Blog

Akira勒索軟體正積極尋找尚未修補的Cisco ASA/FTD安全漏洞

美國網路安全暨基礎設施安全局(CISA)於近期將漏洞CVE-2020-3259加入CISA已知遭利用的清單中,並表示Akira勒索軟體組織正積極尋找尚未修補的Cisco Adaptive Security Appliance (ASA) 與 Firepower Threat Defense (FTD)安全漏洞。 資安研究員Kevin Beaumont也提出警示,發現Akira 和 Lockbit 勒索軟體組織正在尋找尚未修補的Cisco ASA安全漏洞,並嘗試進行攻擊。 Cisco於2020年5月已針對CVE-2020-3259發布更新,此漏洞主要造成資訊洩漏,允許未經身份驗證的遠端攻擊者取得受影響設備上的記憶體內容,進而導致機密資訊洩露。資安研究員Heresh Zaremand表示,CVE-2020-3259漏洞並沒有公開可利用的程式碼,若要利用該漏洞,需要購買或自行產生攻擊程式。 Akira是2023成立的資料外洩網站之一,公開聲稱有200名的受害者,2023 年第四季,Akira 在其資料外洩入口網站列出49名受害者。依據Trellix部落格顯示的資訊,受害國家以歐美地區為主,其中是以服務業、製造業領域為對象。 Cisco 設備廣泛的應用在各個組織之中,也因此經常成駭客攻擊的目標,已修補的漏洞仍有PoC不斷出現,簡化了攻擊者的流程,同時也降低門檻。建議應定期檢視使用Cisco ASA/FTD更新情況,並若設備開啟AnyConnect SSL VPN功能,建議將ASA升級到最新版本。

更多

Outlook 漏洞發現! 三種攻擊方法取得NTLM 雜湊值

網路安全公司 Varonis 在微軟產品中發現了一個新漏洞,以及三種允許駭客獲取 NTLM v2 雜湊值洩漏使用者密碼的攻擊方法。 該漏洞編號為 CVE-2023-35636,影響 Outlook 中的行事曆共用功能,CVSS評分為 6.5。攻擊者需要發送一封包含兩個特製標頭的電子郵件:一個通知 Outlook 該郵件包含共享內容,另一個將受害者的 Outlook 會話指向攻擊者控制的伺服器。 如果受害者點擊惡意訊息中的「開啟此 iCal」,他們的裝置會嘗試從攻擊者的伺服器取得設定文件,並在身分驗證過程中暴露 NTLM 雜湊。 NTLM v2 是一種對遠端伺服器的使用者進行身份驗證的協議。NTLM v2 使用者的密碼雜湊對於駭客來說可能很有價值,因為他們可以發起暴力攻擊並以明文形式獲取密碼,或者直接使用雜湊進行身份驗證。 2023年12月,Microsoft在計畫外的安全更新中修復了CVE-2023-35636,但一些攻擊方法仍可能允許駭客獲取身份驗證雜湊。 已確定的方法之一是使用開發人員經常使用的 Windows Performance Analyzer  (WPA) 實用程式。研究人員發現,與 WPA 相關的方式是使用特殊 Uniform resource identifiers (URI) 進行,該 URI 嘗試在網路上使用 NTLM v2 進行身份驗證,會暴露 NTLM 雜湊值。 此方法還涉及發送一封包含連結的電子郵件,該連結旨在將受害者重定向到駭客控制的網站上,從而觸發惡意WPA負載。 另外兩種方法使用標準 Windows File Explorer(檔案總管)。與 WPA 不同,WPA 不是預設的系統元件,主要僅供軟體發展人員使用。但檔案總管已深度整合到 Windows 中,並被絕大多數用戶日常使用。這兩種攻擊選項都與駭客透過電子郵件、社交媒體或其他管道向目標使用者發送惡意連結相關。 研究人員解釋,一旦受害者點選連結,駭客就可以獲得雜湊值,然後嘗試離線破解使用者的密碼,一旦雜湊被破解並獲得密碼,駭客就可以使用它以使用者身份登入組織。 CVE-2023-35636 已於

更多

AI Engine 外掛程式存在漏洞! 5萬個 WordPress 網站可能遭受遠端攻擊

WordPress 的 AI Engine 外掛程式中發現了一個嚴重漏洞,特別影響該程式的免費版本使用者。預計超過 50,000 個網站使用AI Engine 外掛程式。 AI Engine 外掛程式因其多樣化的人工智慧相關功能而受到歡迎,允許用戶建立聊天機器人、管理內容並利用各種AI工具,如翻譯、搜尋引擎優化等。 根據 Patchstack 公司發布的公告,此漏洞編號為CVE-2023-51409。涉及的安全缺陷是 files.php 模組中外掛程式的 rest_upload 函數中未經身份驗證的任意檔案上傳漏洞。 該漏洞允許任何未經身份驗證的用戶上傳任意檔案,如潛在的惡意 PHP 檔,這可能導致在受影響的系統遠端執行程式碼。 值得注意的是,相關REST API端點的permission_callback參數設定為__return_true,允許任何未經身份驗證的使用者觸發易受攻擊的函數。程式碼中缺乏正確的文件類型和副檔名驗證,允許上傳任意檔,從而構成重大安全風險。 為了緩解此漏洞,AI Engine 外掛程式的開發團隊在 1.9.99 版本中導入修補程式。此修補程式對自訂 REST API 端點實作權限檢查,並使用 wp_check_filetype_and_ext 函數合併檔案類型和副檔名檢查。 強烈建議用戶將其 AI Engine 外掛程式更新到至少 1.9.99 版本,以確保他們的系統免受潛在的利用。 Patchstack建議用戶永遠檢查外掛程式或主題程式碼中 $_FILES 參數的每個程序。在上傳檔案之前,務必檢查檔案名稱和副檔名。另外,特別注意自訂 REST API 端點的權限檢查。

更多

SE Labs示警「MFA繞過」的攻擊將越來越多

Uber、Okta等2023年重大的資料外洩事件,都與多因素身分驗證(MFA)繞過有關。SE Labs建議資安長在來年應加強防範受MFA保護的系統攻擊,目前已看到MFA繞過的攻擊活動增加趨勢。 研究人員表示,攻擊者並沒有發明新工具來規避MFA 或 2FA(雙重認證)。但是,社交工程、惡意軟體和網路釣魚等老派方法還是非常有效。 由於許多用戶認為 MFA牢不可破,卻讓它因此變成企業防禦中最薄弱的一環,因為攻擊者正在改變策略,並不斷尋找繞過MFA的方法。SE Labs建議資安主管應盡快升級MFA並放棄行動簡訊(SMS)的身分驗證方式。 攻擊者如何繞過 MFA MFA 的「核准登入」方法非常受使用者歡迎,因為只需簡單點擊即可。因此,它也受到攻擊者的青睞。一旦攻擊者透過竊取或從暗網上購買了用戶被盜的憑證,攻擊者只需重複輸入這些憑證即可。當用戶分心、厭倦了接收多次訊息,只需輕輕一按,即可讓攻擊者進入。 有時,攻擊者會使用網路釣魚電子郵件說服粗心的使用者在偽造網站中輸入一次性密碼。或者他們取得被盜的 SIM 卡副本並直接接收驗證代碼。使用 SMS 進行2​​FA的驗證方式特別容易受到攻擊。即便如此,SE Labs還是認為2​​FA比完全不使用MFA好。 另一種MFA繞過的攻擊手法稱為會話劫持或 cookie 劫持。攻擊者根本不需要經歷 MFA的過程。網站使用加密的情形越來越多,攻擊者一般使用惡意軟體來竊取受害目標的cookie紀錄 。一旦攻擊者掌握了這些訊息,他們只需等待受害者登入後,接管連線即可進行攻擊。

更多

Copyright @2023 RCS. All Rights Reserved.