【资安日报】12月28日,别以为使用SSH连线就会比较安全!采用容易猜到的帐密有可能将Linux伺服器拱手送给骇客

透过SSH连线远端管理Linux伺服器的方法相当普遍,但若是使用极为容易猜到的帐号和弱密码,小心!很有可能成为下手的目标,而成为骇客摆布的对象。

这样的现象,资安业者AhnLab今年多次提出警告,而这次他们指出骇客对其部署挖矿程式、DDoS机器人,同时还有可能植入各式的恶意软体来上下其手。

 

【攻击与威胁】

但除了挖矿及发动DDoS攻击,研究人员指出,骇客往往也会对其部署恶意程式,其中比例最高的是ShellBot,比例接近三分之二(63.5%),再者则是Tsunami、Mirai,分别占13.9%、5.9%。

值得留意的是,也有骇客得逞后植入连接埠扫描工具,并出售受害主机的IP位址与SSH帐密资料,这种扫描工具能为骇客寻找开发22埠的伺服器,以便挖堀更多能够下手的目标。

此次外泄资料,涵盖姓名、电话号码、地址、电子邮件信箱、信用卡号码,对于金融资料涉及国际银行帐户号码(IBAN)或是信用卡号,该公司强调这些资料无法直接拿来刷卡、消费。

目前尚未出现相关资料遭到利用或外泄的迹象,EasyPark向卫报透露,他们在美国拥有5千万名用户的应用程式ParkMobile未受波及,但该公司发言人向HackRead指出,他们的应用程式RingGo在英国约950名客户可能受到影响。

资料来源

1.  

【漏洞与修补】

关于整个攻击过程,研究人员指出,骇客至少利用4个零时差漏洞。对方传送的iMessage讯息当中,其附件利用了远端任意程式码执行(RCE)漏洞CVE-2023-41990,执行JavaScript指令码扩张权限,而这项漏洞,存在于苹果独有的ADJUST TrueType字型命令。接著,骇客利用作业系统核心的整数溢位漏洞CVE-2023-32434,取得读取及写入记忆体的权限,并透过记忆体映射输入输出(MMIO)暂存器漏洞CVE-2023-38606,绕过分页保护层(Page Protection Layer,PPL),从而完全控制受害装置。接下来,骇客利用Safari的漏洞CVE-2023-32435执行Shell Code,该程式码运作的过程,也会利用前述的CVE-2023-32434和CVE-2023-38606。

值得留意的是,研究人员指出,这些骇客能够将资料写入晶片韧体未使用的暂存器,并绕过记忆体防护机制,但骇客如何得知存在这种未使用的硬体资源?他们推测,可能是因为硬体设备在提供工厂或苹果工程师测试,或是除错使用的过程而曝光。

12月24日资安业者Barracuda发布资安公告,指出中国骇客UNC4841利用任意程式码执行(ACE)漏洞CVE-2023-7102,对部分邮件安全闸道(ESG)植入恶意软体Seaspy及Saltwater的新型变种。而这是UNC4841在5月利用CVE-2023-2868发动攻击之后,第二波锁定该厂牌邮件安全闸道的零时差漏洞攻击。

这项漏洞发生于该系统采用的第三方程式库Spreadsheet::ParseExcel,此为Amavis病毒扫描程式元件,该公司于21日摸所有ESG系统派送该漏洞的更新软体并自动套用,而对于遭到植入上述恶意软体的设备,22日Barracuda使用另一个更新软体进行修复工作。

 

【其他新闻】