资安一周第127期：部分合勤网络与资安设备含有程式码写死的漏洞。Go语言蠕虫锁定网络服务器散布挖矿程式

2020.12.31-2021.1.6 一定要看的资安新闻

 

＃漏洞揭露

部分合勤网络与资安设备含有程式码写死的漏洞

荷兰资安业者Eye Control在2020年11月，发现台湾网通设备制造商合勤（Zyxel）释出的固件含有后门账号，同时影响多款防火墙及AP控制器产品，可能波及逾10万台合勤装置，呼吁合勤用户应尽速更新固件。

含有此项漏洞的固件为ZLD 4.60版，适用于该公司旗下多个系列防火墙，包含ATP、USG、USG FLEX，以及VPN系列，另有2款AP控制器NXC2500及NXC5500也受到影响。合勤在12月提供防火墙相关修补程式，AP控制器的部分预计在1月8日推出。详全文

图片来源：兆勤科技

 

＃恶意程式

以Go语言撰写的新蠕虫，锁定Windows与Linux服务器散布挖矿程式

云端资安业者Intezer于12月29日，揭露以Go语言撰写的新蠕虫，它同时针对Windows与Linux服务器展开攻击，锁定采用弱密码且存在于公开网络上的应用系统，包括MySQL、Tomcat、Jenkins，以及WebLogic等，暴力破解管理者密码，然后植入挖矿程式XMRig。

由于Go语言具有支援跨平台开发的特性，Intezer也警告，2021年将会出现以这种程式语言开发，而且同时锁定不同平台的恶意程式。详全文

 

＃协作平台  ＃漏洞揭露

Google Docs漏洞可让骇客劫持文件

因提供回报意见的功能存在漏洞，竟能让他人对Google Doc用户的文件拍下屏幕截图来窃密。在12月27日，资安研究人员Sreeram KL揭露他向Google于7月通报的漏洞，攻击者只要在外部网站使用iFrame嵌入Google Docs文件，劫持传送回馈的iFrame，攻击者就能借此取得这个文件的屏幕截图。Google也颁发了3133.7美元的抓漏奖金给这名研究人员。详全文

图片来源：Sreeram KL

 

＃图像验证机制

研究人员破解reCAPTCHA语音验证

针对reCAPTCHA提供盲人使用的语音验证机制，再度被研究人员找到方法绕过。电脑科学研究人员Nikolai Tschacher，使用了美国马里兰大学研究团队开发的unCAPTCHA 2.0为基础，借由Google提供的Speech-to-Text API，破解reCAPTCHA第2版，成功概率高达97%。详全文

 

＃资料外泄

T-Mobile数据库被骇，20万用户电话号码外流

美国第三大电信业者T-Mobile坦承客户数据库遭骇，包含电话号码及通话记录等资讯外泄。该公司网络安全部门发现，该公司系统遭到非经授权的恶意存取，致使部分用户账号中的客户专属网络资讯（CPNI）被不法存取。该公司表示，他们已在发现时切断恶意活动，且已展开调查并通报执法机关。

究竟有多少人受害？T-Mobile告诉Bleeping Computer，受影响用户比例小于0.2%。根据T-Mobile宣布于11月突破1亿用户来看，此起事件估计约有20万名用户受到影响。详全文

 

＃资料外泄  ＃国家级攻击

芬兰国会传骇客入侵，议员电邮遭不法存取

芬兰-于12月28日发出公布，指出他们在秋天遭到网络攻击，导致部分国会议员及员工电子邮件账号遭到存取。根据新闻网站Euronews报导，2020年芬兰-曾遭到多次网络攻击，导致网站关闭数小时，但这次由于攻击目标的特殊性，警方朝疑似大规模骇客及间谍行动方向侦办，并研判骇客的动机，是出于外国-利益或对芬兰造成损害。而此起事件是继8月挪威国会遭骇后，北欧第2起国会网络遭骇的事件。详全文

 

＃资料外泄  ＃供应链攻击

美国安泰人寿近50万客户个资曝险，起因是合作厂商员工邮件账号被骇

眼科医疗服务及眼镜设备销售商EyeMed发出公告，指出他们于7月1日，发现该公司一名员工电子邮件账号被骇，随后攻击者向此账号的联络人发送钓鱼信件，由于EyeMed是美国安泰人寿（Aetna）合作的医疗服务厂商，这起网络攻击可能导致近50万名安泰保户个资外泄。

这家眼科服务商表示，攻击者可能也存取了这些保户的个资，以及部分账号的社会安全号码、财务资料，以及医疗诊断资料等。详全文

 

＃勒索软件攻击

加拿大国营运输业者遭勒索软件攻击，多项服务尚未复原

在加拿大温哥华地区提供公共运输服务的国营企业TransLink，2020年12月遭到勒索软件攻击，尽管并未实际影响运输服务，但许多网络服务仍未恢复正常，包括即时GPS服务、巴士追踪服务，以及检举系统等。

外界从曝光的勒索信件中推测，TransLink是受到Egregor勒索软件的攻击，CyberSC负责人Dominic Vogel向温哥华太阳报表示，这家公司对于事件流程的揭露非常不透明，并呼吁该公司应尽速向纳税人交待。详全文

 

＃谎报攻击  ＃物联网资安

美国骇客劫持物联网装置并用来发动谎报攻击事件频传

随着直播成为新兴的资讯传播模式，资安问题也跟着浮现。美国联邦调查局（FBI）于12月29日提出警告，呼吁使用者确保连网摄影机及影音设备的安全，以免遭到恶意人士劫持发动谎报攻击（Swatting Attack）。

FBI指出，最近有人利用受害者的智慧联网装置发动谎报攻击。攻击者先找到受害者外流于网络上或失窃的邮件密码，来登入使用同组密码的视讯摄影机装置，然后打电话给911谎称受害者家中有犯罪事件。等警方破门而入时，歹徒再透过摄影机观看取乐，或是利用影音装置和警方互动，不少人还在社群平台串流直播相关过程。详全文

 

＃漏洞修补  ＃行动装置  ＃供应链攻击

台湾大哥大引进中国白牌手机贴牌销售，惊传资安漏洞

台湾大哥大的自有品牌手机Amazing A32，在生产制程阶段被植入恶意程式，使得诈骗集团可滥用使用者的门号，作为诈骗游戏点数的人头账号。台湾大哥大近日也宣布召回计划，并提供更新固件或是更换手机折抵方案。

由于这款手机是中国代工制造，本次事件也引起国家通讯传播委员会（NCC）的高度重视，表示日后针对此类以台湾品牌销售的中国白牌手机，将采行更严格的管理措施。

图片来源：台湾大哥大

 

 

更多资安动态

●Linux之父认为中央处理器ECC功能应普及，以防范Rowhammer
●日本川崎重工揭露资料外泄事件，呼吁防范网钓邮件攻击
●分散式金融保险业者Cover Protocol被骇，币值大跌75%
●Ticketmaster骇入对手网络，遭罚款千万美元