最近几年旅馆集团万豪国际(Marriott International)传出多起资料外泄事故,至少超过3.4亿旅客资料外泄,美国联邦交易委员会(FTC)在经过调查后于10月提告,如今这起事件有了新的进展。
FTC根据当时要求达成和解的条件,正式下令该集团与旗下子公司(Starwood Hotels & Resorts)必须导入完善的资安方案,来避免类似的大规模资料外泄事故再度重演。
【攻击与威胁】
Fortinet的安全研究团队近日发现两款隐藏恶意行为的Python套件,分别为Zebo-0.1.0与Cometlogger-0.1。这两个套件表面看起来只是普通的开源程式码,实则内含多种恶意功能,突显了开源软体供应链攻击日益增加的资安威胁。
研究人员指出,Zebo-0.1.0的恶意功能包括键盘记录、萤幕撷取、资料外泄与持久性机制设置。该恶意套件利用了如pynput与ImageGrab等合法Python函式库,结合混淆技术来隐藏其真正意图。Zebo程式会在用户的电脑上记录所有键盘输入并定期截取萤幕画面,这些资料随后被上传至远端伺服器。值得注意的是,Zebo借由设置系统启动时自动执行机制来实现持久性,确保恶意行为能够持续执行。
另一款恶意套件Cometlogger-0.1则更加复杂且危险,其功能涵盖动态档案修改、Webhook注入、资讯窃取与反虚拟机器检测等。
【漏洞与修补】
研究人员提及,这项弱点发生的原因,在于Webmin处理CGI请求的过程,从而导致使用者提供的字串被用于执行系统呼叫之前,并未经过适当的验证,使得攻击者有机会以root权限执行任意程式码。
但攻击者利用这项漏洞存在必要条件,那就是必须在通过身分验证的状态下才能触发漏洞。
其他漏洞与修补
【资安产业动态】
台北市电脑公会主办资安精品奖,吸引超过30家资安业者参与,经评选后15家进入决审,最终结果于12月24日公布,有6家资安公司获奖。这些得奖的公司及产品服务分别为:
卓越奖:睿控网安SageOne
领航奖:来毅数位Keypasco ZTNA、中华资安国际红队演练服务
创新奖:杜浦数位TeamT5威胁侦测应变代管服务、奥义智慧XCockpit EASM外部资产曝险管理、兆勤科技USG FLEX 200HP