台灣資安公司揭露多家企業級 VPN 服務漏洞後,駭客用來攔截流量

台灣資安廠商戴夫寇爾(DevCore)公布若干大型企業 VPN 服務商的資安漏洞後,隨即傳出有駭客利用這些已公開的漏洞,駭入兩家 VPN 服務。

台灣著名的資安廠商戴夫寇爾(DevCore),日前在 Black Hat 國際資安研討會上發表研究報告,公開了數家大型企業級 VPN 服務廠商的多項資安漏洞與駭侵測試報告;被點名的其中兩家 VPN 服務商 Pulse Secure VPN 與 FortiGate VPN 隨即傳出被駭的消息。

據報,駭客利用了 DevCore 發表的部分技術細節與概念實作方法,先在 Internet 上掃瞄具有資安漏洞的主機,駭入之後隨即取得這兩家 VPN 的系統相關檔案。

利用取得的檔案資料,駭客即可偽裝成受信任的連線裝置,連入其 VPN 網路。

資料來源:

  1. https://devco.re/blog/2019/08/28/Pulse-Secure-SSL-VPN-advisory/
  2. https://devco.re/blog/2019/08/09/Fortigate-SSL-VPN-advisory/
  3. https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

Google 資安團隊 Project Zero 一口氣發現多個 iOS 安全漏洞

Google的資安團隊Project Zero最近一口氣公開六個該團隊發現的 iOS 安全漏洞,其中有些漏洞可讓駭客在用戶不知情的情況下侵入系統,甚至執行任意程式碼。

這六個被發現的漏洞,第一個是 CVE-2019-8646,駭客可利用這個漏洞遠端讀取裝置中的資訊;因為沒有任何用戶互動,所以用戶難以發現。

第二個漏洞是 CVE-2019-8660,與記憶體管理有關;駭客可利用特殊設計的程式碼引發記憶崩潰(memory corruption),藉以造成應用程式停止運作或執行任意程式碼。其他漏洞說明,詳見參考連結。

上述的六個資安漏洞,其中的四個已在七月22日發行的 iOS 12.4 中修補完成,但仍有兩個漏洞尚未完成修補。

  • CVE編號:
    • CVE-2019-8646
    • CVE-2019-8647
    • CVE-2019-8660
    • CVE-2019-8641
    • CVE-2019-8662
    • CVE-2019-8624
  • 影響產品:iOS 12.4 之前版本
  • 解決方案:升級至 iOS 12.4 以上版本

資料來源:

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1858
  2. https://www.securityweek.com/google-researchers-find-remotely-exploitable-vulnerabilities-ios
  3. https://twitter.com/natashenka/status/1155941108553175041

Intel 處理器再次發現嚴重資安漏洞

Intel 各型處理器,繼去年年初被發現其分支預測執行單元存有稱為「Spectre」和「Meltdown」的嚴重資安漏洞後,近日又被發現另一個類似的資安漏洞,可導致在 CPU 內存取的敏感資料遭到竊取。

駭侵者可利用這個資安漏洞,以「旁路攻擊」(Side-channel attack)方式濫用一種稱為 SWAPGS 的指令,取得處理器核心記憶體中的敏感資料,例如密碼、token、加密密鑰等。

這個漏洞雖然和先前的 Spectre、Meltdown 很類似,但先前各作業系統廠商發行的資安修補程式,對此一漏洞是無效的,必須另行安裝新的更新修補程式。

微軟表示,已在七月發行的更新包中修補了這個漏洞,各 Windows 版本用戶應立即安裝此一更新。

  • CVE編號:CVE-2019-1125
  • 影響產品(版本):Intel 2012 年後推出的各型 x86 處理器。
  • 解決方案:安裝各作業系統廠商推出的最新軟體更新套件。

資料來源:

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1125
  2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1125
  3. https://www.infosecurity-magazine.com/news/new-intel-swapgs-flaw-spells-bad/

Adobe Acrobat 與 Adobe Reader 被發現多個安全漏洞

這批安全漏洞總數達到 60 個以上,以資料洩漏和任意程式碼執行的資安風險為主,而且受影響的平台不只 Windows,也包括 Mac 版本。

Adobe 已針對這些重要安全漏洞發行更新,請所有 Adobe Acrobat 和 Adobe Reader 的用戶盡速更新,以修補漏洞。

  • CVE編號:多個 CVE 編號,詳閱參考連結。
  • 影響產品(版本):Adobe Acrobat 與 Adobe Reader Windows/Mac 多個版本,詳閱參考連結之文件內列表
  • 解決方案:安裝 Adobe 發行之最新安全更新軟體即可

資料來源:

https://helpx.adobe.com/security/products/acrobat/apsb19-41.html

老舊聯想筆電被發現另一嚴重資安漏洞

資安研究單位 Pen Test Partners 發表研究報告,指出已經不再支援的聯想 Lenovo Solution Center 軟體,存有另一嚴重資安漏洞;駭侵者可藉此漏洞提升自身權限至管理者或系統階層權限,並且執行任意程式碼。

Lenovo Solution Center 是先前預載在所有聯想筆電的系統管理程式,由於先前曾經爆發另一嚴重資安問題,聯想已經停用該程式且停止支援;但可能仍有相當數量的老舊聯想筆電,仍在執行這個程式。

聯想已經針對這個資安漏洞發布資安通報,並且建議所有還在執行 Lenovo Solution Center 的老舊聯想電腦用戶,盡速升級至新版的 Lenovo Vantage 軟體。

  • CVE編號:CVE-2019-6177
  • 影響產品:Lenovo Solution Center 12.003
  • 解決方案:升級至 Lenovo Vantage。

資料來源:

  1. https://threatpost.com/bug-found-in-pre-installed-software/147657/
  2. https://nvd.nist.gov/vuln/detail/CVE-2019-6177
  3. https://support.lenovo.com/tw/zh/solutions/len-27811

SanDisk SSD Dashboard 管理程式存有資安漏洞

資安專家 Martin Rakhmonov 在日前發表研究報告,文中指出全球儲存裝置大廠 SanDisk 推出的電腦端 SSD 管理程式存有兩個資安漏洞。

首先是 CVE-2019-13466,這個資安漏洞在於把用來保護用戶資訊的加密密鑰,以明碼寫死在程式碼中,而且非常容易破解。

其次 CVE-2019-13467 的問題更加嚴重:該軟體與 SanDisk 伺服器透過網路傳輸資料時,仍使用未經加密的 http 協定,而非加密的 https,因此非常容易遭到中間人攔截攻擊。

在作者向 SanDisk 通報這兩個問題後,SanDisk 做了相對應的調整:目前不再將用戶資料自動上傳到其伺服器,改為由用戶在通報問題時手動上傳,另外傳輸協定也改為 https。

  • CVE編號:CVE-2019-13466、CVE-2019-13467
  • 影響產品:SanDisk SSD Dashboard 5.1.0 之前版本
  • 解決方案:升級至 SanDisk SSD Dashboard 5.1.0 起之新版

資料來源:

  1. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/sandisk-ssd-dashboard-vulnerabilities-cve-2019-13466-cve-2019-13467/
  2. https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=25983

D-Link DVA-5592 路由器存有資安漏洞

DLink DVA-5592 無線路由器的 Web 管理界面,存有中等嚴重程度的資安漏洞。

透過此漏洞,駭客可以跳過帳密認證程序,直接進入管理界面,並且取得用戶的敏感資訊,例如 Wi-Fi 密碼或用戶的手機門號。

發現這個漏洞與本機其他安全漏洞的資安研究人員表示,已在一個多月前將漏洞資訊提報給 D-Link 的資安通報專線,但目前仍未看到 D-Link 推出修補程式。

  • CVE編號:CVE-2019-6969
  • 影響產品:D-Link DVA-5592
  • 解決方案:截稿前尚無

資料來源:

  1. https://rhaidiz.net/2019/02/27/dribble-router-vulns-dlink-alcatel-cve-2019-6969-cve-2019-6968-cve-2019-7163/
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6969

資安研討會及活動

2019 CYBERSEC 101

活動時間:2019/9/6(五)、9/20(五)、10/25(五)、11/8(五)、11/29(五)
活動地點:台北市松山區敦化南路一段108號 B2
活動網站:https://cybersec101.ithome.com.tw/
活動概要:CYBERSEC 101 為全新系列研討會,藉由定期舉辦,持續對資安實務做更全面更深入的探討與交流,期能擴大 IT 與資安人員的資安視野,精進資安防禦技能,持續提升企業組織的資安防禦水平。
2019 年 CYBERSEC 101 資安實務研討會的第一場次,將以當前全球最受企業與政府矚目的「NIST Cybersecurity Framework」為主題,透過此一完整涵蓋企業五大防禦構面的資安藍圖,由資安專家帶領 IT 與資安人員,以每個月一個子題的節奏,依序探討NIST Cybersecurity Framework 的五大資安防禦功能(Identify、Protect、Detect、Respond、Recover),完整檢視企業資安防禦的全貌,為企業資安防禦奠定持續改善的基礎。


CDX2.0推廣活動

活動時間:2019/09/10(二) 13:00~16:00
活動地點:臺北市和平東路二段106號4樓
活動網站:https://nchc-cdx.kktix.cc/events/cdxactivity-0910
活動概要:雲端資安攻防平台(Cyber Defense Exercise,CDX)為科技部指導國家高速網路與計算中心(國網中心)執行「資訊安全開放資料平台研發與惡意程式知識庫維運(II)」計畫之一,平台採用雲端服務的架構進行規劃與設計,主要用以改善傳統攻防平台受限於軟硬體限制、管理與使用不易等問題,以虛擬化的架構實現攻防演練場景快速部署的可行性,提供多人多場景同時進行攻防演練之環境,並可提供模擬真實的網路環境用於攻防技術相關研究,讓參與者能夠熟悉與掌握以往曾經發生過的資訊安全事件,並從中學習資訊安全的檢測與分析技巧。


Cyber Attack Taipei Series 2019

活動時間:2019/09/17 (二) 8:00~17:00
活動地點:台北市中山區中山北路二段 39 巷 3 號
活動網站:https://www.eventbrite.com/e/cyber-attack-taipei-series-2019-tickets-68951581035
活動概要:
Threat Intelligence, Cybersecurity, Digital Investigation, Cyber Forensics, Artificial Intelligence, IoT, Machine Learning, BigData, Fintech
About this Event
WHO SHOULD ATTEND

  • Administrators
  • Chief Information Security Officers (CISO)
  • Chief Information Officers (CIO)
  • Chief Technology Officers (CTO)
  • IT Directors
  • Cyber Security Heads
  • Senior Executives in Security
  • Technology and Risk Officers

Network and Information Profiles


9月台北例會-物聯網時代的資安與隱私風險管理

活動時間:2019/09/24 (二) 14:30~16:30
活動地點:台北市信義區基隆路一段143號3樓
活動網站:https://www.caa.org.tw/newsdetail-15994.html
活動概要:
1.物聯網產品資安與隱私風險管理框架介紹
2.組織採用物聯網設備之風險與管理措施
3.組織物聯網設備管理成熟度評鑑方法介紹

主講講師:
姓名:李冠樟
機構:安侯企業管理股份有限公司
單位:資訊科技諮詢服務
職稱:經理
證照:CISA、CISM、CEH、ISO 27001 LA、BS 10012 LA、ISO 20000 LA、ISO 22301 LA、ITIL Foundation
專長:資訊安全管理、資訊系統稽核、個人資料與隱私保護、資訊服務管理、營業秘密保護


9月新竹例會-機敏資料管理實務講座

活動時間:2019/09/25 (三) 09:30~12:30
活動地點:新竹市光復路二段153號2樓
活動網站:https://www.caa.org.tw/newsdetail-15990.html
活動概要:
1.營業秘密與智慧財產的法制要件
2.新版營業秘密法對企業之影響
3.營業秘密的侵害與救濟
4.案例說明與企業應有之防護佈局

講師:
張紹斌 中華民國電腦稽核協會理事長/合盛法律事務所主持律師
證照-中華民國律師、司法官、BS 10012

2019年8月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

圖1、通報地區統計圖

 

圖2、通報類型統計圖

近期發生多起假檢警「境外匯款」鉅額詐騙,請小心勿上當

 

近期多件假檢警「境外匯款」鉅額詐騙,被害人年齡大多在50歲以上,事業有成、富有積蓄。接獲歹徒電話後,未加以查證即依照歹徒指示交付現金或(境外)匯款,造成財產損失也增加對自身生活環境之惶恐。

  • 近期案例
    吳女士(58歲)家中經營紅外線機具生意,5月份在家中接獲假銀行行員來電佯稱吳女士證件遭盜用被冒名開戶,表示將協助吳女士轉接檢察官處理,隨後假檢察官謊稱吳女士涉及香港洗錢案、多次傳喚皆未到案,要求被害人提領帳戶存款,交付公證以示清白,被害人信以為真,於108年5月20日至6月25日期間,分別於四家銀行臨櫃匯款21筆至香港(匯豐銀行)帳戶,金額合計美金244萬8,170元及歐元70萬7,000元(初估約新臺幣1億187萬8,270元)。
  • 詐騙手法
    1. 歹徒先隨機撥打市內電話或手機門號,假冒醫療院所、電信局或銀行人員名義,以個人資料遭冒用,再轉接假冒警察、檢察官,佯稱被害人涉及刑案、多次傳喚未到,要求配合辦案、監管帳戶、交付現金或(境外)匯款以證明清白,不配合就要收押等。
    2. 歹徒為避免銀行發現可疑情形,還會以「偵查不公開」為由,引導被害人若有行員詢問領款用途,要以公司購置機具、投資、子女結婚、家中買房子等理由搪塞行員。
    3. 因民眾對司法程序不甚瞭解,待匯款多筆後,聯繫不到假檢察官,始知受騙。

請民眾不要隨便輕信『假檢警』的詐騙,收到訊息請先查證165或相關單位,不要受騙上當