资安一周第121期：工业电脑大厂研华传出遭到网络攻击。骇客论坛出现未修补漏洞的Fortinet SSL VPN设备名单最新消息

图片来源:

Bank Security

1119-1126 一定要看的资安新闻

＃网络攻击＃高科技产业

工业电脑大厂研华证实部分服务器遭到攻击

在11月23日，根据财经媒体钜亨网报导，工业电脑大厂研华科技（Advantech）传出部分服务器遭到骇客攻击。对此，研华发出声明表示，在19日确实发生骇客恶意攻击的资安事件，并指出有部分服务器遭到攻击，正逐步复原，公司重要的营运系统皆正常运作，各区域正常接单、生产，以及出货。

在此同时，网络上流传有企业遭到勒索软件攻击的屏幕截图，而且有人提及是工业电脑大厂遇害。对此，我们也向研华求证，该公司并未提出说明。详全文

＃漏洞攻击＃远距办公＃VPN

骇客论坛出现未修补漏洞的Fortinet SSL VPN设备网址名单

根据资安新闻网站Bleeping Computer于11月22日报导，在骇客论坛上，有人分享了近5万个Fortinet SSL VPN网址，并宣称这些系统都存在CVE-2018-13379漏洞。

爆料的人士指出，这些网址的所有者，包含银行、-单位，以及企业。至于是否有台湾的-机关或企业出现在这份名单中，仍有待进一步厘清。详全文

＃漏洞攻击＃远距办公＃视讯会议

思科修补可让骇客溜进会议的Webex漏洞

思科于11月18日，修补了旗下视讯会议平台Webex多个安全漏洞，这些漏洞导致骇客能暗中潜伏在会议，或是窃取与会者个资。

其中的CVE-2020-3419允许使用者加入会议，但不会出现在与会名单上；另一个CVE-2020-3471使得攻击者在被逐出会议之后，还能持续窃听会议内容；CVE-2020-3441则是允许骇客于等候进入会议之际，就能取得与会人员的个人资料。而这些漏洞被发现的原因，是IBM想要强化自家员工远距办公安全，而针对所采用的Webex进行研究。详全文

＃物联网安全＃僵尸网络

多个平价品牌家用路由器暗藏后门漏洞，且已被用来散播Mirai僵尸病毒

资安新闻网站CyberNews资深研究员Mantas Sasnauskas，会同另外2名研究员James Clee及Roni Carta，揭露平价品牌家用路由器含有后门。这些品牌包含了Walmart独家销售的Jetstream，以及于Amazon与eBay上架的Wavlink，而经调查之后，发现这些全是中国业者Winstars旗下的品牌，甚至研究人员在Wavlink路由器管理界面的程式码里，看到Jetstream的内容。

研究人员指出，上述2个品牌路由器的固件，都具有可让人连线存取路由器档案的漏洞。他们建立诱捕系统来进行实验，发现已有中国骇客针对这些路由器发动攻击，意图借此散布Mirai僵尸病毒。详全文

图片来源：CyberNews

＃物联网安全

特斯拉修补可直接把Model X开走的安全漏洞

比利时鲁汶大学电脑安全暨工业密码学（COSIC）研究小组揭露，特斯拉Model X休旅车的免钥匙启动系统，含有2个安全漏洞，骇客一旦发动攻击，可在数分钟内把车子开走。特斯拉在获报后，已修补相关漏洞。详全文

图片来源：比利时鲁汶大学电脑安全暨工业密码学研究小组

＃勒索软件攻击

智利零售龙头Cencosud遭勒索软件攻击，门市收银机出现印出勒索讯息的乱象

为了要胁受害企业付赎金，发动勒索软件攻击的骇客，也利用企业环境里的连网设备，对受害公司制造更多压力。智利大型零售业者Cencosud，于11月14日受到勒索软件Egregor攻击，有资安人员看到门市交易受影响的情况，包含无法使用自家信用卡与退货，而且收银机台的列表机印出了大量勒索讯息。详全文

＃供应链攻击＃加密货币＃网域代管服务

多家加密货币交易所遭骇，原因疑似是代管网域的GoDaddy遭网络钓鱼攻击所致

网站代管服务业者的安全性不足，有可能使企业被骇客入侵。加密货币交易所Liquid于11月18日发布资安通告，表示他们于13日遭到攻击的事件，与代管域名的GoDaddy有关。这间代管业者不慎将Liquid的账号与网域控制权，交给恶意人士，导致攻击者得以入侵公司基础架构，并且存取文件管理系统。另一家交易所NiceHash也在19日指出，他们于GoDaddy网域名称注册的记录（DNS records）遭到窜改，使得电子邮件与网页流量被导向恶意网站。

上述事件受害者控诉的原因，都与GoDaddy有关，而在资安新闻网站Kerbs on Security追查后发现，还有3间交易所也是这波攻击的受害者，包含了Bibox、Celsius，以及Wirex等。详全文

＃供应链攻击＃APT攻击

北朝鲜骇客组织Lazarus滥用软件派送工具，对韩国发动软件供应链攻击

安全厂商ESET于11月16日指出，他们发现骇客组织Lazarus对韩国用户发动攻击，利用从两家公司偷来的数位凭证来签署恶意程式，再透过当地电脑里最常见的软件派送工具Wizvera VeraPort，进而在用户电脑植入恶意程式。

Wizvera VeraPort是韩国的端点元件控管软件，使用者在浏览特定的-与银行网站时，这套软件可协助安装必要的浏览器附加元件、身份验证程式，以及安全软件等，部分当地网站会要求使用者在电脑安装Wizvera VeraPort，才能使用相关服务。而骇客便是基于此控管软件于韩国相当普遍，借此管道来散布恶意软件。详全文

图片来源：ESET

＃APT攻击＃Zerologon

中国APT骇客组织锁定日本组织发动攻击，并企图打造滥用Zerologon漏洞的工具

英能够让骇客取得网域控制权的Zerologon漏洞（CVE-2020-1472），在今年9月底开始被发现运用于攻击行动，然而，骇客滥用这个漏洞范围可能更广。在11月17日，博通（Broadcom）旗下的赛门铁克（Symantec），揭露一起锁定日本组织、为期近1年的APT攻击，攻击区域遍及包含台湾等17个国家，而且，攻击者正在部署能够滥用Zerologon漏洞的工具，以便对受害组织进一步控制。详全文

＃账号填充攻击＃线上串流服务

Spotify遭账号填充攻击，逾30万名用户受害

专门评测全球VPN服务的vpnMentor指出，他们在公开的Elasticsearch数据库中发现3.8亿笔记录，包括电子邮件账号与登入的账号密码，涉及全球串流音乐龙头Spotify的30万至35万名用户。vpnMentor与Spotify确认后，认为这很可能是骇客透过账号填充（Credential Stuffing）攻击，所得到的Spotify用户资讯。详全文