資安業者Salt Security於今年上半,發現Grammarly、Vidio、Bukalapak介接的OAuth身分驗證服務存在漏洞,攻擊者有機會利用使用者在其他服務的Token,破壞這些服務的帳號
資安業者ESET揭露俄羅斯駭客組織Winter Vivern(亦稱TA473)的零時差漏洞攻擊,駭客從10月11日,鎖定歐洲政府機關和智庫的網頁郵件伺服器Roundcube而來,利用過往未曾記錄的跨網站指令碼(XSS)漏洞CVE-2023-5631發動攻擊。
駭客先是假借Outlook管理團隊的名義,寄送歡迎使用Outlook的電子郵件,但該信件被事先埋入特製SVG圖檔,一旦有人開啟信件就可能中招,觸發SVG圖檔的惡意JavaScript指令碼載入器checkupdate.js,下載有效酬載,列出Roundcube帳號的資料夾及電子郵件,並向特定網站發出HTTP請求,將電子郵件傳送至C2伺服器。
研究人員12日向Roundcube通報,該開發團隊於16日推出1.6.4版、1.5.5版、1.4.15版予以修補。
竊資軟體GoPIX鎖定巴西行動支付系統用戶而來
資安業者卡巴斯基揭露針對巴西支付系統PIX用戶而來的攻擊行動,駭客從2022年12月透過惡意廣告,針對從網路上搜尋網頁版WhatsApp的用戶下手,一旦使用者點選駭客購買的廣告,就會被重新導引、連上惡意軟體網站,過程中會檢查使用者電腦是否開啟27275埠,目的是檢測是否存在特定的Avast Safe Banking元件,以便繞過偵測,然後最終下載NSIS的安裝程式。
使用者若是執行安裝,就會觸發PowerShell指令碼,並於電腦植入竊資軟體GoPIX,進而挾持使用者執行支付的PIX交易,竄改收款人的資料,或是更換為比特幣或以太坊錢包。
有人兜售臉書與Instagram的警方入口網站的存取權限
根據資安新聞網站SecurityAffairs的報導,資安業者Hudson Rock發現,有人在兜售臉書及Instagram專供執法單位存取的入口網站Police Portal帳密,開價700美元。這種入口網站是在政府機關因應辦案需求,向他們請求用戶的IP位址、電話號碼、裝置資訊等資料所用。
但賣家究竟如何取得相關帳密?研究人員推測,很有可能是對臉書員工進行社交工程攻擊而得。
【漏洞與修補】
Grammarly、Vidio、Bukalapak網路應用程式存在重大OAuth漏洞
資安業者Salt Security於今年2月至4月發現,有多個線上服務的OAuth身分驗證措施存在嚴重的資安漏洞,這些平臺包括:文法檢查服務Grammarly、印度影音串流服務Vidio、印尼電子商務網站Bukalapak。此漏洞可能導致攻擊者得以竊取使用者的身分,或是竊取信用卡資料、私人訊息、健康記錄等各式個人資料,也有可能將相關資料拿來進行財務詐騙的行為。
以Grammarly為例,當使用者試圖透過臉書帳號存取這項服務的過程當中,網頁編輯器會將使用者輸入的資料儲存在帳號裡,研究人員發現存取臉書帳號的OAuth身分驗證流程缺乏Token驗證步驟,而使得攻擊者有機會利用另一個App ID產生的Token,利用臉書帳號來收集用戶的Token,然後對提供服務的網站發動攻擊,進而接管用戶帳號。
Vidio、Bukalapak也有類似的缺陷,而有可能導致網站服務的用戶帳號遭到挾持。上述3家業者獲報後,皆已完成修補。但研究人員警告,類似的弱點也有可能出現在其他採用OAuth的網頁應用程式上。
VMware修補vCenter伺服器重大漏洞,並對不再支援的舊版產品提供更新
10月25日VMware針對vCenter Server、Cloud Foundation提供更新程式,當中修補重大漏洞CVE-2023-34048,未經身分驗證的攻擊者可在不需用戶互動的情況下,進行遠端執行任意程式碼(RCE)攻擊,CVSS風險評分為9.8。
值得留意的是,有鑑於這項漏洞的嚴重性,該公司也為已經生命週期終止(EOL)的舊版本vCenter Server 6.7U3、6.5U3,以及Cloud Foundation(VCF)3.x提供修補程式。
VMware事件記錄分析系統的RCE漏洞出現概念性驗證攻擊程式碼
思科10月19日VMware發布事件記錄分析系統Aria Operations for Logs(原vRealize Log Insight)8.14版,當中修補身分驗證繞過漏洞CVE-2023-34051,CVSS風險評分為8.1。
隔日資安業者Horizon3.ai也公布漏洞細節,以及概念性驗證(PoC)攻擊手法,並指出攻擊者可透過IP位址欺騙,以及多種使用Thrift協定的RPC端點,來達到任意檔案寫入的目的,而能否成功利用這項漏洞,關鍵是攻擊者須取得足夠的權限,於目標系統加入額外的網路介面或靜態IP位址。
研究人員指出,這項漏洞發生的原因,是VMware在一月發布的更新程式中,出現修補不完整的情況,使得攻擊者有機會繞過修補程式碼,發動遠端執行任意程式碼攻擊(RCE)。對此,VMware也在23日更新公告,指出網路上已經出現概念性驗證攻擊程式碼,接下來很可能會被用於攻擊行動。
1. https://www.horizon3.ai/vmware-aria-operations-for-logs-cve-2023-34051-technical-deep-dive-and-iocs/
2. https://www.vmware.com/security/advisories/VMSA-2023-0021.html
