資安新聞
[12月23日] TP-Link 路由器或因安全風險遭美禁用,市佔率高引發關注
美國政府最近考慮禁止使用 TP-Link 路由器,原因是擔心這些設備可能會威脅國家安全。
考慮禁止原因
被駭客利用進行攻擊
美國調查發現,有駭客利用 TP-Link 路由器建立「殭屍網路」(Botnet),用於發動網路攻擊,例如:
竊取個人資料和帳戶資訊
瘫痪伺服器或企業網路
遠端控制大量設備進行惡意活動
TP-Link 的路由器成為攻擊者的首選,因為這些設備價格低廉、使用廣泛,且部分型號的安全性設計存在弱點。
高市佔率,潛在威脅大
TP-Link 在美國市場擁有超過65%的市佔率,不僅應用於家庭網路,甚至在部分政府機構也有使用。如果這些設備成為攻擊目標,可能導致大範圍的網路安全問題。
對於 TP-Link 路由器安全問題的建議
立即檢查路由器型號和固件版本
確保您的路由器已更新到最新版本的韌體,因為更新通常會修補已知的安全漏洞。
更改預設密碼
如果您仍然使用路由器的預設管理密碼,請立即更改為一組強而複雜的密碼,避免被駭客輕易破解。
監控網路流量
使用網路監控工具,檢查是否有可疑的流量或未知設備連接您的網路,這可能是駭客活動的跡象。
資料來源:
資安漏洞
[12月24日] Sophos 防火牆漏洞修復:郵件防護和高可用性配置成攻擊目標
知名資安公司 Sophos 最近發布了一項安全公告,揭露其防火牆軟體中存在三個嚴重漏洞(CVE-2024-12727、CVE-2024-12728 和 CVE-2024-12729)。其中,CVE-2024-12727 和 CVE-2024-12728 是最危險的。
漏洞攻擊
未經身份驗證的 SQL 注入:駭客可以利用漏洞,直接在系統中植入惡意指令,竊取或篡改資料。
弱密碼攻擊:透過防火牆高可用性集群中的密碼問題,輕鬆破解密碼,取得系統控制權。
遠端控制與網路滲透:一旦成功入侵,駭客能遠端控制整個系統,甚至威脅企業內部的其他網路資源。
建議
立即更新軟體:確保你的 Sophos 防火牆是最新版本。
檢查密碼強度:避免使用簡單或預設密碼,加強管理員帳戶的安全性。
監控異常活動:隨時關注網路使用狀況,發現異常要立即處理。
Sophos 已針對這些漏洞發布修補程式,並呼籲所有用戶立即更新防火牆軟體,以避免成為下一個受害者。公告中還提到,類似漏洞過去曾被駭客用來進行大規模勒索軟體攻擊,造成嚴重損失,這次事件再次警示用戶千萬不要忽視安全更新。
資料來源:
資安事件、惡意程式
[12月25日] 19萬安卓設備遭 BadBox 綁架:俄中兩國成重災區
BadBox 的惡意軟體攻擊事件,影響了超過 19.2萬台安卓設備,並將這些設備變成一個巨大的「殭屍網路」。這場攻擊主要集中在 俄羅斯和中國,而且特別鎖定了 Yandex 智慧電視 和 海信智慧型手機 這些高階設備。與以往只針對便宜裝置的攻擊不同,這次連高價設備也未能倖免。
攻擊手法
利用漏洞感染設備:針對安卓系統和智慧裝置中的漏洞,透過惡意程式植入感染設備。
建構殭屍網路:控制受感染設備,進行非法代理伺服器運行、遠端程式碼執行等惡意行為。
資源惡意利用:利用高階設備的效能發動 DDoS 攻擊、進行挖礦等,擴大攻擊範圍與影響力
建議
定期更新系統與應用程式:確保智慧裝置與應用程式保持最新版本,避免因已知漏洞被攻擊。
監控異常行為:注意裝置性能異常(如運行速度變慢或流量暴增),及早發現並移除惡意程式。
啟用專業防護工具:安裝高效防毒軟體及安全監控工具,提升物聯網設備的整體安全性。
這次事件不僅顯示了攻擊規模的龐大,也凸顯出物聯網(IoT)設備安全的重要性。對於使用者來說,無論是智慧電視、智慧型手機還是其他連網裝置,務必保持系統更新,並注意防範惡意程式的潛在威脅。
資料來源:
資安事件、軟體供應鏈
Fortinet 的安全研究人員最近發現了兩個名為 Zebo 和 Cometlogger 的Python惡意軟體包,它們看起來像是普通的開源軟體,但實際上暗藏危險功能,例如:
記錄鍵盤輸入:能偷窺密碼和其他敏感資訊。
資料外洩:偷偷把檔案和資料傳到駭客的伺服器。
螢幕截圖:截取電腦螢幕上的畫面進行監控。
躲避偵測:可以辨識電腦是否是虛擬機器,進而避開安全檢查。
攻擊方式
Zebo
它會設定自己在電腦開機時自動啟動,這樣駭客就能持續監控你的電腦,並把偷來的資料傳回遠端伺服器。
Cometlogger
功能更強大,可以偷偷修改檔案、注入惡意程式,甚至竊取密碼、Cookie 等重要資訊。此外,它還能檢查電腦環境來躲避安全人員的分析。
建議
選擇可靠來源:只從可信的官方網站或知名平台下載軟體。
審核程式碼:對於不熟悉的軟體,最好先檢查它的程式碼是否安全。
安裝安全工具:定期掃描系統,檢查是否有可疑活動。
提高警覺:對開源軟體供應鏈保持警惕,並加強審查流程。
Python為全球使用率最高的程式語言,因此一但遭受駭客惡意利用下,對於軟體供應鏈安全的威脅衝擊不容輕忽。有鑑於此,Python軟體生態系也正式啟用新一代的數位見證功能PyPl (Python Package Index),其功能目的是讓Python套件維護者在發佈時能夠加入經過身份驗證的數位簽章,進一步提升軟體供應鏈安全性與追溯性,替代傳統的PGP簽章機制。
資料來源:
資安事件、挖礦軟體
[12月27日] Rspack NPM 套件遭供應鏈攻擊:開發者電腦面臨挖礦軟體風險
最近有消息指出,一個名為 Rspack 的前端軟體工具被駭客攻擊。Rspack 是一款常用的開源工具,用來幫助開發網頁應用程式,但這次的攻擊讓很多人措手不及。
攻擊手法
植入惡意程式碼:
攻擊者在 Rspack 的兩個核心套件(@rspack/core 和 @rspack/cli)的 1.1.7 版本中嵌入了惡意程式碼,並將這些套件發布到 NPM 平台,讓開發者不知情地安裝到自己的開發環境中。
安裝隱藏挖礦軟體:
惡意程式碼在受感染的系統上偷偷下載並安裝 XMRig 挖礦軟體,利用電腦的算力來挖掘加密貨幣,耗用大量系統資源。
針對特定地區:
攻擊的目標主要集中在 中國、香港、俄羅斯、白俄羅斯 和 伊朗,表明駭客可能對這些地區有特定意圖。
建議
立即更新軟體版本:
如果正在使用受影響的 Rspack 版本(1.1.7),應該立即將套件更新至 1.1.6 或 1.1.8 版本,避免繼續受到影響。
加強開源軟體管理:
選擇有信譽的來源下載套件,並定期檢查軟體更新是否來自可信的開發者。
使用工具(如 Hash 校驗)驗證軟體包是否被篡改過。
增強安全防護措施:
部署安全防護工具(如惡意程式碼掃描器)來即時偵測可疑行為。
開發環境中開啟虛擬沙箱技術,將新下載的套件在隔離環境中測試後再使用。
這起事件提醒我們,使用開源軟體雖然方便,但也有潛在的風險。為了保護自己的電腦和資料,務必定期更新軟體並保持警惕,避免下載不可靠的版本。
資料來源: