资安一周第62期：多起与台湾有关的资安动态，包括物联网与金融系统的安全，以及网站与医疗系统遭骇事件

0926-1002一定要看的资安新闻

 

连网装置安全、中华电信调制解调器

物联网装置攻击频传，戴夫寇尔揭露中华电信调制解调器设置不当的漏洞

图片来源／周峻佑摄

今年首度举办的DEVCORE Conference大会上，该公司资安研究员Orange Tsai（蔡政达）在最后一场议程中，揭露了中华电信网络数据设备中，因配置不当而能被滥用的漏洞，经通报后，对方已经透过固件更新的方式，完成修补。

关于这次漏洞的发现，是因为该公司情资中心在7月底侦测到大量使用者的电脑，都开启了3097连接埠，而引起他们注意。后续经过他们的研究，找出能够下达任意指令的漏洞，再加上预设系统管理账号root采用弱密码等环节，而能控制网络调制解调器，利用命令注入攻击手法，远端存取调制解调器3097连接埠，进而渗透到内部网络，从中发动攻击。更多内容

 

无档案攻击、离地攻击

微软揭露新的Nodersok无档案攻击行动

图片来源／微软

继今年7月公布的Astaroth无档案攻击行动之后，微软再公布新一波的Nodersok无档案攻击，骇客同样利用合法工具展开攻击，例如，系统内建的mshta.exe与powershell.exe，或者是自第三方网站下载的node.exe及Windivert.dll/sys，而且攻击过程只于内存内执行，并没有任何恶意的执行程式被写入硬盘，目的是将受害系统变成代理人，以便执行点击诈骗，估计已有数千台Windows电脑遇害。更多内容

 

软件漏洞

神秘人士将vBulletin零时差漏洞公布于网络上

图片来源／撷取自vBulletin官方论坛

连NASA、Steam、EA都在用的商业论坛软件vBulletin，遭人揭露存在验证前远端程式码执行（pre-auth RCE）漏洞，其身份验证可以被绕过而被取得平台控制权限。

最近有匿名人士在网络社群Full Disclosure公布此漏洞，并指出攻击者无需具备账号，只要发送HTTP POST请求，就可以在vBulletin服务器上执行指令，进而劫持论坛的网页服务器、窃取或删改资料，或是对其他系统发动攻击等。事隔两天，在9月26日，vBulletin团队已经紧急修补了该漏洞，并呼吁5.5.2、5.5.3及5.5.4版用户更新至最新版本，同时提醒5.5.2以前版本的用户应尽快升级。更多内容

 

VPN

Cloudflare正式推出免费VPN服务Warp

图片来源／Cloudflare

今年4月，Cloudflare宣布将在其行动装置App“1.1.1.1”中，加入名为Warp的VPN服务，而该项服务使用了新型VPN技术WireGuard，现在这个App正式释出内建Warp的版本，Android或iOS用户都可在应用程序商店下载。

Warp与传统VPN的差异在于，并非针对想要完全隐藏身份的用户设计，由于Warp不会对目标服务隐藏使用者的IP地址，因此无法让用户在使用Warp之后，存取地区限制的内容。Cloudflare表示，Warp主要让用户的流量在传输过程中获得保护，有心人士无法进行窥探，使用者可以在公共场所中安全的使用网络，同时还能防止ISP业者收集用户资料并转销售给广告商。更多内容

 

邮件安全、微软

微软网页邮件收发程式将扩大禁止38种档案格式

微软宣布将在Outlook for the Web的预设副档名封锁机制中，再增加38种档案格式，包含Java、Python、PowerShell等档案类型，受影响的产品包括Office 365、Exchange Online或Exchange Server。

微软表示，为了确保客户安全，Exchange团队近日对现有封锁档案名单做了一番检视，以确保能涵括现今有风险的档案类型。经过调整，微软在OwaMailboxPolicy物件中，对于BlockedFiletypes属性所封锁的对象，由现有104类增加38类，共142类。不过，微软也指出，如果企业有下载需求且了解相关安全风险，IT管理员仍然可以在特定条件下，将特定副档名加入白名单。更多内容

 

国家安全政策

美国通过协助组织对抗网络攻击的法案

美国参议院最近通过了一项《国土安全部网络狩猎与资安事件应变法案》，将要求DHS的资安团队协助-及其他私人企业避免网络攻击，在这些组织遭到攻击时，也要协助缓解。这主要的考量，是基于网络威胁变得更普遍，但地方-与私人企业在其网络安全的资源可能不足，因此现在美国将透过立法方式来要求。这项法案要求DHS必须设立网络狩猎与网络事件应变等两个安全团队，永久协助-机关、重大基础设施与私人企业来对抗网络攻击，也要求相关团队必须广邀私人企业的安全专家，以提供非-角度的专业意见。更多内容

 

iOS漏洞、硬件安全

研究人员宣称多款iPhone芯片存在无法修补的Bootrom漏洞

代号为Axi0mX的安全研究人员对外宣布，他在苹果所打造的芯片上，发现了Bootrom漏洞，将允许骇客取得iOS装置的控制权，该漏洞波及A5到A11的芯片，等于是从iPhone 4S到iPhone X都受到影响，且只有变更硬件才能修补，而此漏洞将让越狱（突破苹果原厂iOS的限制）变得更容易。资安业者Malwarebytes Labs也表示，不只是iPhone，采用同样芯片组的iPad、Apple Watch、Apple TV与iPod Touch，也都受到Bootrom漏洞的影响。更多内容

 

网站安全

遭受骇客攻击！台港苹果日报App及网站服务受影响

图片来源／撷取自香港苹果日报脸书粉丝专页

在9月28日早上，苹果日报的App与网站惊传服务异常，疑似遭到骇客入侵，虽然在3个小时后服务已经复原，其粉丝专页上也证实这项消息，但尚未对外说明遭骇的入侵管道与是否有其他影响。

在当日11点34分，香港苹果日报在粉丝专页上发布讯息，公开说明了这项消息，指出“苹果动新闻”手机App与网站疑遭受外来攻击，导致部分读者无法登入，台湾的苹果新闻网粉丝专页也公布相关资讯。这起事件不仅是网站安全的议题，也影响到苹果付费用户的权益，也格外受到外界关注。更多内容

 

金融安全、SWIFT系统漏洞

国际汇款系统SWIFT漏洞被揭露，中华资安国际呼吁用户注意修补

图片来源／撷取自中华资安国际官网

全球金融机构通用的SWIFT系统，是银行间交易资料交换的平台，一旦发现系统相关漏洞，后果相当严重。在9月中旬，中华资安国际发出声明，指出揭露SWIFT平台的高风险弱点（CVE-2018-16386），CVSS 3.0评为7.5分，并建议仍在使用SWIFT 7.1.23以前版本的金融机关或企业，尽快联系厂商进行系统更新，若无法更新也应采取缓解措施与检查。

关于这次漏洞的发现，是该公司在执行金融机构电脑系统资安评估过程中所发现。指出在SWIFT Alliance Web Platform 7.1.23版中存在Log Injection漏洞，若是攻击者利用系统Error log功能，搭配其他的任意档案引入弱点一起使用，就可能达成远端执行指令码攻击。由于SWIFT系统敏感性较高，在去年他们通报此漏洞后，SWIFT开发厂商已经修补，而美国国家漏洞数据库（NVD）直到2019年7月才公开发布，近期中华资安国际提醒用户应尽速更新。更多内容

 

＃医疗安全　＃台大医院

台大医院惊传骇客入侵，院方表示：已依规定通报，无资料外泄

图片来源／洪政伟摄

九月底，台大医院惊传骇客入侵事件，国内多家媒体报导此事，指出疑似有资料外泄，并传出院方列为三级资安事件，已经通报教育部与行政院，由行政院技术服务处协助调查。对此，我们向台大医院询问是否真有此事，他们的公共事务室管理师梁世箴出面回应，院方系统确实遭受到骇客攻击，但没有资料外泄情事发生。更多内容

 

＠更多资安动态
●微软修补IE、Windows Defender重大漏洞，IE零时差漏洞已有攻击程式
●DEFCON Voting Village：上百款投票机器都被研究人员攻陷
●研究人员发现锁定SIM卡软件的攻击，WIBattack将可透过漏洞远端控制手机
●国家级骇客锁定美国的公用事业服务供应商展开鱼叉式网钓攻击
●微软Windows 7付费延伸支援方案，开放中小企业购买
●【NIST网络安全框架当红】弹性灵活易上手，连美国联邦-都全面采用