西班牙银行(Banco△de△Espa?a)8月26日遭到阻断服务攻击,直到8月29日才恢复正常运作。
图片来源:CC△2.0 by△stanjourdan
0823~0829一定要看的资安新闻?
?西班牙央行? ?DoS攻击?
西班牙央行遭DoS攻击,网站瘫痪近48小时根据路透社及多家媒体报道,西班牙银行(Banco△de△Espa?a)8月26日遭到阻断服务(Denial△of△Service)攻击。媒体引述西班牙银行高层指出,攻击造成网站服务断线,但并未影响银行金融服务、对内或对外的通讯,且强调没有资料外泄。西班牙银行官网直到8月29日才恢复正常运作。更多内容
?
?加州? ?个资保护?
加州通过轻量版GDPR,脸书、Google游说特朗普政府建立联邦隐私法抗衡经常反对任何政府监管规定的美国科技业者近日突然转性了,积极游说美国特朗普政权的官员以建立联邦隐私法,然而, 根据纽约时报的报道,这是因为加州在今年6月通过了该州的隐私法令,这份被称为“轻量版GDPR”的加州法令让科技业者坐立不安,于是决定推动联邦隐私法,希望联邦隐私法能对科技业者更宽容,同时取代严苛的加州隐私法。
根据报道,参与此一游说行动的科技业者包括了脸书、Google、IBM、微软与其它业者,它们通过游说组织Information△Technology△Industry△Council(ITI)推动新的联邦隐私法,主要是担心加州隐私法将成为美国各州效法的标准。
今年6月才出炉的加州隐私法允许人们有权检视业者所搜集的个人资料、搜集这些资料的目的、分享的对象,也能要求删除这些资料或拒绝分享,倘若业者处理不当,就可能面临来自消费者的诉讼,因而被称为轻量版的《欧盟通用资料保护规则》(GDPR),原本预计要在2020年1月实施,但因某些技术上的修正而将延后至2020年7月上线。更多内容
?
?Android?
Android手机高权限AT命令不设防,骇客以USB就能覆写韧体或解锁荧幕美国佛罗里达大学、石溪大学与三星的研究员共同发表了网络安全研究论文,内容提到在1980年代设计用来控制数据机的AT命令,现在仍被大量的使用在Android智能手机上,来提供强大的控制功能,骇客可以使用这些未受保护的命令,绕过Android安全机制,执行覆写韧体等高权限工作。
AT(ATtention)命令在1981年被提出,作为控制数据机的指令。当数据机在数据模式接收了这些命令,将能进行选择通讯协议、设置线路速度、拨号或是挂断电话等功能。从20世纪1980年代以来,AT命令成为控制数据机的主流方法,由国际电话联盟以及欧洲电信标准协会等机构颁布标准化的AT命令。
智能手机配备了具备数据机功能的蜂巢式基频处理器(Cellular△Baseband△Processor),让装置可以和蜂巢式网络通讯,并且接收AT命令进行配置。研究人员发现,除了标准的数据机命令,有部分Android装置制造商订制化了专有的AT命令,这些扩充的AT命令通常不会呼叫电话相关功能,而是用于存取装置上的其他资源。
研究人员从11个供应商的2,000多个Android智慧手机韧体映像档中,系统性的取出了3,500个AT命令,并使用USB连接埠测试其中4个供应商的8款Android装置,发现这些AT命令提供强大的控制功能,包括覆写硬件韧体、绕过Android安全机制、泄漏装置敏感资讯、解锁荧幕,甚至使用AT命令就能触发荧幕点击事件。AT命令介面提供大量无限制的功能,向骇客暴露Android设备上的广泛攻击面。更多内容
?
?脸书?
脸书遭爆其日志收集伺服器存在远端程式码执行漏洞资安工程师Daniel△Le△Gall发现脸书一台伺服器存在远端程式码执行漏洞,在他回报脸书后,脸书已经修正漏洞并给作者5,000美元作为奖励。
Daniel△Le△Gall经常性的对有参加Bug△Bounty计划的企业搜寻漏洞,而在他扫描脸书IP区段时,发现了托管在IP位置199.201.65.36,域名为sentryagreements.thefacebook.com的Sentry服务,Sentry是一个日志收集网页服务,以Python使用Django框架撰写。Daniel△Le△Gall查看该服务发现,不明原因的有许多堆叠追踪资讯会定期的出现在页面上,这些资讯看似由于密码重设功能使系统不稳定造成的,甚至有时候会崩溃,因为系统启用Django除错模式,因此环境参数都被显示出来。
作者从列印出来的资讯,发现了利用Python物件序列化的二进位协议Pickle△骇入系统的方法,他提到,只要可以伪造包含任意Pickle内容的Session,就能够在这个脸书的伺服器上执行任意程式码,Daniel△Le△Gal从堆叠追踪印出的资料SENTRY_OPTIONS,找到了用来Session签入的密钥,并成功利用这个漏洞建立了概念性验证,置换既存Sentrysid△Cookie的内容,并以任意物件填充让系统休眠半分钟。更多内容
?
?Belkin? ?智慧插头?
McAfee:Belkin智慧插头含有远端程式攻击漏洞McAfee△Labs指出,知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△Plug含有一缓冲区溢位漏洞,将允许骇客执行远端程式攻击。
Belkin除了制造电脑及手机的周边商品之外,也有少许的智慧家庭装置,如智慧开关或智慧插头,McAfee所测试的则是Wemo△Insight△Smart△Plug智慧插头,它是一个插座转接器,先插在传统插座上,再连结其它的家电,并以Wemo程式来控制Smart△Plug的供电与否。
McAfee发现Wemo△Insight△Smart△Plug的韧体含有编号为CVE-2018-6692的安全漏洞,这是一个存在于libUPnPHndlr.so函式库的缓冲区溢位漏洞,允许骇客自远端执行任意程式。McAfee表示,如果该漏洞只会影响Wemo△Insight△Smart△Plug,那骇客顶多只能一直切换电源,但若该Smart△Plug连结了家中的Wi-Fi网络,骇客就能掌控家中的其它连网装置。更多内容
?
?Lazarus? ?木马程式Fallchill?
恶名昭彰的骇客组织Lazarus锁定Mac、Windows△加密货币持有者安全公司卡巴斯基(Kaspersky△Lab)发现,骇客组织Lazarus发动名为AppleJeus行动(Operation△AppleJeus)的攻击,借由不明软件植入用户电脑,企图窃取macOS及Windows△PC用户的加密货币及机密资讯。这也是Lazarus首次针对Mac电脑用户发动攻击。
卡巴斯基的全球研究与分析小组(GReAT),是在调查亚洲一家加密货币交易平台时发现这项攻击。这家平台公司的员工,遭到一封电子邮件诱骗到看似合法网站而被下载了第三方加密货币交易软件,进而感染木马程式Fallchill。研究人员拆解木马程式后循线追查到来源是Lazarus。
Lazarus是恶名昭彰骇客团体,被怀疑和朝鲜政府有关。该组织自2014年活动以来作乱不断,被怀疑是入侵索尼影业、亚洲多国银行及制造业者网络、甚至被指为是WannaCry△蠕虫程式背后元凶。Lazarus之前也曾使用Fallchill来入侵金融机构。更多内容
?
?Cheddar's△Scratch△Kitchen? ?个资外泄?
逾55万名Cheddar's△Scratch△Kitchen顾客的信用卡资料被偷了美国连锁餐厅 Cheddar's△Scratch△Kitchen对外公告,在去年11月3日到今年1月2日遭到骇客入侵,在这期间造访美国23州特定Cheddar's△Scratch△Kitchen餐厅的顾客,可能都受到波及,估计有56.7万张的支付卡资讯被盗。
Cheddar's△Scratch△Kitchen母公司Darden△Restaurants表示,他们是在今年8月中旬收到警方的通知,才知道特定门市所使用的收银系统(POS)遭到骇客入侵,但他们在今年4月全面更换了新系统,已终结了骇客的入侵管道。
Cheddar's△Scratch△Kitchen在美国23个州开设了163家连锁餐厅,目前Darden△Restaurants仅说只有特定餐厅被骇,且仍在厘清受害规模。此外,Darden△Restaurants虽然坦承客户的支付卡资讯外泄,也只说内含卡片号码,并未提及更多的外泄资料细节。更多内容
?
?飞利浦? ?医疗系统?
飞利浦心血管仪器软件爆任意程式码执行漏洞美国国土安全部旗下ICS-CERT警告,飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞,可能导致任意程式码执行,进而让外人窃取医疗影像及病患诊断资料。
编号CVE-2018-14787的漏洞影响IntelliSpace△Cardiovascular系统2.x及之前版本,及伺服器软件Xcelera△4.1以前的版本。飞利浦安全公告指出,在上述版本的伺服器上包含20项Windows服务,其可执行档位于骇客具有写入权限的资料夹。这些Windows服务可以本机管理员帐号执行,一旦有人将之置换成恶意程式,则该恶意程式也能以本机管理员帐号或系统权限执行。更糟的是,一个技术普通的攻击者就能开采本项漏洞。
第二项漏洞CVE-2018-14789则是不带引号搜寻路径或element漏洞(unquoted△search△path△or△element△vulnerability)。受本漏洞影响的产品为IntelliSpace△Cardiovascular系统3.1及之前版本,及伺服器软件Xcelera△4.1以前的版本。在这些伺服器上,有16项Windows服务路径名称不带括号。由于这些服务是以本机管理员权限执行,并以机码开头,因此路径能让攻击者植入有本机管理员权限的可执行档。更多内容
?
?Apache基金会? ?Struts△2漏洞?
Apache软件基金会修补Struts△2的远端程式攻击漏洞Apache软件基金会(Apache△Software△Foundation)于8月22日修补了Apache△Struts△2中,一个可能会引发远端程式攻击的安全漏洞,有鉴于Apache△Struts△2过去出现类似的重大漏洞时,相关攻击程式在24小时之内就现身,因而呼吁用户尽速更新。
此一编号为CVE-2018-11776的安全漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号命名空间时,其次是所使用的URL标签没有设定行动与值,同时上层动作配置没有或使用通配符号命名空间时,就可能允许骇客执行远端程式攻击。
发现该漏洞的安全研究人员Man△Yue△Mo表示,若执行特定配置的Struts伺服器造访了骇客特别打造的网页时,就能触发该漏洞。
Apache△Struts为一开源的网络应用程序框架,主要用来开发基于Java△EE的网络应用,根据去年的统计,Fortune△100大企业中,至少有65%依赖Apache△Struts框架。更多内容
图片来源:CC△2.0 by△stanjourdan、wiki△media、belkin、飞利浦
?
?更多资安动态?
澳洲政府禁用来自华为与中兴的5G技术
因违反苹果App△Store用户隐私政策,脸书下架VPN△App
Adobe紧急修补Photoshop△CC的两个远端程式攻击漏洞
资料来源:iThome整理,2018年8月
I 相关 / Other
加州通过轻量版GDPR,脸书、Google等科技业者游说特朗普政府建立联邦隐私法抗衡
示意图,与新闻事件无关。 图片来源: 脸书 经常反对任何政府监管规定的美国科技业者近日突然转性了,积极游说美国特朗普政权的官员以建立联邦隐私法,然而, 根据纽约时报的报道,这是因为加州在今年6月通过了该州
西班牙央行遭DoS攻击,网站瘫痪近48小时 媒体报道,西班牙央行-西班牙银行遭到DoS阻断服务攻击,外传发动攻击者是为抗议政治人物遭监禁,该银行网站至今仍未恢复正常。
示意图,与新闻事件无关。 图片来源: 华为 身为全球最大电信设备制造商的华为(Huawei)周三(8/22)通过Twitter宣布,他们已收到澳洲政府的通知,不准华为与中兴(ZTE)在澳洲提供5G技术。而澳洲政府的考量与美国
示意图,与新闻事件无关。 图片来源: BOT 泰国银行(Bank△of△Thailand,BOT)周二(8/21)发表了Inthanon专案,将与R3及8家银行携手合作,以分类帐技术(Distributed△Ledger△Technology,DLT)来提高泰国金融市
美电信商 Verizon坚持限制网速 拖慢加州大火救援工作 | 香港 UNWIRE.HK 玩生活.乐科技
无限数据用得太多被“限速”,在美国也会出现这种情况,而且更出在紧急救援的消防员身上。有外媒报道在七月尾加州大火的救援工作当中,因数据传送速度受限而令到消防员工作受阻。而当地消防局所使用的,正是电信商 V