近期韩国出现数起相当严重的资安事故,其中一起是韩国电信龙头SK Telecom(SKT)遭到入侵的消息,本周该公司宣布,他们将为2,500万用户免费SIM卡,目前已有超过400万用户申请。
值得留意的是,由于该公司SIM卡库存有限,目前仅有100万张,必须分批为用户更换,预估5月底能再更换500万张,换言之,仍有四分之三无法在5月底前完成更换,后续影响将值得观察。
【攻击与威胁】
韩国电信龙头SK Telecom(SKT)上周证实,4月19日发现恶意活动,偕同第三方资安专家调查显示,攻击者在网路环境植入恶意程式,并窃走消费者和USIM卡有关资料。29日SKT宣布,他们将为2,500万用户免费换发SIM卡。
SKT表示,骇客窃走的资料当中,包含IMSI(International Mobile Subscriber Identity)、手机基地台ISDN号、网路用量、储存在SIM卡上的简讯或联络人资料。不过,客户姓名、其他身分资讯、财务资料并未外流。
若外泄的资讯落入歹徒手中,结合自其他来源取得的用户个资,可能会被用于发动SIM卡交换(SIM Swapping)攻击。SKT指出,他们原本就已建置相关防范机制降低风险,但还是决定开放用户免费换发新的SIM卡,当地媒体指出,逾2,500万用户符合换卡资格。截至29日上午,已有430万人提出申请。
微软威胁情报团队提出警告,他们观察到骇客在最近1年里,偏好利用不安全的工作负载对容器环境下手,利用命令列(CLI)工具AzureChecker.exe进行活动。
他们举出其中一起由骇客组织Storm-1977发起的密码泼洒(Password Spray)攻击行动为例,骇客锁定教育领域使用的云端租户环境,利用AzureChecker.exe进行活动,从特定网域下载经AES演算法处理的资料,解密后得到攻击的目标。骇客也运用AzureChecker.exe读取用于密码泼洒攻击的帐密资料列表档案accounts.txt,然后对目标租户发动攻击。
一旦攻击者得逞,就会透过访客帐号建立资源群组,然后用于挖矿,微软看到骇客建立超过200个容器来牟利。
尽管FastCGI历史悠久且一向以稳定著称,过去也少有重大漏洞纪录,但此次事件显示,在嵌入式部署与旧版系统,仍可能潜藏资安风险。开发者与系统管理员应尽快检查所使用的FastCGI函式库版本,并更新至已修补的2.4.5版。此外,建议改以UNIX Socket取代TCP Socket,避免将FastCGI介面直接暴露于网路,以降低被攻击的风险。