2018年11月22日 星期四

107 年 11月份 TWCERT/CC資安情資電子報

1. 摘要

為提升我國民眾資安意識,TWCERT/CC於每月發布資安情資電子報,統整上月重要資安情資,包含TWCERT/CC近期動態、資安政策、威脅與趨勢、駭客攻擊事件、軟硬體漏洞、資安研討會活動及資安事件通報統計分析等資訊。


2. TWCERT/CC近期動態


2.1. 參與2018台灣賽門鐵克資安論壇


賽門鐵克於11月2日台北君悅飯店舉辦「2018台灣賽門鐵克資安論壇」,此次研討會主要針對2019資安態勢、物聯網、金融及雲端防護做法,與資訊安全服務管理等面向進行研討,TWCERT/CC 主任陳永佳受邀擔任此次研討會中座談會的與談人,分享TWCERT/CC提供的服務內容,以及進行資安事件通報觀念宣導。此外,TWCERT/CC亦於會場上擺設攤位,宣導TWCERT/CC業務及進行資安意識推廣。


2.2. 參展2018資訊月


11月28日至12月3日台北電腦公會將於台北世貿主辦107資訊月,資訊月活動成立於民國69年,是台灣最大型的消費性電子展,也是資訊教育的重要舞台,且免費入場,每年都吸引幾十萬人前往參觀。
TWCERT/CC今年首度參與資訊月的活動,攤位將設在政府館的「成好習慣,資安威脅Out!」,透過此次的活動,與參觀民眾互動,本次展示將以TWCERT/CC服務內容、遇到資安事件如何通報,及宣導生活中常見的資安攻擊及防範作為,例如:企業客戶資料遭竊的連鎖效應、網路消費潛藏危機、E-Mail信件潛藏危機、勒索軟體讓您的電腦變磚塊、免費的最貴,公用WiFi背後的真相、網頁挖礦程式的防範及家用路由器安全風險等,將以淺顯易懂的方式,教你如何進行自我防護。且當天只要於現場訂閱TWCERT/CC每月發布的免費資安情資電子報,即有機會免費玩一次夾娃娃機,夾自己喜歡的贈品。
undefined

3. 國內外重要資安新聞

3.1. 國內外資安政策、威脅與趨勢


3.1.1. 大量銀行頁面遭仿冒,用於詐騙使用者個資


本中心近期接獲情資,發現有一惡意網域「http://www[.]fitnessrun[.]ru/inj/」,IP為「31.184.252[.]3」,其冒充加拿大、匈牙利、印度、西班牙、法國、波蘭、肯亞、美國、英國、香港、烏克蘭、捷克、荷蘭、奧地利、紐西蘭、德國、澳洲及羅馬尼亞等地銀行登入頁面,意圖竊取使用者個資,截至目前尚未發現我國銀行被列入目標。該惡意網域目前已失效,IP也已無法存取內容,但該網頁往後仍有可能被重啟,或利用其他惡意IP/網域持續騙取使用者個資,民眾務必提高警覺。
TWCERT/CC建議:
(1) 民眾使用網路銀行時,應由官方網站連入網站,並注意網站是否為釣魚網站。
(2) 若發現瀏覽之網站要求使用者輸入登入帳號密碼或個人機敏資訊,需確認該網站安全無虞後再行輸入相關資訊。
(3) 將惡意網域及IP等資訊加入防火牆阻擋清單,以避免使用者誤連。

3.2. 駭客攻擊事件及手法


3.2.1. SpankChain遭駭,價值38,000美元加密貨幣被竊


SpankChain是間專營成人行業的加密貨幣,以Ethereum區塊鏈來建立成人娛樂生態系統,是基於乙太坊 (Ethereum, ETH)的智慧合約 (Smart contract)應用平台,利用乙太坊和一個名為BOOTY的智慧token在現場cam show為成人模特兒提供小費。
SpankChain的token用在SpankChain系統中提供支付和管理特權,近期由於智慧合約錯誤導致價值38,000美元的乙太坊被盜。 根據SpankChain開發商的公告,攻擊發生在太平洋標準時間10月6日下午6點,由於支付頻道智慧合約中的一個bug,一名身分不明的攻擊者偷走了165.38ETH(約38,000美元)和1,2701.88 BOOTY(價值4,000美元)。
SpankChain表示,在被盜ETH / BOOTY中,34.99 ETH(約$ 8,000)和1271.88 BOOTY屬於用戶(約$ 9,300),其餘屬於SpankChain。
該公司直到10月7日太平洋標準時間晚上7點才發現這次襲擊,便將Spank.live cam服務離線。SpankChain預計以價值9,300美元的ETH替換用戶被盜的金額,並且計劃在修復錯誤升級到新的支付頻道智慧合約時保持他們的cam服務離線。
根據公告,駭客利用重入攻擊 (Reentrancy attack)從SpankChain竊取加密貨幣。重入攻擊是指攻擊者能夠在上一個函數調用完成之前重複調用智慧合約中的函數。這允許攻擊者在合約意識到沒有餘額之前重複提取加密貨幣。
在聲明中表示,簡而言之攻擊者利用可重入 (reentrancy)的bug,就像乙太鍊的DAO事件一樣,攻擊者建立一個偽裝成ERC20 token的惡意合約,其中利用多次調用transfer()到支付頻道智慧合約中,每次耗盡一些ETH。
不幸的是,當初SpankChain選擇不進行資安稽核,因為3萬至5萬美元的報價認為不值得。事後看來,他們現在覺得「這應該是值得的」。


3.2.2. 知名網路托管公司Hetzner南非分公司遭駭,客戶資料外洩


Hetzner是著名的網路託管服務提供商,該公司的南非分支機構在過去一年中遭遇了第二次資料外洩事件。
根據受影響的用戶本週收到的電子郵件,10月5日星期五該公司的技術團隊在資料庫中發現可疑活動,即透過資安團隊和網路資安專家進行全面稽核,以確保系統安全。
該公司表示,攻擊者設法存取了客戶詳細資訊,如姓名、電子郵件地址、電話號碼、地址、身分號碼、增值稅號碼和銀行帳號。Hetzner表示,這通常是客戶為開發票所提供的資料類型,駭客無法存取信用卡詳細資訊、密碼或用戶的網站和電子郵件內容。
據該公司稱,雖然沒有暴露高度敏感的細節,但Hetzner仍然敦促用戶留意網路釣魚詐騙。該公司有充分的理由認為,駭客可能會試圖利用他們竊取的資料,以發送訂製的網路釣魚電子郵件,這些電子郵件可能誘使用戶交出他們無法從其伺服器檢索的資料,例如帳戶登錄或信用卡資訊。
這一事件是Hetzner在過去12個月中在網上披露的第二次資料外洩行為。第一次駭客攻擊發生在2017年11月,攻擊者使用SQL注入漏洞來存取公司的「konsoleH」資料庫控制面板。與客戶細節的相關資料類型也在該事件中被盜,甚至有FTP密碼,該公司當時迅速重置,大約有40,000名客戶受到該事件的影響。
與其德國同名Hetzner Online的發言人表示不應與Hetzner南非有所混淆。Hetzner Online與Hetzner南非是分開獨立的,發言人表示雖與合作夥伴保持聯繫,但不共享客戶資訊/資料庫。德國方面是完全獨立開發系統。儘管如此,德國分公司也沒有因此不被攻擊,在2011年及2013年皆曾遭遇安全漏洞。
Hetzner南非近期在網上遭到嚴厲批評,因為這一最新的安全漏洞,特別是它的通知電子郵件,它試圖用前兩句話來淡化這一事件。用戶表示該公司在聲稱已經提高安全措施並進行安全稽核後仍遭到駭客攻擊。


3.2.3. 冰島國內遭受大規模釣魚攻擊,Remcos遠端工具遭利用


近日一場大規模網路釣魚活動震撼冰島,攻擊者向成千上萬的人發送了惡意電子郵件,企圖欺騙受害者安裝強大的遠端存取工具,當地警方也表示這是襲擊該國的最大網路攻擊。
襲擊事件發生在10月6日星期六晚上,攻擊者透過電子郵件冒充冰島警察發送訊息,信中要求收件人協助偵詢,並警告他們因其違規行為而導致逮捕令發出,信中一個連結將受害者導引至假冒版本的Lögreglan「冰島警察」,並讓內容看起來似乎提供更多有關事件的詳細資訊。
Cyren的研究人員在調查期間與警方合作時解釋,為了使一切看起來都是真實的,該釣魚活動的作者使用同形異義技巧來註冊一個看起來像原始「logreglan.is」的網域名稱,攻擊者註冊網域名稱「www.logregian.is」,使用小寫「i」(乍看可能像小寫「L」或「l」)。
Cyren高級威脅分析師Magni Sigurdsson表示,此次網路釣魚計劃的複雜性,對於冰島而言是一個全新的威脅,攻擊者使用的工具是Remcos,是一種功能強大的工具,可作為存取遠端電腦的合法解決方案,但被用於惡意目的。
Sigurdsson表示,攻擊中使用的版本是2.0.7 Pro,它提供對其運行的工作站的完全存取權限,當惡意使用Remcos時,攻擊者也依賴在啟動時運行的VBSscript,以確保Remcos的執行。 網路釣魚郵件中的連結將受害者帶到一個模仿冰島警方官方網站幾乎完美的網站,並要求用戶輸入他們的社會安全號碼 (SSN)。
在冰島可以通過銀行提供的服務對名稱和SSN進行公開諮詢,因此個人必須登錄當地銀行的在線帳戶才能執行此程式。 如果用戶輸入了錯誤的SSN,則合法服務會顯示提示進行更正的警報。網路釣魚網站無法驗證數字的真實性,因此他們通常會接受用戶輸入的任何資訊。
但是,在此釣魚活動的情況下,攻擊者能夠以某種方式檢查數字的有效性,從而增加欺騙性。另一種理論是他們可能使用的是過去洩露的資料庫。
攻擊者建立了一個複雜的網路釣魚活動,普通用戶很難檢測到。假冒的冰島警方網站要求受害者輸入他們在網路釣魚郵件中收到的身分驗證碼,以獲取有關針對他們的警方案件的更多詳細資訊。
在下一步中,受害者在受密碼保護的檔案中接收所謂的文件,並在網頁上提供密鑰,該密鑰實際上是用於竊取資訊並允許攻擊者遠端存取受害電腦的打包RAT。
Cyren指出,提取的.rar文件是一個.scr檔案(Windows螢幕保護程式)偽裝成一個長文字的文字檔,因此檔案副檔名是隱藏的。文件名是「Boðun skýrslutöku LRH 30 Óktóber.scr」,大致翻譯為「10月30日被警方打電話詢問」。
研究人員發現,攻擊者利用Remcos竊取銀行資訊,因為它檢查受害者是否可以存取冰島最大的銀行,而對RAT的分析表明,設置接收被盜資料的命令和控制 (C2)伺服器位於德國和荷蘭。
此時攻擊者仍然不為人知,但警方認為該活動是熟悉冰島行政系統的人的工作,從電子郵件和虛假網站上的文字可以支持此理論。
該活動的防禦反應非常迅速,登入頁面的網域名稱在檢測到攻擊後的第二天即被刪除,在襲擊期間發送了數以千計的惡意電子郵件,但警方目前沒有發布有關受害者人數的任何資訊。


3.2.4. VestaCP遭駭,開源原始碼被植入惡意程式以發動DDoS


VestaCP (Vesta Control Panel)是一種類似於更知名的cPanel的Web控制面板技術,提供使用者視覺化的網頁主機環境控制介面開源軟體,允許託管公司或Web開發人員快速推出Web伺服器,具體取決於他們需要運行的自定義IT基礎架構。
VestaCP近日承認因安全漏洞,遭不知名的駭客透過惡意軟體感染專案的原始碼,該惡意軟體會記錄密碼以及開啟Shell,並且可以發起DDoS攻擊。
VestaCP團隊成員10月17日在一個論壇帖子中表示他們的伺服器遭駭,駭客更改了所有安裝腳本以記錄管理員密碼和伺服器IP,在其官方GitHub資料庫上分析VestaCP原始碼的用戶說,惡意代碼是在今年5月31日添加的,後來在兩週後於6月13日被刪除。
該代碼可讓攻擊者收集已安裝VestaCP的伺服器的管理員密碼。為了避免受感染伺服器的流量看起來可疑,攻擊者將密碼發送回可能攻擊者可以控制的官方VestaCP網域,然後攻擊者使用這些密碼存取受感染的伺服器,並在今天發布的ESET報告中安裝了一個名為Linux / ChachaDDoS的新惡意軟體。
ESET表示,惡意軟體似乎是來自不同惡意軟體的混合代碼,其中大部分來自XOR,這是一種Linux DDoS惡意軟體應用程式,最初於2015年底被發現。
ESET研究員Marc-EtienneM.Léveillé表示,惡意軟體包含各種功能,但攻擊者似乎只使用了DDoS功能。
Léveillé說,他觀察到一些活動指示遭駭的VestaCP伺服器發起針對兩個中國大陸IP的攻擊。 事實上,在雲端供應商開始向客戶發送通知他們租用的伺服器使用大量頻寬之後,才使這DDoS功能暴露了受感染的伺服器。
自9月中旬以來,收到這些警告的用戶一直在VestaCP論壇和社交媒體上投訴。經過數週後VestaCP團隊回覆正與一家名為Acturus Security的俄羅斯網路安全公司合作,分析過去一個月的用戶投訴。
工作人員8月18日發布了VestaCP 0.9.8-23,並稱是VestaCP軟體的安全版本,用於解決Acturus調查期間報告的各種安全問題。
由於VestaCP團隊還可以存取攻擊者發送回伺服器的伺服器IP和密碼資料,該公司建立一個網站,讓伺服器所有者輸入伺服器的IP地址,以查看該伺服器是否安裝了有密碼竊取代碼的VestaCP版本。
VestaCP團隊表示如果查詢符合,應該儘快更改管理員密碼,另外應確保伺服器上沒有安裝/ usr / bin / dhcprenew二進制檔案,這個二進製檔案是某種能夠啟動遠端DDoS攻擊或打開Shell到伺服器的木馬程式。


3.2.5. 美國健保入口網站HealthCare.gov再度遭駭,75,000名用戶資料被竊


美國健保入口網站HealthCare.gov早期即遭詬病其安全機制漏洞百出,駭客很容易就可以取得並竄改資料,上百萬美國公民的個資,幾乎是攤在陽光底下。
即使曾從Google找來Todd Park擔任CTO,仍在2014年發現遭駭客成功在該站的一個伺服器上植入惡意程式,如今美國政府在10月19日星期五表示,駭客入侵HealthCare.gov註冊系統並掌握了大約75,000人的個人資訊。
該系統被命名為聯邦促進交流 (Federally Facilitated Exchanges, FFE),由醫療保險和補助服務中心 (Centers for Medicare & Medicaid Services, CMS)管理,醫療保險代理人和經紀人使用FFE透過官方HealthCare.gov入口網站將用戶註冊到所提供的歐巴馬健保改革計劃中。
被駭的電腦系統屬於保險公司的代理人和經紀人專用,以使他們可直接登錄參加保險的消費者,CMS的其他所有登入系統都正常工作。
CMS在新聞稿中表示,上週六(2018年10月13日)的FFE中發現了「異常系統活動」,並立即展開調查。在過去的一周,即10月16日星期二,確認了入侵行為,CMS已將與異常活動相關的代理商和經紀人帳戶停用,並將代理商和經紀人的直接註冊途徑禁用。
CMS發言人門羅表示,普通民眾使用的HealthCare.gov網站沒有受到駭客攻擊的影響,受影響的只是代理人和經紀人使用的系統,他們的系統民眾是無法進入的。
政府機構表示,計劃在10月28日前重新啟用FFE直接註冊代理人和經紀人,美國公民仍可透過HealthCare.gov門戶網站或市場呼叫中心註冊歐巴馬健保改革計劃。
CMS管理員Seema Verma表示已通知聯邦調查局,該機構計劃通知所有受影響的人,並正在努力儘快識別可能受影響的個人,以便可以通知他們並提供信用保護等資源,並表明HealthCare.gov和聯邦健保市場網站諮詢中心 (Marketplace Call Center)仍然可用,開放註冊不會受到負面影響。


3.2.6. 國泰航空也傳出資料外洩,影響近千萬客戶


繼英國航空及加拿大航空資料外洩事件後,國泰航空也遭未知駭客成功侵入,高達940萬筆資料遭外洩。
國泰航空於2018年10月24日發布新聞表示,該公司在進行資訊安全檢測時,發現其資訊系統曾被未經授權的存取,該系統內含有約940萬筆乘客資料。
該公司表示,遭未經授權存取的資料包括乘客姓名、國籍、出生日期、電話號碼、電郵地址、地址、護照號碼、身分証號碼、飛行常客計劃的會員號碼、顧客服務備註及過往的飛行紀錄等資料。
此外,有403張已逾期的信用卡號碼以及27張無安全碼的信用卡號碼也都曾被不當存取。該公司補充表示,每位受影響的乘客被不當存取的資料有所不同。
國泰航空表示已即時採取行動進行調查及阻止事件發展,且並沒有證據顯示任何個人資料曾被不當動用。受影響的資訊系統與國泰航空的航班運作系統為兩個完全獨立的系統,不會對國泰航空的航班安全構成影響。
如任何顧客認為可能受此次事件影響,可透過以下途徑與國泰航空聯絡:
• 國泰航空為處理事件設立的專屬網站 (infosecurity.cathaypacific.com),顧客可於網站上獲得有關事件的資訊及保障個人資料的建議
• 國泰航空為處理事件設立的顧客專線 (http://xn--infosecurity-9r3ti7o313b38vfwnjxf122dkp3a8pw606bwipc9e56q.cathaypacific.com/)
• 發送查詢電郵至infosecurity@cathaypacific.com


3.2.7. 兒童個資價值高,加州女童子軍遭警告個人資料可能遭到外洩


2018年9月,數以千計的加州女童子軍成員的個人資訊因未經授權的第三方存取官方其中一個電子郵件帳戶後,可能已經被盜。
報告顯示,在持續一天的事件中,橘郡多達2800名女童軍可能受到影響,這個匿名的第三方在今年9月30日至10月1日期間只存取該帳戶一天。
受影響的資訊可能包括姓名、電子郵件和家庭住址、駕駛執照詳細資訊、保險單編號和健康歷史資訊。
那些遭受資料外洩的人被告知,襲擊始於9月30日有未經授權的第三方獲得了官方童子軍橘郡旅遊電子郵件帳戶的存取權限,該帳戶曾用於「向他人發送電子郵件」(可能是網路釣魚電子郵件)。
該說明解釋說,該帳戶中儲存的一些電子郵件,其中包括日期可追溯至2014至2018年10月1日的電子郵件,其中包含有關會員的資訊,刻正通知所有資訊都在此電子郵件帳戶中的人。
重要的是,兒童的身分資料對駭客特別有吸引力,因為在提高警報之前它通常可以更容易地貨幣化,這是因為與未成年人身分相關的財務紀錄往往有限,因此更容易以他們的名義開設新的假帳戶。
根據Javelin Strategy&Research今年早些時候的研究,2017年,超過一百萬名美國兒童受到身分欺詐的影響,導致26億美元的損失和眾多家庭被迫支付共計達5.4億美元。


3.2.8. 知名音樂派對Tomorrowland(明日世界)售票系統遭駭,上萬筆客戶資料外洩


Tomorrowland是比利時熱門的電子舞蹈音樂節,於2005年首次舉辦,後來成為世界上最大的音樂節之一,2018年參加人數為40萬。
參加2014年Tomorrowland音樂節的約64,000名電子舞曲 (EDM)粉絲的個人資訊被駭客竊取,他們設法破壞該節日用於線上銷售門票的Paylogic票務系統。
發言人Debby Wilmsen表示,受影響範圍僅限於2014年報名節日的觀眾部分,包含姓名、電子郵件地址、性別、年齡和郵政編碼,不包括付款細節,密碼和用戶地址。
雖然駭客無法竊取敏感資訊,如信用卡付款細節或社會安全號碼,但如果他們有足夠的資料,他們仍然可以嘗試利用其身分資料進行盜竊攻擊。
發言人Wilmsen補充,Paylogic票務系統的管理員注意到舊系統上的異常活動,經過廣泛的分析,Tomorrowland 2014年的舊資料文件出現在上面,所涉及的伺服器已立即離線。
在2014年參加Tomorrowland的360,000人中,大約有64,000人的個人資訊被盜,在被Paylogic告知他們的系統遭到入侵後,Tomorrowland首先通知了隱私委員會,然後向所有受影響的節日觀眾發送電子郵件警報,告訴他們資料洩露和駭客設法竊取的資訊。
根據Paylogic的說法,資料洩露僅影響了2014年註冊門票的Tomorrowland與會者,其他所有Paylogic客戶顯然都沒有受到影響,這也暗示駭客已經滲透到Tomorrowland網站上的Paylogic註冊頁面的可能性,儘管在Paylogic的聲明中沒有提到具體細節。
Wilmsen強調,客戶若收到有關門票銷售、促銷或其他地址的電子郵件時應務必保持警惕,這些電子郵件不是來自官方的Paylogic或Tomorrowland訊息,而來自Tomorrowland的所有訊息都皆僅由tomorrowland.com主導,Tomorrowland門票銷售的連結只會透過my.tomorrowland.com或官方旅行合作夥伴找到。

3.3. 軟硬體漏洞資訊


3.3.1. 預設Telegram Messenger語音P2P連線方式,外流用戶IP隱私


繼LINE之後頗受矚目的跨平台即時通訊軟體,當屬源自俄羅斯之Telegram Messenger,其伺服器係專有軟體,然客戶端為開放原始碼(可中文化),據研究員Dhiraj Mishra測試,若Telegram電話採用點對點連線,則從Console Log可觀察對方明文IP資料,使用iOS及Android手機者,尚可按步驟Settings -> Private and Security -> Voice Calls -> Peer-To-Peer,設定成Never,如此則語音傳送途經Telegram server,IP可匿名,相對犧牲音質及傳速,然而桌機版tdesktop 1.3.14與Windows行動裝置版Telegram 3.3.0.0 WP8.1,竟無P2P組態選項停用功能,等同強制使用者交出IP,且獲得者未受任何身分限制,Telegram向來標榜訊息安全加密技術,對此亦說不出所以然,多半是考慮傳輸效率才作此安排,Telegram Messenger LLP公司已製作1.3.17 beta版及1.4.0穩定版改善前述缺陷,然1.4.0版多出硬碟配額管理、優化動畫影像快取2項優勢,建議直接升級1.4.0版。


3.3.2. 小心個資外流,Siri可規避iPhone螢幕安全鎖


一位iPhone狂熱者Jose Rodriguez,多次挖掘iOS瑕疵,連Apple以安全性自豪的iOS 12,亦再度中招,根據探勘實作影片,駭客陸續使出37步驟,能迴避Screen Lock安全鎖,無須鍵入密碼,直接運作Siri的VoiceOver視障輔助功能,分別對目標iPhone以電話及簡訊連絡,造成作業系統為兩者顯示通知訊息時,發生UI衝突,從而侵入手機,竊取照片、電話號碼、電子信箱、通訊錄等隱私內容;尚能以Siri新建Note,於附加媒體影像時,伺機啟動共享,探勘過程雖瑣碎但無甚技術門檻,此項破綻橫掃全數iPhone機種,包括最新iPhone XS,換言之,遺失裝置等同外流個資,目前為止官方無iOS 12更新公告,建議iPhone用戶最好使用Face ID的臉部辨識,若所持機型僅支援Touch ID指紋辨識,則停用鎖定狀態時Siri功能。


3.3.3. 網站開發應用框架Django權限控制失誤,完整密碼Hash曝光


鑑於多數網站有同質性設計需求,如註冊、後台、表單等,憑藉Django公開原始碼,開發者毋須重複製造相同模組,僅需專注開發專屬程式,Django是由Python寫成之網頁應用框架,採用了MVT(Model、View及Template)軟體設計模式,其核心框架包括網頁伺服器、內建分發系統、表單序列化及驗證系統,並支援中介軟體。今年8月釋出Django 2.1版,經Phithon Gong研究測試,得知新擴充之Model操作權限「View」,能令使用者查閱任意帳號之完整密碼雜湊值,而管理者即使具備「Change」權限,亦僅見局部遮蔽之Hash資料,此權限管控失當事件,對運作MD5、SHA1等演算法之站台不利,其密碼仍存破解之虞,Django軟體基金會已公告修補檔及升級軟體。


3.3.4. 慎防SNMP指令,能撈取Samsung SCX-6545X管理者帳密


三星公司印表機產品Samsung SCX-6545X,經測試披露出高風險漏洞,儘管其網頁介面設計具備身分驗證階段,但遠端駭客無須嘗試破解,僅賴簡單網路管理協定 (SNMP),透過相關指令與OID參數 (snmpget -v 1 -c public 100.100.100.100 iso.3.6.1.4.1.236.11.5.11.81.10.1.5.0),逕對目標設備IP發送請求,即可獲得系統資訊,包含管理者帳密,攻擊該破綻之複雜度甚低,亦免身分權限,可輕易取得帳密並管理印表機,CVSS 3.0評分7.5,目前暫無官方安全更新,建議企業網管部門以防火牆攔阻可疑SNMP封包。


3.3.5. 隨意接聽WhatsApp視訊電話,當心駭客上門


全球約15億用戶的WhatsApp Messenger,每日650億條訊息量,為了在智慧型手機跨平台傳送簡訊、檔案、圖片、影音,使用protobuf2點對點加密協定,任職Google Project Zero的研究員Natalie Silvanovich,公開Proof-of-concept探勘技術資料,證實WhatsApp在iOS和Android的APP,具有記憶體堆疊溢位瑕疵,癥結在於WhatsApp Messenger透過即時傳輸協定 (Real-time Transport Protocol, RTP)傳送影音串流,駭客僅需掌握受害者電話門號,待受害者回應惡意視訊電話,即可觸發該嚴重弱點,輕則造成當機,重則接管受害者WhatsApp帳號,官方已於一周前陸續修補WhatsApp(適用iOS與Android),至於WhatsApp網頁版則無相關風險。


3.3.6. 速更新MikroTik路由器RouterOS,攔阻By the Way入侵技術&多項DoS風險


拉脫維亞網路設備商MikroTik,供應全球有數十萬部WIFI及路由器設備,以Linux v3.3.5核心為基礎,開發獨立作業系統RouterOS,可安裝於該公司RouterBoard路由器或標準x86平台,具備Firewall、VPN、QoS & Band Management、鏡射監管流量 (Port Mirroring)等功能。據Tenable Research機構研究成果,RouterOS內Winbox控制臺舊有Directory Traversal缺點,原為中級程度,但受到By the Way入侵技術威脅,升級成嚴重風險,攻擊者避開身分驗證,從資料庫竊取管理者帳密,藉Telnet或SSH連線,開啟設備後門,獲得系統root shell存取權,恐針對路由器部署惡意Payload或停用防火牆;另擁有合法帳號之駭客,呼叫sprintf()函數可觸發stack溢位,賡續發動RCE而獲致完整系統權限;尚有DoS事件3項,對檔案上傳封包加以變造、遞迴式JSON解析佔據Stack、快速驗證瞬間斷線等手法,均可讓設備失能。MikroTik已升級軟體改善程式缺陷,然截至10月3日Shodan掃描分析,約略35,000至40,000部Mikrotik設備完成升級,仍有7成產品(20餘萬)未修補,分布於巴西、印尼、中國大陸、俄羅斯、印度等地,隨時淪為駭客囊中物。


3.3.7. 甫測出ASUS產品瑕疵,RT-AC58U系統訊息曝光且多網頁涉及XSS


代號remix30303的獨立研究者,前2日在GitHub公布華碩RT-AC58U雙頻無線路由器韌體破綻,首先是入口網頁Main_Login.asp所記錄DHCP租用狀態,駭客逕使用探勘工具即可獲悉所有連線電腦之IP、hostname、所在時區;且Main_Login.asp、Logout.asp等十來個asp檔案,均有回應式Cross Site Scripting,在URL輸入惡意字串即可觸發事件,目前官方更新從缺,欲維護設備功能及隱私,建議建立防火牆白名單。


3.3.8. 發現微處理器FreeRTOS嚴重缺陷,危及科技工業領域


心搏器能在正確時機調節患者心肌脈搏,禁不起任何誤差,然若裝置OS被外力介入干擾,可就人命關天,除醫療外,尚有航太、汽車工業、物聯網等40餘類產業刻正面臨共同風險。據Zimperium研究室 (zLabs)分析多種IoT技術,發覺問世14年的FreeRTOS竟存在13項嚴重漏洞,其通訊模組在運算TCP/IP stack時,涉及RCE、DoS、資訊洩露等事件,FreeRTOS是個開源的嵌入式RTOS (Real-time operating systems),可驅動微電腦,其精密、可靠、輕巧的特性,應用於追蹤、感應或其他自動化裝置,一旦駭客觸發相關弱點,勢將破壞依賴精密計算的工作流程,包括Amazon、WITTENSTEIN、Texas Instruments、STMicroelectronics、NXP、Microchip、Espressif、Infineon等廠均受該批漏洞影響,自2017年11月亞馬遜公司接手營運FreeRTOS專案,負責維護Kernel及元件,現已釋出升級後版本,而zLabs為保留安全更新時程,細部探勘技術俟30天後公諸於世。


3.3.9. 嚴重緩衝區溢位問題恐癱瘓LIVE555串流媒體RTSP Server


由Live Networks, Inc以C++開發的LIVE555 Streaming Media,係公開原始碼,跨平台支援多種影音格式,包含MPEG、H.265、H.264、H.263+、VP8、DV、AAC、AMR、AC-3、Vorbis,經Cisco Talo分析原始碼,證實確有堆疊緩衝區溢位問題,其CVSS V3評分10.0,乃罕見嚴重破綻,關鍵程式為RTSP Server元件內lookForHeader()函數,其HTTP封包解析功能未顧慮異常條件,駭客特製封包,若包含鉅量「Accept」或「x-sessioncookie」字串,持續複製資料,可無窮盡增加指標指向位址,觸發緩衝區溢位問題,甚能衍生惡意執行代碼事件,對於安裝RTSP Server之主機形成威脅,因其技術廣泛運用於播放器和IP Camera,且原始碼極易取得,攻擊門檻低,幾乎是掌握IP即能循Port 80、8000、8080入侵,目前已釋出改良版,線上影音業者及監控產品原廠,宜關注設備修補作業。另VLC澄清其軟體僅使用LIVE555 RTSP client,無涉RTSP Server,使用者可安心。


3.3.10. Signal Desktop疏於本機資料保護,愛好者當心隱私外流


非營利軟體開發機構Open Whisper Systems,負責維護Signal即時通訊軟體,Signal早先僅能支援行動電話Android、iOS,在PC上須安裝Chrome瀏覽器始得與其他Signal用戶進行P2P通訊,為擺脫Chrome桎梏,2017年10月31日推出獨立Signal桌機版,讓慣用Firefox 或Safari者省去麻煩。近日各方披露Signal Desktop設計不當,如從Chrome extension轉換成桌機版,升級過程會將舊訊息內容以明文儲存為messages.json,後續匯入桌機版資料庫,且未警告安裝者,若忘記刪除,則長期留置硬碟;而Signal Desktop之訊息資料庫db.sqlite儘管經過加密,然其Decryption Key以明文儲存於config.json,找到config.json就能存取db.sqlite;而過時訊息被刪除後,相關附檔仍留存,效果不盡理想。由於Signal Desktop橫跨Linux各分支、Windows、MacOS等主流作業系統,用戶群廣泛,若電腦遭入侵極易外洩隱私,Signal向來以通訊安全自豪,但其儲存安全有待改善,雖弱點版本不明,根據資料時間與Github版本歷程,研判最新版v 1.17.0亦受影響,Open Whisper Systems得知此事迄今仍無回應,該公司與松鼠郵遞一樣依賴捐款,想來效率無法強求。


3.3.11. 近期數版X.Org Server出現Command Line參數核驗缺陷,易受入侵接管


X.Org基金會負責維護的X Window System (X11),為開放原始碼之自由軟體,提供Linux使用者圖形介面,以Server/Client架構跨多平台運作,自X Server1.19.0版以後,存在Command Line介面參數過濾缺失,攻擊者即使帳號權限低,實體接觸可入侵提權,藉由探勘–modulepath與-logfile二參數(僅限root),可觸發任意代碼執行,甚至恣意覆寫檔案內容,插入式驗證模組 (Pluggable authentication module, PAM)控制台的設計理念,是禁止沒操作PAM console者隨便啟動軟體,即使透過遠端SSH也不行,但普通帳號透過PAM console,竟然避開權限檢查,而獲得root權力,官網於10月24日公告修補方式。


3.3.12. 研華改善WebAccess HMI/SCADA遠端監控軟體數項弱點


國內研華科技 (Advantech)生產工業自動化、IoT商品,旗下Advantech WebAccess軟體為跨平台、瀏覽器之人機介面,屬資料採集與監控系統 (Supervisory Control and Data Acquisition, SCADA),適用於自動化設備動態圖形顯示和即時資料掌控,經趨勢Zero Day Initiative分析出6種漏洞,如STACK-BASED BUFFER OVERFLOW及PATH TRAVERSAL,一旦觸發則攻擊者能執行任意程式碼;操縱特製.dll元件能刪除重要內部檔案;囿於軟體安裝期間用戶被剝奪控制權且事後不回復,加諸部分檔案權限配置不善,駭客得伺機採取管理者行為。針對上述重要安全事件,研華公司已升級軟體版本並公告。


3.3.13. 兩款AudioCodes IP Phone受中間人攻擊,將洩露Skype for Business帳號隱私


以色列AudioCodes公司研製IP話機、閘道器、會談邊界控制器等通訊產品,其440HD、450HD二型IP Phone皆屬Skype for Business搭配之高端機種,具易操作、多功能特色,經SySS GmbH分析出中級程度漏洞,話機循https協定傳送帳密資訊給skypewebpool站台時,不受X.509憑證保護,故攻擊者建立man-in-the-middle攻擊條件,即可操作Burp Suite工具,重新安排路由後截收相關請求,獲得受害者隱私,甚至假冒其Skype身分,且發動入侵期間,IP Phone毫無異常告警,SySS GmbH所測試韌體版本為3.1.1.43.1、3.1.2.89,經查官網目前最新韌體image檔亦然,故暫無安全更新,AudioCodes設備遍及全球百餘國,購置網路電話之企業客戶宜關注修補進度。


3.3.14. 更新未臻完善,Windows Jet資料庫引擎0-Day威懾依舊


光輝十月對Microsoft用戶而言似乎不盡美好,10月2日所公布的Windows系統更新造成部分個人檔案被刪除,已令人餘悸猶存,繼此風波後仍有安全更新成效疑慮,因TrendMicro Zero Day Initiative前於9月20日公開Jet Database Engine之0-Day弱點,證實32位元的c:\windows\SysWOW64\wscript.exe執行檔可被惡意檔案poc.js觸發記憶體越界寫入,並導致RCE,惟攻擊者須經釣魚等社交工程,將惡意檔案循email、隨身碟交給受害者點擊,鑑於原始設計瑕疵在msrd3x40.dll動態連結函式庫,9月21日Acros Security提出in-memory為基礎的微修補 (Micropatch)方案,然而10月官方安全更新同步替換成新版msrd3x40.dll,因加密hash值變更導致micropatch失效,偏偏官方更新不完整,漏洞未澈底根除,Acros Security總裁Mitja Kolsek表示微軟重啟該項漏洞,但亦再度發布本月micropatch以因應上述事態,並在官方有效解決問題之前,保留弱點技術細節不予公開。

3.4、資安研討會及活動



時間
研討會/課程
名稱
研討會相關資料
107/10/24-12/23
全民資安素養自我評量網路活動開跑!
活動網站:https://isafeevent.moe.edu.tw/
活動方式:
✅依據參加者所選取的身分別,由電腦自動選出10個題目,只要答對7題(含)以上,留下正確的抽獎資訊,即可參加抽獎。
✅每位參加者最多可累積300次抽獎機會。

✅抽獎獎項:
頭獎1名:15吋筆記型電腦
貳獎1名:掃地機器人
參獎1名:靜音碎紙機
肆獎20名:藍牙耳機
參加獎105名:實用禮券300元

✅抽獎方式:
🦀本活動預計於中華民國107年12月31日前以電腦方式進行抽獎,屆時將安排律師進行見證,以確保本活動的公平性。
🦀每位參加者只有1次中獎機會,若抽中2個以上獎項,以市價高者為準。
詳細活動辦法:https://isafeevent.moe.edu.tw/rule

活動概要:
教育部為提升民眾的資訊安全素養與在網路世界的自我防護能力,自即日起至107年12月23日,舉辦「全民資安素養自我評量網路活動」 (https://isafeevent.moe.edu.tw/),歡迎大家至活動網站自我挑戰,不僅可以快速瞭解自己的資安素養認知程度,還有機會抽中筆記型電腦及掃地機器人等豐富獎品。
2018/11/23
網站安全與稽核簡介 (Ⅱ)(可抵內稽)
【資安訓練課程】網站安全與稽核簡介 (Ⅱ)(可抵內稽)
日期:2018年11月23日9:30~16:30
上課地點:電腦稽核協會訓練教室(位置圖: http://www.caa.org.tw/map.asp
110台北市信義區基隆路1段143號2樓之2(捷運市政府站1號出口)

主辦單位:電腦稽核協會(CAA)
課程資訊及報名:

課程大綱:
1.個資法施行衝擊與網站安全因應之道
2.網頁圖像保護
3.原碼檢測、網站弱點掃瞄與滲透測試簡介
4.網站DDoS攻擊防護
5.網站及後端主機所需防火牆及IDS/IPS簡介
6.以上主題之檢測與稽核
筆試測驗 16:30 ~

課程簡介:
新版個資法施行後加重罰則與駭客攻擊手法翻新,對於組織之網站安全維護帶來衝擊,ISO 27001:2013版新增加有關加密之領域,本課程從個資法、電子簽章法解析、ISO 27001:2013改版等之標準與法規遵循、DigiNotar CA與Comodo CA遭受攻擊等資安事件、技術與管理等多面向,討論如何稽核網站安全,並能針對企業如何慎選CA與善用SSL憑證、程式碼簽章、網頁圖像保護技術、網站弱點掃瞄及滲透測試,來因應網站安全議題。
2018/11/24-12/8
認證資訊系統安全專家 CISSP 輔導班
【資安訓練課程】認證資訊系統安全專家 CISSP 輔導班
日期:2018年11月24日至12月8日
活動地點:台北市復興南路一段390號2樓
主辦單位:財團法人資訊工業策進會 數位教育研究所 數位人才培育中心
課程費用:35小時 / 56000元,優惠價 32000元
承辦人:羅小姐 電話: (02)66316586 E-Mail:showyann@iii.org.tw

課程簡介:
1.培養學員具通過CISSP 考試之實力。
2.培養學員具評估及建置企業整體資訊安全管理之知識與能力。
3.培養學員具備基本通訊、網路安全技術(Firewall, VPN, NAT…等)及系統存取控制等相關概念。
4.培養學員具資訊安全之整體架構、原理、標準與應用,並具相關之資訊法律、電腦犯罪調查等之知識。
107/11/30
2018 FIDO Taipei Seminar - No More Passwords
【資安研討會】2018 FIDO Taipei Seminar - No More Passwords

日期: 107年11月30日08:30-17:00
地點:大直維多麗亞酒店1F大宴會廳(台北市中山區敬業四路168號)
指導單位:行政院科技會報、國家發展委員會
主辦單位:神盾股份有限公司、身分識別標準組織 (FIDO Alliance)
會議網站:https://www.digitimes.com.tw/seminar/Egis_20181130/

活動概要:
身分識別機制是現今所有接取應用服務的第一道關卡,亦是資訊社會與數位經濟發展所不可或缺的基礎。近年來,隨著網路服務與智慧型手機的普及,新的規格或標準利用行動載具、安全模組,以及生物特徵感測技術,能達到兼顧方便性、安全性,以及隱私性的特點,也讓行動身分識別機制與相關應用更快速普及到日常生活中。

身分識別標準組織FIDO Alliance於今 (2018)年的亞洲行程中,首度新增台北站,於大直維多麗亞酒店舉辦2018 FIDO Taipei Seminar,共同研討No More Passwords、擁抱全球的新境界。
107/12/01
基礎網頁安全與滲透測試
【資安訓練課程】基礎網頁安全與滲透測試
課程時間:2018年12月1日(六)09:30-16:30(12:30-13:30休息) 共6小時
受訓地點:國立交通大學 台北校區(台北市中正區忠孝西路一段118號)
主辦單位:亥客書院
線上報名連結: https://hackercollege.nctu.edu.tw/?p=302
報名費:每人$7000 含教材。若報名人數不足,將不予開辦。多人報名或一人同時報名多門課程均有優惠,詳情請洽 蔡小姐 (03)5731762   E-mail: wltt@nctu.edu.tw

課程簡介:
滲透測試是一種檢驗系統安全強度的技術,透過各種專家知識和最佳法則 (best practices)所研擬的流程方法,由一組安全技術團隊,以探察、分析、驗證到記錄的流程,模擬駭客的行為找出系統上邏輯性錯誤或更深層次的漏洞。
目前企業對外聯通管道主要以網頁與電子郵件為主,因此本課程將先說明基本滲透測試的知識與技能,了解目前國內外常見的網頁弱點,並實際操作具有弱點的虛擬網站,探討實務上的測試方式,了解潛在的安全威脅與問題。

課程大綱:
基礎網頁安全(上午)
1.Web應用程式安全趨勢
2.網頁安全常見威脅
3.OWASP Top 10
4.CWE/SANS Top 25
5.CVSS與常見網頁攻擊手法
基礎網頁滲透測試(下午)
1.滲透測試簡介
2.常用之滲透測試方法論
3.網頁滲透測試框架
4.網頁滲透測試流程與細節
5.網站應用程式弱點實作

★ 本學院課程提供務實的技術演練,課程中將進行虛擬軟體模擬演練,教導學員安裝軟體及實務案例操演,使學員於課後能夠持續使用與練習。
★ 本課程提供一人一機筆記型電腦上課使用。如欲自備自備筆記型電腦,電腦軟硬體需求: i3以上CPU、4G以上記憶體、40G可用硬碟空間、安裝64-bits作業系統、VirtualBox 5.1.10以上版本。
107/12/06
2018 InfoSec Standards 國際資安標準管理年會
【資安研討會】2018 InfoSec Standards 國際資安標準管理年會
時間:2018年12月6日(四)13:00-17:00
地點:財團法人張榮發基金會國際會議中心 1101會議室 (台北市中正區中山南路11號)
會議網站: https://www.accupass.com/event/1810231129091532941078

活動概要:
BSI 英國標準協會為國際標準制定機構,成立於 1901 年,為全球第一個國家標準機構,也是國際標準組織 (ISO) 的創始會員。

BSI 英國標準協會年度盛會,根據全球管理趨勢、企業需求與時事趨勢訂定「資訊安全」與「網路安全」相關研討議題,並邀請產官學研界的菁英專家進行分享,協助國內企業組織互相交流、接軌國際。

自 2003 年開辦以來,每年皆吸引近 300 位貴賓與會,並藉由表揚典禮後的專家演講獲取國內外的重要趨勢、國際標準動態、最佳實務做法與時事新訊,會後皆表示受益良多且給予年會極佳的正面評價。

更多【資安活動】請參考
https://www.twcert.org.tw/subpages/securityInfo/securityactivity.aspx
107/12/06
亞洲資安新趨勢研討會
【資安研討會】亞洲資安新趨勢研討會
時間:2018年12月6日(四)13:00-17:00
地點:台北寒舍艾麗酒店5樓蘭廳(台北市信義區松高路18號,捷運市府站3號出口)
會議網站: https://www.accupass.com/event/1811020247021600151855

活動概要:
大數據時代,無論是 On-line或Off-line的檔案資料,都需要與時俱進的保護與管理。
2018年歐盟實施GDPR,2019年台灣資安法強化,當前各大企業不可不知的相關規定,讓資料儲存與管理專家告訴你,並分享亞洲最新網路安全與資料保護法規發展。
107/12/13-14
HITCON Pacific 2018
【資安研討會】HITCON Pacific 2018
時間:2018年12月13日至14日
地點:台北文創大樓6F(台北市信義區菸廠路88號)
主辦單位:HITCON、iThome
報名網址:https://hitcon.kktix.cc/events/hitcon-pacific-2018

活動簡介:
本次HITCON Pacific 主題為「Transforming: Cybersecurity and Resilience」,會議將聚焦在各式強韌性資安技術、安防措施等可加強企業關鍵系統的議題上,以因應日新月異的攻擊手法,以期能協助企業與政府單位,有效地縮短資安事件致使的服務停擺時間,進降低資安事件對其所造成之影響。
107/12/15
進階網頁滲透測試
【資安訓練課程】進階網頁滲透測試
課程時間:2018年12月15日(六)09:30-16:30(12:30-13:30休息)共6小時
受訓地點:國立交通大學 台北校區(台北市中正區忠孝西路一段118號)
主辦單位:亥客書院
線上報名連結: https://hackercollege.nctu.edu.tw/?p=323
報名費用:每人$8000 含教材。若報名人數不足,將不予開辦。多人報名或一人同時報名多門課程均有優惠,詳情請洽蔡小姐 (03)5731762 E-mail: wltt@nctu.edu.tw

課程簡介:
滲透測試是由資通安全專家模擬駭客的攻擊行為,以找出企業資訊網路或系統中的漏洞,並提供修補建議以完善整體網路安全。 本課程將延續基礎滲透測試的知識與技能,提供近年來重大漏洞的實務滲透經驗分享、錯誤的程式修補、以及防禦繞過與漏洞利用的技巧,透過實務工具操作與練習,讓學員身歷其境了解網頁安全漏洞之理論與實務。

課程大綱:
進階網頁滲透技術(上午)
1.網頁安全常見威脅簡介
2.滲透測試流程簡介
3.滲透測試各階段方法說明
4.實務滲透案例與漏洞回報經驗談
5.滲透測試自修資源分享

進階網頁滲透實驗(下午)
1.滲透測試工具操作
2.實務漏洞利用練習
3.滲透測試測資產生

★ 本學院課程提供務實的技術演練,課程中將進行虛擬軟體模擬演練,教導學員安裝軟體及實務案例操演,使學員於課後能夠持續使用與練習。
★ 本課程提供一人一機筆記型電腦上課使用。如欲自備自備筆記型電腦,電腦軟硬體需求: i3以上CPU、4G以上記憶體、40G可用硬碟空間、安裝64-bits作業系統、VirtualBox 5.1.10以上版本。

4. 2018年10份事件通報統計


本中心每日透過官方網站、電郵、電話等方式接收資安事件通報,2018年10月通報總計1857筆,以下為各項統計數據,分別為通報來源統計圖、通報對象統計圖及通報類型統計圖。
通報來源統計圖為各國遭受網路攻擊事件,屬於我國疑似遭利用發起攻擊或被攻擊之IP,向本中心進行通報之次數,如圖1所示;通報對象統計圖為本中心所接獲之通報中,針對通報事件責任所屬國家之通報次數,如圖2所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖
圖2、通報對象統計圖
圖3、通報類型統計圖
本中心近期接獲通報,表示收到有人掌握其硬碟檔案並要求於48小時內支付500美金之恐嚇信,經本中心查找與比對信件內容及比特幣錢包SiteKey等特徵,發現10月15日網路上亦有相同案例,如圖所示,認定為發信者未真正掌握受害人檔案系統之詐騙事件,提醒民眾勿匯款。 信件特徵: (1)信件開頭以「my nickname in darknet is XXXX」,其中XXXX可能隨機更換。 (2)信件內容表示對方已掌握帳戶密碼、瀏覽器歷史紀錄等資料,並取得您的所有通聯紀錄、硬碟資料與照片。 (3)要求48小時內支付500美元的比特幣至指定的帳戶。
TWCERT/CC提供以下防護建議: (1)密碼建議使用12個字元以上且英文、數字、符號混合。 (2)應避免多個服務使用同一組密碼,以免遭到撞庫攻擊 (說明如註解)。 (3)收到電子郵件不任意開啟信件之附件或網路連結,以避免遭植入惡意程式竊取資訊。 (4)確實持續更新電腦的作業系統、Office應用程式等至最新版本。 (5)更新電腦防毒軟體病毒碼。
註解:什麼是撞庫攻擊?
人們與網路服務連結越來越深,各大網路都有帳號跟密碼資訊,但人們可能難以依據資安建議,一個服務用一個獨一的密碼,常是好幾個不同服務,所輸入的帳號密碼組合一樣,免得帳密常常忘記,得時常重設。人類的記性不足以及惰性,給予駭客可趁之機。只要取得某次服務帳密外洩的資料庫,賭一把看看其他服務是不是採用一樣的帳密,嘗試登入看看,不必用暴力破解法多次嘗試,就可合法登入受害者系統或服務。

參考連結:[1]https://malwaretips.com/threads/email-received-from-supposed-darknet-hacker.87366/ [2]https://productforums.google.com/forum/# [3]https://www.scamwarners.com/forum/viewtopic.php?f=9&p=374862