作者: 趨勢科技 TrendMicro

BlueBorne藍芽漏洞,恐讓數十億裝置暴露於遠端挾持風險 

趨勢科技 TrendMicro

你是否也在使用藍牙裝置?那麼你該檢查一下你的裝置是否隨時開啟藍牙連線。不論筆記型電腦、智慧型手機,或任何物聯網 (IoT) 裝置,只要是具備藍牙功能,就有可能遭到惡意程式攻擊,讓駭客從遠端挾持裝置,而且完全不假使用者之手。

BlueBorne 是什麼?

「BlueBorne」是一群由 IoT 資安廠商 Armis 所命名的藍牙漏洞。根據該廠商所提供的詳盡說明,這群存在於藍牙實作上的漏洞遍及各種平台,包括:Android、Linux、iOS 以及 Windows。駭客一旦攻擊成功,就能從遠端挾持裝置。除此之外,駭客還有辦法從一個藍牙裝置跳到另一個藍牙裝置。BlueBorne 漏洞可讓駭客執行惡意程式碼、竊取資料以及發動中間人 (MitM) 攻擊。

BlueBorne 是一群漏洞的總稱,包括以下幾項:

  • CVE-2017-1000251:Linux 核心遠端程式碼執行 (RCE) 漏洞
  • CVE-2017-1000250:Linux 系統藍牙實作資料外洩漏洞 (BlueZ)
  • CVE-2017-0785:Android 系統資訊外洩漏洞
  • CVE-2017-0781:Android 系統 RCE 漏洞
  • CVE-2017-0782:Android 系統 RCE 漏洞
  • CVE-2017-0783:Android 系統藍牙 Pineapple 中間人 (MitM) 攻擊
  • CVE-2017-8628:Windows 系統藍牙實作 MitM 攻擊
  • CVE-2017-14315:Apple 低功耗音訊通訊協定 RCE 漏洞

BlueBorne 無線連線攻擊,可竊聽、攔截或重導兩個藍牙裝置之間的通訊

根據發現 BlueBorne 漏洞的資安研究人員估計,全球約有 53 億個藍牙裝置受到影響。藍牙是一種無線連線規格,今日幾乎無所不在,而且全球有超過 82 億個裝置皆內建藍牙功能,其用途包括多媒體串流、資料傳輸、電子裝置之間的資訊廣播等等。  繼續閱讀

Gartner:未來三年內,99%的防火牆被突破事件是因為設定錯誤

趨勢科技 TrendMicro

最佳實作:有效部署防火牆

八月初,惡意軟體入侵北卡羅來納州一家變速箱工廠的電腦網路和系統。這起攻擊原本可能造成高昂的損失,因為工廠如果無法製造並將汽車零組件送至美國各地工廠,每小時損失高達27萬美元,不過這工廠有一道防火牆擋在工廠關鍵系統和駭客之間,當惡意軟體試圖結束他們網路時加以阻止。

就如同其名,防火牆是防禦網路犯罪的第一道防線。它們檢查、控制和封鎖進出的網路流量。經過你系統的資料必須先通過防火牆,如果沒有符合設定規則就會加以檢查或封鎖。

但維護公司防火牆是件艱鉅的工作,特別是當要保護的網路包含了客戶端、端點系統、伺服器和其他設備時,每個都有自己的連線需求。如果管理或部署不當,防火牆會讓你的組織出現攻擊者可用來侵入你網路的安全漏洞。Gartner公司甚至預測在未來三年內,有99%的防火牆被突破事件會是因為設定錯誤造成。

防火牆是你的第一道防線:它們按照規則審查進出的網路流量是否有惡意內容。

要建立防駭客的防火牆並沒有萬用通則,但有方法能夠幫助簡化管理。每個組織都有自己獨特而具體的要求,底下的建議可以幫助你開始管理防火牆,讓你和你的公司不會被燒到。

 

什樣的防火牆適合你?

防火牆有網路型和主機型。網路防火牆被放在閘道(檢視內部電腦與外部網路間的網路流量), 像是放在區域網路和廣域網路(LAN / WAN)或內部網路間。主機型防火牆最顯著的例子就是在2004年被整合到Windows XP,定位是放在有連線的端點上,成為作業系統(OS)或安全應用程式的一部分。

關鍵是連線從哪裡發起以及要在哪裡進行檢查和攔截。評估自己的選擇和定義自己的安全需求。你的網路和系統需要什麼?你的網路會進行什麼類型的連線?有足夠資源加以執行嗎?誰負責管理防火牆?這足夠遏制和防止入侵嗎? 繼續閱讀

一個假外掛和三個零時差漏洞鎖定WordPress

趨勢科技 TrendMicro

假外掛程式會在每次管理員啟用時通知攻擊者

熱門的部落格平台WordPress最近出現後門和假Wordpress外掛程式,該後門程式偽裝成一個超過100,000次的安裝的防垃圾訊息工具:WP-SpamShield Anti-Spam;冒牌外掛則夾帶三個零時差漏洞

標記為X-WP-SPAM-SHIELD-PRO的後門程式據報會停用其他安全相關工具、竊取資料並加入隱藏的管理員帳號。安全研究人員發現假外掛程式有看似正常的結構和檔案名稱,但它們其實都是假的。此外,後門程式可以讓攻擊者上傳任何東西到網站上。

假外掛程式會在每次管理員啟用時通知攻擊者。外掛程式中有一個檔案名為“class-social-facebook.php”,看起來似乎是用來封鎖可能的Facebook垃圾訊息。但進事實它會停用啟用中外掛,導致網站無法正常使用。另外兩個名為“class-term-metabox-formatter.php”和“class-admin-user-profile.php”則被攻擊者用來收集資料。

還有一個名為“plugin-header.php”的檔案則會新增一個管理員帳號,這可以讓攻擊者刪除漏洞攻擊檔案,同時還會顯示目標攻擊網站的使用者名稱、密碼和電子郵件。

繼續閱讀

Yahoo 認了,不只 10 億! 2013 年 30 億用戶帳號無一倖免,全數被駭

趨勢科技 TrendMicro

Yahoo 雅虎 坦承2013年發生的資料外洩事件,並非先前所披露的10億筆帳號受駭,而是30億用戶帳號都受駭,這個新數字成為史上最大帳號被駭事件。Yahoo已經發送通知給這些受影響的使用者。

一項調查顯示在2013年Yahoo遭受入侵時的所有帳號都受到影響。被竊的帳號資料可能包括了姓名、電子郵件地址、電話號碼、出生日期、雜湊化的密碼(使用MD5),及某些案例可能包含加密或未加密的安全問題和答案。

與Yahoo之前關於資料外洩的聲明相同,這項調查認為被竊的資料不包括明文密碼、付款卡片資料或銀行帳戶資料。不過專家懷疑以上這些資料的安全性,他們認為這些只用過時和易於破解的加密技術保護。

Verizon資訊安全長 – Chandra McMahon在披露受影響帳號數量增加後向使用者保證“Verizon致力於最高標準的負責任態度和透明化,我們會主動確保使用者和網路在不斷變化網路威脅下的安全性”。

兩招減少損害 繼續閱讀

行動裝置應用程式安全-六個開發人員須知

趨勢科技 TrendMicro

根據報導,2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式,前一年增加 66%。

對企業而言,行動平台確實已經無所不在。它和許多新興的平台一樣,將會創造龐大的機會,尤其是以企業為目標的開發人員,

但這將對資料處理方式帶來何種影響?

[請參閱:行動裝置應用程式如何成為下一波網路犯罪的邊境]

根據報導,光是 2017 年 6 月,就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊,暴露的資料量大約有 43 TB,至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現,醫療保健及金融相關的行動裝置應用程式中,有 90% 含有重大的安全漏洞。

這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP) 最新版的常見行動裝置風險列表,這些風險包括多餘的功能、不安全的資料儲存方式及網路,有些應用程式幾乎完全沒有驗證及加密機制,無法阻止駭客進行逆向工程,重新封裝、欺騙或修改應用程式。

舉例來說,這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中,顯然會帶來嚴重的後果。

無論是企業,或是一般使用者,隱私也是行動裝置應用程式重要的議題,行動裝置應用程式必須徹底檢查安全性,以免資料遭到濫用及感染惡意程式。最近發生在 UberBrightest FlashlightPathKim Kardashian: Hollywood 行動裝置應用程式,以及小米的智慧型手機等事件,都是最佳的案例。

[請參閱:2016 年行動裝置威脅概況]

由於職場自攜設備 (BYOD) 工作方式的盛行,各種應用程式使用相同的網路,存取相同的資料,行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰,行動裝置應用程式開發人員仍有一些對策可提供企業資源,同時不犧牲企業的安全性與個人隱私。

六個開發人員須知:

1.    強制實施最小權限原則

將您應用程式執行時的權限要求,限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料,讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。

[趨勢科技白皮書:虛假應用程式:假冒真實性]

2.    實行堅實授權及多要素驗證

應用程序的驗證及授權中的缺陷,是行動裝置威脅常見的攻擊途徑,這些管道讓駭客透過中間人攻擊冒充其他使用者,或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷,例如取得一般使用者的銀行帳戶並竊取金融記錄,即可藉此獲利。開發人員應保護各項功能的安全,例如驗證員工的使用者身分,或判斷消費者可在應用程式中存取或執行哪些資源。 繼續閱讀