top of page

2024/12/30-2025/1/3 資安一週大事

作家相片: Ricky Chen / SOC資安工程師Ricky Chen / SOC資安工程師
wizon-cybersecurity-weekly

資安新聞


最近發生一起針對 Chrome 瀏覽器擴充功能的供應鏈攻擊。駭客透過釣魚攻擊入侵軟體開發商的系統,悄悄將惡意程式植入多款擴充功能中,受害者包括 Cyberhaven 等知名開發商。這些被污染的擴充功能版本已被用戶下載超過 229 萬次。


駭客的目標是什麼?

這次攻擊的目標是竊取用戶的社群媒體和 AI 平台帳號密碼,可能導致隱私外洩或帳戶被盜。受影響的主要擴充版本為 24.10.4,用戶需立即檢查並更新至 24.10.5 或更新版本,並更改相關帳戶密碼以保護安全。


建議

  1. 立即檢查擴充功能版本:確認是否安裝了受影響的版本(24.10.4)。

  2. 更新並更改密碼:升級至 24.10.5 或更新版本,並修改所有相關帳號密碼。

  3. 定期檢查擴充功能:避免安裝不知名或來自陌生開發商的擴充功能。


隨著網頁應用型態越來越普及的趨勢,網頁瀏覽器已經成為另類的系統使用環境,許多瀏覽器的擴充功能提供各種便利使用的小工具,可能在使用者無法確認安全性的情況下安裝使用,這次事件再次強調了供應鏈安全的重要性,用戶需提高警覺,保護自己的網路安全。



資料來源:

 

資安漏洞


駭客組織 IntelBroker 再次洩露思科公司的內部資料,讓外界對資訊安全再度提高警覺。這次洩露發生在聖誕節當天,駭客公開了 4.84 GB 的資料,內容包含思科的軟體源碼、系統設定資訊以及加密簽名等機密資料。


思科建議的安全措施與提醒

  1. 提高帳戶安全性

    • 使用強密碼並定期更換。

    • 啟用多重身份驗證(MFA),增加額外的安全層。

  2. 加強系統防護

    • 定期更新軟體與韌體,確保修補已知漏洞。

    • 使用入侵檢測系統(IDS)監控異常行為。

  3. 保護內部資料

    • 嚴格限制機密資料的存取權限,僅授權必要人員使用。

    • 對機密資料加密存儲,降低資料洩露後的風險。

  4. 教育員工

    • 提醒員工謹防釣魚攻擊,避免點擊可疑的電子郵件或連結。

    • 強化員工的資訊安全意識和應對策略。

  5. 事件應急計劃

    • 建立並測試安全事件應急計劃,快速響應洩露事件。

    • 尋求專業的安全顧問支援,協助分析與應對威脅。



資料來源:

 

資安漏洞、殭屍網路


中國工業路由器廠商四信科技的兩款路由器(F3x24 和 F3x36)存在高風險的安全漏洞(CVE-2024-12856)。這個漏洞允許攻擊者遠端注入指令,並已被用於實際攻擊中,攻擊範圍波及全球,已影響超過 1.5萬台設備,其中 土耳其 是受害最嚴重的國家。


攻擊方式

  1. 利用預設憑證(Default Credentials):

    四信科技的路由器在出廠時內建預設使用者名稱與密碼,而許多使用者未更改這些預設設定,讓駭客可以輕易登入設備。

  2. 遠端命令注入(Command Injection):

    駭客在成功登入後,利用漏洞(CVE-2024-12856)執行惡意命令,控制路由器的系統。

  3. 部署殭屍網路病毒(Botnet Malware):

    駭客在受害設備中植入殭屍網路病毒,將其納入「殭屍網路」,用於以下惡意活動:

    • 發動DDoS攻擊: 利用大量受感染設備癱瘓目標伺服器或網路。

    • 竊取資料: 攻擊者可能攔截路由器的網路流量,竊取用戶敏感資訊。

    • 進一步擴散: 病毒可能自動感染其他連接的設備,擴大攻擊規模。

  4. 全球影響:

    根據安全公司 VulnCheck 的報告,這些攻擊主要針對特定地區,尤其是 土耳其,該國受影響的設備數量最多,凸顯駭客在攻擊中可能具有地區選擇性或特定目標。


如何保護自己的設備?

  1. 檢查設備型號與韌體版本

    如果您使用的是四信的相關路由器,立即檢查是否為受影響的型號,並留意是否有官方的更新通知。

  2. 更改預設密碼

    預設密碼是駭客攻擊的主要入口,建議使用強而複雜的密碼取代原本的設定。

  3. 限制外部連線

    關閉不必要的遠端管理功能,減少設備暴露在互聯網上的風險。

  4. 使用防火牆與監控工具

    加強網路環境的保護,隨時留意是否有異常連線或流量活動。



資料來源:

 

資安事件、惡意軟體包


網路安全研究人員在 npm 軟體包登錄檔上發現了一個惡意軟體包,其中要注意的是:


1. 偽裝工具暗藏惡意程式

一個名為 ethereumvulncontracthandler 的 NPM 軟體包自稱可以幫助檢測以太坊漏洞,但實際上是一個惡意程式。當用戶安裝該軟體包後,會不知不覺地被植入 Quasar RAT 遠端存取木馬。

  • 如何運作?該木馬會從遠端伺服器下載並執行惡意腳本,駭客可藉此取得受害者的電腦控制權或竊取敏感資料。

  • 提醒: 請務必從可信賴的來源下載軟體,並檢查相關評價與來源。


2. GitHub虛假點讚問題

文章還揭露了 GitHub 上存在大量虛假點讚的現象,這些「假按讚」被用來提升惡意軟體的受歡迎程度,讓使用者誤以為這些程式值得信任。

  • 影響: 用戶可能因信任這些高點讚數的軟體而下載惡意程式,導致資料外洩或系統被控制。

  • 建議: 不要僅依據按讚數來選擇開源軟體,可多參考專業評價或查看程式碼的公開性和可信度。


建議

  1. 下載前檢查來源: 確保軟體來自可信的官方網站或知名開源平台。

  2. 關注更新: 及時更新安全補丁,避免使用過時版本。

  3. 提高警覺: 面對過高的按讚數,應保持懷疑態度,避免成為駭客攻擊的目標。

  4. 多層安全防護: 安裝防毒軟體或使用沙箱技術測試軟體,減少風險。



資料來源:

 

資安漏洞

[1月3日] 超過6.6萬台居易閘道設備曝險,越南、台灣地區受影響最嚴重


近日,一則新聞揭露了居易科技(DrayTek)的 VPN 閘道設備存在一個嚴重的安全漏洞,可能讓你的網路暴露在危險之中。這個漏洞編號為 CVE-2024-12987,問題的核心在於設備的程式有一個「命令注入漏洞」,簡單來說,就是攻擊者可以遠端操控設備,執行他們想要的指令,甚至進一步攻擊連接到設備的網路。


有哪些設備受到影響?

主要受影響的設備是居易科技的 Vigor2960 和 Vigor300B,這些設備主要被企業和機構用來保護網路。然而,這次的漏洞曝光後,安全專家發現:

  • 全球有超過 6.6 萬台設備 受到影響。

  • 台灣就有超過 1 萬台 設備可能正面臨風險。

如果你家中或公司使用的是這些設備,就需要特別留意。


漏洞的危險性有多高?

安全專家給這個漏洞的風險打了 7.3 分(滿分 10 分),這代表它屬於高風險範疇。攻擊者可能利用這個漏洞:

  1. 遠端控制設備,竊取敏感資料或攔截網路流量。

  2. 攻擊內部網路,影響公司的正常運作。

  3. 植入惡意程式,讓設備成為殭屍網路的一部分,進一步攻擊其他目標。


建議

  • 定期檢查韌體更新,以免錯過重要的安全修補。

  • 將不需要公開的設備從網路隔離,避免直接暴露在互聯網上。

  • 啟用強密碼和雙重驗證,增加設備的安全性。



資料來源:

 

bottom of page