AmosConnect 8 船舶通訊系統出現兩大漏洞

 

全球數以千計海運船隻廣泛使用 AmosConnect 8 船舶通訊軟體被發現重大漏洞。此通訊軟體大多用於海上船舶窄頻衛星通訊、電子郵件、傳真,以及辦公室之間的通訊。但最近卻被網路資安廠商 IOActive 研究人員發現了兩個重大漏洞,可能讓駭客入侵該系統並竊取系統上儲存的任何資料。

maritime

根據研究人員表示,該軟體的登入表單出現漏洞可能被駭客透過 SQL 隱碼攻擊 (SQL Injection) 的方式,在表單內注入資料來造成伺服器產生錯誤訊息,進而取得某些伺服器資訊。

在 AmosConnect 8 系統上,駭客只要有網路存取權限,就能利用 SQL 隱碼攻擊來取得其他使用者的登入憑證。其伺服器顯然是使用明碼方式來儲存使用者名稱和密碼,所以才會讓歹徒很容易竊取。

除此之外,該平台也內建了一個後門,可讓駭客取得系統管理權限。如此一來,駭客就能從遠端在伺服器上執行任何程式碼。因此,伺服器上儲存的任何資料都可能遭到外洩,而且駭客還可藉此駭入任何相連的網路。這一點對於需要經手客戶資料和貨運私密資訊的跨國海運公司來說,是相當敏感的事。

隨著駭客不斷實驗各種攻擊方式來擴大事業版圖,媒體也開始經常出現海運公司遭駭客攻擊的案例。根據報導,有些駭客會身兼海盜,專門偷看船運公司的行程表來尋找高價值的貨物並挾持船隻。

根據新聞媒體指出,開發 AmosConnect 軟體的 Inmarsat 公司已經解決了這些安全漏洞並釋出了修補更新。不過該公司也將停止開發 8.0 版軟體,並且建議客戶先改回之前的 AmosConnect 7.0 版。

如同其他許多產業一樣,海運公司也正開始轉型並導入一些現代化功能。在這樣的情況下,該行業所使用的特殊軟體也必須跟上今日資安情勢的狀況,尤其,網路威脅數量正不斷成長。因此,企業應隨時更新並修補系統,以便防範各種已知的威脅。

原文出處:Vulnerabilities Found in AmosConnect 8 Maritime Communications Systems

WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

最近,Wi-Fi 無線網路加密協定 WPA2 被揭露多項安全漏洞,據稱可能讓 Wi-Fi 無線裝置遭到所謂的「金鑰重新安裝攻擊」(Key Reinstallation AttaCK,簡稱 KRACK),是一種針對 WPA2 加密機制漏洞的概念驗證攻擊。KRACK 採用的是「篡改並重送加密交握訊息」的手法,也就是從系統和裝置在彼此通訊之前交換參數的流程下手。

 

WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

 

WPA2 是藉由授權與加密機制來確保 Wi-Fi 裝置及硬體的通訊安全。KRACK 攻擊如果得逞,駭客就能偷窺裝置與 Wi-Fi 無線基地台之間的網路流量。

根據科技新聞網站 Ars Technica 表示,美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,簡稱 US-CERT) 在針對某些機構發出的公告當中指出,這批漏洞是發生在雙方進行交握 (handshake) 以產生網路通訊加密金鑰的過程。此金鑰只要被重新傳送多次,未來就能重複使用,但該金鑰原本應該只能使用一次。

[延伸閱讀:公共 Wi-Fi 基地台安全嗎?]

根據 Ars Technica 的引述:「US-CERT 目前已掌握多個 WPA2 加密協定四向交握 (4-way handshake) 流程相關的金鑰管理漏洞。這些漏洞可能引發的問題包括:封包解密、封包轉遞、TCP 連線挾持、HTTP 內容注入…等等。請注意,由於這是通訊協定層次上的問題,因此所有或絕大部分正確實作該協定的裝置都受到影響。」

研究人員指出,有 41% 的 Android 裝置將受到 KRACK 攻擊手法的影響,而 Linux 系統也受到嚴重影響。此外 Apple、Windows、OpenBSD、MediaTek 以及 Linksys 的裝置也同樣受這批漏洞影響。以下是這批漏洞的 CVE 編號清單:

[延伸閱讀:BlueBorne:數十億裝置因藍牙漏洞而有遭駭客攻擊的危險]

發現這批漏洞的兩位研究員:Mathy Vanhoef 和 Frank Piessens 預定在 即將舉行的 ACM Conference on Computer and Communications Security (CCS) 研討會上發表其研究結果。此外,兩位研究員針對 WPA2 的安全性還有其他相關研究,目前正針對今年八月在 Black Hat Conference 駭客研討會上 展示 的成果做進一步的探討。該研究詳細說明 Wi-Fi 交握機制實作邏輯上的一些漏洞,以及可採取哪些應對措施。去年, 兩位研究員也曾發表一份研究報告指出 WPA2/802.11 群組金鑰可能如何遭到解密及濫用。

[資安指南:防範中間人 (MitM) 攻擊]

五招降低 Wi-Fi 網路與裝置遭到攻擊的危險

有鑑於這批漏洞的潛在影響,IT 系統管理員、資安人員及一般使用者最好採取一些最佳實務原則與並養成良好習慣來降低 Wi-Fi 網路與裝置遭到攻擊的危險: Continue reading “WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺”

Subaru多款車輛爆遙控鑰匙漏洞, 駭客可以複製車鑰匙

電子設計師Tom Wimmerhove最近發現汽車製造商Subaru多款車輛的遙控鑰匙漏洞。一旦攻擊成功就可以讓駭客或小偷複製遙控鑰匙來進入汽車。

Wimmenhove將其稱為“fobrob”攻擊,指出這漏洞相對容易被攻擊。通常遙控鑰匙會滾動或跳躍性的送出代碼,支援keyless的汽車就會加以處理來解鎖車門。這些滾動代碼被設計成隨機產生以防止重用,但Wimmenhove指出Subaru用來生成鑰匙代碼的演算法有缺陷,具有可預測性或順序性而非隨機。駭客只需一個25美元的設備來捕捉汽車鑰匙發送的封包資料並取出資料所產生的滾動(上鎖和解鎖)代碼。就可以將這些代碼複製到Raspberry Pi上。

Subaru多款車輛爆遙控鑰匙漏洞, 駭客可以複製車鑰匙

受影響車款包括Subaru Baja(2006),Subaru Forester(2005-2010),Subaru Impreza(2004-2011),Subaru Legacy(2005-2010)和Subaru Outback(2005-2010)。Wimmenhove還展示了對Subaru Forester的漏洞攻擊。

直到本文撰寫時,Subaru尚未承認此問題或回應評論的請求。Wimmenhove告訴BleepingComputer說:“我的確有進行聯繫。我告訴他們此漏洞並與他們分享我的程式碼。他們將我導向他們的“合作夥伴”網頁並要求我填寫問卷。“

 

[延伸閱讀:汽車駭客問題引發汽車產業的改變]

汽車駭客成為越來越重要的問題,因為汽車變得更加智慧化,依賴網路來替使用者提供一連串的功能。Subaru只是眾多受到汽車駭客影響的汽車製造商之一。早在2015年,智慧車輛的功能如資訊娛樂無線網路行動連線服務以及其他數位/線上功能(即用於keyless進入無線設備)已經成為進入目標車輛的大門。

在8月,米蘭理工大學的Linklayer實驗室與趨勢科技前瞻性威脅研究(FTR)團隊合作詳盡研究了影響控制器區域網路(CAN bus)的漏洞。CAN標準是一種車輛內部基於訊息的汽車網路,可讓汽車的微控制器和設備透過應用程式相互溝通。該研究闡述了CAN bus漏洞如何造成停用連到汽車網路的設備,如安全氣囊、停車感應器和其他安全系統。鑑於使用此協定的汽車製造商數量,這安全漏洞對汽車不管虛擬或實體的安全性都有著顯著的影響,並且會影響提供許多功能之零組件的完整性。

[來自TrendLabs Intelligence Blog你的汽車散播出過多資訊?]

汽車採用了最新科技而變得更加智慧化,也讓汽車成為了駭客的新目標,請注意相關的警告。此外,汽車製造商也在主動地更新或修補整合進其製造車輛內的應用程式,啟動可以更好地偵測車輛內漏洞的計畫。在去年2016年,美國的汽車資料共享和分析中心(Auto-ISAC)與汽車製造商合作制定了智慧車輛安全性的最佳實作。歐盟也一樣地透過概述安全標準和多項程序認證來確保物聯網(IoT Internet of Thing)設備(包括智慧車輛)的資料隱私。

 

@原文出處:Vulnerability in Key Fob Can Let Hackers Open Subaru Cars

緊急弱點公佈,請盡速修補!

red alret 紅色警戒 資安/病毒漏洞警告

弱點編號:CVE-2017-11780

弱點說明:Microsoft Windows作業系統平台的SMB服務具有弱點, 駭客可遠端攻擊執行任何執行碼

可能影響:駭客可能進入內部網路時,利用此弱點進行內網擴散。或勒索病毒搭配此弱點進行擴散攻擊,如WannaCry

建議採取行動:1. 立即安裝Windows安全性更新 2.非必要關閉 SMB 服務

 

弱點編號:CVE-2017-11826

弱點說明:Microsoft Office RTF具有弱點,駭客可執行利用此弱點植入惡意程式

可能影響:駭客可能利用電子郵件社交工程手法,寄送帶有此弱點攻擊程式碼 Office文件給使用者。使用者開啟後將植入惡意程式

建議採取行動:1. 立即安裝Windows安全性更新 2.提醒使用者勿開啟來路不明的電子郵件附件

 

漏洞詳細說明請參考CVE網站:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11780

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826

 

一個假外掛和三個零時差漏洞鎖定WordPress

假外掛程式會在每次管理員啟用時通知攻擊者

熱門的部落格平台WordPress最近出現後門和假Wordpress外掛程式,該後門程式偽裝成一個超過100,000次的安裝的防垃圾訊息工具:WP-SpamShield Anti-Spam;冒牌外掛則夾帶三個零時差漏洞

標記為X-WP-SPAM-SHIELD-PRO的後門程式據報會停用其他安全相關工具、竊取資料並加入隱藏的管理員帳號。安全研究人員發現假外掛程式有看似正常的結構和檔案名稱,但它們其實都是假的。此外,後門程式可以讓攻擊者上傳任何東西到網站上。

假外掛程式會在每次管理員啟用時通知攻擊者。外掛程式中有一個檔案名為“class-social-facebook.php”,看起來似乎是用來封鎖可能的Facebook垃圾訊息。但進事實它會停用啟用中外掛,導致網站無法正常使用。另外兩個名為“class-term-metabox-formatter.php”和“class-admin-user-profile.php”則被攻擊者用來收集資料。

還有一個名為“plugin-header.php”的檔案則會新增一個管理員帳號,這可以讓攻擊者刪除漏洞攻擊檔案,同時還會顯示目標攻擊網站的使用者名稱、密碼和電子郵件。

Continue reading “一個假外掛和三個零時差漏洞鎖定WordPress”

網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。

在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord 的詐欺漏洞

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟:

  1. 惡意程式感染目標系統,在此案例中,趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上,使用者將它貼在論壇上,宣稱是「作弊程式」,可讓玩家修改角色,取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook,如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。Figure 1 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
  2. 此惡意程式會持續等待,直到偵測到被害者系統中的 ROBLOX,就會竊取使用者的遊戲帳戶 cookie。
  3. 惡意程式利用 Discord,將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
  4. 遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶,竊取儲存於帳戶的 ROBUX,推測最後換為現金。

Continue reading “網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?”

CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

 

技術分析

Figure 1 CVE-2017-0199 diagram

圖1:TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

 

郵件樣本內容如下:

Figure 2 spear-phishing email CVE-2017-0199

圖2:魚叉式釣魚郵件樣本

 

雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下: Continue reading “CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞”

F2FS 檔案系統漏洞可能導致 Android 和 Linux 記憶體資料損毀

Android 八月份安全性公告包含了三個趨勢科技研究人員發現的檔案系統漏洞 (CVE-2017-10663CVE-2017-10662CVE-2017-0750)。這些漏洞可能造成裝置記憶體中的資料損毀,讓惡意程式在系統核心內執行惡意程式碼,進而存取並掌握更多資料。歹徒可利用惡意程式來掛載一個 F2FS (Flash-Friendly File System) 格式的磁碟來觸發這項漏洞,這個磁碟可以是實體磁碟或虛擬磁碟映像。

F2FS 是一種專門針對快閃記憶體 (NAND) 裝置 (如隨身碟) 而最佳化的檔案系統。任何可掛載 F2FS 檔案系統的裝置都存在這項潛在風險。就 Android 而言,最危險的是那些預設使用 F2FS 檔案系統的裝置,例如:Motorola、Huawei 和 OnePlus 的手機,因此有數以百萬計的用戶都可能遭駭。不過,這項攻擊技巧要能成功,駭客必須先駭入某個具備檔案系統掛載權限的執行程序才行。

至於 Linux,問題就更加嚴重。Linux 核心從 2013 年發表的 3.8 版起就開始支援 F2FS 檔案系統。因此,該版本之後的所有 Linux 裝置都存在這項潛在危險。只不過,並非所有 Linux 發行版本都會預設啟用 F2FS 功能。而那些在插入 USB 隨身碟時會自動掛載該磁碟的裝置風險最高,因為駭客只需將一個含有 F2FS 漏洞攻擊程式的隨身碟插入系統就能觸發這項漏洞。

技術細節

這項漏洞出在讀取 F2FS 檔案系統結構的程式碼:駭客只要在含有漏洞的系統上使用 losetup 來掛載一個惡意的磁碟或本地端磁碟映像檔,即可造成系統記憶體資料損毀,進而讓惡意程式在系統核心內部執行惡意程式碼。前面發布的三項漏洞都可能讓惡意程式寫入正常範圍之外的記憶體,促使系統執行其惡意程式碼。 Continue reading “F2FS 檔案系統漏洞可能導致 Android 和 Linux 記憶體資料損毀”

資安人員該如何判斷哪些威脅有急迫性?

Macs have become more vulnerable as their collective market share has increased.在今日的世界,資安團隊隨時會面臨各種資安事件,隨時會收到各種來源的威脅訊息,因此,不可能每次的威脅都等同看待,必須要能分辨輕重緩急。那麼,該從何著手?當然,只要有威脅出現,資安人員就必須處理,但每次的威脅卻不盡相同,我們該如何判斷哪些有急迫性、哪些沒有呢?

從最初的偵測到強制規範與矯正等一連串的動作,都需要率先掌握明確的威脅資訊與其嚴重性,才能採取有效行動來保護您最珍貴的資產,否則就算並非完全不可能,但實行起來也將困難重重。

XGen 防護為基礎的趨勢科技 TippingPoint Security Management System (SMS) Threat Insights 有效整合了多方來源的威脅資訊,讓您在資安應變的當下能夠輕易判斷威脅的輕重緩急,並且深入掌握當前及未來您網路可能遭遇的威脅,以及目前已經採取的防範措施狀況。 Continue reading “資安人員該如何判斷哪些威脅有急迫性?”

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”