HTML Code Generator譯自
Malicious Packages Hidden in NPM
FORTIGUARD LABS THREAT RESEARCH
By Jin Lee and Jenna Wang | October 02, 2023
https://www.fortinet.com/blog/threat-research/malicious-packages-hiddin-in-npm?utm_source=tldrinfosec
受影響平台:所有可以安裝 NPM 套裝軟體的平台
受影響方:安裝了這些惡意套裝軟體的任何個人或機構
影響:洩漏憑證、敏感資訊、原始碼等
嚴重程度:高
在過去的幾個月裡,FortiGuard 實驗室團隊發現了多個隱藏在 NPM(Node Package Manager)中的惡意套裝軟體。NPM是JavaScript 程式語言最大的軟體登錄檔。這些套裝軟體是透過專門用於來自各種生態系統(例如 PyPI、NPM)找出惡意開源套裝軟體的系統發現的。在本部落格中,我們將研究其中一些軟體包,並根據類似的程式碼或功能對它們進行分組。
一般來說,大多數這些惡意套裝軟體都使用在安裝前或安裝後執行的安裝腳本。每當安裝 NPM 套裝軟體時,這些腳本也會運行。
我們發現的每個套裝軟體都旨在透過網路鉤手(Webhook)或檔案共享連結竊取敏感資料,例如系統或使用者資訊。讓我們探索下面的各組軟體包。
第一組:
@expue/webpack(版本0.0.3-alpha.0)
@expue/core(版本0.0.3-alpha.0)
@expue/vue3-renderer(版本0.0.3-alpha.0)
@fixedwidthtable/fixedwidthtable(版本0.0.2)
@virtualsearchtable/virtualsearchtable(版本0.1.1)
第一組顯示了一個模糊的 index.js 腳本。然而,我們可以在字串中發現一些可能引起懷疑的線索。清理腳本後,我們可以看到它洩露了敏感資料,包括 Kubernetes 配置、SSH 金鑰和其他關鍵資訊。它還會收集基本的系統指紋詳細資訊,例如用戶名、IP 位址和主機名,而不會發出任何事先警告。
第二組:
binarium-crm(版本 1.0.0、1.0.9、1.9.9)
Career-service-client-0.1.6(版本0.1.6、0.1.13、0.1.15)
hh-dep-monitoring(版本 0.1.5、0.1.14)
orbitplate(版本 1.0.4、1.0.6)
第二組軟體包中的index.js 向特定URL 發送HTTP GET 請求,包括查詢參數。它掃描可能包含敏感資訊的特定檔案和目錄。該腳本還可以在未經授權的情況下提取關鍵的開發人員資料,包括原始程式碼和設定檔。目標文件和目錄可能包含非常有價值的智慧財產權和敏感資訊,例如各種應用程式和服務憑證。然後,它將這些檔案和目錄存檔,並將生成的存檔上傳到 FTP 伺服器。
第三組:
@zola-helpers/client(版本 1.0.1、1.0.2、1.0.3)
suncorp-styleguide-base(版本 1.0.3、1.0.4、1.0.5)
在此組中,index.mjs 安裝腳本使用 Discord Webhook 來竊取敏感資料,例如系統資訊、使用者名稱和資料夾內容。
第四組:
@next-translate-root/i18n(版本 1.0.1、1.0.2)
@ag-grid-react/lib(版本1.0.1)
與第三組一樣,第四組也使用 index.mjs 安裝腳本和 Discord Webhook 來竊取敏感資料。但這一次,他們使用了另一種編碼風格。@next-translate-root/locales(版本 1.0.0、1.0.1、1.0.2)
第五組:
@dtx-company/flowcode-generator-types(版本 200000.0.2)
第五組使用 index.js 安裝腳本透過 Webhook 竊取主機和使用者名稱資訊以及主要使用者的主目錄內容。
第六組:
squarespace-abtest(版本 1.0.1)
ruamel.taml.clib(版本 0.1.2)
regily(版本1.0.0)
developer-scaffold-full-width-wrapper(版本 1.9.9、21.0.9)
@abb-americas/angular-utilities(版本 1.0.0)
@abb-americas/image-scaler(版本 1.0.0)
@abdulmz/mz-test(版本1.1.1)
@ikea-aoa/component-financial-services(版本 99.0.1)
@ikea-aoa/component-lightbox(版本 99.0.1)
@ikea-aoa/component-popover(版本 99.0.0)
此組(最常見的樣式)使用另一個 index.js 安裝腳本來竊取資訊。
第七組:
@cima/prism-utils(版本 23.2.1、23.2.2)
在這組中,套裝軟體使用 installer.js 安裝腳本來執行攻擊,與前兩者類似,但我們可以看到環境變數「NODE_TLS_REJECT_UNAUTHORIZED」設定為「0」。這會TLS 憑證驗證失靈,這可能會使連線不安全並且容易受到中間人攻擊(Man-in-the-middle attack,MitM)。
第八組:
Discorddd.jss(版本 1.4.9、1.5.0、1.6.4)
saaaaaaaaaaaaaaaaaaaaaaa(1.4.1版)
該套裝軟體會自動從 URL 下載並執行潛在的惡意執行檔到 C:/ 目錄。
第九組:
Evernote-thrift(版本 1.9.99)
en-features-rollout(版本 1.90.9)
en-conduit-electron(版本 1.90.9)
en-conduit-electron-auth(版本 1.90.9)
en-conduit-electron-worker(版本1.90.9)
en-thrift-internal(版本 2.30.9)
en-conduit-electron-renderer(版本 1.90.9)
該套裝軟體使用另一種腳本樣式來收集系統訊息,包括受害者的公共 IP 位址,然後將這些資訊漏出到discord webhook 中。
結論
這部落格將一系列惡意 NPM 套裝軟體組合在一起,這些套裝軟體使用安裝腳本根據程式碼或功能的風格竊取用戶的敏感資訊。最終用戶應注意使用可疑安裝腳本的套裝軟體並謹慎行事。我們將繼續尋找和報告惡意套裝軟體,以幫助用戶避免成為受害者。
Fortinet保護
Fortiguard AntiVirus 偵測到本報告中驗明的惡意檔案為
@zola-helpers/client-1.0.1 index.mjs: JS/WebHook.CNYS!tr
@zola-helpers/client-1.0.2 index.mjs: JS/WebHook.CNYS!tr
@zola-helpers/client-1.0 .3 index.mjs: JS/WebHook.CNYS!tr
@next-translate-root/i18n-1.0.1 index.mjs: JS/WebHook.CNYS!tr @
next-translate-root/i18n-1.0.2 索引。 mjs: JS/WebHook.CNYS!tr
suncorp-styleguide-base-1.0.3 index.mjs: JS/WebHook.CNYS!tr
suncorp-styleguide-base-1.0.4 index.mjs: JS/WebHook.CNYS!tr
suncorp -styleguide-base-1.0.5 index.mjs: JS/WebHook.CNYS!tr
@ag-grid-react/lib-1.0.1 index.mjs: JS/WebHook.CNYS!tr @
next-translate-root/locales -1.0.0 index.mjs: JS/WebHook.CNYS!tr
@next-translate-root/locales-1.0.1 index.mjs: JS/WebHook.CNYS!tr
@next-translate-root/locales-1.0.2 index.mjs: JS/WebHook.CNYS!tr
@dtx-company/flowcode-generator-types-200000.0.2 index.js: JS/Agent.OAST!tr
squarespace- abtest-1.0.1 index.js: JS/Agent.OAST!tr
ruamel.taml.clib-0.1.2 index.js: JS/Agent.OAST!tr
regily-1.0.0 index.js: JS/Agent.OAST !tr
developer-scaffold-full-width-wrapper-1.9.9 index.js: JS/Agent.OAST!tr
developer-scaffold-full-width-wrapper-21.0.9 index.js: JS/Agent.OAST !tr
@abb-americas/angular-utilities-1.0.0 index.js: JS/Agent.OAST!tr
@abb-americas/image-scaler-1.0.0 index.js: JS/Agent.OAST!tr
@abdulmz /mz -test-1.1.1 index.js: JS/Agent.OAST!tr
@ikea-aoa/component-financial-services index.js: JS/Agent.OAST!tr
@ikea-aoa/component-lightbox-99.0.1 index.js: JS/Agent.OAST!tr
@ikea-aoa/component-popover-99.0.0 index.js: JS/Agent.OAST!tr
@cima/prism -utils-23.2.1 installer.js:JS/Agent.OAST!tr.dldr
@cima/prism-utils-23.2.2 installer.js:JS/Agent.OAST!tr.dldr
Discorddd.jss-1.4.9 index.js: JS/Agent.CDPC!tr.dl
discorddd.jss-1.5.0 index.js: JS/Agent.CDPC!tr.dl
discorddd.jss-1.6.4index.js: JS/Agent.CDPC!tr .dldr
saaaaaaaaaaaaaaaaaaaaaaa-1.4.2index.js:JS/Agent.CDPC!tr.dldr
evernote-thrift-1.9.99index.js:JS/WebHook.ESY!tr
en-features-rollout-1.90.9index.js : JS/WebHook.ESY! tr
en-conduit-electron-1.90.9 index.js: JS/WebHook.ESY!tr
en-conduit-electron-auth-1.90.9 index.js: JS/WebHook.ESY!tr
en-conduit-electron-worker-1.90.9 index.js: JS/WebHook.ESY!tr
en-thrift-internal-2.30.9 index.js: JS/WebHook.ESY!tr
en-conduit-electron-renderer- 1.90.9 index.js: JS/WebHook.ESY!tr
@expue/webpack-0.0.3-alpha.0 index.js: JS/Agent.ATTC!tr
@expue/core-0.0.3-alpha.0 index.js: JS/Agent.ATTC!tr
@expue/vue3-renderer-0.0.3-alpha.0 index.js: JS/Agent.ATTC!tr
@fixedwidthtable/fixedwidthtable-0.0.2 index.js: JS/Agent .ATTC!tr
@virtualsearchtable/virtualsearchtable-0.1.1 index.js: JS/Agent.ATTC!tr
binarium-crm 1.0.0 index.js: JS/Agent.CFRE!tr.dldr
binarium-crm 1.0.9 index.js: JS/Agent.CFRE!tr.dldr
binarium-crm 1.9.9 index.js: JS/Agent.CFRE!tr.dldr
Career-service-client-0.1.6 index.js: JS/Agent.CFRE!tr .dldr
Career-service-client-0.1.13 index.js:JS/Agent.CFRE!tr.dldr
Career-service-client-0.1.15 index.js:JS/Agent.CFRE!tr.dldr
hh-dep-monitoring- 0.1.5 index.js:JS/Agent.CFRE!tr.dldr
hh-dep-monitoring-0.1.14 index.js:JS/Agent.CFRE!tr.dldr
Orbitplate-1.0.4 index.js:JS/Agent .CFRE!tr.dldr
Orbitplate-1.0.6 index.js: JS/Agent.CFRE!tr.dldr
FortiGate、FortiMail、FortiClient 和 FortiEDR 支援FortiGuard AntiVirus 服務。客戶使用最新防毒更新受到保護。
FortiGuard Web 過濾服務可偵測並封鎖本報告中列出的惡意URL下載。
FortiDevSec SCA 掃描器可偵測惡意套裝軟體,包括本報告中列出的那些在測試階段可能作為使用者專案中的相依性運作的套裝軟體,並防止這些依賴項被引入到使用者的產品中。
如果您認為這些或任何其他網路安全威脅已影響您的組織,請聯絡我們的全球 FortiGuard 事件回報團隊。
附註:
npm(全稱Node Package Manager,即「node套件管理器」)是Node.js預設的、用JavaScript編寫的套裝軟體管理系統。
Webhook 的中文翻譯為「網路鉤手」,在維基百科的定義是:「一種通過自訂回呼函式來增加或更改網頁表現的方法。 這些回呼可被可能與原始網站或應用相關的第三方使用者及開發者儲存、修改與管理。」
Man-in-the-Middle Attack,簡稱MITM: 在密碼學和電腦安全中,中間人攻擊是一種網路攻擊,它秘密地中繼並可能修改駭客認為正在直接通信的兩方之間的通信。MITM 攻擊的一個例子是主動竊聽。
詳文請參考
ShellTorch: Multiple Critical Vulnerabilities in PyTorch Model Server (TorchServe) (CVSS 9.9, CVSS 9.8) Threatens Countless AI Users - Immediate Action Required
By Idan Levcovich, Guy Kaplan, Gal Elbaz October 3, 2023
https://www.oligo.security/blog/shelltorch-torchserve-ssrf-vulnerability-cve-2023-43654?utm_source=tldrinfosec
十月初,Oligo Security 研究團隊宣布發現了導致全鏈遠端程式碼執行(remote code execution, RCE) 的嚴重漏洞(包括CVE-2023-43654),並發現了數千個公開暴露的漏洞實例,其中包括一些全球最大的企業組織-對未經授權的存取和惡意插入人工智慧模型,並有可能完全接管伺服器。建議了緩解步驟和免費工具以盡量減少暴露。
執行摘要
TorchServe 是 PyTorch 生態系統中流行的開源套裝軟體,包含可完全接管被入侵系統的漏洞。
Oligo Security 發現 TorchServe 的預設設定意外地將管理介面暴露給全世界,沒有任何形式的身份驗證,從而允許未經授權的存取。
Oligo 在管理介面中 也發現了一個新的嚴重(NVD 、CVSS 9.8)SSRF 漏洞(CVE-2023-43654),該漏洞允許遠端程式碼執行(remote code execution, RCE),支援從任何網域上傳設定。
Oligo 研究人員還發現,TorchServe 存在漏洞,可透過遠端程式碼執行對其進行遠端攻擊,同時不安全地反序列化 (deserializing) 惡意模型(GHSA、CVSS 9.9)。
這些攻擊的組合可能會導致 RCE 和接管,導致數以千計的易受攻擊的 TorchServe 應用程式實例暴露在外。
Oligo Security 向 PyTorch(Amazon 和 Meta)的維護者揭露流程。其中一些問題已在 0.8.2 版本中透過警告得到修復或解決,任何使用 0.8.1 或更低版本的實例都應立即更新。由於預設配置無法防止其中一些問題,並且可能使用戶容易受到攻擊,因此採取緩解措施非常重要。
需要檢查您的環境是否受到影響?使用Oligo Security的免費工具立即找出答案。
簡介:
十月初,Oligo Security 研究團隊宣布發現了導致遠端程式碼執行的新關鍵漏洞。Oligo 發現了數千個公開暴露的易受攻擊的實例,其中包括一些世界上最大的企業組織,這些實例容易遭受未經授權的存取和插入惡意 AI 模型,並可能導致整個伺服器被接管。這可能會影響數百萬服務及其最終用戶。
如今,人工智慧模型 - 從大型語言模型(LLM) 到電腦視覺 (computer vision) - 正在蓬勃發展,需要我們在運用最敏感的資料上信任人工智慧的應用程式,以便獲得最佳答案和資訊,即使是在生死攸關的情況下– 例如預防交通事故、檢測癌症和確保公共場所安全。人工智慧甚至已經進入全球衝突領域,被世界各地的軍隊和武器所使用。
但權力越大,責任也越大。
「負責任的人工智慧」已成為熱門話題,包括白宮在內的世界各國政府都呼籲建立人工智慧安全和遵尋法規。
讓風險情況更加複雜的是:當今的人工智慧建立在開源軟體(OSS)的基礎上,而開源軟體也存在著自身的安全問題。2021 年,我們看到白宮發布了關於建立和維護 SBOM (Software Bill of Materials)的行政命令。同年晚些時候,由於 Log4j 漏洞影響了數量驚人的企業組織,並迅速成為駭客最常使用的安全漏洞,各企業組織在了解 OSS (Open Source Software, 開源軟體) library使用的重要性得到了慘痛教訓。
當今人工智慧框架中最熱門的名字是 PyTorch,它完全主導了機器學習 (ML) 研究,並且正在私人公司的人工智慧領域取得進展。這就是為什麼我們的研究人員震驚地發現,無需任何身份驗證,我們就可以利用 PyTorch 開源模型伺服器 (TorchServe) 中的新關鍵漏洞以高權限遠端執行程式碼。
這些漏洞可能使得全球伺服器受到損害。因此,一些全球最大的公司可能面臨直接風險。
PyTorch:針對人工智慧基礎設施攻擊的完美靶心
PyTorch library是 AI 模型和 OSS libraries的融合。作為世界上最常用的機器學習框架之一,PyTorch 為想要破壞基於人工智慧的系統的駭客提供了一個有吸引力的目標。2022 年末,駭客利用依賴關係混淆破壞了 PyTorch 套裝軟體包,並用惡意程式碼入侵了該軟體包。
TorchServe 是 PyTorch 最受歡迎的模型服務框架之一。開源 TorchServe 程式庫由 Meta 和 Amazon(以及 Linux 基金會的官方 CNCF 專案)維護,受到全球組織的信任,每月有超過 30,000 次 PyPi 下載,DockerHub 總拉取量超過 100 萬次。它在研究領域佔據主導地位(現在超過 90% 的 ML 研究論文都使用 PyTorch),其商業用戶包括一些世界上最大的公司,包括沃爾瑪、亞馬遜、OpenAI、特斯拉、Azure、谷歌雲、英特爾等更多的。TorchServe 也是 KubeFlow、MLFlow、Kserve、AWS Neuron 等計畫的基礎。它也由最大的雲端提供者(包括 SageMaker (AWS) 和 Vertex.AI (GCP))作為託管服務提供。
使用簡單的 IP 掃描器,我們能夠找到目前完全暴露於攻擊的數萬個 IP 位址,其中包括許多屬於《財星》世界500大組織的 IP 位址。
Oligo 發現的漏洞影響 TorchServe 0.8.2 之前的所有版本。當駭客使用時,這一系列漏洞會導致遠端程式碼執行,從而完全接管受害者的伺服器和網路並洩露敏感資料。
附註:
遠端程式碼執行(RCE) 攻擊是指駭客在組織的電腦或網路上執行惡意程式碼。 執行駭客控制程式碼的能力可用於多種用途,包括部署其他惡意程式碼或竊取敏感性資料。
序列化(serialization)在電腦科學的資料處理中,是指將資料結構或物件狀態轉換成可取用格式(例如存成檔案,存於緩衝,或經由網路中傳送),以留待後續在相同或另一台計算機環境中,能恢復原先狀態的過程。
Computer Vision,中文直譯為電腦視覺,是一種通過不同技術手段去賦能機器處理、分析真實世界的圖像、影像,並將其轉換為機器自己能夠理解的一項AI應用。電腦視覺(Computer vision)是一門研究如何使機器「看」的科學,更進一步的說,就是指用攝影機和電腦代替人眼對目標進行辨識、跟蹤和測量等機器視覺,並進一步做圖像處理,用電腦處理成為更適合人眼觀察或傳送給儀器檢測的圖像
SBOM (全名為Software Bill of Materials,軟體物料清單) 最初由美國食品和藥物管理局(FDA)於2018年提出,作為醫療器械網路安全管理上市前提交的一部分。儘速建立SBOM 掌握開源軟體使用狀況 · 降低開源軟體漏洞可減少軟體供應鏈攻擊 · 儘速修補軟體漏洞提升整體防護力 .
摘譯自
Flax Typhoon using legitimate software to quietly access Taiwanese organizations
by Microsoft Threat Intelligence微軟威脅 情報 2023 年 8 月 24 日
詳文請參考
https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/
摘要
微軟已發現一個名為 Flax Typhoon 的國家級的小組活動,總部位於中國,該活動針對台灣的數十個企業,可能意圖進行間諜活動。Flax Typhoon 以最少的惡意軟體獲得並維持長期進出台灣企業網路,依靠作業系統內建的工具以及一些通常良性的軟體悄悄地存留在這些網路中。Microsoft 尚未觀察到 Flax Typhoon 使用此存取權限執行其他操作。本部落格旨在提高認識該駭客行為者所使用的技術,並提供更好的防禦措施以防止未來的攻擊。
微軟觀察到一種獨特的惡意活動模式,幾乎只影響台灣的企業,所使用的技術可以輕鬆地在該地區以外的其他操作中重複使用,並將受益於更廣泛的行業知名度。微軟將這次活動歸因於 Flax Typhoon(與 ETHEREAL PANDA 重疊),這是一個來自中國的駭客。觀察到的 Flax Typhoon 行為顯示,駭客打算執行間諜活動並盡可能長時間地保持對各行各業的存取權限。然而,微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標。Microsoft 選擇此時將重點放在亞麻颱風(Flax Typhoon)活動,是因為我們非常擔心對客戶造成進一步影響的可能性。
在這篇文章中,我們分享了有關亞麻颱風、目前針對台灣的活動以及該行為者實現和維持對目標網路的未經授權存取的策略的資訊。由於此活動依賴有效帳戶和本機二進位檔案 (LOLBins),因此偵測和緩解此攻擊可能具有挑戰性。必須關閉或更改受損帳戶。必須隔離並調查受損系統。在本部落格文章的最後,我們分享了更多緩解步驟和最佳實踐,並提供了有關 Microsoft 365 Defender 如何偵測惡意和可疑活動以保護企業免受此類隱形攻擊的詳細資訊。
亞麻颱風是誰?
Flax Typhoon 自 2021 年中以來一直活躍,目標是台灣的政府機構以及教育、關鍵製造和資訊科技企業。在東南亞其他地方以及北美和非洲也觀察到了一些受害者。Flax Typhoon 專注於持久性、橫向移動和憑證存取。與任何觀察到的國家行為者活動一樣,Microsoft 已直接通知目標或受感染的客戶,為他們提供保護其環境所需的重要資訊。
據了解,Flax Typhoon 使用China Chopper Web shell、Metasploit、Juicy Potato 權限升級工具、Mimikatz 和 SoftEther 虛擬專用網路 (VPN) 用戶端。然而,亞麻颱風主要依賴離地攻擊技術 (living-off-the-land techniques)和鍵盤操作活動。Flax Typhoon 透過利用面向公眾的伺服器中的已知漏洞並部署China Chopper等 Web shell 來實現初步訪問。初始訪問後,Flax Typhoon 使用命令列工具首先透過遠端桌面協定建立持久訪問,然後部署 VPN 連接到攻擊者控制的網路基礎設施,最後從受感染的系統收集憑證。Flax Typhoon 進一步使用此 VPN 存取來掃描受感染系統中目標系統和企業上的漏洞。
譯自
Microsoft leaks 38TB of private data via unsecured Azure storage
By Sergiu Gatlan September 18, 2023
https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/
從 2020 年 7 月開始,微軟人工智慧研究部門在提供開源人工智慧學習模型給公共 GitHub 倉儲 (GitHub repository)時意外洩露了數十 TB(terabytes) 的敏感資料。
大約三年後,雲端安全公司 Wiz的資安研究人員發現,一名 Microsoft 員工無意中共享了一個URL,這個URL包含會洩露資訊的、配置錯誤的 Azure Blob儲存體。
微軟認為資料洩露是由於使用過於寬鬆的共用存取簽章 (Shared Access Signature (SAS)),這允許對共享文件進行完全控制。Wiz 研究人員指出Azure 這項功能是一項以難以監控和撤銷的方式進行資料共享。
如果使用正確,共用存取簽章 (SAS)可提供一種安全的方式來授予代理人存取存儲帳戶內的資源。 這包括精確控制客戶端資料的存取、指定它們可以交流的資源、定義它們對這些資源的權限以及確定共用存取簽章的有效性的時間。
Wiz警告說 “由於缺乏監控和治理,共用存取簽章 (SAS)存在資安風險,應盡可能限制其使用。這些共用存取簽章 (SAS)非常難以跟踪,因為微軟沒有提供在 Azure入口網頁集中管理它們的方式”。“此外,這些共用存取簽章 (SAS)可以配置為永久有效,其到期時間沒有上限。因此,使用共用存取簽章 (SAS)進行外部共享是不安全的,應該避免。”
Wiz 研究團隊發現,除了開源模式之外,內部存儲帳戶還無意中允許存取38TB 的額外私人資料。暴露的資料包括屬於 Microsoft 員工的個人資訊備份,包括 Microsoft 服務的密碼、密鑰以及來自 359 名 Microsoft 員工的 30,000 多條內部 Microsoft Teams 消息的存檔。
在微軟資安反應中心團隊(Microsoft Security Response Center MSRC)週一發布的一份通報中, 微軟表示 ,沒有客戶資料被洩露,也沒有其他內部服務因此次事件而面臨危險。Wiz 於 2023 年 6 月 22 日向 MSRC 報告了該事件,MSRC 撤銷了共用存取簽章 (SAS)以阻止所有外部存取 Azure 存儲帳戶,從而於 2023 年 6 月 24 日緩解了該問題。
Wiz CTO兼聯合創始人Ami Luttwak 告訴BleepingComputer:“人工智慧為科技公司開啟了巨大的潛力。然而,隨著資料科學家和工程師競相將新的人工智慧解決方案投入生產,他們處理的大量資料需要額外的安全檢查和保障措施。” “這種新興技術需要大量資料進行訓練。由於許多開發團隊需要操縱大量資料、與同行共享資料或在公共開源項目上進行協作,像微軟這樣的情況越來越難以監控和避免。 ”
譯自
PayPal enables US users to sell cryptocurrency via MetaMask wallet
新聞簡報,技術/ 2023 年 9 月 12 日 OODA分析師
https://www.oodaloop.com/briefs/2023/09/12/paypal-enables-us-users-to-sell-cryptocurrency-via-metamask-wallet/
全球支付巨頭 PayPal 繼續擴展其數位資產(digital asset)服務,整合銷售加密貨幣的新方法,例如比特幣。
9 月 11 日,PayPal 推出了新的 Web3 支付進出通道,允許美國用戶將加密貨幣直接從他們的錢包 (wallets) 轉換為美元,存入 PayPal 餘額中。
根據公告,PayPal 支出功能可立即提供錢包 (wallets)、將應用程式和非同質化代幣(Non-fungible tokens)市場去中心化,並在 MetaMask 上上線。
新功能旨在使客戶能夠在美國買賣多種加密貨幣。
PayPal 指出“一旦整合成功後,web3 商家可以因為通過連接到數百萬人信賴的 PayPal 快速、無縫的支付體驗的幫助而擴大用戶群,同時利用 PayPal 強大的安全控制和詐欺管理、退款和爭議工具”。
YouTube 上的一段宣傳 PayPal 支入和支出功能的影像包括其界面的銀幕截圖,顯示用戶將 0.0015 BTC(50 美元)發送到外部錢包,並支付 5 美元的網絡費用和 2.19 美元的交易費用。影像沒有具體說明交易使用的錢包。值得注意的是,MetaMask 不支援原始比特幣區塊鏈上的 BTC 交易。
全文 : PayPal enables US users to sell cryptocurrency via MetaMask wallet. https://cointelegraph.com/news/paypal-enables-users-to-sell-crypto-via-metamask
附註
數位資產(digital asset)是指企業或個人擁有或控制的,以電子資料形式存在的,在日常活動中持有以備出售或處於生產過程中的非貨幣性資產,是經過二進位編碼的任何被授權使用的文字或媒體資源,包括文字內容、圖片和多媒體。
Web3 (或稱Web3.0),是「第三代網際網路」,指的是一個由區塊鏈所組成的網路系統,其核心在於去中心化;也就是說,用戶不再透過政府、大型科技公司所建立的平台來上傳、分享內容,而是由用戶自行建構與營運網路的各個部分。
非同質化代幣(Non-Fungible Token),是屬於數位加密貨幣的一種,也是區塊鏈(數位帳本)上的一種資料單位,每個代幣可以代表一個獨特的數位資料。
譯自
University of Michigan shuts down network after cyberattack
By Bill Toulas August 29, 2023
https://www.bleepingcomputer.com/news/security/university-of-michigan-shuts-down-network-after-cyberattack/
密西根大學為了應對網路資安事件,已將所有系統和服務下線,在開課前一天晚上對線上服務造成了廣泛影響。密西根大學 (UM) 是美國歷史最悠久、規模最大的教育機構之一,擁有 30,000 多名學術和行政人員,大約有 51,000 名學生。
從8月27 日開始,該大學網站上發布了一系列公告 ,一次網路資安事件導致 IT 中斷,1並中斷重要網路服務,包括 Google、Canvas、Wolverine Access 和電子郵件。儘管 UM 聘請 IT 團隊來恢復被入侵的系統,但由於事件的嚴重性,管理層認為斷開 UM 網路與網際網路的連接是最安全的。
公告寫道 “週日下午,在仔細評估重大安全問題後,我們有意決定切斷與網際網路的聯繫,”。“我們採取這一行動是為了為我們的資訊技術團隊提供以盡可能安全的方式解決問題所需的空間。” 這包括有線和 WiFi 校園網際網路、M-Pathways、eResearch、DART 以及學生註冊中使用的所有系統。
Zoom、Adobe Cloud、Dropbox、Slack、Google、Canvas 和 Adobe Cloud 服務已恢復,可以從外部網路使用,但由於過載而可用性不穩定。然而,事件發生的時間不容忽視,因為襲擊發生在新學年前夕,當時學生和教師正準備開課。
因此,UM 管理部門決定免除 8 月份的逾期註冊或退學費用。學生依靠當前的離線系統來存取班級資訊並在大校園中找路,尤其是在上課的最初幾天。由於缺乏網路資訊,學生的出勤和作業將特別考慮通融。該公告還警告稱,由於 IT 中斷,部分經濟援助付款和退款將被推遲。UM 指出,它正在與外部網路資安專家和聯邦執法部門合作調查此次攻擊。
對於密西根州的教育機構來說,這是艱難的一個月。 三週前,密西根州立大學 透露 ,它受到了 MOVEit 數據盜竊攻擊的影響。
譯自
Hosting firm says it lost all customer data after ransomware attack
By Bill Toulas August 23, 2023
https://www.bleepingcomputer.com/news/security/hosting-firm-says-it-lost-all-customer-data-after-ransomware-attack/
丹麥託管公司 CloudNordic 和 AzeroCloud 遭受勒索病毒攻擊,導致大部分客戶資料丟失,被迫關閉所有系統,包括網站、電子郵件和客戶站點。這兩個品牌屬於同一家公司,並表示襲擊發生在18/08/23晚上。然而,如今的營運狀態仍然存在很大問題,該公司的 IT 團隊只能恢復一些伺服器,而沒有任何資料。該公司的聲明澄清,它不會支付贖金給駭客,已接洽資安專家並報警。
不幸的是,恢復系統和資料的過程並不順利,CloudNordic 表示許多客戶丟失了似乎無法恢復的資料。CloudNordic 的聲明 (機器翻譯):“由於我們既不能也不想滿足駭客的贖金要求,CloudNordic 的 IT 團隊和委外專家一直在加緊工作,評估損失並確定可以恢復的內容。” “遺憾的是,我們無法恢復更多資料,因此我們的大多數客戶都丟失了他們的所有資料。”
鑑於這種情況,兩家託管服務提供商 此前建議 受影響嚴重的客戶轉向其他託管服務提供商,例如 Powernet 和 Nordicway。
託管公司的聲明顯示,儘管有防火牆和防毒軟體的保護,該公司的一些伺服器仍然受到勒索病毒的入侵。在資料中心遷移期間,這些伺服器連接到更廣泛的網路,允許駭客侵入關鍵管理系統、所有資料存儲孤島 (silos) 和所有備份系統。接下來,駭客加密了所有伺服器硬碟,包括主備份和輔助備份,破壞了所有內容,並且不留下恢復機會。
CloudNordic表示,這次攻擊僅限於加密資料,收集到的證據並不顯示機器上的任何資料被存取或洩露。也就是說,沒有證據顯示資料洩露。
丹麥媒體報導 稱,這些攻擊影響了“數百家丹麥公司”,他們丟失了存儲在雲中的所有內容,包括網站、電子郵件信箱、文檔等。
Azerocloud 和 CloudNordic 總監 Martin Haslund Johansson 表示,他預計恢復最終完成後客戶不會留下。
針對託管提供商是勒索病毒組織過去使用的一種策略,因為它會造成大規模損害,並在一次攻擊中造成許多受害者。由於受害者數量眾多,提供商將面臨巨大的壓力,需要支付贖金以恢復營運,並有可能避免丟失資料的客戶提起訴訟。
2017 年,類似的攻擊導致一家韓國託管提供商支付 100 萬美元的勒索病毒要求 ,以恢復其客戶的資料。最近, Rackspace 的託管 Microsoft Exchange 服務遭受了 Play 勒索病毒攻擊,導致許多客戶的電子郵件中斷。
附註:
Wayback Machine: 中文名為網站時光機,是由美國的Internet Archive非營利組織所成立的網站服務,主要透過保存舊的網站內容,讓全世界的人都可以免費取得網路資源,普及所有知識(universal access to all knowledge)。
Rackspace (NYSE:RAX): 全球三大雲計算中心之一,是一家全球領先的託管伺服器及雲計算提供商,公司總部位於美國。在全球擁有10個以上資料中心,管理超過10萬台伺服器。Rackspace的託管服務產品包括專用伺服器,電子郵件,SharePoint,雲伺服器,雲存儲,雲網站等。在服務架構上提供專用託管,公有雲,私有雲及混合雲。
譯自
Discord.io confirms breach after hacker steals data of 760K users
By Lawrence Abrams August 14, 202
https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/
Discord.io 客製化邀請服務(custom invite service)因資料洩露導致 760,000 名會員資訊洩露而暫時關閉。
Discord.io 不是官方 Discord 網站,而是一項第三方服務,允許伺服器所有者建立對其頻道的客製化邀請。該社群擁有超過 14,000 名成員,大部分都是圍繞該服務的 Discord 伺服器建立。
2023/8/13,一個名為“Akhirah”的人開始在新的 Breached 駭客論壇上出售 Discord.io 資料庫。作為盜竊的證據,駭客共享了資料庫中的四個用戶記錄。據駭客稱,該資料庫包含 760,000 名 Discord.io 用戶的資訊,包括以下類型的資訊:
"userid","icon","icon_stored","userdiscrim","auth","auth_id","admin","moderator","email","name","username","password","tokens","tokens_free","faucet_timer","faucet_streak","address","date","api","favorites","ads","active","banned","public","domain","media","splash_opt","splash","auth_key","last_payment","expiration"
洩露中最敏感的資訊是會員的用戶名、電子郵件地址、賬單地址(少數人)、加鹽雜湊(salted and hashed password)密碼(少數人)以及 Discord ID。
Discord.io 解釋關於 Discord ID 洩露的問題說:“這些資訊不是私人資訊,任何與您共享伺服器的人都可以獲取。但是,將其包含在侵害行為中確實表示著其他人可能能夠將您的Discord 帳戶鏈接到指定的電子郵件地址。”。Discord.io 已在向其 Discord 伺服器和網站發出的通知中確認了侵害行為的真實性,並已開始暫時關閉其服務作為回應。
該服務的 Discord 伺服器上展示一條消息 “Discord.io 遭受了資料洩露。我們將在可預見的未來停止所有操作”。“有關更多資訊,請參閱我們的#breah-notification 頻道。我們將很快更新我們的網站並與此消息並列” 。 Discord.io 的網站解釋說他們是在看到駭客論壇上的帖子後首次得知資料洩露的。不久之後,他們確認了洩露資料的真實性,並開始關閉其服務並取消所有付費會員資格。
Discord.io 表示,駭客行為背後的個人尚未聯繫他們,也沒有分享有關他們如何被駭的任何資訊。
BleepingComputer 與 Discord.io 資料庫的賣家, Akhirah, 進行了交談,並被告知他們尚未與Discord.io的所有者進行交談。
“這不僅僅是錢的問題”
Discord.io 網站充當一個目錄,客戶可以搜索與特定內容匹配的 Discord 伺服器並獲得登陸邀請。在某些情況下,需要購買並使用網站的虛擬貨幣, Discord.io 硬幣,才能獲得邀請。創建這些 Discord 伺服器配置文件時,Discord.io 使用條款規定 ,所有內容均由會員自行負責,但營運商有權刪除任何非法或違反其規則的內容。
從該網站有限的存檔頁面中,BleepingComputer 在目錄中看到了 Discord 伺服器,其興趣廣泛,包括動漫、遊戲、成人內容等。
當 BleepingComputer 向 Akhirah 詢問資料庫出售事宜時,他們表示這不僅是為了賺錢,而且還涉及 Discord.io如何鏈接到非法和有害內容。Akhirah告訴 BleepingComputer:“這不僅僅是金錢的問題,他們忽略了一些伺服器,我談論的是戀童癖和類似的事情,他們應該將它們列入黑名單,停止使用。” 駭客告訴 BleepingComputer,人們對這個資料庫很感興趣,但主要是那些想用它來“人肉搜索與他們有問題的人”。
Akhirah 表示,他們寧願等待 Discord.io營運商聯繫他們,從網站上刪除涉嫌攻擊性的材料,以換取不出售或洩露被盜資料庫的條件。
Discord.io 會員應該做什麼?
雖然駭客表示他們沒有出售資料庫,但所有成員都應該將這種情況視為他們的資料將被濫用。
此次洩露中的密碼是使用 bcrypt 進行哈希處理的,這使得它們需要大量硬體並且破解速度很慢。
然而,電子郵件地址對於其他駭客可能很有價值,因為它們可用於有針對性的網路釣魚攻擊以竊取更敏感的資訊。
因此,如果您是 Discord.io 的會員,您應該留意不尋常的電子郵件,其中包含要求您輸入密碼或其他資訊的頁面鏈接。
您應該檢查 主網站注意有關此駭客行為的任何更新,其中應包含有關密碼重置或來自服務的電子郵件的任何資訊。
附註:
Discord是由美國Discord公司所開發的一款專為社群設計的免費網路即時通話軟體與數位發行平台,主要針對遊戲玩家、教育人士、朋友及商業人士,使用者之間可以在軟體的聊天頻道透過訊息、圖片、影片和音訊進行交流。這款軟體可以在Microsoft Windows、macOS、Android、iOS、Linux和網頁上執行。
譯自
Hackers increasingly abuse Cloudflare Tunnels for stealthy connections
By Bill Toulas August 7, 2023
https://www.bleepingcomputer.com/news/security/hackers-increasingly-abuse-cloudflare-tunnels-for-stealthy-connections/
駭客越來越多地濫用合法的 Cloudflare Tunnels 功能,從被入侵的設備建立隱秘的 HTTPS 連接、繞過防火牆並長期使用。這項技術並不是全新的,駭客建立了惡意 PyPI 包,這些包使用 Cloudflare 隧道來秘密竊取資料或遠端入侵設備。
GuidePoint 的 DFIR 和 GRIT 團隊報告,似乎有更多的駭客已經開始使用這種策略,並且活動有所增加。
CloudFlare Tunnels 是 Cloudflare 提供的一項受歡迎的功能,允許用戶與 Cloudflare 網路建立安全、僅限向外的連接以保護Web 伺服器或Web應用程式。
用戶只需安裝適用於 Linux、Windows、macOS 和 Docker 的可用cloudflared客戶端之一即可部署隧道 。在 Cloudflare Tunnel 的連線中,一切的傳輸只透過 tunnel,所有的服務都是封閉並被保護的。Cloudflare Tunnels 提供一系列進出控制、網關配置、團隊管理和用戶分析,使用戶能夠對隧道和暴露的受損服務進行高度控制。
GuidePoint 的研究人員表示,越來越多的駭客濫用 Cloudflare Tunnels 來達到目的,例如秘密持續進出受害者網路、逃避檢測以及洩露受損設備的資料。來自受害者設備的單個命令(除了駭客獨特的隧道令牌之外不會暴露任何內容)足以建立不引人注意的通訊通道。同時,駭客可以根據需要即時修改隧道的配置、關閉和啟用它。
GuidePoint解釋道:“Cloudflare 儀表板中的配置更改後,隧道就會立即更新,從而允許 TA 在只有當他們想要在受害電腦上執行活動時啟用功能,然後關閉功能以防止其基礎設施暴露。”“例如,TA 可以啟用 遠端桌面通訊協定(Remote Desktop Protocol, RDP) 連接,從受害電腦收集資訊,然後在第二天之前關閉 RDP,從而降低被檢測到的機會或觀察網域被用於建立連接的能力。”
由於 HTTPS 連接和資料交換是通過端口 7844 上的 QUIC (Quick UDP Internet Connections)進行的,因此防火牆或其他網路保護解決方案不太可能標記此過程,除非經過專門配置。如果駭客想要更加隱蔽,他們可以使用 Cloudflare 的“ TryCloudflare ”功能,該功能允許用戶在不建立帳戶的情況下建立一次性隧道。
GuidePoint 表示,駭客還可能使用 Cloudflare 的“專用網路”功能,允許駭客遠端進入整個內部 IP 地址範圍。GuidePoint 研究員 Nic Finn 警告說:“現在專用網路已配置完畢,我可以轉向當地網路上的設備,使用僅限於當地網路用戶的服務。”
為了檢測對 Cloudflare Tunnels 的未經授權的使用,GuidePoint 建議企業監控特定 DNS 查詢(在報告中共享)並使用 7844 等非標準端口。此外,客戶可以通過監控與 客戶端版本相關的文件哈希(file hashes)來檢測其使用情況。
譯自
Zenbleed attack leaks sensitive data from AMD Zen2 processors
By Bill Toulas July 24, 2023
https://www.bleepingcomputer.com/news/security/zenbleed-attack-leaks-sensitive-data-from-amd-zen2-processors/
Google 安全研究員 Tavis Ormandy 發現了一個入侵 AMD Zen2 CPU 的新漏洞 (Zenbleed),該漏洞可能讓駭客以每個 CPU 內核 30KB/秒的速度竊取敏感資料,例如密碼和加密金鑰。該漏洞被追踪為 CVE-2023-20593,是由於推測執行 (Speculative execution)期間對名為“vzeroupper”的指令處理不當造成的,推測執行是所有現代處理器中使用的常見性能增強技術。
Ormandy 使用模糊測試和性能計數器來發現特定的硬體事件,並使用一種稱為“Oracle Serialization (Oracle 序列化)”的方法驗證他的結果。通過這種方法,作者能夠檢測到隨機生成的程式的執行與其序列化預言之間的不一致,從而在 Zen2 CPU 中發現了 CVE-2023-20593。在觸發針對該漏洞的優化入侵後,研究人員可以從任何系統操作中洩露敏感資料,包括在虛擬機、隔離沙箱、容器等中發生的操作。
Ormandy 在該漏洞的技術文章中解釋道 “這需要一些工作,但我發現了一個變體,每個核心每秒可以洩漏約 30 kb 的資料。這足以在用戶登錄時監控加密密鑰和密碼!” 。
研究人員於 2023 年 5 月 15 日向 AMD 報告了該漏洞。該漏洞影響所有建立在 Zen 2 架構上的AMD CPU,包括 Ryzen 3000(“Matisse”)、Ryzen 4000U/H(“Renoir”)、Ryzen 5000U(“Lucienne”)、Ryzen 7020 以及高端 ThreadRipper 3000 和 Epyc 伺服器(“Rome”)的處理器。
如果您的 CPU 受到“Zenbleed”的入侵,建議應用AMD 的新微碼更新或等待您的電腦供應商在未來的 BIOS 升級中納入修復程式。或者,研究人員提出了 將“chicken bit”設置為 DE_CFG[9] 的另類解決方法 ,但這種解決方法會導致 CPU 性能下降。
Ormandy 的結論是,檢測 Zenbleed 的入侵是不太可能的,因為“vzeroupper”的不當使用不需要提升權限或特殊的系統調用,因此非常隱蔽。
Zenbleed 對普通用戶的實際影響相對較低,因為它需要對目標系統的局部存取 (local acess)以及高度的專業化和知識來侵入。
然而,最重要是必須讓系統保持最新的安全補丁,並盡快使用任何BIOS 更新。請更新AMD 剛剛發布了受影響系統的更新微代碼!https://t.co/NVPWFpVopz pic.twitter.com/HgKwu9w8Av
摘譯自
It’s still a challenge to spot Chinese state media social accounts
Zeyi Yang 楊澤一 2023 年 7 月 19 日
https://www.technologyreview.com/2023/07/19/1076493/china-twitter-state-media-latam/
中國官方媒體在西方社交媒體上活躍不是什麼秘密,但為了吸引更多毫無戒心的觀眾,他們會採取隱蔽的方式與中國保持距離。
網路安全研究公司 Nisos 的情報顧問桑德拉·昆科塞斯 (Sandra Quincoses) 發現,三個賬戶在 Twitter 上發布了有關巴拉圭、智利和哥斯達黎加的新聞。這些賬戶似乎與這些國家的三份中文報紙有關。這三家報紙都是巴西華人社區報紙《南美華僑報業網》的子公司。三個賬戶的內容通常相同,很少有新聞帶有明顯的政治色彩。通常包括有關中國文化的西班牙語新聞、中國網路爆紅影片以及每隔幾天發布一篇熊貓郵報 (panda post)。
昆科斯說,問題在於他們隱藏了新聞的來源。這些賬戶經常發布來自中國最著名的官方出版物之一中國新聞社(CNS)的文章,但他們都沒有註明新聞的來源出處。有時,這些賬戶會做一半。例如,他們可能會指定該新聞來自“Twitter •mundo_china”,但實際上並未標記@mundo_China(隸屬於中國國家廣播公司的賬戶)。
Quincoses 說 “當您沒有使用正確的“@”格式提及 Twitter 賬戶時,從 Twitter 收集資訊進行分析的工具就無法識別這一點”。因此,這些賬戶可以在社交網路分析工具的雷達下橫行,使研究人員很難將它們與明顯與中國政府相關的賬戶聯繫起來。目前尚不清楚這些賬戶及其所屬報紙是否由中國官方媒體直接控制。但儘管它們不易看懂,但有真正的中國外交官在追踪它們,暗示著官方批准。政府媒體 CNS 正在與這些報紙密切合作。
CNS隸屬於中國共產黨統戰部。在20 世紀 90 年代,它開始與世界各地華人移民社區的媒體建立聯繫。如今,中新社 (CNS)和這些移民社區報紙經常聯合發表文章,中新社還邀請這些媒體的高管來中國參加一個名為“全球華文媒體論壇”的會議。其中一些出版物經常被指控被CNS 控制甚至擁有,主要的例子是總部位於加州的《中國報 China Press》。
隨著媒體進入數位時代,越來越多的證據顯示這些海外僑民出版物與中新社有著密切的聯繫。Nisos 報告稱,Sinoing(也稱為北京中新中文科技發展公司或北京中新中文媒體服務公司)是 CNS 的全資子公司,是全球六大洲 36 個此類新聞網站的開發商。它還為近十幾家此類媒體製作了移動應用程式 (mobile apps),其中包括擁有這三個 Twitter 賬戶的南美華僑報業網。Nisos 報告稱,這些應用程式在資料收集方面也特別具有攻擊性。 CNS在招聘一名海外社交媒體經理的職位描述中明確寫道,該工作涉及“在海外社交平台上建立和管理中層賬戶和隱藏賬戶”。
目前尚不清楚本報告中提到的三個 Twitter 賬戶是否由 CNS 經營。如果這確實是一次秘密行動,那就做得有點太好了。儘管這些賬戶每天發佈新聞數次,但其中兩個賬戶的粉絲數僅為個位數,而另一個賬戶的粉絲數約為 80 人,其中包括一些真正的中國駐西班牙語國家外交官。大多數新聞的參與度很低。
一直以來中國的社交媒體宣傳活動是不太成功。今年 4 月,谷歌在“與中國官方有關的垃圾郵件影響力網路”中發現了超過 10 萬個賬戶,但大多數賬戶的訂閱者為 0,並且超過 80% 的影片觀看次數不足 100 次。Twitter和Facebook過去也曾進行過類似的失敗嘗試。
昆科斯說,在她研究過的所有國家行為者中,中國在談到此類網路的意圖時是最不直接的,且可能會打持久戰。 或者也許他們只是還沒有弄清楚如何有效地運行隱藏的 Twitter 賬戶。 據 Quincoses 稱,這些賬戶從未屬於 Twitter 被貼上政府資助媒體標籤的賬戶(Twitter 在 4 月份放棄了這種做法)。這可能與這些賬戶的吸引力有限有關,或者與他們努力掩蓋與中國官方媒體的關係有關。
隨著其他平台不斷湧現以挑戰 Twitter,中國官方媒體也開始出現在這些平台上。中國主要的官方新聞機構新華社在 Mastodon 上擁有多個賬戶,其中之一仍然定期發稿。該國的國家廣播公司 CGTN 在 Threads 上擁有一個賬戶,該賬戶已經擁有超過 50,000 名關注者。
譯自
CISA shares free tools to help secure data in the cloud
By Sergiu Gatlan July 17, 2023
https://www.bleepingcomputer.com/news/security/cisa-shares-free-tools-to-help-secure-data-in-the-cloud/
美國網路安全和基礎設施安全局 (CISA) 分享了一份內容概要說明書,提供了有關從當地環境切換到雲後保護數位資產的免費工具和指南。
新發布的說明書可幫助網路防護者、事件反應分析師和網路安全專業人員降低資訊盜竊和洩露以及資料加密和勒索攻擊的風險。它旨在協助完成識別、檢測和減輕管理基於雲或混合環境時遇到的已知漏洞和網路威脅的關鍵任務。
這些工具是對雲服務提供商提供的內置工具的補充,有助於增強網路基礎設施的彈性,加強安全措施,及時識別惡意破壞,仔細找出潛在威脅途徑,並在被入侵後有效查明惡意活動。
CISA 表示:“雲服務平台和雲服務提供商 (CSP) 已經為企業開發了內置安全功能,以增強在雲環境中運營時的安全能力。”“鼓勵企業使用 CSP 的內置安全功能,並利用 CISA 和合作夥伴開發的免費工具/應用程式來填補安全漏洞並補充現有的安全機能。”
說明書中重點介紹的、由 CISA 與合作夥伴合作開發的免費工具列表包括:
. Cybersecurity Evaluation Tool (網路安全評估工具CSET):協助企業評估其企業和資產網路安全狀況
. SCuBAGear(Secure Cloud Business Application Gear安全雲業務應用程式齒輪):幫助將配置與 CISA M365 基本建議進行比較
. Untitled Goose Tool:幫助檢測 Microsoft 雲環境中的惡意活動跡象
. Decider:幫助生成 MITRE ATT&CK 對應報告
. Memory Forensic on Cloud(日本 CERT):在 Amazon Web Services (AWS) 上建立內存取證環境 (memory forensic environment)
雖然這些工具並不包羅萬象,但它們可以幫助檢測惡意活動,增強抵禦破壞性網路攻擊的能力,並協助補救和調查工作。
附註:
digital asset(數位資產)是指企業或個人擁有或控制的,以電子資料形式存在的,在日常活動中持有以備出售或處於生產過程中的非貨幣性資產,是經過二進位編碼的任何被授權使用的文字或媒體資源,包括文字內容、圖片和多媒體。
數位資產包括網站及其內容、域名、應用軟體、代碼、電子文件、圖片內容、媒體內容、電子貨幣、電子郵件、遊戲帳號、帳號及其內容、社群網路帳戶及其關係和內容、雲端服務帳戶及其資料等。
譯自
Microsoft: Unpatched Office zero-day exploited in NATO summit attacks
By Sergiu Gatlan July 11, 2023
https://www.bleepingcomputer.com/news/security/microsoft-unpatched-office-zero-day-exploited-in-nato-summit-attacks/
微軟於2023/7/11披露了多個 Windows 和 Office 產品中存在未修補的零日安全漏洞,駭客通過惡意 Office 文檔廣泛利用該漏洞以執行遠端代碼。未經身份驗證的駭客可以在高複雜性攻擊中利用該漏洞(追朔為CVE-2023-36884),而無需與用戶互動。成功利用該漏洞可能會導致機密性、可用性和完整性完全喪失,從而使駭客能夠存取敏感資訊、關閉系統保護並阻絕登陸被入侵的系統。
微軟已經知到有針對性的攻擊試圖通過使用特製的 Microsoft Office 文檔來利用這些漏洞。雖然該漏洞尚未得到解決,但微軟表示將通過每月發布流程或頻外(out-of-band)安全更新為客戶提供補丁。
可用的緩解措施
微軟表示,在 CVE-2023-36884 補丁發布之前,使用 Defender for Office 的客戶以及啟用了“Block all Office applications from creating child processes” 的客戶將受到保護,免受試圖利用該漏洞的網路釣魚攻擊。
不使用這些保護的用戶可以將以下應用程式名稱添加到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION registry key作為 REG_DWORD 類型的值,數據為 1:
Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
但是,請務必注意,設置此registry key以阻止被入侵,也可能會影響與上面列出的應用程式鏈接的某些 Microsoft Office 功能。
駭客利用此漏洞攻擊北約峰會與會者
最近針對參加立陶宛維爾紐斯(Vilnius, Lithuania) 北約峰會的組織的攻擊利用了 CVE-2023-36884 漏洞。
烏克蘭電腦緊急反應小組 (CERT-UA)和BlackBerry (黑莓)情報團隊研究人員發布的報告:駭客使用冒充烏克蘭世界大會組織的惡意文檔來安裝惡意軟體payloads (有效負載),包括 MagicSpell loader和 RomCom 後門。BlackBerry (黑莓)安全研究人員表示:“如果成功利用該漏洞,駭客可以通過製作旨在利用該漏洞的惡意 .docx 或 .rtf 文檔來進行基於遠端代碼執行 (RCE) 的攻擊。”
微軟於7/11表示:“於 2023 年 6 月檢測到該駭客的最新活動,涉及濫用 CVE-2023-36884,以提供與 RomCom 類似的後門。”
譯自:
300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
By Bill Toulas July 3, 2023
https://www.bleepingcomputer.com/news/security/300-000-plus-fortinet-firewalls-
vulnerable-to-critical-fortios-rce-bug/
近一個月之前, Fortinet 為了解決CVE-2023-27997 的嚴重資安問題做了更新後,
三十萬台以上 FortiGate 防火牆仍未修補此一嚴重漏洞。
該漏洞是一個遠端代碼執行漏洞,嚴重程度為 9.8 分(滿分 10 分),是FortiOS
堆積緩衝區溢位 (heap-based buffer overflow)問題造成的,FortiOS 是連接所有
Fortinet 網路組件並將其整合到供應商的資安結構 (Security Fabric) 平台中的操作
系統。
CVE-2023-27997 被不正當地利用,允許未經身份驗證的駭客通過在網路上公開
的 SSL VPN介面在易受攻擊的設備上遠端執行代碼。
Fortinet 於2023 年的 6 月 11 日解決了該漏洞問題,然後 發布了 FortiOS 韌體版
本 6.0.17、6.2.15、6.4.13、7.0.12 和 7.2.5,並公開披露該漏洞。
Bishop Fox是一個攻擊性資安解決方案的公司。 他在2023-6-30報告稱,儘管有人
呼籲修補,但超過 300,000 個 FortiGate 防火牆設備仍然容易受到攻擊,並且可
以通過公共網際網路被入侵。
Bishop Fox 研究人員使用 Shodan 搜索引擎來尋找SSL VPN 介面暴露的設備。他
們將結果過濾為重定向到“/remote/login”的結果。查詢的結果顯示了 489,337 個
設備,但並非所有設備都容易受到 CVE-2023-27997(也稱為 Xortigate)的攻擊
。經過進一步調查,研究人員發現,所發現的設備中有 153,414 台已更新為安
全的 FortiOS 版本。
Bishop Fox 研究人員表示,通過網路入侵的 FortiGate 防火牆中約有 335,900 個
容易受到攻擊。Bishop Fox的另一個發現是,許多暴露的 FortiGate 設備在過去八
年裡都沒有收到更新,其中一些執行的是FortiOS 6,該版本已於2022年 9 月 29
日終止支援。
附註:
Security Fabric : Security Fabric (資安結構)允許您的網路自動查看並動態隔離受影
響的設備、劃分網段、更新規則、推出新策略以及刪除惡意軟體。資安結構旨
在覆蓋整個攻擊面,並為您提供網路的完整可見性。
SSL VPN : Secure Sockets Layer 虛擬私有網路(SSL VPN) 透過Web 入口網站和私
有裝置與辦公網路之間的SSL 安全通道提供安全的遠端存取。
HTML Code Generator