资安一周133期：骇客意图在美国净水厂加入大量氢氧化钠。新兴语音社交软件Clubhouse引起资料安全疑虑最新消息

图片来源:

美国麻州-

2/11-2/17 一定要看的资安新闻

＃网络攻击＃水利设施＃SCADA ＃共用密码

美国净水厂遭骇，攻击者意图加入大量氢氧化钠污染水质

骇客攻击自来水系统并窜改水质，近期出现数起事故。例如，位于美国佛州奥德马尔（Oldsmar）市的净水厂，约于美东时间2月5日上午8时，遭骇客透过TeamViewer存取净水控制系统，企图将水中的氢氧化钠浓度调高111倍，所幸员工及时发现而未造成灾情。

究竟为何会遭到攻击？除了当地警方于2月8日记者会揭露初步调查结果，2月11日麻州-向自来水系统业者发出的资安通告，也提及原因。

该通告指出，酿祸的原因在于净水厂使用Windows 7、TeamViewer，以及公司网络没有防火墙保护，电脑直接连上互联网等，形成不安全的网络环境，再加上共用远端存取密码，而成为攻击者下手的目标。详全文

图片来源：美国麻州-

＃即时通讯软件

新兴语音社交软件Clubhouse引起资料安全疑虑

采用邀请制度的语音社交软件Clubhouse，最近席卷美国、台湾、中国，以及日本等国家，但也因采用中国技术而引发隐私疑虑。史丹佛大学网络观测计划团队（SIO）研究后证实，该社交系统采用的语音平台是中国Agora，聊天室中继资料（Metadata）的传送过程，亦经过位于中国的服务器，且未受到端对端加密（E2EE）保护，而导致用户可能被中国-秋后算账。

对此，Clubhouse向SIO表示，他们将执行一系列措施来加强资料保护，包含额外的加密机制，以及避免用户端与中国服务器通讯等。详全文

＃勒索软件攻击＃电玩产业

Cyberpunk 2077游戏开发商遭勒索软件攻击，传出源代码被窃

开发电玩大作“电驭叛客2077（Cyberpunk 2077）”的CD Projekt，在2月9日表示，他们遭到勒索软件攻击──骇客入侵该公司的内部网络，盗走了许多资料，还留下勒索信。

与过去勒索软件受害者不同的是，CD Projekt向外界公布勒索信的内容，骇客向他们宣称已取得3款游戏的源代码，并包含尚未发行的内容，而且加密了该公司所有服务器。对此，CD Projekt表示他们正在复原系统，不打算与骇客妥协。详全文

图片来源：CD Projekt

＃供应链攻击

关于Supermicro遭植入间谍芯片疑云，彭博新报导3起过往事件与之有关，但Supermicro再度否认

美超微（Supermicro）服务器在2018年传出，制造过程中遭供应链攻击，被中国解放军控管的骇客植入间谍芯片，藉以窃取机密资讯。彭博社于2月12日再度针对此事报导，消息人士指出有3起攻击事件与之有关。先是美国国防部于2010年，发现数千台服务器利用芯片内处理启动过程的程式码，将军事资料传给中国；后来，2014年英特尔公司网络遭到中国骇客组织骇入，并利用服务器于供应商的网站下载恶意软件；再者，则是美国联邦调查局于2015年向多家企业提出警告，中国骇客将含有后门程式码的芯片，嵌入到一家制造商生产的服务器。

对此，Supermicro再度予以否认，表示彭博的报导是由多篇不精准的指控拼凑而成，他们不曾接获美国-与合作伙伴的通知。详全文

＃漏洞揭露＃SSL VPN

思科小型VPN路由器惊传6项重大RCE漏洞

继日前SonicWall因自家VPN设备漏洞遭骇，使得此种类型设备的漏洞持续受到高度重视。思科于2月3日发出资安通告，旗下多款中小企业VPN路由器的网页管理界面，存在8项漏洞，其中6项是远端程式码执行漏洞（RCE），属重大等级。由于没有其他权宜的缓解方法，思科呼吁用户尽速升级1.0.01.02版固件。

上述8项漏洞的影响范围，包含了RV160与RV260系列设备，RV340与RV345系列机型则不受影响。详全文

＃K8s ＃容器安全＃挖矿攻击

蠕虫程式TeamTNT利用Kubernetes丛集挖矿

去年在云端环境活跃的恶意程式TeamTNT，先是被攻击者用来建立分散式阻断服务攻击（DDoS）僵尸网络、窃取AWS帐密等行为，今年1月Palo Alto Networks发现新的攻击行动，他们表示，骇客借由组态不够安全的Kubelet入侵Kubernetes，并植入TeamTNT发动挖矿攻击，该公司将新版TeamTNT命名为Hildegard。

研究人员指出，Hildegard具备的新功能而更难被侦测。它和C&C服务器建立连线的管道，包含了IRC，以及利用Unix终端管理工具Tmate执行的反向壳层（Reverse Shell）。同时，Hildegard也冒用Linux环境的处理程序名称Bioset，掩人耳目，并透过LD_PRELOAD程式库注入，来隐藏恶意工具的处理程序。详全文

＃网站安全＃WordPress ＃插件

知名WordPress图库插件漏洞恐导致网站被接管

网站的插件漏洞频传，但开发者提供修补程式后，许多管理者迟迟未安装的情况时有所闻。WordPress安全插件供应商Wordfence指出，WordPress知名的图库插件NextGen Gallery，存在2个跨站请求伪造（CSRF）漏洞，可造成远端程式执行或跨站指令码（XSS）攻击，恐允许骇客接管WordPress网站。

该公司表示，他们通报后，开发商Imagely已于2020年12月发布3.5.0版NextGen Gallery修补上述漏洞。但根据资安新闻网站Bleeping Computer统计，仍有超过53万个网站尚未更新这套插件。详全文

＃漏洞揭露＃防毒软件＃操作系统

Windows内建防毒软件出现存在12年的重大漏洞，微软释出修补程式

资安厂商SentinelOne近日公布，他们发现微软防毒软件Microsoft Defender具有重大权限扩张漏洞，可使攻击者删除档案或接管装置。由于该软件为Windows操作系统内建，而此项新发现的漏洞从2009年存在至今，影响的范围相当广泛。微软也已于2月9日的每月例行修补（Patch Tuesday），提供解法。

研究人员指出，该漏洞出现在Microsoft Defender的驱动程式BTR.SYS，攻击者一旦利用硬连结（Hard Link），就可能借由该驱动程式覆写指定档案，进而删除特定资料或执行程式码，而不需要管理员权限。详全文

＃网页浏览器＃网站图示

攻击者滥用网站图示与浏览器快取漏洞，可追踪无痕模式用户

为了避免防堵网站大肆追踪上网用户，浏览器业者提供了无痕模式等工具，让用户有更为隐密的上网方式，但这类保护机制再度遭到破解。伊利诺伊大学芝加哥分校研究人员近日发布研究报告指出，他们发现只要浏览器的快取机制支援网站图示（Favicon），就能被第三方追踪器用来辨识与追踪使用者，无论使用者切换至无痕模式、安装广告封锁插件，或是清除快取，都于事无补。

研究人员宣称，包括Chrome、Safari，以及强调隐私的Brave，都难以防范这种滥用网站图示的追踪行为。详全文