2017年3月7日 星期二

106 年 1月份 TWCERT/CC資安情資月報

在資安威脅方面,無人機網路安全亮紅燈,報導指出多軸飛行器易遭駭客攻擊,另資安專家指出兒童可能成為駭客目標。在資安政策方面,多國皆有新制定之資安相關政策,我國建立臺版VirusTotal,預計於年中上線,避免政府機敏資料外流,美國空軍則建立新的部門,以預防武器系統遭受網路攻擊,而英國政府則推廣「少女養成計畫」保衛國家資安,另日本將於2月實施奧運的資安防護演習。

在駭客攻擊事件方面,舊版MongoDB資料庫允許外部連結作為預設配置,駭客竊取資料庫後勒索用戶;另駭客新手法,利用特製的假 Google 登入網址誘騙使用者。
在軟硬體漏洞部分,Microsoft、Mozilla、Joomla!、PHPMailer、SwiftMailer及Zend-Mail皆存在漏洞,並需進行安全更新。

在本月專題彙整分析部分,主題為物聯網設備風險,物聯網裝置雖然讓生活更加方便,但卻也衍生出許多ㄧ般民眾所不知道的資安風險。本章節將會依序介紹物聯網駭侵事件、Insecam及結論與建議。

國內外重要資安新聞

國內外資安政策、威脅與趨勢

1、美國空軍建立新的部門,以預防武器系統遭受網路攻擊

美國空軍建立一專責的新部門,名稱為武器系統網路攻擊緩解部門(The Cyber Resiliency Office for Weapons Systems,CROWS),該部門主要任務為防止自身武器系統遭受網路攻擊,他們將研究目前空軍任務所需設備會面臨那些網路威脅,以利後續武器系統能以模組化方式開發,除未來可快速重新設計,在面對新型資安威脅時也可快速反應,同時也讓武器系統在開發時,能與美國國防部現有的資安防護小組間能有更緊密的聯繫,未來該部門除了支援系統開發時資安防護部分,也需要為整體空軍提供資安教育訓練。

CROWS的建立是空軍面臨資安威脅最新的應對方式,但空軍也指出,由於軍隊分配預算時至今尚未將此列為優先考量事項,因此要讓武器系統能夠得到更完善的防護,至少還要花上5至7年的時間。而一開始,這項能力雖然有高度需求,但可支援人力仍不足,目前會先專注於找尋可以在系統開發流程中協助資訊安全部分的人才。
 (美國Federal News Radio)


2、可疑檔案自己檢測,臺版VirusTotal年中上線,避免政府機敏資料外流

政府資安點線面,點的ISAC連成不同部會和產業的資安情報分享,資安處協力TWCERT/CC和國網中心,打造臺版VirusTotal檢測平臺,進一步擴大到外部資安協力單位以及進行資安前瞻研究的學術單位合作,連成資安點線面以確保國家資安防護基礎逐步穩固。
 (資料來源:臺灣IThome)


3、無人機網路安全亮紅燈!美國 FTC:多軸飛行器易遭駭客攻擊

2016 年 10 月,美國聯邦貿易委員會測試了 3 款無人機,包括:Parrot AR Drone Elite Quadcopter,DBPower  Hawkeyes 2nd FPV Motion Sensing Quadcopter,以及 Cheerson  CX-10w,結果發現受測無人機非常容易被入侵,網路安全程度極低。由於無人機數據採用未經加密方式傳送,所以研究員很容易便可截取當中的圖傳影像,並成功取得其中兩款無人機的飛行控制權,能隨時關掉飛行器,導致機體墜落。測試時發現,所有受測無人機所用的遙控 app,當有第三者連接至飛行器時,不會向無人機所有人發出通知,這代表無人機被他人入侵了,操作者也毫不知情。

其實,每台無人機均可視作一個 Wi-Fi 連接點,可跟不同裝置相連,但進行連接時卻不需要輸入密碼,明顯缺乏網路保護機制。FTC 則建議,廠商應替無人機的 Wi-Fi 數據進行加密 ,並加入密碼保護機制,以免遭駭客利用。
 (資料來源:香港DronesPlayer)


4、英國政府推「少女養成計畫」 保衛國家資安

英國政府去年11月開始推動為期5年的國家網路安全計畫;英國情報機構政府通信總部(GCHQ)近日推出針對13歲至15歲少女的資安競賽,期望培養這些平時就熱愛社群媒體的女性,未來投入保衛國家網路安全的行列。GCHQ設計一系列包括程式編碼、密碼學、邏輯等資安相關的關卡,邀請13歲至15歲的少女組隊挑戰;資安競賽自2月開跑,4人為1組參賽,最後積分最高的10組將受邀到倫敦參加決賽「CyberFirst」,決賽主題為因應駭客的威脅,決賽獎品則包括價值1000英鎊(新台幣約4萬元)的電腦設備。GCHQ指出,全球的資安工作者當中,女性所占比例僅約10%,然而女性的表現相當亮眼,期盼能借由這項競賽,鼓勵及培養更多女性投入相關職場。GCHQ針對13歲至15歲少女的資安競賽,是英國政府國家網路安全計畫的一部分,該項計畫為期5年,由負責國家資安的英國國家網絡安全中心(NCSC)主辦。
 (資料來源:臺灣自由時報)


5、資安專家指出兒童可能成為駭客目標

資安專家指出,現代兒童多數在出生沒多久後就開始接觸科技,甚至可能在學會走路前就已經會使用平板電腦觀看Netflix節目,現在有許多幼稚園也會讓兒童在線上完成作業,但他們卻對於若是線上資料外洩會造成的影響沒有概念。為了避免兒童過度信任網路卻不懂得資安風險,家長可以盡早教導小孩如何避免駭客攻擊,例如設置高強度密碼及養成良好登入登出習慣,並且教導兒童多重要素驗證等簡單資安觀念,兒童的學習力會遠超出你的預期。
 (資料來源:美國WIVB News 4)


6、日本將於2月實施奧運的資安防護演習

日本將在2020年舉辦奧林匹克及帕拉林匹克運動會,因此將於今年2月以此為構想展開資安防護演習。為了讓演習內容寫實,將會創造出一個虛擬的營運系統,該演習使用NICT所架設之資安競技場(サイバーコロッセオ)中虛擬網路環境來進行,演習大會組織委員會及約50名民間IT業者一同參加,屆時將會分為攻擊方跟防守方,並以對戰形式進行演習。2012年的倫敦奧運時官方網站受到約2億次的不正當存取,2016年里約奧運時的官方網站則受到2000萬回的攻擊,而演習將會參考此數據,並設計針對官方網站、票券販售、WiFi環境、現場轉播及警備系統等所進行的攻擊。而為了加強參加者能力,此次演習將會反覆實施,後續也將跨大為全國資安防護演習,人數將會擴大為3000人,並募集來自地方自治組織、電力、瓦斯、通訊及鐵道等重要關鍵基礎建設的企業參加者。
另外針對資安人才不足的問題,將會設置國家資安訓練中心(ナショナルサイバートレーニングセンター),從全國大學及高等專門學校招募年輕人才,訓練擁有高度網路攻防知識的白帽駭客。
 (資料來源:日本産経ニュース)

駭客攻擊事件及手法

1、駭客新手法,利用特製的假 Google 登入網址誘騙使用者

資安專家發現新的網路釣魚行為,目標族群為 Google 使用者,且即使有基本資訊知識也有可能受騙。首先駭客已取得某個使用者 Google 帳號,透過其信箱尋找該使用者近期發出的信件,再以相似的信件主題發給相對的收信人,並夾帶圖檔或PDF等常見檔案。該附件因為藏有特製的網址,因此一旦點擊則會跳至假冒 Google 登入畫面的釣魚網站。然而該網址確實包含合法 Google 登入網址,使得即使有基本資訊基礎的人可能稍看網址一眼卻也可能不會察覺有異而輸入了帳密,並按下登入也同時傳送給駭客。但其合法登入網址開頭其實加入了"data:text/html,"指令,以及在合法網址後面加入 Base64 編碼而成能導向真正釣魚網站的 script 語法,因為一般人不會查看完整網址,而相當可能因此不自覺地奉上自己的帳號密碼。

編註:TWCERT/CC 建議 Gmail 用戶注意不要任意開啟不明附件,並盡可能使用雙因素認證功能,以免遭駭客利用。


2、舊版MongoDB資料庫允許外部連結作為預設配置,駭客竊取資料庫後勒索用戶 

 安全研究人員Victor Gevers警告,一名暱稱為Harak1r1的駭客攻擊網路上的公開MongoDB資料庫,該駭客先將MongoDB上的資料匯出,再把MongoDB伺服器上的資料移除,然後向資料庫所有人勒索,若想要回復資料的都必須支付0.2個比特幣(約208美元)的贖金,有近2000個擁有者資料遭毀損。

受到影響的多為以允許外部連結作為預設配置的舊版MongoDB,雖然MongoDB已修補了該問題,但這些舊版本仍然是AWS或其他雲端代管服務所採用的預設版本。

●Gevers提醒資料庫管理者:
(1)檢查有否可疑的MongDB帳號,或是在GridFS中有否可疑檔案
(2)檢視MongoDB的存取紀錄,同時也應封鎖27017埠的存取能力或限制只可由本地IP存取。

編註:TWCERT/CC提醒資料庫管理者,該事件非勒索軟體所造成,而是系統預設開啟該功能,而遭有心人士利用,可參考以下連結更新MongoDB資料庫,以修補該漏洞。


軟硬體漏洞資訊

1、Microsoft發佈安全更新

本次安全更新修補了Microsoft漏洞,其中最嚴重的弱點,可能在使用者以Internet Explorer檢視蓄意製作的網頁時允許遠端執行程式碼,成功利用此弱點的攻擊者可以取得與目前使用者相同的使用者權限。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

2、Mozilla發佈Firefox、Firefox ESR安全更新

本次安全更新修補了Firefox、Firefox ESR之安全漏洞,部分漏洞是由於程式的缺陷,導致瀏覽器在處理SkiaGl時超過了處理程式限制的範圍,導致緩衝區溢位,駭客可能利用這種漏洞攻擊方式,向SkiaGl寫入使之溢位的內容(通常是超過緩衝區能儲存的最大數據量的資料),從而破壞程式執行、並取得程式乃至系統的控制權。


3、Joomla!發佈安全更新

本次安全更新修補了Joomla!之安全漏洞,其中包含一個高危險漏洞,該漏洞是由於Joomla擴充元件中的DT Register存在SQL Injection,允許遠程未經驗證的攻擊者通過cat參數執行任意SQL,駭客可能利用這些漏洞攻擊方式,透過惡意之SQL指令,可讓未獲授權的遠端使用者挾持管理員通訊連線,取得管理員權限,控制整個網站,甚至進一步執行其他攻擊。
 


4、PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞,請儘速確認並進行修正(轉發技服中心資訊)

PHPMailer是一個用於發送電子郵件的PHP函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他開放源專案使用,例如WordPress、Drupal與Joomla等。

2016/12/16波蘭研究員Dawid Golunski發現5.2.18版本以前的PHPMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於PHPMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如" email address with spaces"@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10033)。

針對CVE-2016-10033漏洞,雖然PHPMailer官方網站已於12/24釋出5.2.18更新版本,但因更新內容不夠完善,攻擊者仍可透過再增加單引號(‘)方式繞過其更新之過濾防護機制(弱點編號為CVE-2016-10045漏洞)。因此請儘速將PHPMailer更新至5.2.20(12/28釋出)以上版本。

5、SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞,請儘速確認並進行修正  (轉發技服中心資訊)

SwiftMailer是一個用於發送電子郵件的PHP物件導向函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他專案使用,例如Yii2、Laravel及Symfony等網頁應用程式框架。

2016/12/30波蘭研究員Dawid Golunski發現5.4.5-DEV版本(含)以前的SwiftMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。

原因在於SwiftMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如" email address with spaces"@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10074)。

6、Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞,請儘速確認並進行修正(  轉發技服中心資訊)

Zend Framework是一個使用PHP 的物件導向且開源的WEB應用程式與服務開發框架,其中Zend-Mail為Zend Framework之電子郵件元件。

2016/12/30波蘭研究員Dawid Golunski發現2.4.11版本以前與2.5.0~2.7.1版本的Zend-Mail 及2.4.11版本以前的Zend Framework存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。

原因在於Zend-Mail實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如" email address with spaces"@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10034)。

 專題彙整分析 – 物聯網設備風險

隨著科技進步,許多家電都紛紛智慧化,並可即時連上網路,以利使用者遠端操控這些設備,例如可遠端控制溫度的智慧冰箱、可由智慧型手機遠端控制燈泡及可即時監控家中狀況的網路攝影機等,而這些裝置雖然讓生活更加方便,但卻也衍生出許多ㄧ般民眾所不知道的資安風險。本章節將會依序介紹物聯網駭侵事件、Insecam及結論與建議。

1、物聯網駭侵事件

2016年年底,美國爆發了一起重大駭侵事件,自稱為New World Hackers的駭客在10月21日利用Mirai病毒,將美國大量的網路攝影機和相關的DVR攝影機感染為殭屍,並操縱整個殭屍網路對美國域名服務器管理機構 Dynamic Network Service(Dyn)進行極大量的DDoS攻擊,導致美國多個知名網站被迫中斷服務,包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。

事件爆發後,專家發現這些大量攻擊來自物聯網裝置,例如路由器及網路攝影機等。由於使用者購買這些裝置後多僅將設備安裝好就開始使用,並無修改掉預設帳號密碼等安全性設定,加上廠商多會將產品說明文件置於網路上供使用者參閱,要找到各廠牌及型號所對應到的預設帳號密碼非常容易,因此造成極大的資安風險存在,此次攻擊中甚至發現一中國廠商所生產網路攝影設備的預設密碼被寫入到韌體中,使用者不知道這組密碼存在,也無法修改密碼,有心人士即可從Google及Shodan等搜尋引擎直接找到連接在網路上的物聯網裝置,並使用廠商預設密碼取得設備存取權限,以進行進一步惡意行為。

這次的駭侵事件雖提升了大眾對於物聯網駭侵事件的警覺心,但物聯網相關的駭侵事件及資安風險仍層出不窮,例如美國玩具公司Genesis Toys 所推出的「凱拉娃娃」(My Friend Cayla)玩偶,該玩偶具有語音識別和對話功能,可透過Wi-Fi連接至資料庫,並經由人工智慧系統分析,與孩童進行即時對話。但由於凱拉娃娃存在資安漏洞,導致對話內容可能被駭客攔截,令隱私曝光。除了智慧玩具,印表機也是遭受攻擊的目標之一,日前亦有攻擊者入侵了15萬台的網路印表機,受影響的印表機品牌十分眾多,包含Canon、Epson、HP、Lexmark及Brother,攻擊者則聲稱這些印表機已成為殭屍網路的一部份。

由上述各案例即可了解,現在不只有電腦會遭受網路攻擊,而是所有聯網的設備都有可能成為攻擊者下手的目標。雖然目前多數家庭仍未使用大量物聯網裝置,但智慧家庭是現今科技發展趨勢,日常生活所用之家電亦逐漸更換為智慧家電,因此提前準備好充足的防護知識及能量為勢在必行。

2、Insecam

在所有的物聯網裝置中,目前最被普遍使用在日常生活上的就是網路監控攝影機,不論是辦公室、店家、道路、工地、風景區或一般住家,為了監控或是保全因素而安裝,全世界都有數量非常龐大的網路攝影機隨時連接在網路上,而若安全性沒有確實做好設定,就容易成為被攻擊或入侵目標。

2.1、網站介紹

Insecam是一個揭露全世界網路攝影機的網站,只要使用者所架設的網路攝影機可經由網路連上,並且沒有為操控介面設定密碼,或使用預設密碼,就可能會被揭露在此網站上。目前該網站蒐集Axis、Canon、Defeeway、Foscam、Linksys、Mobotix、Netcam、Panasonic、PanasonicHD、Sony、TPLink及Webcam XP/7等品牌的網路攝影機,網站畫面則如圖1所示。有心人士若是取得此清單,則可以利用操控介面任意操控此些攝影機,並可能進行惡意行為。

圖1、Insecam網站畫面

點入各個攝影機畫面後可看到進一步資訊,包含攝影機所在國家、地區、城市、經緯度、時區及廠牌名稱,網友也可以幫此攝影機畫面加上標籤,例如辦公室、餐廳、河流及交通等,如圖2所示。網頁顯示的經緯度位置並非網路攝影機的實際地理位置,通常為該IP所屬ISP業者位置。

圖2、Insecam揭露網路攝影機
  
該網站強調,被列在上面的網路攝影機並不是被駭了,而是因為連在網路上,又使用了原廠安全設定,像是使用預設密碼,才導致網站可以直接抓取到這台網路攝影機的影像。若是發現自己所架設的網路攝影機被列在上面也不用太緊張,只要自行更換網路攝影機的密碼後,網站就會把你的網路攝影機下架。另外該網站成立的目的並不是要窺探私人生活隱私,而是要引起大眾對於此類連網設備安全性的重視,因此,若是發現網站上有拍攝私人隱私畫面的網路攝影機,只要寄信請網站移除即可。

2.2、TWCERT/CC協處

TWCERT/CC定期於此網站監控國內網路攝影機,若發現網路攝影機之IP可查詢到對應單位,例如教育單位及政府單位,或是利用攝影機畫面可辨識或追蹤出所屬單位,則會以電話及信件通知該單位進行處理,如圖3所示,同時協請該單位清查單位內類似設備,以免其他設備因為同樣原因導致畫面遭公佈在網路上。
圖3、TWCERT/CC協請網路攝影機所屬單位進行處理

3、結論與建議

TWCERT/CC建議您留意與自行設定管理網路攝錄影機等連網設備,使用者應確認連網設備是否無身份驗證機制或使用預設密碼,並持續注意相關訊息,以及可參考下列建議措施降低連網設備風險:
  • 啟用身份驗證機制,並修改連網設備預設密碼,變更為符合複雜度之強密碼,例如使用20位以上由英文、數字及特殊符號混合的密碼。
  • 設定防火牆可連線至連網設備的IP與埠(Port),以確保連線不為非授權使用。
  • 對於不請自來的電子郵件請勿隨意點選附件或網路連結,須再三確認信件內容及寄件人習慣的合理性,以免遭植入惡意程式。
  • 留意所使用之連網設備是否需要更新軟、韌體,以免設備漏洞遭利用並進行惡意行為。
  • 不使用無法更改原廠安全性設定之連網設備,以免有心人士利用原廠設定任意操控該設備。

(參考資料:CNEWS、Insecam、IThome、TWCERT/CC)

沒有留言:

張貼留言