0620-0626一定要看的资安新闻

＃服务器安全　＃Oracle

甲骨文紧急修补已遭滥用的WebLogic漏洞

图片来源／撷取自Oracle

Oracle在6月18日紧急修补了WebLogic Server的CVE-2019-2729严重漏洞，该弱点允许骇客执行远端程式攻击，且已被成功利用，在总分10分的CVSSv3评为9.8分，用户应尽快更新。关于此一漏洞，将影响Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0与12.2.1.3.0版本，根据甲骨文的说明，这是WebLogic Server Web Services借由XMLDecoder所造成的反序列化漏洞，允许未经身份认证的骇客，能自远端利用并执行任意程式。更多内容

＃个资外泄　＃台湾-机关

铨叙部遭骇？超过20万名中央及地方公务官员个资外泄

图片来源／撷取自铨叙部

掌理全国公务员的铨叙与各机关人事机构管理的铨叙部，6月24日晚间在官方网站上，发出个资外泄通知公告。根据其中的说明，这起个资外泄事件之所以被发现，是因为他们在6月22日接获外部情资，得知有国外网站揭露铨叙部所掌理拥有的59万笔个人资料。

目前铨叙部已经公布个资外泄范围，涉及了2005年到2012年6月底的中央及地方机关公务人员送审人员历史资料，实际影响人数的资料为243,376笔，其中的资讯包含身份证字号、姓名、服务机关、职务编号与职称。不过，目前铨叙部尚未揭露外泄原因或是否遭骇的细节，仅表示疑似外泄资料的资讯系统，早在2015年3月下线，因此还不确定外泄时间与过程，但已经协请行政院资通安全处，协助进行根因调查及全机关全面性资通安全检测，并依照资通安全管理法，向行政院国家资通安全会报技术服务中心进行资安事件通报。更多内容

＃网钓攻击　＃FlawedAmmyy

远端木马程式藉邮件夹带Office文件宏散布，台湾、韩国皆传受害

图片来源／微软

近期趋势科技与微软侦测到新一波网钓攻击，犯罪组织透过钓鱼邮件中的连结网址或Excel附件，诱骗使用者点击，以执行名为FlawedAmmyy的RAT木马程式。值得注意的是，趋势科技观察到其背后的组织，从去年开始就针对金融与零售业进行攻击，并使用Excel 4.0宏，来躲避安全软件的侦测。去年，这个骇客组织在就利用FlawedAmmyy入侵智利、墨西哥、意大利，今年4月更蔓延到东亚地区，包括台湾、中国、韩国，都传出企业受害。而且，微软及趋势科技都侦测到使用韩文的恶意档案，也发现简中版本的攻击样本。更多内容

＃软件安全　＃PC-Doctor

Dell电脑预装支援软件含有可被接管的安全漏洞

资安业者SafeBreach Labs最近发现，Dell电脑SupportAssist支援软件的新漏洞，将允许骇客扩张权限，接管受害者电脑。值得注意的是，造成漏洞的元件是由PC-Doctor所开发，也授权其他PC制造商使用，代表潜在受害者不只是Dell电脑用户，还包括采用该元件的逾1亿名其他品牌电脑用户。目前，PC-Doctor已经修补了Dell Hardware Support Service，以及PC-Doctor Toolbox for Windows，Dell也已更新自家的SupportAssist软件。更多内容

＃网络设备安全　＃Cisco

思科修补DNA Center与SD-WAN系统的重大漏洞

图片来源／撷取自Cisco

Cisco近日公告修补两项网络设备漏洞，都在其软件定义网络产品线中。首先，CVE-2019-1848漏洞的CVSS v3.0风险评分达9.3，该漏洞起源于DNA Center对于存取传输埠的限制不够严格，攻击者可将未经授权的网络装置绕过验证。另一CVE-2019-1625的漏洞，则出现在SD-WAN产品的指令行界面中，问题出在授权管理不足。目前思科已在最新版本DNA Center Software 1.3版，以及SD-WAN Solution 18.4.1版修补，并呼吁企业尽速升级软件。更多内容

＃资料外泄　＃美国太空总署

骇客以Raspberry Pi作为跳板渗透NASA网络

图片来源／撷取自NASA

美国太空总署（NASA）旗下喷气推进实验室（JPL）实验室，在一年前被骇客入侵，并被盗走500MB重要资料，近期他们内部的监察长办公室公布调查报告，指出骇客是以一个Raspberry Pi装置作为跳板，才得以进入该实验室的网络。根据调查，这个Raspberry Pi装置应是该实验室人员将它连上JPL网络，却不巧替骇客助攻。但这样的行为理应被禁止，因为任何要连上JPL的装置，都必须经过该实验室资讯长的审核与批准。更多内容

＃国家级网络攻击　＃伊朗骇客

CISA警告要小心伊朗的网络攻击

图片来源／撷取自CISA

就在美国与伊朗之间的关系日益紧张之际，美国国土安全部旗下的网络安全基础架构与安全署（CISA）发表声明，要各界小心来自伊朗骇客的毁灭式网络攻击。CISA主任Christopher Krebs表示，伊朗政权骇客及其代理组织愈来愈常使用毁灭式的Wiper攻击，先是利用常见的鱼叉式网钓、密码喷洒或凭证填充等手法来入侵账号，但骇客不只是窃取资料与金钱，还会删除所有资料，让受害组织陷入完全停摆的窘境。更多内容

＃账号安全　＃TripAdvisor

避免账号填充攻击，TripAdvisor主动比对外泄资料并要求重设密码

如果使用者最近收到TripAdvisor的通知，将使你的密码失效，并要求重设密码的电子邮件，那表示你的密码可能已经被公开。根据BleepingComputer报导，有TripAdvisor用户收到通知信，表示TripAdvisor将会员资料与公开的外泄密码名单进行比对，一旦发现用户的电子邮件信箱和密码名列其上，为了保护用户的账号，该平台将使用户密码失效。更多内容

＃国家安全

中国5家超级电脑制造商也成美国的拒绝往来户

继华为之后，美国商务部再将5家中国超级电脑制造商，列入禁止出口名单（Entity List），原因是它们危及了美国的国家安全或有违美国的外交政策利益。这5家业者分别是成都海光集成电路、成都海光电子科技、海光、中科曙光与无锡江南计算技术研究所。

根据美国商务部的说法，无锡江南计算技术研究所被列入的原因，是隶属于中国解放军，主要任务为协助中国军事的现代化，而中科曙光是因为有中国军方的客户，至于另外三家业者则与中科曙光有股权关系。更多内容

＃浏览器安全　＃Firefox　＃加密货币

Firefox本周再传零时差攻击漏洞，可能锁定加密货币用户

Firefox又要升级了！本周内，Mozilla二度发布Firefox零时差漏洞公告，呼吁用户升级到最新版本。最新的CVE-2019-11708属于沙箱逃逸漏洞，系因参数检查不足，致非沙箱内的父行程开启了由子行程选取的网页内容，骇客只要窜改子行程即可发动攻击。若结合Mozilla本周修补的CVE-2019-11707的类型混淆漏洞，可使其在用户电脑上执行任意程式码，因而再度被列为重大风险。由于这两个漏洞都是由加密货币交易平台Coinbase的安全部门通报，显示骇客正在对加密货币用户发动攻击。更多内容