Browsing: vulnerables

    網絡安全團隊 Project Zero 發表最新統計報告,顯示現時 IT 公司對推出安全更新的速度愈來愈快,在 2021 年經團隊舉報的所有漏洞中,平均只須 52 日便有安全更新推出。而在 90 + 14 日的寬限期政策下,只得 5% 個案未能完成漏洞修補,對企業來說自然是好消息! Google Project Zero 是…

    IoT(物聯網)的應用愈來愈廣泛,但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料,意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。 物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織,早前分析了數百間常用的物聯網產品製造商,發現只有五分之一在公共渠道上曾公布產品安全漏洞,以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟,都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%,自去年起略有上升。 報告指出,漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場,例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內,因為漏洞不僅可以進入設備,而且沒有固定的報告漏洞的途徑。 儘管如此,該報告指出「自 2017…

    漏洞是黑客經常入侵的途徑,這個缺口一日不修補,仍然讓企業處於危險當中。雲端安全解決方案供應商 Barracuda 表示,在過去兩個月內,其安全防護系統阻截到的自動化掃描和攻擊,由每天數十萬次激增至數百萬次,當中更有每天數千個掃描是針對最近修補的 Microsoft 和 VMware 漏洞。 今年年初,全球數以萬計的電腦受到針對 Microsoft Exchange 電子郵件伺服器漏洞的攻擊影響,包括至少 30,000 個美國地方政府和跨國企業等組織的系統。這個名為 Hafnium 的漏洞於 2021 年 3 月被首次披露,透過 Exchange 伺服器中存在的伺服器端請求偽造 (SSRF) 漏洞,攻擊者能發送 HTTP 請求並向 Exchange 伺服器進行身份認證。從公開的資料可得知,Hafnium 能用作識別易受攻擊的系統,而其餘漏洞似乎與該漏洞有關連,包括將 web shell 放入被利用的系統中,以獲得存取權限作進一步的利用。 Barracuda 亞太區副總裁 James Forbes-May 指,軟件漏洞在修補程式和緩解措施發布後的一段長時間內,仍可被繼續掃描和利用。因為作為黑客知道防禦者不一定有時間或能力,隨時安裝最新的修補程式,變相提供一種輕鬆入侵網絡的方法。 攻擊者周末暫停攻擊 或因難隱藏易觸發警報 Barracuda 的研究人員透過分析攻擊模式,發現大多數攻擊者即使是執行自動化的攻擊,亦會在周末暫停攻擊。早前 Barracuda 亦發現機械人 (Bot) 會按照工作日來執行攻擊,原因可能是因為在工作日發動的攻擊,可更容易地隱藏在其他正常的工作中, 而在週末時向使用率較低的系統發動攻擊,更容易觸發警報。 就攻擊類型而言,以往 WordPress 是應用程式漏洞攻擊中的熱門目標。一般情況下, SQL 資料隱碼攻擊是最常見的,其次是命令注入攻擊,然後是其他類型的攻擊。 然而,今次研究發現命令注入攻擊最多,Barracuda 發現大量針對 Windows 的命令注入攻擊嘗試。 這些攻擊在 6 月的兩週內達到頂峰,然後又回落到正常的流量水平。 未修補軟件漏洞成目標 籲用 WAF-as-a-Service 或 WAAP 方案…

    全球疫情雖然逐漸放緩,但仍有不少外國企業實施遙距工作措施,然而在家工作存在大量危機,有網絡安全研究人員更發現了數十萬個不安全伺服器、端口和雲端服務,可能導致容易被黑客入侵! 因應疫情爆發,令企業組織和員工對雲端服務的需求增加,而這亦導致企業網絡暴露(exposed)於網絡攻擊之中。企業在疫症開始爆發時,急忙推出在家工作的措施,員工因此依賴雲端服務,包括遠程桌面協定(RDP)、虛擬專用網絡(VPN)和 Microsoft Office 365 或 Google Workspace 等應用程式套件。 雖然這種模式允許員工在傳統公司網絡以外的地方工作,但也讓網絡罪犯的多了潛在攻擊面。黑客能夠利用監控水平下降,而成功偷取用於遙距登入雲端服務的個人憑據,藉以入侵企業。 網絡安全公司 Zscaler 的安全研究人員分析了 1,500 間公司的網絡,並在 392,298 個公開的伺服器、214,230 個暴露端口和 60,572 個暴露的雲端實例發現了數十萬個漏洞,並聲稱最大的企業平均暴露…

    用作監視子女或者配偶的應用程式,原來暗藏漏洞!防毒軟件公司 ESET 最近推出研究指,Android 的進蹤應用程式受到漏洞的威脅,並威脅受害者,有可能令受害者的私隱暴露和威脅其安全性。 ESET 研究人員表示,這類應用程式在近年變得相當流行,其開發人員多以可保護兒童作為招徠,但這些監視用的應用程式或會被第三方濫用。作案者會使用這些應用程式來監視受害者,並以之收集 GPS 位置、監視對話、取得瀏覽器歷史記錄、圖像以及儲存在設備上的其他敏感數據。研究人員分析了 86 個 Android 相關應用程式,並在 58 個應用程式中發現了逾 150 個安全漏洞,揭示受害者將面臨其他隱私和安全風險。 ESET 在此分析中,將安裝了應用程式並作遙距監視的人定義為「跟蹤者」,而「受害者」則是指被監察者通過應用程式監視的目標人物。最後,「攻擊者」則是指「跟蹤者」和「受害者」不知道存在的第三方。「攻擊者」可以利用應用程式或其相關監視服務中,所存在的安全性問題或私隱漏洞入侵。 而這個問題可能導致「攻擊者」直接接管操控用作監視「受害者」的設備,也可能上傳虛假證據以威脅受害者。研究人員按照他們為期 90…

    Microsoft 被稱為 Section 52 的 Azure Defender for IoT 安全研究小組近日發現,物聯網和營運技術(Operational Technology,OT)裝置上,有一系列的記憶體分配漏洞,可用來執行惡意程式。這個目前盛行的漏洞名為 BadAlloc,與不正確驗證的輸入有關,而這個漏洞會導致堆溢出,並最終執行這些代碼。 研究小組在發文指,這些漏洞都源於使用記憶體容易受攻擊的功能,如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。當傳遞外部輸入時,這些函數就會出現問題,因為這些外部輸入可能導致整數溢出或迴繞函數,折回的結果是重新分配記憶體緩衝區。小組又指,儘管折回而分配的記憶體不多,但令與記憶體分配相關的負載,超過了實際緩衝區分配,導致了溢出;缺乏輸入驗證令入侵者開採記憶體分配功能,造成堆積溢位,而令他們可於目標裝置上執行任意程式。 Microsoft 正與美國國土安全部合作,向受影響的供應商發出警報,並修復漏洞。在通報中所示的受影響產品來自 Google Cloud、Arm、Amazon、Red Hat、Texas…

    微軟上周發出警告指,黑客使用一種名為 DearCry 的勒索軟件,現在將未有修補程式的 Exchange 伺服器作為目標,這些伺服器仍然存在四個漏洞,這些漏洞已被可疑的中國政府黑客利用。微軟再次警告 Exchange 客戶,應使用上周發布的緊急修補程式,以解決影響 Exchange 電郵伺服器的嚴重漏洞。 微軟早在 3 月 2 日時敦促客戶立即安裝修補程式,因為未來數周和數月內,將面對更多的網絡犯罪分子或有國家支持的黑客,利用這些漏洞入侵的風險。微軟指,現時的攻擊是由一個名為 Hafnium 的中國黑客組織所為。安全服務供應商 ESET 就指,至少有 10 個國家支持的黑客組織,正在嘗試利用未有修補程式的…

    早陣子爆出遭受憑證填充攻擊、而引發數據洩漏的 Spotify,又再度爆出數據洩漏事故。Spotify 警告用戶,他們的某些註冊資料,無意中暴露予第三方業務合作夥伴,其中包括電郵地址、顯示名稱、密碼、性別和出生日期。Spotify 指出,今次事故是在今年 4 月 9 日至 11 月 12 日之間存在,而這個軟件漏洞已被處理。 擁有 3 億 2 千萬用戶的 Spotify,堪稱全球最受歡迎的音樂串流平台。早前 Spotify 公布年度最受歡迎歌曲,以及個人用戶最常聽歌曲等,但是居然遭惡意入侵。這名惡意入侵者自稱「Daniel」,入侵了數名歌手在…

    物聯網(Internet of Things, IoT)的保安漏洞一直為人詬病,經常傳出黑客借已連結物聯網的智能家電,入侵網絡,甚至在企業未為意間,打開其網絡安全缺口!但也不用太擔心,最近歐盟網絡資訊安全局(The European Union Agency for Cybersecurity, 下簡稱ENISA)推出 IoT 產品開發指引,供大家參考如何確保網絡安全。 由 ENISA 所定的指引 Guidelines for Securing the IoT –…