本周二有许多软体业者发布6月份资安更新,其中微软发布的内容尤其值得留意,因为其中包含了已被用于攻击行动的资安漏洞。再者,SAP发布的公告也引起关注,原因是他们再度为NetWeaver修补重大漏洞。此外,本周有两组研究人员公布Salesforce弱点的消息,也值得用户留意。
而在资安事故的消息上,零售业者遭到攻击的事故,从时尚精品和运动服饰品牌转向了保健食品业者;而在国内的部分,光电封测大厂联钧光电透露,5月下旬他们二度遭到攻击。
【攻击与威胁】
6月9日矽光子及光电封测大厂联钧光电发布资安重讯,针对有媒体报导骇客于地下论坛公然兜售窃得资料的情况进行说明,他们提及1月19日
另一组声称攻击联钧的勒索软体骇客组织是Crypto,这批歹徒于5月28日表示手上握有700 GB联钧内部资料。但联钧遭遇的资安事故是否就是这些勒索软体骇客所为,该公司并未说明。 其他攻击与威胁 为了进一步挖掘受害企业的机敏资讯,骇客可能会锁定客户关系管理系统(CRM)平台Salesforce下手,窃取其中的内容,一旦这类系统出现资安漏洞,就有可能成为骇客利用的标的。 最近有两组研究人员揭露与Salesforce有关的漏洞,其中又以资安研究员Tobia Righi公布的零时差漏洞引起关注,这项弱点发生在Salesforce预设的控制器,此控制器将contentDocumentId参数直接嵌入动态的Salesforce Object Query Language(SOQL)查询,却未经过适当处理,导致可被恶意操控。Tobia Righi先后于2月下旬及4月初向Salesforce通报此事,直到最近似乎Salesforce默默地完成修补,Tobia Righi才公布漏洞细节。研究人员指出,Salesforce并未发布资安公告提及此事,也没有登记CVE编号。 另一组漏洞的揭露,来自SaaS应用程式资安业者AppOmni,他们在Salesforce为特定产业提供的云端解决方案Industry Clouds当中,找到21项与组态配置有关的弱点,有可能导致未经授权的攻击者存取加密表单、窃取连线阶段(Session)、帐密资料,甚至是掌握商业运作逻辑。AppOmni向Salesforce通报并进行合作,结果有5个登记了CVE编号列管,其中有3项完成修补、2项Salesforce发布组态配置指引,而对于未登记编号的16项组态弱点,Salesforce认为并非是软体错误,应由客户负责处理。 【漏洞与修补】
【资安产业动态】