资安一周第135期：5国-联合对Accellion供应链攻击提出警告。SolarWinds宣称攻击事件起因疑似与实习生使用的弱密码有关

2/25-3/3 一定要看的资安新闻

 

＃供应链攻击

Accellion遭骇灾情持续扩大！美、英、新加坡等5个国家联手发出资安通告

传出2020年12月中旬遭到攻击的Accellion，不只美国有用户因此资料外泄，也有其他国家用户因此遭到攻击，而受到当局的重视。2月24日，美国、英国、澳洲、新西兰，以及新加坡等国，发布联合网络安全通报，指出他们的-机关与企业遭到波及，许多受害组织收到勒索信，要胁若是不付赎金，骇客就会公布机密资料。

此联合公告指出，在Accellion于12月23日修补一个已遭到滥用的漏洞之后，该公司发现还有4个漏洞也被滥用。而协助调查的资安业者FireEye指出，不只这5个国家的用户受到危害，还包括加拿大与荷兰境内的组织也遭到攻击。详全文

图片来源：美国网络安全与基础设施安全局

 

＃供应链攻击  ＃密码安全

针对供应链攻击事件起因，SolarWinds宣称疑似源自于实习生使用的弱密码

自2020年12月爆发的SolarWinds攻击，事故发生原因为何？先前有资安人员指称，他发现能够存取SolarWinds更新服务器的密码“solarwinds123”，有可能就是入侵该公司的管道。而根据CNN的报导，近期SolarWinds于联合听证会证实此事──该公司高层指出，此密码是实习生于2017年时，于私人的GitHub账号公开，有可能是该公司遭到入侵的破口。

此消息一出，引起美国众议员与资安社群质疑：为何SolarWinds允许员工使用这种简易密码？但SolarWinds并未对此回应。详全文

 

＃供应链攻击  ＃勒索软件攻击

芬兰IT服务大厂TietoEVRY遭勒索软件攻击，多项服务中断

骇客锁定IT服务业者发动攻击的现象，近期已有数起。芬兰IT服务大厂TietoEVRY在2月23日揭露，该公司于22日先是发现有多项服务出现异常，调查后才发现遭到勒索软件攻击，他们被迫中断提供给25家用户的部分服务。不过，该公司并未透露是否有用户受到此次事件波及。详全文

 

＃漏洞揭露  ＃虚拟化平台

甫修补的vCenter漏洞，已出现攻击者大规模扫描的行为

刚发布修补的软件被骇客盯上，找寻网络上尚未安装更新软件的系统下手，时有所闻。VMware于2月23日发出资安通告，修补vSphere的3个漏洞，这些漏洞存在于两项核心元件vCenter与ESXi，而其中最为严重的是CVE-2021-21972，一旦攻击者取得443埠的存取权限，就能于vCenter服务器以最高权限执行任意指令，CVSS风险评分达9.8分。

但就在25日，资安厂商Bad Packet宣称，他们侦测到大规模的扫描行为，是针对未修补CVE-2021-21972的vCenter服务器而来，呼吁用户要尽速修补。详全文

 

＃恶意程式  ＃Go语言

以Go语言开发的恶意程式，近4年来增加20倍

新兴的Go语言不只受到软件开发者欢迎，近年利用这种程式语言打造的恶意程式也时有所闻。

但究竟骇客有多爱用Go语言？根据资安业者Intezer近日公布的资安报告，自2017年以来出现的Go语言恶意程式，4年来增加20倍，而且涵盖各种类型的恶意程式。详全文

图片来源：Intezer

 

＃人工智能  ＃自动驾驶

欧盟呼吁车厂重视自驾车的资讯安全，应从开发阶段做起

自驾车的技术发展，有助于消弭交通事故人的风险因素。但是，也带来了人工智能技术与相关资安风险，近日欧盟网络安全机构ENISA与JRC发布报告，指出相关风险，当中也强调自驾车资安应从开发过程就开始做起，整个汽车供应链也要由人工智能安全策略来主导，同时整个汽车工业必须提升资安事件的因应能力。详全文

 

＃网站攻击  ＃网络钓鱼  ＃恶意程式攻击

攻击者渗透合法网站并滥用Google搜索引擎最佳化机制，诱导用户下载恶意程式

骇客滥用Google服务发动攻击的现象，近期出现数起事件，而且手法也变得更加复杂。Sophos于3月1日揭露，骇客先是入侵合法的网站，并植入恶意程式码，借此滥用Google搜索引擎最佳化机制（SEO），诱导使用者下载木马程式Gootloader，以用来植入勒索软件REvil，或是金融木马程式Gootkit。

研究人员估计，至少有400个合法网站遭骇客植入恶意程式码用于相关攻击，而且管理者不知道自己的网站已沦为跳板。而对于骇客入侵这些网站的管道，研究人员表示有待进一步厘清。详全文

图片来源：Sophos

 

＃挖矿攻击  ＃僵尸网络  ＃区块链

攻击者将僵尸网络C&C服务器埋入区块链

发动僵尸网络攻击的骇客为了避免自己被司法单位找到，也企图掩盖C&C中继站的资讯。近期资安业者Akamai揭露在用户网络发现一起挖矿的僵尸网络活动，骇客藏匿备用中继站IP地址的方法，竟是利用比特币的区块链。这样的手法使得其僵尸网络不致被全面摧毁，骇客得以挖矿长达3年之久，获利超过3万美元。详全文

 

＃漏洞揭露  ＃操作系统

Google揭露Windows字型元件的RCE漏洞

操作系统处理文字呈现的模组，也可能成为攻击者能够滥用的管道。Google研究人员近日揭露他们于2020年11月通报的漏洞CVE-2021-24093，这项漏洞存在于Windows字型处理的元件Directwrite，攻击者诱使用户连上显示恶意TrueType字型的网页，用户电脑便可能因为这项漏洞造成内存毁损，使得攻击者得以执行任意程式码。

此漏洞CVSS风险指数为8.8分，影响多个Windows 10版本，以及Windows Server 2016、2019等。微软已于2月9日例行性安全更新修补上述漏洞。详全文

 

 

＃学术机构  ＃武汉肺炎

研发武汉肺炎疫苗的牛津大学研究室惊传遭到攻击

又有研发武汉肺炎疫苗的单位遭到攻击！英国牛津大学生技研究所近日证实遭骇，部分和研究相关的系统遭到存取。不过，该校强调，他们研发的武汉肺炎疫苗并未受到此次事件波及。详全文

 

 

更多资安动态

●为改善部署修补程式的不便，微软首度推出合并更新套件
●为增强用户隐私，新版Firefox限缩Cookie存取的范围
●密码管理工具LastPass暗中利用7个外部资料搜集程式惹议
●为强化Linux安全，Google资助2名专职Kernel开发人员