零時差漏洞
」 駭客 漏洞 攻擊
TP-Link遭爆「零時差漏洞」 多款路由器恐遭遠端控制
TP-Link近期捲入資安爭議。獨立研究員近日揭露,旗下多款路由器存在尚未修補的零時差漏洞,駭客可藉此取得遠端程式碼執行(RCE)權限;同時,美國網路安全和基礎設施安全局(CISA)也針對其他TP-Link已遭利用的漏洞發布警告,情勢更顯緊張。根據《BleepingComputer》報導,資安研究員於2024年5月11日將漏洞通報TP-Link。TP-Link後續回應表示,歐洲版本的修補已完成,但美國與其他市場的韌體仍在開發中,暫時無法提供明確更新時程。公司強調將加快針對不同版本的修復,並呼籲用戶一旦收到新版韌體應立即安裝,以降低風險。此次漏洞出在TP-Link對CPE WAN管理協定(CWMP)的實作。研究指出,處理SOAP SetParameterValues訊息時,因「strncpy」函式缺乏邊界檢查,當緩衝區超過3072位元組便會溢位,駭客可透過惡意CWMP伺服器發送超大SOAP負載,導致路由器崩潰並被控制。實測顯示,市售熱門款Archer AX10與Archer AX1500已確認受影響,其他EX141、Archer VR400、TD-W9970等型號也被列為高風險。研究員警告,一旦駭客成功取得RCE,不僅能劫持DNS查詢,還可能竊聽或竄改未加密流量,甚至直接在瀏覽器中植入木馬。在等待官方釋出修補軟體期間,TP-Link建議用戶立即更改預設管理密碼、不使用時停用CWMP,並盡量將路由器與關鍵網路隔離。目前TP-Link尚未公布完整受影響清單。專家提醒,用戶若仍使用舊版韌體,或未更改預設帳密,將成為駭客鎖定的首要目標。
中國駭客涉「竊取美國新冠病毒研究」被逮 美司法部:受北京指使
美國當局於週二宣布,33歲中國公民徐澤偉(Xu Zewei)因涉嫌入侵多所美國大學電腦系統、竊取與COVID-19相關的研究資料,已於7月3日在義大利米蘭被捕,目前正等待引渡至美國受審。另一名共犯、44歲的中國籍男子張宇(Zhang Yu)仍在逃。根據德州南區聯邦法院公布的起訴書,徐澤偉與張宇被控在2020年2月至2021年6月間,針對從事新冠疫苗、治療與檢測研究的美國免疫學家與病毒學家發動網路攻擊。檢方指控,這起行動由中國國家安全部上海市國安局(SSSB)主導,並透過中國企業「上海派洛克網絡公司」(Powerock)執行。美國司法部表示,徐等人是「HAFNIUM」駭客組織成員,該組織透過入侵微軟Exchange伺服器等方式,成功對超過1萬2700家美國實體竊取敏感資料。受害機構包括兩所位於德州南區的大學及一家跨國律師事務所。起訴書中指出,駭客在侵入系統後植入「網頁殼」程式以便遠端控制,並搜尋包含「中方來源」、「MSS」、「香港」等敏感關鍵字。美國司法部國安助理檢察官艾森伯格(John A. Eisenberg)表示:「本案凸顯美國打擊國家資助網攻行為的決心與耐心。司法部會找到你們,並追究你們對威脅我們網路安全、損害我們人民和機構的責任。」德州南區檢察官甘傑(Nicholas Ganjei)則強調,這類駭客行為不僅竊取智慧財產,更是對美國科學與創新的直接威脅。聯邦調查局(FBI)指出,「HAFNIUM」駭客組織曾利用Microsoft Exchange的零時差漏洞,在全球發動大規模入侵。雖然微軟於2021年3月發出修補程式,但至同年4月仍有數百台美國電腦遭植入惡意程式。美國司法部指出,中國政府長期透過與之合作的企業與承包商,在全球範圍內進行間諜與資訊竊取行動,並利用商業化外包操作手法掩蓋官方參與痕跡。徐澤偉被控九項罪名,包括共謀電信詐欺、未經授權存取受保護電腦、意圖破壞電腦系統及嚴重身分盜竊。其中電信詐欺最高可判處20年徒刑,身分盜竊則可處2年徒刑。
中共網軍侵擾倍增 國安局示警國人重視資安防護
中共網軍對台網路攻擊日益頻繁,從每日240萬次侵擾到鎖定政府機關、交通運輸及國防供應鏈進行竊資與破壞,其手法包括離地攻擊、釣魚郵件及零時差漏洞等。國安局5日表示,中共網軍頻繁駭侵政府、關鍵基礎設施及民企,手法日益精進,我國資安防線面臨嚴峻挑戰,提醒國人提高警覺,共同維護網路安全。國安局表示, 我政府網際服務網2024年每日平均侵擾數為240萬次,較2023年日平均侵擾數120萬次增加逾2倍。其中多數為中共網軍所為,雖多已有效偵阻,惟仍凸顯整體網駭侵擾態勢愈趨嚴峻。另外,民間網駭案件計906案,相較2023年752案,增長比率逾二成,其中以政府機關比率最高,占整體總數逾八成。國安局分析,中共網軍駭攻目標,以通訊傳播領域(650%,主要為電信業)、交通(70%)及國防供應鏈(57%)增長最為顯著,顯見該等領域已成為中共新興網駭重點。有關駭侵手法部分,國安局指出,中共網軍鎖定我政府機關網通設備漏洞設伏竊資,以「離地攻擊」(Living off-the-land)手法,躲避網防系統偵察,並針對我公職人員電子郵件,發動社交工程等攻擊,企圖竊取機敏資訊。此外,中共以多元手段,對我國防供應鏈及資服業者駭侵竊資,並透過進階持續性滲透、釣魚郵件、零時差漏洞、木馬病毒、後門程式等方式,駭攻設伏我公路、港務等關鍵基礎設施,企圖影響我國交通運輸秩序。國安局說明,在中共軍演期間,其網軍對我交通及金融機構,發動「分散式阻斷服務攻擊」(DDoS),期強化騷擾效果,並擴大軍事威懾。值得注意的是,中共亦結合民間駭客協力組織,運用勒索軟體等網路犯罪手法,對我製造業廠商遂行駭攻,以及對各國高科技新創產業竊取專利技術,圖謀獲取經濟利益。另中共網軍以網駭手段竊取我國人個資,於暗網及駭客論壇公開販售獲利,遂行「駭侵及洩漏」(Hack & Leak),同時藉由社群網路論壇發文批評網防不力,打擊我國威信。國安局強調,中共持續加大對我網路攻勢,並結合多元網路駭侵手法,對我政府、關鍵基礎設施及重要民企,進行偵查設伏及網駭竊資,提醒國人重視資安防護,警覺中共對我網駭威脅,共維整體網路安全。
每天遭網攻240萬次!國安局揭中共網駭手法 政府機關占8成
中共網軍對我國網路空間攻擊、竊資及侵擾不斷,且駭侵手法不斷翻新。為讓國人瞭解網安威脅趨勢,國安局近日完成「2024年中共網駭手法分析」報告,發現我國政府網際服務網去年每日平均侵擾數為240萬次,其中多數為中共網軍所為,目標以通訊傳播領域650%最多,整體網駭侵擾態勢愈趨嚴峻。根據國安局統計,在趨勢發展部分,依據政府網際服務網「入侵偵測指標」統計,我政府網際服務網去(2024)年每日平均侵擾數為240萬次,較2023年日平均侵擾數120萬次增加逾2倍。其中多數為中共網軍所為,雖多已有效偵阻,惟仍凸顯整體網駭侵擾態勢愈趨嚴峻。另國安情報團隊去年掌握我國政府及民間網駭案件計906案,相較2023年752案,增長比率逾二成,其中以政府機關比率最高,占整體總數逾八成。經分析中共網軍駭攻目標,以通訊傳播領域(650%,主要為電信業)、交通(70%)及國防供應鏈(57%)增長最為顯著,顯見該等領域已成為中共新興網駭重點。在駭侵手法部分,中共網軍鎖定我政府機關網通設備漏洞設伏竊資,以「離地攻擊」(Living off-the-land)手法,躲避網防系統偵察,並針對我公職人員電子郵件,發動社交工程等攻擊,企圖竊取機敏資訊。此外,中共以多元手段,對我國防供應鏈及資服業者駭侵竊資,並透過進階持續性滲透、釣魚郵件、零時差漏洞、木馬病毒、後門程式等方式,駭攻設伏我公路、港務等關鍵基礎設施,企圖影響我國交通運輸秩序。國安局發現,在中共軍演期間,其網軍對我交通及金融機構,發動「分散式阻斷服務攻擊」(DDoS),期強化騷擾效果,並擴大軍事威懾。值得注意的是,中共亦結合民間駭客協力組織,運用勒索軟體等網路犯罪手法,對我製造業廠商遂行駭攻,以及對各國高科技新創產業竊取專利技術,圖謀獲取經濟利益。另中共網軍以網駭手段竊取我國人個資,於暗網及駭客論壇公開販售獲利,遂行「駭侵及洩漏」(Hack & Leak),同時藉由社群網路論壇發文批評網防不力,打擊我國家威信。國安局強調,中共持續加大對我網路攻勢,並結合多元網路駭侵手法,對我政府、關鍵基礎設施及重要民企,進行偵查設伏及網駭竊資。我國政府透過資通安全聯防機制,運用多元情報來源管道,掌蒐網安威脅預警情資,即時分享權責部門應處;同時提醒國人重視資安防護,警覺中共對我網駭威脅,共維我國整體網路安全。
Windwos新漏洞「涵蓋全版本」 駭客短時間「搶走你電腦」
微軟旗下的作業系統Windows近期爆出最新的零時差漏洞,只要駭客取得擁有部分登入全的用戶帳號,就可以透過這個漏洞將自己升級為電腦管理員,進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windwos作業系統,其中也包含現行熱門的Windwos 11、Windows 10與Windows Server 2022。綜合外媒報導指出,資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」,經過研究後認為,透過CVE-2021-41379可以更新的方式,讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟,而微軟也在11月9日發布相關修補程式。但後來Abdelhamid Naceri研究後,發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補,事實上,在11月9日發布的更新程式中總共修補了55個安全漏洞,CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri,就在22日釋出了概念性驗證攻擊程式。Abdelhamid Naceri所發布的軟體,可以繞過9日微軟發布的更新,依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下,也證實只需要幾秒鐘的時間,就可以將手上僅有訪問權限的使用者帳號,提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為,其實也有不少資安人員有所共鳴,他們也紛紛抱怨微軟對於抓漏獎金的隨意調整,甚至大幅度的降低獎金金額。而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後,思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示,目前看到的軟體偏向是實驗性質,推測應該是有駭客團體打算在測試與調整後,進行大規模的攻擊。
微軟公告Windows「零時差漏洞」 NCC提醒「整台電腦恐被接管」:快更新版本
國家通訊傳播委員會(NCC)晚間發布訊息,指出微軟9月8日公告一個Windows零時差漏洞(CVE-2021-40444),並於14日下午推出補救措施,作業系統將會引導用戶重新開機進行更新,如果沒有的話,用戶也應盡快進行手動更新。NCC指出,Windows零時差漏洞(CVE-2021-40444),攻擊者可傳送惡意Office文件,用戶開啟後,會連上內含惡意ActiveX控制項的網站,並下載惡意程式到該台PC,讓駭客可執行任意程式碼,並接管整台電腦。NCC表示,微軟已在9月14日下午推出修補更新,作業系統將會引導用戶重新開機進行更新,如果沒有的話,則應盡快進行手動更新。