節能減碳愛地球是景泰電動車的理念,是創立景泰電動車行的初衷,滿意態度更是服務客戶的最高品質,我們的成長來自於你的推薦。

想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線

推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

來源鏈接:https://www.ithome.com.tw/news/148941

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

太陽光電發電設備是否會產生噪音?

找對廠商很重要喔,東陽能源是擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

您可能也會喜歡…