資安業者Bitdefender在調查LG智慧電視的安全時，發現其搭載的作業系統WebOS存在4項漏洞，並指出這些漏洞影響執行4.9.7至7.3.1等多個版本WebOS的電視，有91,938臺可從網際網路存取的電視曝險。

研究人員指出，這些漏洞可被串連利用。第1個漏洞是CVE-2023-6317，允許攻擊者繞過WebOS的授權機制，從而在電視上植入額外的使用者；第2個CVE-2023-6318為權限提升漏洞，攻擊者能藉此取得root權限，完全接管裝置；另外兩個漏洞CVE-2023-6319、CVE-2023-6320是命令注入漏洞，CVE-2023-6319涉及顯示歌詞的程式庫，而CVE-2023-6320則與特定的API端點有關。

值得留意的是，上述漏洞幾乎都是危急等級、CVSS風險評分達9.1的漏洞，僅有CVE-2023-6317為高風險等級，CVSS風險評分為7.2。對此，研究人員於去年11月通報，LG在今年3月22日發布修補程式。

文章出處:https://www.ithome.com.tw/news/162222

The post 9萬臺LG智慧電視存在漏洞，攻擊者有機會遠端執行任意命令 first appeared on 捕夢網 Blog.

The post 出事了 阿伯!!Google緊急修補Chrome一個已有攻擊程式的漏洞 first appeared on 捕夢網 Blog.

圖片來源: Imperva

近年來許多殭屍網路攻擊鎖定物聯網裝置，但這次駭客下手的目標，是採用內容管理平臺（CMS）的網站。近期網頁應用程式防火牆業者Imperva，揭露一個自2019年11月出現的殭屍網路KashmirBlack，駭客鎖定多款知名的網站內容管理系統下手，攻擊的範圍遍及30個國家，而其中大部分的目標仍是美國網站。

駭客控制了這些網站伺服器後，有些他們植入挖礦軟體XMRig，濫用這些網站伺服器來挖取門羅幣，有些則是用發送垃圾信，以及竄改網頁（Defacement）等。Imperva甚至發現，駭客運用部分受害主機來當做殭屍網路的基礎架構。

為了研究殭屍網路KashmirBlack的攻擊手法，Imperva在密罐建置了網站來吸引它們發動攻擊，結果其中1個被竄改成如圖中的釣魚網頁。

根據他們的分析，駭客攻擊的目標並非鎖定單一網站內容管理系統，而是至少有9種，包含WordPress、Joomla、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart，以及Yeager等，駭客利用它們的漏洞來進一步控制網站伺服器。研究人員指出，由於許多採用內容管理系統的網站缺乏維護，不會即時安裝官方推出的修補程式，雖然駭客利用的漏洞不少極為老舊，但還是奏效。

這個殭屍網路運用了那些漏洞呢？根據Imperva列出的17項漏洞來看，不少漏洞允許攻擊者遠端執行任意程式碼（RCE），或者是與上傳任意檔案有關。再者，有些漏洞則是能讓駭客透過暴力破解密碼，以及指令注入等。而這些漏洞不少存在已久，甚至有的超過10年以上。例如，單元測試工具PHPUnit的RCE漏洞CVE-2017-9841，雖然它在2017年才被列管，但實際上存在超過10年之久。

究竟有多少網站遭到這個殭屍網路擺布？研究人員指出，他們看到KashmirBlack有285個機器人，每個機器人單日發動攻擊的對象，平均為240臺主機（或是3,450個網站）不等。如果有1%的主機被攻陷，那麼每天就有700個主機成為受害者。換言之，從這個殭屍網路運作近11個月，迄今保守估計至少有23萬個網站成為受害者。然而，Imperva指出，他們追蹤到的機器人IP位址，應該不是全部，實際受害的網站數量，恐怕遠大於上述數字。

對於幕後操控KashmirBlack的駭客，研究人員透過IP位址尋線追查，認為是印尼駭客組織PhantomGhost所為。

再者，為了藏匿攻擊行動，他們也看到駭客濫用常見的公有雲服務，包含了GitHub、Dropbox，以及Pastebin等，目的要能向已感染的伺服器下達額外指令，而不被資安防護系統發現。

#網站 #駭客 #漏洞 #WordPress #Joomla #Drupal #網頁應用程式防火牆 #殭屍網路 #網站內容管理平臺 #CMS #物聯網 #網站伺服器 #挖礦軟體 #竄改網頁 #Defacement #PrestaShop #Magneto #Vbulletin #OsCommerence #OpenCart #Yeager #遠端執行 #PHPUnit #CVE-2017-9841 #公有雲 #GitHub #Pastebin #Dropbox #WAF #WebApplicationFirewall #deepsecurity

捕夢網WAF

捕夢網Deep Security

 

The post 23萬網站被駭客挾持，因管理者未修補的RCE與任意檔案上傳漏洞惹禍！ first appeared on 捕夢網 Blog.

其實，微軟當時已經指出，此漏洞的CVSS 3.0風險達到滿分10分，並表示與網域控制器（Domain Controller）有關，不過，隨著研究人員的揭露，指出該漏洞可讓駭客輕易掌控AD網域，並解釋漏洞成因，不僅再次引發外界對此漏洞的重視，同時，相關的修補說明與警示也不斷成為新聞焦點。

這個已經使用多年的協定到底有何問題？我們根據首度揭露這項漏洞的資安公司Secura的資安報告，同時也請臺灣資安業者奧義智慧協助，深入說明這次漏洞的細節、根因與利用方式。

漏洞在Netlogon認證交握過程

關於這次Netlogon遠端協定漏洞的成因，我們先從協定運作原理開始說起。

簡單來說，Windows Netlogon遠端協定是一個RPC（Remote Procedure Call）介面，作用於AD網域控制器與Windows網域中電腦之間。舉例來說，以NTLM協定將使用者登入伺服器，就是它的功能之一，其他還包括讓網域內的電腦，以及網域控制器，可以相互驗證身分，特別是還可更新網域中電腦的密碼。

從原理來看，依據Windows Netlogon遠端協定，當用戶端（已加入網域的電腦）連至伺服器端（網域控制器）時，必須先經過認證交握（Authentication handshake）的過程。在此階段中，第一步驟是由用戶端開始，會先傳送一個Client Challenge，然後第二步驟是伺服器端也傳送回一個Server Challenge，此時，將透過一個金鑰衍生函式KDF（Key Derivation Function），以便相互確認彼此，並產生後續通訊都可用於驗證的Session Key。

第三步驟，同時也就是這次漏洞發生的地方。在用戶端通知產生Session Key時，該Session Key將包含secret與Challenge，secret是帳號密碼，並會將前述的Client Challenge加密，當傳送至伺服器端時，加密的結果就會被放入NetrServerAuthentication3的credential參數中，提供給Server進行確認。

一般而言，也就是在沒有漏洞的情況下，攻擊者在此情境中，由於不知道密碼，就無法計算出Session Key，也無法成功算出Client Credential。但是，攻擊者若是不知道Session Key，卻有辦法計算出Client Credential，等於成功繞過這裡的身分驗證。而這次的漏洞，就是這裡的加密過程中，沒有正確使用AES-CFB8加密模式而導致。

從軟體開發的角度來看，這次漏洞突顯了什麼樣的問題？是因為AES-CFB8不夠安全？還是軟體實作上出了什麼問題？

奧義智慧資深研究員陳仲寬的看法是，這個漏洞首先顯示出軟體在安全性及效能上的權衡。他認為，AES-CFB8是一個針對效能的變種演算法，雖常用於實務上，但並未仔細地接受理論上的分析驗證，儘管也沒有人證明其不安全。

而這個漏洞最主要的重點，就是沒有正確實作AES-CFB8加密模式，違反IV數值應為隨機數值。因為在此實作上，將AES-CFB8成立所需要的一項安全屬性- IV數值，寫死為一連串的0，造成當攻擊者將前述Client challenge同樣設定成一連串0時，造成連鎖效應，就有相當高的機率（1/256），導致得到的運算結果也是一連串0。

也因此，攻擊者能夠利用Zerologon漏洞偽造身分，與網域控制站溝通，並且有很高的機率，可以向伺服器端驗證自己的身分，之後，將能藉由Netlogon協定中內建的設定密碼功能，更改網域控制站的電腦帳號與密碼，再以DCSync等攻擊方式，進而控制整個網域。

對此，陳仲寬推測，實作此部分軟體的人，可能並不熟悉密碼學，也沒有深入去探討固定IV的風險，因此造成此次漏洞。他認為，即使是一般程式設計師，也需要有基本資安的概念。

資料來源: iThome 為何發生Zerologon漏洞？軟體實作不當 https://www.ithome.com.tw/news/140582

The post 為何發生Zerologon漏洞？軟體實作不當 first appeared on 捕夢網 Blog.

ThemeGrill Demo Importer是知名WordPress主題外掛程式，WordPress用戶安裝了該程式之後，即可一鍵安裝ThemeGrill官方內容、widgets及主題設定。目前至少超過20萬個WordPress網站安裝ThemeGrill Demo Importer。

WebARX研究指出，漏洞大約3年前就存在了，ThemeGrill Demo Importer 1.3.4到1.6.1版都有存在此漏洞。由於該漏洞一般看來無惡意，因此並不會被封鎖，而可能造成重大的資料損失。

ThemeGrill Demo Importer已修補該漏洞並於2月16日釋出新版，WebARX呼籲該外掛程式的用戶應儘速更新。

文章來源: https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/

The post 超過20萬 WordPress 用戶可能造成重大的資料損失-更新外掛ThemeGrill Demo Importer first appeared on 捕夢網 Blog.

消基會指出華信航空疑似被駭，導致消費者交易資料外洩，根據165反詐騙專線統計，3月12日到19日已接到40起歹徒假冒華信航空客服人員詐騙，損失金額達300萬元。對此，華信清清已依警方指示於官網、簡訊提醒消費者防範假客服的電話詐騙手法。

The post 消基會：華信航空疑資料外洩，消費者買機票竟遭詐52萬元 first appeared on 捕夢網 Blog.

WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer郵寄函式庫，Golunski估計，PHPMailer的全球用戶超過900萬，影響數百萬個網站

The post 開源郵件函示庫PHPMailer驚爆漏洞，WordPress和Drupal上百萬個網站安全拉警報 first appeared on 捕夢網 Blog.

該漏洞存在於採用LUKS統一金鑰設定的Linux版本，LUKS為執行Linux硬碟加密的標準機制，通常搭配Cryptsetup工具使用，受影響的Linux版本包括Debian、SUSE Enterprise Linux、Red Hat Enterprise Linux、Ubuntu與Fedora。

The post Linux磁碟加密工具Cryptsetup爆重大漏洞，駭客可取得系統根權限 first appeared on 捕夢網 Blog.

OpenSSL本周釋出了OpenSSL 1.0.1t與OpenSSL 1.0.2h以修補2個高嚴重性及4個低嚴重性安全漏洞。

其中一個高嚴重性漏洞的代號為CVE-2016-2107，屬於「密文填塞」（Padding Oracle）漏洞，藉由傳遞不同填充內容的加密訊息至伺服器進行驗證，並依據回應內容解密。該漏洞出現於伺服器支援AES-NI且採用AES CBC加密連結的狀況下，將允許駭客解密通訊流量。

另一個高嚴重性漏洞則是CVE-2016-2108，為一記憶體毀損漏洞，出現在OpenSSL所使用的ASN.1編碼器中，CVE-2016-2108其實是由兩個低風險的臭蟲所構成，但彼此牽動便會造成嚴重的後果，可允許駭客執行任意程式。

OpenSSL建議OpenSSL 1.0.1與OpenSSL 1.0.2的用戶儘快升級到最新版本。

文章來源:http://www.ithome.com.tw/news/105728

圖片來源:https://pixabay.com/

The post OpenSSL修補兩個高嚴重性漏洞 first appeared on 捕夢網 Blog.

「過去6個月以來，半數臺灣FireEye企業客戶曾遭遇到如APT手法的進階式網路攻擊，比例居於全球之冠，還遠高香港的43%和亞太區的27%。」美國國家地理空間情報局（NGA）前資訊安全長，也是現任FireEye 美洲安全策略長Lance Dubsky今日（3/7）來臺提出警告，臺灣是全球APT攻擊災情最重的國家，企業至少得要146天才會發現自己被駭，也就是說，至少5個月內，駭客可以為所欲為。

美國國家地理空間情報局是與美國FBI、CIA和國家安全局平起平座，少數不為人所知的第4個高級情報機構，負責國家衛星地理情資的影像繪製與支援任務，而曾任該情報局前資安長的Lance Dubsky今日首度來臺參加臺灣第2屆資訊安全大會並擔任首場主題講者。

Lance Dubsky表示，從FireEye最新威脅報告M-Trends 2016 顯示，駭客入侵到企業發現的停留時間（ Dwell-Time），在2015年已大幅縮短至146天，比起2014年的205天還少，不過，Lance Dubsky還是認為，146天太過漫長，這代表，企業仍有將近5個月的空窗期是暴露於高資安風險之中；他認為，企業發現遭駭入侵的時間差，最為理想的時間應落在約 20～30天，如此才可讓企業有更多的時間反應，也有助於減少駭客利用此漏動來發動更多惡意攻擊。

Lance Dubsky表示，現在，許多常用的線上服務持續成為駭客利用入侵的管道，且企業和政府部門未能強化對於隱私資料的安全保護，也使得近年來資料外洩事件頻傳，甚至伴隨著物聯網（IoT）、行動裝置App帶來的種種創新，也讓駭客可利用的入侵管道和手法變得越多端莫測，因此他認為，企業在資安防禦上也得要跟著進化，做到靈活彈性部署，甚至變成智慧化，才能因應駭客不斷更新的攻擊手法。

不僅如此，Lance Dubsky也觀察到，去年駭客鎖定攻擊的目標也有了改變，高科技業成為了駭客下手的新寵兒，比例從2014年的7%增加到2015年的11%，而過去常遭駭客攻擊鎖定的零售業則有減緩的趨勢，從原先的14%降至2015年的9%，此外這些被偵測到的入侵活動，有近半數以上都是從企業內部進行發動的攻擊，比例較往年提高不少。

Lance Dubsky也認為，2016年針對商業破壞式攻擊的駭客入侵比例將會攀升，例如去年底發生於烏克蘭的一起電力網路遭駭事件，即導致當地數十萬用戶大停電，一段時間完全無電可用，導致民生經濟都遭受影響，而背後傳出即是俄羅斯當局的網軍所為。這些攻擊發動的動機，多是基於政治性或是商業性的動機，而這類的攻擊事件未來將持續上演。

此外，隱私資訊外洩問題依然將在2016年持續發酵，他表示，越來越多駭客將鎖定負責掌握公司機密資料的管理者或是系統來入侵，並也將出現有更多針對網路裝置發動的攻擊，駭客將利用這些網路設備的漏洞，如路由器等，來完成任一網路功能的操控，包括進行各種偵察、安全控制破壞或癱瘓整個企業內網。

「即使企業無法完全根絕駭客入侵的發生，但還是可以想盡辦法設法找出攻擊來源並將漏洞關閉，將損害減到最小。」Lance Dubsky也建議，企業在資安防護上，可加強多因子認證（Multi-Factor Authentication）的存取控制，來強化資料和應用程式的安全性，並也能對於特定權限使用者帳戶進行長期監控，因為這些用戶最容易成為駭客鎖定下手的目標。

與此同時，企業也得全面盤查現有使用的資安產品和服務，找出已經閒置或無法有效提供防護的部分，予以汰換，加入新的安全保護機制，甚至也得建立一個更為迅速的的事件應變計畫（Incident Response Plan ，IRP），能用更簡便方式在當攻擊發生時有效來因應。

文章來源:http://www.ithome.com.tw/news/104395

圖片來源:https://pixabay.com/

The post 美國情報機構前資安長：臺灣APT災情全球最慘，企業至少5個月不知被駭 first appeared on 捕夢網 Blog.