2018年1月15日 星期一

107 年 1月份 TWCERT/CC資安情資電子報


第 1 章、摘要

為提升我國民眾資安意識,TWCERT/CC於每月發布資安情資月報,月報中統整上月重要資安情資,包含TWCERT/CC近期動態、資安政策、資安威脅、資安趨勢、駭客攻擊事件、軟硬體漏洞及資安事件通報統計分析等資訊。
TWCERT/CC近期動態,本中心於上月參加「2018資安趨勢論壇」研討會
在資安政策方面,白帽駭客能量應釋出 為資安注契機,另銀行執行內稽,著重資安三重點,而為了防止洩密,印度令邊防兵刪微信微博,另中國主辦世界互聯網大會,強調網路主權。資安趨勢方面,AKAMAI發布「2017 年第三季網際網路現狀──安全報告」,另密碼規則的盲點與未來可能發展。
在駭客攻擊事件方面,資安公司Fox-IT遭中間人攻擊,部分網域資訊一度遭接管與攔截。
在軟硬體漏洞部分, D-Link升級DIR-605L韌體以解決HNAP服務阻斷漏洞; VMware釋出4類升級產品修補多組漏洞;Android被公布47漏洞,其中Janus能導致惡意碼以系統身分執行;Google更新Chrome修補37漏洞;Microsoft緊急修補Malware Protection Engine防止嚴重RCE事件接管系統權限;F5更新BIG-IP防止Double Free MemoryCCA2攻擊;OpenSSL公布2漏洞恐洩漏private keyBypass加解密;Cisco至少二類產品恐遭ROBOT攻擊而解密資料,且暫無安全更新;PostgreSQL初始化導致Red Hat Enterprise Linux 7系統權限被接管;Apple密集更新多款設備,防禦KRACK暨劫持智慧家電等攻擊行為;Palo Alto更新防火牆作業系統PAN-OS阻擋組合式攻擊;IoT殭屍網路Satori正大肆攻擊華為家用型routerCitrix修補多版XenServer避免實體機DoS
在資安競賽部分,2018127日至28日於輔仁大學聖言樓中舉辦「輔大 NISRA Hackathon」。
本月份事件通報統計部分,分別介紹通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖等統計數據,經統計分析後,本月以國外駭客掌握國際相關電郵帳密清單情資為大宗。

第 2 章、TWCERT/CC近期動態

2.1、1061219TWCERT/CC參加「2018資安趨勢論壇研討會

TWCERT/CC1061219日參加「2018資安趨勢論壇」研討會,此次會議是由資安人主辦,參與對象主要中小企業,此次以金融相關單位為主,針對從資安立法的角度、資訊長的角色扮演、銳不可抵的金融科技、全球網際網路威脅等項目為研討內容,TWCERT/CC也於此次研討會上針對TWCERT/CC106年度的通報狀況進行分析,並提出未來企業需要特別防範的資安威脅及給予相關建議,以及TWCERT/CC可提供民眾的服務內容進行推廣。底下將列出從106年度資安通報的狀況來看,整理出對於個人及企業較需注意的10項資安威脅防護建議:
(1).   個資外洩
n 個人:不輕易將個人資料留於網路上。
n 企業:對客戶資料善盡保護責任,否則可能會因違反個資法而遭求償,或商譽受損。
(2).   社交工程攻擊
n 開啟郵件及附檔時需小心謹慎,勿開啟不明來源信件,安裝防毒軟體。
(3).   勒索軟體攻擊
n 開啟不明來源信件,系統定期更新、資料需備份,安裝防毒軟體。
(4).   網站/系統弱點攻擊
n 系統開發納入源碼檢測、弱點掃描及滲透測試等安全軟體發展流程(Secure Software Development Life Cycle, SSDLC),並進行系統定期更新。                      
(5).   釣魚網頁
n 勿點擊不明網頁連結,安裝防毒軟體。
(6).   弱密碼
n 修改預設密碼,定期更新密碼,注意密碼複雜性。
(7).   機密資料外洩
n 資料加密,勿將資料隨意置於雲端或上傳國外程式分析平台。
(8).   Webcam、印表機(事務機) I oT遭控制利用
n 勿使用預設帳密,非必要勿暴露於網路中。
(9).   APP偽冒
n 開發商:上線前需進行安全檢測。
n 用戶:勿安裝不明來源App
(10).       DDoS攻擊
n 用戶:弱點與惡意程式檢測,並安裝防毒軟體,以避免成為DDoS攻擊幫兇。
n 企業:建置DDoS防護機制。

第 3 章、國內外重要資安新聞

3.1、國內外資安政策、威脅與趨勢

3.1.1、AKAMAI發布「2017 年第三季網際網路現狀──安全報告」

Akamai Technologies, Inc. 發布的「2017 年第三季網際網路現狀──安全報告」最新資料顯示,網路應用程式攻擊無論在每一季或年度皆明顯持續增長。同時,對Mirai殭屍網路與WireX惡意軟體的進一步研究分析指出,攻擊者可能利用物聯網和Android裝置建立日後的殭屍網路大軍。

資料來源:http://technews.tw/2017/12/05/q3-state-of-the-internet-security-report/

3.1.2、密碼規則的盲點與未來可能發展

數位身份識別將是未來所有新興科技都要共同面對的問題。回到管理風險角度來看,組織應該依據提供服務的特性,面對威脅的狀態,風險評估的結果,選擇複合性的安全規則,並採取既「分工」又「合作」的策略,才能有效的解決「變更密碼」的問題,此外,必須瞭解密碼強度的目的是保護密碼,防範用戶身分遭到盜用,所以重點一定要放在效果,如果誤將手段當成目的,那勢必是事倍功半、徒勞無功。

資料來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=8549&pages=2

3.1.3、總統:白帽駭客能量應釋出 為資安注契機

總統蔡英文於1211日在總統府經國廳出席「府會資安週」開幕式,提到打造國家級資安機制等3大目標;她也說,台灣有一群年輕充滿活力的白帽駭客,這股創新和創業能量應該被釋放出來,為台灣資安產業注入新的契機。

資料來源:http://www.cna.com.tw/news/aipl/201712110074-1.aspx

3.1.4、防洩密 印度令邊防兵刪微信微博

印度安全機構向中印邊境部隊下達指令,要求軍人刪除中國的APP,並將手機格式化。

資料來源:http://www.chinatimes.com/newspapers/20171201000741-260309

3.1.5、顧立雄:銀行內稽 三重點大翻修

金管會近期將全面翻修銀行內稽內控規定,將「強制」資產規模達一兆以上的銀行,須設獨立法遵和資安單位,並落實吹哨者保護機制,全面納入「金融業(銀、保、證)」三業內稽內控。

資料來源:https://udn.com/news/story/7239/2847267?from=udn-ch1_breaknews-1-cate6-news

3.1.6、中國主辦世界互聯網大會 強調網路主權

中國大陸官方舉辦的世界互聯網大會,再次提到全球網路治理及建構網路空間命運共同體的「四項原則」和「五點主張」,並表示全球網路治理體系變革進入關鍵時期。

資料來源:https://tw.appledaily.com/new/realtime/20171203/1252552/

3.2、駭客攻擊事件及手法

3.2.1、資安公司 Fox-IT 遭中間人攻擊,部分網域資訊一度遭接管與攔截

專為政府、國防、重大基礎設施提供IT安全服務的 Fox-IT 上周坦承曾於今年9月遭中間人(Man-in-the-MiddleMitM)攻擊。
Fox-IT 特定網域遭駭客接管達約10小時,其中 Fox-IT 用戶的登入憑證及電子郵件流量遭接竊取及攔截。
今年的9月駭客利用有效憑證登入第三方的網域名稱註冊商,存取並變更 Fox-IT.com DNS 紀錄,將流量導至駭客控管的伺服器上。
駭客目標為 Fox-IT ClientPortal 檔案交換服務,並攔截了9名用戶的登入憑證、10個檔案、一個電話號碼、一些名字與電子郵件帳號。
Fox-IT 展開全面的內部調查,尋找駭客取得有效 DNS 憑證的管道,並表示 DNS 服務供應商並未啟用雙因素認證,駭客只要結合帳號及密碼就能存取管理介面。
TWCERT/CC 建議 Fox-IT 產品使用者檢視9月至今寄送至 Fox-IT 之電子郵件以及 ClientPortal 網路登入憑證等活動紀錄是否異常,並注意近期可疑之電子郵件來源,以免遭駭客利用。
●參考來源:
[1]https://www.ithome.com.tw/news/119682
[2]https://arstechnica.com/information-technology/2017/12/hackers-steal-security-firms-secret-data-in-brazen-domain-hijack/

3.3、軟硬體漏洞資訊

3.3.1、D-Link升級DIR-605L韌體以解決HNAP服務阻斷漏洞

友訊公司DIR-605L 300Mbps無線寬頻路由器存在弱點,駭客可藉此送出長字串讓HNAP元件視作密碼處理,從而導致DoSD-Link升級對應之韌體。

3.3.2、VMware釋出4類升級產品修補多組漏洞

VMware 4款產品測出弱點,如網路虛擬化與安全平台NSX for vSphere、適用MacFusionWorkstation(LinuxWindows)及雲端虛擬桌面Horizon View俱存風險,駭客可藉此Input Validation瑕疵竊資;另越界讀寫記憶體、大量buffer溢位、空指標dereferenceDLL劫持等漏洞,皆用以遂行DoS及代碼執行,影響層面涵蓋實體機OSVMVMware就相關版本軟體提供對應之安全更新。

3.3.3、Android被公布47漏洞,其中Janus能導致惡意碼以系統身分執行

Google成立的Open Handset Alliance負責維護開發Android12月份安全公告列出47漏洞散落於多項元件與架構,駭客可由近端或遠端進行探勘,藉此獲得高級權限且任意執行程式碼,並獲得隱私資料,另因APP代碼要在Android裝置執行,須先編譯然後打包成Android能識別並執行的應用程式套件APK(Android application package),有效的APKarchive檔案格式,APK內包含被編譯的代碼DEX(Dalvik Executable)resourcesassets、憑證、清單,APK檔基於ZIP格式,與JAR檔案構造相似,Janus漏洞利用Android特性,攻擊者若插入惡意code至簽章證明之DEX,甚可藉system權限隨意執行程式,Google已就相關版本軟體研製安全更新,但多數用戶須等待製造商(OEMs)修補檔尚需數月,顯有大批智慧機仍處風險之中。

3.3.4、Google更新Chrome修補37漏洞

Google本月修補Chrome大量弱點,解決前版受漏洞造成之風險,諸如巨量溢位、使用釋放後記憶體、超限讀寫、URL偽造等。駭客可藉此取得遠端系統控制權,對各類元件模組進行多種攻擊模式,Google提供修補版本供下載,惟基於資安顧慮,漏洞細節均未公開。

3.3.5、Microsoft緊急修補Malware Protection Engine防止嚴重RCE事件接管系統權限

微軟開發之惡意軟體防禦引擎(Malware Protection Engine),簡稱MPE,具核心級資安性能,如即時偵掃、檢測、清除等防毒防護機制,內建於主流serverwindows軟體,囿於MPE運作時恐觸發memory corruptionm,接續衍生Remote Code Execution,駭客可全權接管系統控制,任意增刪帳號、檔案、程式,該公司已提供MPE 1.1.14405.2版且自動部署更新,因Microsoft不按常態地修補memory corruption漏洞,趕在每月例行「Patch Tuesday」前僅僅數日緊急公開,且保證該漏洞修補前尚未遭在野濫用,顯見危險程度不容小覷。

3.3.6、F5更新BIG-IP防止Double Free MemoryCCA2攻擊

F5公司開發BIG-IP眾多網管產品(LTMAAMAFMAnalyticsAPMASMDNSLink ControllerPEM),使用共同技術協定,故同樣弱點將落在多款設備,其中Traffic Management Microkernel在處理惡意構造封包時當掉,服務重啟時間內呈現網管擱置流量狀態;另第2CCA,即適應性選擇密文攻擊(Adaptive chosen-ciphertext attack),針對RSA加密信號有逐次還原明文能力,對Client SSL profile預設啟動RSA key exchange形成洩密威脅,駭客若掌握網路流量或介入中間位置,可能造成DoS與獲悉隱密資料,F5就相關版本軟體提供對應之安全更新。

3.3.7、OpenSSL公布2漏洞恐洩漏private keyBypass加解密

開放原始碼的軟體函式庫套件OpenSSL,主要以C語言撰寫,用途為落實SSLTLS協定以避免竊聽,現存在2項弱點,駭客藉rsaz_1024_mul_avx2()之蒙哥馬利乘法程序觸發overflow,獲得密鑰資訊;另經由製造handshake錯誤狀態,引發OpenSSL 1.0.2b後續版本handshake函數,SSL_read()SSL_write()被不當呼叫,使資料繞過加解密運算,OpenSSL僅就1.0.2系列軟體提供升級檔案。

3.3.8、Cisco至少二類產品恐遭ROBOT攻擊而解密資料,且暫無安全更新

經證實Cisco旗下ACEASA系列網管產品因具有TLS session加密機制弱點,駭客得改版Bleichenbacher attack,開展ROBOT(Return Of Bleichenbacher's Oracle Threat)攻擊形式,針對RSA密鑰交換特性,發送上百萬查詢連線以截獲其回應,比較Transport Layer Security架構中有效與無效PKCS#1 padding之旁道訊息,逐次推敲還原RSA PKCS#1 v1.5加密區塊,最終目的為取得明文,Cisco暫無對應此弱點之更新,刻正調查8款產品是否受累,另13類產品無恙。

3.3.9、PostgreSQL初始化導致Red Hat Enterprise Linux 7系統權限被接管

Red Hat Enterprise Linux 7系列作業系統存在共同弱點,本機駭客探勘PostgreSQL初始化scriptRace condition漏洞,直接擴權至root,取得完整控制權,Red Hat就各版軟體提供相應安全更新。

3.3.10、Apple密集更新多款設備,防禦KRACK暨劫持智慧家電等攻擊行為

Apple檢測多項弱點散落數類產品,駭客可對AirPort基地台發動Key Reinstallation Attack竊取且竄改封包數據;或利用HomeKit輸入驗證瑕疵,入侵智慧家電,隨意操縱連線資產;還可藉特製資料影響SafariiTunesiCloudWebKitWi-Fi晶片,觸發Memory Corruption以執行任意碼;並趁Apple push notification service元件發生憑證隱私瑕疵,追蹤受害者隱私,Apple就各版裝置OSfirmware提供對應安全更新。

3.3.11、Palo Alto更新防火牆作業系統PAN-OS阻擋組合式攻擊

Palo Alto Networks發展多種防火牆設備,其作業系統PAN-OS存在多重弱點,尤其舊版管理介面遭受server-side request forgery,解析已匯入惡意資料將使防火牆連線攻擊者並洩漏隱私訊息;或者運行中GlobalProtect gateway被迫轉為DoS狀態;駭客甚至能發動組合式攻擊,觸發PHPSESSID cookie反序列化、panAuthCheck驗證bypass等連串錯誤,取得對'/php'資料夾與'/php/utils/router.php''/usr/local/bin/genindex_batch.sh'二腳本檔寫入能力,後續假root身分執行命令;另封包擷取管理元件亦有RCE風險,Palo Alto升級各版PAN-OS解決相關風險。

3.3.12、IoT殭屍網路Satori正大肆攻擊華為家用型router

Satori原意為日本禪宗「開悟」,然在此情境則無禪意,由於華為家庭路由器韌體設計存在弱點,駭客可注入shell meta字元“$( )”,構成有效之惡意request,通過port 37215UPnP設計所形成之漏洞,針對性HG532觸發其更新行為,趁機引發RCE攻擊,目前已影響數十萬設備,儘管華為提供安全性建議,惟Mirai原始碼已公諸於世,仍應擔心其他變種IoT殭屍網路竄起。

3.3.13、Citrix修補多版XenServer避免實體機DoS

XenServer系列產品使用改良式快速模擬器Quick Emulator (Qemu),將所有硬體零件虛擬化,如CPUBIOSIDE硬碟控制器、VGA顯示卡, USB控制器、網卡,以實踐全面虛擬的HVM (Hardware Virtual Machine)客體主機,而HVMIntel處理器x86架構下,用戶若為本機客體VM系統管理者,可能觸發VGA模擬器之緩衝區溢位、分頁表控制失誤,幾乎皆導致實體機hypervisorOS失能,亦會衍生擴權後不當執行程式並取得資料等結果,而在XenServer 7.27.1 LTSR CU1有嚴重弱點,受到惡意操作將crash實體機,Citrix就各版軟體提供對應修補壓縮檔。

3.4、資安研討會及活動

時間
研討會/課程
名稱
研討會相關資料
2018/01/27 – 01/28
輔大 NISRA Hackathon 2018
【資安競賽】輔大 NISRA Hackathon 2018
主辦單位:NISRA
活動對象:台灣各大學,在學學士生與在學碩士生
日期:20180127() - 20180128()
地點:輔仁大學聖言樓 SF648 SF651(新北市新莊區中正路510)
線上報名連結:https://nisra.kktix.cc/events/hackathon2018

活動概要:
生活中常常會遇到一些小困擾,儘管偶爾會閃過「如果有……就好了」的念頭,但很少有人真的付諸行動。而所謂的「駭客精神」,就是實際上動手解決我們所遇到的問題。解決方法可能不太完整、有點醜、甚至莫名其妙,但卻是有效的。
於是,我們舉辦 Hackathon ,希望藉由這場活動聚集一群充滿熱情的人,以小組合作的形式向目標共同邁進,利用程式改善我們的生活。

我們鼓勵初次參賽者發揮駭客精神,只要具備基礎程式能力,歡迎帶上新穎的點子與熱忱!活動的過程中,可以和教練們進行資訊技術的交流,教學相長。你有什麼想改變世界的好點子嗎?利用這28小時告訴我們吧!

第 4 章、本月份事件通報統計

本中心每日透過官方網站、電子郵件、電話等方式接收資安事件通報,本月共收到通報共941筆,以下為本中心所蒐整之各項統計數據,分別為通報來源統計圖、通報對象統計圖及通報類型統計圖。
通報來源統計圖為各國遭受網路攻擊,且發起攻擊之IP為我國所有之IP,並向本中心進行通報之次數,如圖1所示;通報對象統計圖為本中心所接獲之通報中,針對通報事件責任所屬國家之通報次數,如圖2所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
1、通報來源統計圖
2、通報對象統計圖
3通報類型統計圖
本月通報主要來源來自合作單位提供之國外駭客掌握國際相關電郵帳密清單情資為大宗,TWCERT/CC從數千筆清單中篩選出台灣「*.tw」相關網域,內含有全台眾多大型及中小型企業共計217組機關單位,總計有261筆帳密,並透過網路及全球Whois查詢網域登記的資料聯繫電子郵件所有者,或是網域所有者以進行處理。資訊外洩主要原因依據國際資安團隊分析多為網路釣魚郵件、釣魚網站、資料庫遭侵入與植入惡意軟體如鍵盤側錄等第三方攻擊,其中以釣魚郵件威脅最大,且上述外洩因素皆可能互為因果,使用者不可不防。TWCERT/CC建議用戶定期更新電子郵件信箱密碼,避免帳號密碼遭竊取。勿點選來路不明的郵件或檔案、連結,即使信件來自熟識帳號亦應確認真偽。並注意信件寄件者帳號信箱是否正確(常見的竄改電子郵件手法包含字型混淆(英文、數字)、字元加減及位置調換等方式來欺騙使用者),最後務必定期保持作業系統及防毒軟體更新。

沒有留言:

張貼留言