資安一周第15期:TI藍牙晶片爆零時差漏洞影響數百萬無線AP。知名群募公司貝殼放大驚傳數萬筆個資外洩

Nov 07, 2018iThome

TI藍牙晶片遭爆兩個零時差漏洞,數百萬無線AP陷風險,思科、Aruba急搶修

以色列資安業者Armis本周揭露,由德州儀器(Texas Instruments,TI)所生產的低功耗藍牙晶片含有兩個重大的安全漏洞,成功開採相關漏洞的駭客將可入侵企業網路,掌控無線AP或散布惡意程式,包括思科、Meraki與Aruba的無線AP都採用了含有漏洞的藍牙晶片,讓全球數百萬個企業AP拉警報。

Armis將所發現的漏洞命名為BleedingBit,第一個BleedingBit漏洞影響型號為CC2640及CC2650的TI BLE晶片,成功的開採可能造成BLE堆疊的記憶體損毀,可進一步危害AP的主系統,並取得AP的完整控制權,不論是思科或Meraki的AP都採用了這兩款晶片。更多內容

知名群募、集資公司貝殼放大傳出資料外洩事件,他們旗下建置之線上金流管理工具「Backme貝殼集器」,於11月2日凌晨發現部份個資出現外洩事件,他們隨即在當日於官方網站發出公告,公開此事件的影響範圍、被洩漏的資訊。而在貝殼放大的企業用戶中,包括像是時代力量、鮮乳坊等多個專案,故而使得相關贊助者資料外洩。

根據貝殼放大的聲明,這次事件外洩的資料筆數約十萬筆,主要是2017年2月前,使用過Backme之贊助者的訂單資料,包含註冊名、Email、寄件地址、聯絡電話與贊助項目,但不包含用戶登入密碼。至於其他敏感資料,像是信用卡號、信用卡安全碼與銀行付款帳號等,因未儲存於Backme貝殼集器,因此不受波及,也沒有盜刷的疑慮。

至於外洩管道,他們表示有國外第三方爬蟲網站,爬取了超過7萬個於Amazon S3 Server建置的網站,並將相關資料連結發布於該爬蟲網站所導致,因為Backme提案團隊亦將贊助者資料存放於Amazon S3 Server上。不過,企業自身因Amazon S3配置不當,而造成資料外洩的意外,已不勝枚舉,這起事件應該也是類似的問題所造成。更多內容

自從2017年底,無線網路加密通訊協定WPA2弱點遭到揭露,也促使Wi-Fi聯盟(Wi-Fi Alliance)加速推動WPA3,今年1月,他們宣布推出WPA3,目標是在改善WPA2的漏洞問題,以及進一步增加Wi-Fi安全性,而WPA3的相關細節則是在6月下旬正式公布。隨著新標準底定,後續大家關心的就是支援WPA3的產品何時能問世。

最近,我們注意到已有將近百款無線路由器,通過WPA3認證。這也意謂著,近期可能就有大量支援WPA3的Wi-Fi基地臺推出。從Wi-Fi聯盟揭露的資訊來看,支援WPA3的第一波產品,是在10月底至11月1日之間通過驗證,包含HPE Aruba、Dell、Ruckus與群暉的設備。

現階段,這些產品都是路由器設備,包含80臺HPE Aruba產品、16臺Dell產品,以及群暉與Ruckus產品各一。綜觀這些廠商的送測,以HPE Aruba的產品線最積極,而國內也有廠商參與,跟上國際腳步。更多內容

圖片來源/翻攝自Wi-Fi聯盟官方網站

甲骨文網際網路分析總監Doug Madory,在官方部落格發表文章提到,2017年時他們發現中國劫持了美國及其他國家的網路流量,而他們花費了很大的心力阻止這件事造成的影響。

早先軍事網路專家協會(Military Cyber Professionals Association)研究發現,中國政府為攔截網際網路流量,而操縱邊界閘道協定(Border Gateway Protocol,BGP)路由。Doug Madory表示,不論這些行為背後的動機為何,他們確實也發現,近年中國電信劫持了美國及其他國家的網路流量。

在過去幾個月中,Doug Madory向Verizon和其他的一級電信商發出警告,最終這些線路中最大的電信商Telia和GTT都安裝了過濾器,以確保他們不會再接收來自中國電信的Verizon線路,而這樣的行動只阻止了90%的影響,直接與中國電信對等網路連接仍無可避免。因而受影響的甲骨文客戶之一,是一家美國主要網路基礎設施公司,他們在與中國電信對等對話(Peering Sessions)中部署過濾器,以防止Verizon線路被接受。更多內容

荷蘭研究人員發現數款市售固態硬碟(SSD)產品有漏洞,任何存取硬碟的有心人士,可能不用密碼能存取其中的資料。研究人員利用網路上的公開資訊及100歐元(約3600元台幣)左右的漏洞評估設備,針對5款具備自主加密能力的知名固態硬碟產品進行測試,果然發現兩組漏洞。

而在使用Windows BitLocker的情況下,若搭配的硬碟有加密功能,BitLocker就會自動關閉軟體加密,轉成硬體加密。這時如果固態硬碟有漏洞,由於BitLocker信任硬體加密,就等於無法提供有效防護。更多內容

密碼管理業者Dashlane發布調查,鎖定全美的前34個消費者網站進行雙因素身分認證(Two-Factor Authentication,2FA),分析這些網站所使用的2FA機制,發現當中只有8個網站提供完整的驗證,且有4個網站完全沒有任何的2FA機制,顯示這些網站對於保護用戶登入的安全性有待加強。

Dashlane的評分標準是以2FA機制的強弱來判斷,例如若支援簡訊及電子郵件認證就得到1分,若支援軟體令牌(Token)也得1分,若支援硬體令牌則得到3分,Dashlane認為要同時支援上述3種,也就是5分才算及格。而及格的業者只有Google、臉書、Dropbox、Twitter、Stripe、E*TRADE、美國銀行(Bank of America)與富國銀行(Wells Fargo)。更多內容

思科上周發出安全公告,旗下多款安全硬體存在SIP(Session Initiation Protocol)協定零時差漏洞,可能導致駭客重新啟動硬體引發阻斷服務(Denial of Service)攻擊。該漏洞尚未有修補程式。思科同時警告網路上已有開採情形出現。

編號CVE-2018-15454的漏洞是由思科產品安全事件回應小組(PSIRT)發現,出現在該公司產品中二項軟體,包括Adaptive Security Appliance(ASA)9.4版以上以及Firepower Threat Defense(FTD)6.0版以上的SIP檢測引擎。這項漏洞歸因於對SIP流量未能正確處理,讓攻擊者傳送變造過的SIP呼叫指令來開採。

漏洞一經開採,將使未授權的遠端攻擊者得以重新啟動有漏洞的硬體,導致DoS攻擊。如果未能重啟硬體,則會持續佔用CPU運算資源,拖慢其回應速度。思科將之列為CVSS Score 8.6的高風險漏洞。更多內容

最近一個月,不少用戶可能收到一種新型態詐騙電子郵件,信中標題就是指稱使用者的郵件或裝置被入侵,同時指出你所使用的密碼,並以詐騙與恐嚇方式向民眾勒索比特幣。我們先是在10月上半,發現身邊已經有人收過這樣的信件,10月底時,又看到臺灣電腦網路危機處理暨協調中心(TWCERT/CC),在臉書粉絲專頁發出警告,提醒民眾注意。

信中一開始就聲稱,已經入侵你的Email與裝置,或者是聲稱知道你的帳戶密碼,同時又提到即使用戶改密碼也來不及了,因為已經將惡意程式植入你的裝置。這對於一般民眾來說,可能搞不清楚狀況,看到對方聲稱知道你的電子郵件密碼,而且他所指稱的密碼,就是用戶曾使用過的密碼或個人資料,有可能會信以為真的受害。更多內容

大多數Unix與Linux伺服器,都以SSH連線,提供管理者遠端控管的機制,因此,若是與SSH連線有關的元件出現漏洞,便可能讓伺服器大開後門,讓任何人對其下達指令。其中,用來作為SSH加密傳輸通訊的伺服器元件LibSSH,最近終於推出新版本0.8.4與0.7.6,修補一項存在長達4年之久的漏洞,駭客只要利用這項弱點,就能繞過密碼驗證的程序,取得網站伺服器的管理權限。

這項漏洞已列為CVE-2018-10933,影響範圍涉及伺服器的元件,並不會波及用戶端電腦。Red Hat根據通用漏洞評分系統(CVSS)第3版進行評估,該漏洞的嚴重程度高達9.1分,因此若是伺服器採用了LibSSH 0.6版以上的程式庫,管理員應儘速升級到新版本。更多內容

在10月底,國泰航空發出聲明,表示發現約有940萬名旅客的個資外洩,並已經向香港警方通報,該公司行政總裁何杲(Rupert Hogg)先後2次公開向乘客道歉。不過,該公司揭露事件之後,引起香港社會高度關注,許多媒體接獲乘客的投訴,指稱購買過機票的信用卡遭到盜刷,同時,多名議員指責國泰航空處理速度緩慢,也疾呼香港政府應儘速調整私隱法規,要求企業加強個資保護,發生事件時也要即時通報。

該公司指出,他們最早在3月時發現網路出現可疑活動,5月初著手進行調查,確認乘客的個資遭到外洩。洩露的內容涵蓋了國籍、生日、身分證字號,以及飛行記錄等。其中,外洩的個資包含403筆逾期信用卡號碼,以及27筆不含安全碼(CCV)的信用卡卡號等,但國泰航空表示,他們尚未發現外洩個資遭到濫用的情事。然而,這樣的說明,讓人不免質疑,為何該公司經過長達半年以上才揭露此事。更多內容

桃園地區的醫院傳出遭勒索病毒入侵,資料因此被加密。近年來,勒索病毒帶來的危害其實持續不斷,雖然今年發生的事件變得零散,但仍不容輕忽。

關於這次醫院遭到勒索病毒入侵,我們也向健保署進一步了解情況。健保署北區業務組專門委員游慧真表示,這起事件他們是在10月26日收到通知,而該醫療院所是在10月24日遭受影響,由於院所無法在24小時內完成相關資料上傳,因此向健保署通報。

據院方向他們回報,事發當時該院所看診系統出問題,導致醫院人員無法開啟檔案作業,因此當下使用紙本作業替代,後續也已經復原。至於受勒索病毒感染的電腦臺數,以及入侵的管道,目前還沒有這方面的資訊。同時游慧真也澄清,這次事件只有一家醫療院所遭受勒索病毒感染,並非一些媒體傳言多家醫院遇害,同時這起事件,也是今年北區醫院中勒索病毒的第一例。更多內容