【資安日報】2022年11月7日,製藥廠AstraZeneca傳伺服器帳密不慎暴露,中國漏洞揭露政策導致國家級駭客先行濫用日益明顯

有資安業者發現知名製藥廠AstraZeneca的伺服器帳密,居然在程式碼儲存庫GitHub被公開,而使得部分用戶的資料可能曝光。該製藥廠已證實此事,但不願說明這些資料為何會被用於開發測試環境。

中國在去年立法要求研究人員必須向政府通報漏洞,此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據,並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。

商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞,其中4個被評為高風險等級。若不修補,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)攻擊。

【攻擊與威脅】

資安業者SpiderSilk向新聞網站TechChruch透露,有個開發者不慎在程式碼儲存庫GitHub上,曝露製藥廠AstraZeneca內部伺服器的帳密,一旦取得這些帳號資料,就能夠存取該公司的Salesforce客戶關係管理平臺,在這套CRM系統當中,存放了一些病人的資料,以及藥物處方費用儲蓄系統AZ&ME應用程式的部分資料。TechChruch向該製藥廠通報後,對方已關閉該儲存庫。

AstraZeneca表示,此起事故是使用者錯誤造成,導致有人能夠透過開發者平臺能夠暫時存取到部分資料記錄,他們已在收到通報後,立即停用這些資料的存取,目前正著手調查根本原因,以及探究法規遵循層面的責任,然而,該公司並不願透露為何會將病人資料存放在開發測試環境裡,以及這些資料是否遭到異常存取。

中國政府,要求發現網路系統安全漏洞的研究人員與組織,必須在2日內先向該國工業和信息化部通報,且不得將相關資訊透露給境外人士。這樣的政策,使得中國政府撐腰的駭客很可能會利用這些零時差漏洞發動攻擊,如今外界的疑慮也被證實。

微軟於11月4日發布2022年數位防禦報告,當中提及在中國政府在實行上述的漏洞揭露法律後,有許多重大漏洞都是中國的國家級駭客首先利用,這些漏洞包含了檔案共享系統SolarWinds Serv-U的漏洞CVE-2021-35211、AD自助管理平臺Zoho ManageEngine ADSelfService Plus的CVE-2021-40539、服務臺Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2021-44077、郵件伺服器系統Exchange的反序列化漏洞CVE-2021-42321,以及Atlassian Confluence漏洞CVE-2022-26134等。

根據資安新聞網站The Record的報導,波音旗下的日本子公司Jeppesen於11月3日於網站上公告,表示該公司提供的部分產品及服務面臨技術問題,客戶若需要協助,可透過網站聯繫,電話支援暫不提供。該公司亦指出,這起事故亦影響通知飛行員(Notice To Airmen,NOTAM)的服務。

波音公司向The Record透露這是網路安全事故,正在復原相關服務的運作。旅遊專家Matthew Klint取得知情人士的說法,此起事件很可能是勒索軟體攻擊。

根據資安新聞網站Security Affair的報導,10月29日,專為丹麥鐵路經營者提供資產管理的業者Supeo遭到網路攻擊,導致當天早上該國各地的火車停止行駛,直到約下午1時才恢復。駭客針對此業者架設的Digital Backpack 2系統發動攻擊,這是提供火車司機以行動裝置存取重要訊息的系統。有專家推測這可能是勒索軟體攻擊。

大型火車營運業者DSB則表示,Supeo向他們透露,駭客入侵了測試環境而引發這起事故。

 

【漏洞與修補】

Splunk於11月2日發布資安通告,表示他們針對Splunk Enterprise修補了9個漏洞,當中包含4個CVSS風險評分達8.8分的高風險漏洞,這些漏洞可被用於執行遠端命令(RCE)、XML外部實體注入(XXE)、反射式跨網站指令碼(Reflected XSS)等攻擊手法。

其中,CVE-2022-43571、CVE-2022-43567為RCE漏洞,攻擊者一旦通過身分驗證,可能藉由儀表板產生PDF的元件,或是該系統發送警示訊息至行動裝置App的功能,以偽造請求來進行攻擊;CVE-2022-43570為XXE漏洞,一旦遭到利用,可導致Splunk Web嵌入不正確的文件檔案而出錯;CVE-2022-43568是反射式跨網站指令碼漏洞,存在於啟用Splunk Web功能的Splunk Enterprise,攻擊者可發送含有特定搜尋參數的JSON檔案來利用。因應這些資安問題,Splunk推出9.0.2、8.2.9、8.1.12版Splunk Enterprise,供用戶進行修補。

思科於11月2日針對旗下多項產品發布資安通告,其中最為嚴重的漏洞為CVE-2022-20961,屬跨網站偽造請求(CSRF)弱點,出現在網路安全存取管理解決方案Identity Services Engine(ISE),未經身分驗證的攻擊者可用於遠端執行任意行動,起因是ISE的網頁管理介面的CSRF保護不足,CVSS風險評分為8.8分。

想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線

推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

綠能、環保無空污,成為台中電動車最新代名詞,目前市場使用率逐漸普及化

台中景泰電動車行只是一個單純的理由,將來台灣的環境,出門可以自由放心的深呼吸,讓空氣回歸自然的乾淨,減少污染,留給我們下一代有好品質無空污的優質環境

電動車補助

Google地圖已可更新顯示潭子電動車充電站設置地點!!

日本、大陸,發現這些先進的國家已經早就讓電動車優先上路,而且先進國家空氣品質相當好,電動車節能減碳可以減少空污

南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務

好山好水露營車漫遊體驗

露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務

回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念

該公司同日亦公告其他資安產品的漏洞修補,範圍包括:郵件安全閘道Email Security Appliance、上網安全閘道Secure Web Appliance,以及Secure Email and Web Manager,修補的弱點為CVE-2022-20868、CVE-2022-20868。

 

【資安產業動態】

大學甄選入學委員會於11月4日發布112學年度的大學「繁星推薦」與「申請入學」招生簡章,但與過往招生最為不同之處在於,教育部在申請入學的部分首度增加了「資安組」,共有16個校系、招生68人,報名者在第一階段將會使用「大學程式設計先修檢測(APCS)」做為評比的依據。

 

【資安防禦措施】

為因應勒索軟體威脅,美國白宮今年於10月31日至11月1日,,共有37國、13家企業參與,各國代表最後達成一項共識,為了遏止勒索軟體犯罪,會將加密貨幣的生態系統列為重點項目,各國政府也支持共享用於洗錢的加密貨幣錢包情資,並聯手阻止駭客透過加密貨幣的生態系統取得贖金。此外,CRI亦打算制訂共通的框架和指南來預防及因應勒索軟體。

 

【其他資安新聞】

 

近期資安日報

https://www.ithome.com.tw/news/154071