资安一周第158期：戴夫寇尔研究员获Pwnie Awards最佳服务器漏洞奖

8/5-8/11必看资安新闻

 

＃黑帽大会  ＃Pwnie Awards  ＃Exchange

戴夫寇尔研究员获Pwnie Awards最佳服务器漏洞奖

黑帽大会（Black Hat USA 2021）于7月31日至8月5日举行，并于最后一日颁发有资安界奥斯卡奖美称的“2021 Pwnie Awards”，台湾资安公司戴夫寇尔（Devcore）首席资安研究员蔡政达（Orange Tsai），因本次揭露的多个Exchange Server漏洞，夺下“最佳服务器漏洞奖（Best Server-Side Bug）”。这是继2019年蔡政达揭露Pulse Secure的SSL VPN产品漏洞之后，二度获得此项殊荣。详全文

图片来源：黑帽大会

 

＃黑帽大会  ＃DNS

资安业者揭露DNS服务漏洞，Amazon、Google着手修补

云端安全业者Wiz在黑帽大会上，揭露有关DNS代管服务的资安漏洞：攻击者透过新颖的手法，来挟持DNS服务供应商的节点，以窃听DNS流量，进而描绘出连结DNS服务的组织内部网络架构。

该公司在Amazon Route 53进行测试，成功借由该漏洞取得全球1.5万个组织的DNS查询流量，涉及财富500大企业与上百个-机构。这些流量透露出组织的内外部IP地址、电脑名称、员工名称，以及办公室位置等资讯。

尽管此漏洞Wiz认为是三不管地带而可能无法得到处理，但Amazon及Google已着手修补。详全文

图片来源：Wiz

 

＃漏洞揭露  ＃路由器

近40款路由器存在身份验证漏洞，恐影响数百万台设备

多个型号的家用路由器很可能因为采用相同厂牌固件，而存在同样的漏洞，成为攻击者锁定的目标。弱点管理解决方案业者Tenable于8月3日，揭露CVE-2021-20090漏洞的细节，此漏洞波及近19个厂牌、37款路由器，而受影响的设备的共通点，都是采用台湾综合接入设备（IAD）制造商智易科技（Arcadyan）的固件。

事隔3天，资安业者Juniper提出警告，表示已有攻击者透过位于中国湖北省武汉市的IP地址，利用此路由器漏洞，透过程式码（Script）来发动Mirai变种僵尸病毒攻击。详全文

 

＃APT攻击

中国骇客入侵5家东南亚大型电信业者，为期长达4年

资安业者Cybereason揭露锁定东南亚主要电信业者的网络攻击行动，

总共有3个中国骇客组织出手、攻击期间自2017年到今年第一季，为期长达4年。该公司指出，至少有5家大型电信业者受害。该公司将此攻击行动命名为DeadRinger。

这些骇客集团在成功进驻电信业者之后，继之危害诸如网域控制器或账单系统，以取得通话详细记录（Call Detail Record）等机密资料，进而监控特定人士的通讯内容。详全文

 

＃就地取材

赛门铁克揭露锁定东南亚关键基础设施下手的攻击行动

最近半年的时间，资安业者陆续揭露许多攻击事故，背后都与中国骇客有关，但也有攻击者专门针对关键基础设施（CI）下手。赛门铁克近期揭露由中国骇客发起的攻击行动，攻击至少自2020年11月持续到2021年3月，对象包含了水资源公司、电力公司、电信公司，以及国防组织等多个关键基础设施。详全文

 

＃漏洞揭露  ＃渗透测试工具

渗透测试工具Cobalt Strike存在DoS漏洞，可以用来遏阻攻击行动

渗透测试工具Cobalt Strike是相当实用的红队演练工具，近年来也有越来越多的攻击者滥用，一旦出现漏洞，资安人员与执法单位可能可以用来防堵网络攻击。资安业者SentinelOne发现，在4.2与4.3版的Cobalt Strike里，存在名为Hotcobalt的阻断服务（DoS）漏洞CVE-2021-36798，一旦资安人员运用这项漏洞，就可以拦阻攻击者远端控制受害目标的行为。详全文

 

＃勒索软件攻击  ＃钓鱼攻击

微软揭露BazaCall网络钓鱼攻击细节，分析回避侦测的多种手法

微软资安情资中心于7月29日，针对结合电话客服散布恶意软件BazaCall（亦称BazarCall）的钓鱼邮件攻击行动，说明这类攻击完整的流程，还有做为诱饵的钓鱼邮件如何回避邮件防护系统侦测，以及入侵受害电脑之后，将会利用多种合法工具攻击整个企业网域，并对于网络设备植入特定勒索软件Conti或Ryuk等细节。详全文

图片来源：微软

 

＃供应链攻击  ＃开发安全

PYPI恶意套件可窃取用户信用卡资料或身份验证权杖

DevOps平台JFrog安全研究团队发现数个托管在PYPI中的恶意套件，经JFrog迅速回报，这些恶意套件已经全数遭到删除。JFrog侦测到的恶意套件，包括noblesse和pytagora等系列套件，能够窃取用户身份验证权杖、信用卡资料，以及执行远端程式码注入等攻击。根据Pepy.Tech的资料，JFrog发现的这几个恶意套件，已经被下载约3万次。详全文

 

＃勒索软件攻击  ＃高科技产业

技嘉科技传出遭勒索软件攻击

以主板、个人电脑、服务器等产品闻名的上市公司技嘉科技，8月5日传出遭勒索软件攻击，6日该公司于傍晚在证券交易所，发布资安事件即时重大讯息，证实有少部分服务器遭遇网络攻击，目前已将侦测到的网络异常状况通报执法单位与资安单位，并表示公司生产、销售与日常营运都不受影响。

至于该公司遭受何种勒索软件攻击？根据Bleeping Computer的报导，很可能是RansomEXX。详全文

 

＃资安产业动态  ＃CVE

TWCERT/CC已指派近200个CVE漏洞，近期发布品质获得两项最高等级肯定

为了推动台湾业者产品漏洞修补的观念与意识，台湾电脑网络危机处理暨协调中心（TWCERT/CC）成为CVE 编号管理者（CNA）至今，已指派200个CVE漏洞，而该单位发布的CVE漏洞在CVSS与CWE项目，近日经美国NIST/NVD评为最高的Provider等级。获得此项认可的CNA组织，目前仅有Adobe与TWCERT/CC。详全文

 

 

更多资安动态

●甫揭露的Exchange漏洞ProxyShell已出现攻击行动
●大型医院的气动输送管道系统存在可被控管的漏洞
●美国发布K8s配置安全强化指引