【資安日報】3月23日,Oracle發布Identity Manager例外更新引起關注
3月20日Oracle提出警告,身分驗證管理平臺Identity Manager與網路服務管理平臺Web Services Manager當中,存在CVSS評分達到9.8(滿分10分)的重大漏洞CVE-2026-21992,並指出攻擊者一旦成功利用,就能遠端執行任意程式碼(RCE),呼籲用戶應根據資安公告採取因應行動。
此漏洞影響上述應用系統的12.2.1.4.0和14.1.2.1.0版,起因是Identity Manager的REST WebServices元件,以及Web Services Manager的Web Services Security元件存在弱點,Oracle並未在公告裡說明細節。根據美國國家漏洞資料庫(NVD)登記的資料,該漏洞相當容易利用,未經身分驗證的攻擊者能透過HTTP連線,對存在漏洞的系統進行網路存取,成功利用漏洞後,將導致系統被挾持。
美國司法部上週四(3月19日)宣布,已聯合德國與加拿大執法機構展開同步行動,針對Aisuru、Kimwolf、JackSkid與Mossad等大型殭屍網路進行打擊,重點鎖定其指揮控制(C2)基礎設施,以削弱其持續發動分散式服務阻斷(DDoS)攻擊的能力。
根據司法部說明,這些殭屍網路透過感染數位錄影機、網路攝影機,以及Wi-Fi路由器等物聯網設備,建立起橫跨全球的攻擊網路,累計控制裝置已超過300萬臺,其中數十萬臺位於美國境內。駭客透過這些被劫持的裝置,對全球各地目標發動攻擊,並以網路犯罪即服務的租用模式,將攻擊能力提供給其他駭客使用。
FBI警示Signal通訊軟體釣魚攻擊與俄羅斯情報機構有關,已入侵數千個帳號
美國聯邦調查局(FBI)近日發布警示,提醒民眾注意攻擊者近期鎖定商用通訊軟體(Commercial Messaging Applications,CMA)發動釣魚攻擊 ,可能與俄羅斯情報機構(Russian Intelligence Services,RIS)有關,目前攻擊者主要針對加密通訊軟體Signal。FBI表示這次攻擊的目標是政府官員、軍方人員、政治人物與記者等具備高情報價值的個人, 顯示其背後存在情報收集目的,並證實此類攻擊已入侵全球數千個帳號。
FBI指出,攻擊者並未破解通訊軟體的全程加密機制,而是透過社交工程手法,誘騙使用者提供驗證碼或帳戶資訊,進而接管帳戶。一旦成功入侵,駭客可讀取私人訊息與聯絡人名單, 甚至冒充受害者發動釣魚攻擊 。FBI指出攻擊者目前主要針對Signal,但相同手法亦可用於其他通訊軟體,呼籲使用者保持警惕,注意潛在的網路釣魚活動。
蘋果發布安全警告,未更新iPhone恐成攻擊目標,涉及DarkSword攻擊鏈
蘋果(Apple)於3月中旬發布安全支援文件,提醒仍使用舊版iOS的iPhone用戶應儘速更新作業系統,以防範透過惡意網站發動的攻擊行動。資安研究人員指出,這類攻擊主要鎖定未更新裝置,可能導致通訊資料、帳號密碼與加密資產等敏感資訊外洩。
此次警告與近期揭露的DarkSword攻擊活動有關。行動資安業者iVerify指出,攻擊者已透過漏洞利用工具組(Exploit Kit)結合遭入侵網站,對舊版iOS裝置發動水坑式攻擊(Watering Hole Attack),可在短時間內取得裝置控制權,並外傳敏感資料。iVerify估計,全球可能有多達2.7億臺iPhone裝置受影響。
Google強化Android側載安全機制,導入冷靜期與多重驗證防堵詐騙
Google透過Android開發者部落格宣布,將針對側載(Sideload)應用程式導入新的進階流程(Advanced Flow),當使用者嘗試安裝來自未驗證開發者的APK檔案時,系統將不再允許直接安裝,而需經過一連串驗證步驟,以降低詐騙與惡意程式風險。
依照Google的規畫,該機制預計於2026年8月推出。未來使用者若從非官方來源下載應用,例如透過網站或訊息接收APK檔案,在點擊安裝時將被導入進階流程。首先,系統將要求使用者先啟用開發者模式,才能繼續安裝,以避免在高壓或誤觸情境下被快速繞過安全機制。
Aura證實資料外洩事件,近90萬筆客戶聯絡資料遭未授權存取
主攻消費市場的身分防護服務商Aura,近日證實發生資料外洩事件,一名員工遭目標鎖定型的電話釣魚攻擊手法,導致其帳號遭駭,攻擊者利用該員工帳號,在約一小時內存取近90萬筆客戶聯絡資料,主要為姓名、電子郵件與地址等聯絡資訊。Aura立即停用該帳號,並通報執法單位展開調查,同時將通知受影響用戶。
Aura表示,外洩資料來自2021年併購一家公司所使用的行銷聯絡資料, 影響現有客戶近兩萬名及前客戶近1.5萬名。不過Aura強調,該公司身分防護應用程式使用的資料庫均未受影響,且用戶的社會安全碼、財務與信用資料、帳號密碼等敏感資料均未外洩。
研究人員藉由AI推理行為降低瀏覽器防護,誘騙Perplexity Comet存取釣魚網頁
資安業者Guardio研究人員展示,可利用AI瀏覽器Perplexity Comet的運作及防護原理製作更精良的釣魚網站,反讓使用者落入詐騙陷阱。
研究人員指出,AI搜尋或瀏覽器雖然有安全上網的策略,但其本質問題Agentic Blabbering(代理式喋喋不休),卻也是其致命缺點。Agentic Blabbering指的是AI系統運作過程,由逐步推理、工具呼叫、截圖、判斷及最後決定「夠安全」點擊組成。研究人員於是「以子之矛、攻子之盾」,利用這套推理機制結合AI模型,生成可繞過其防護邏輯的詐騙訊息與釣魚網站。
Ubuntu Desktop存在高風險本機權限提升漏洞,可能導致攻擊者接管系統
維護Linux作業系統Ubuntu的廠商Canonical發布資安公告,用於終端使用者桌面應用的Ubuntu Desktop存在高風險漏洞CVE-2026-3888,CVSS嚴重性評分為7.8。
問題出在Linux系統用於管理Snap軟體套件的snapd元件,對Snap私有/tmp目錄中的某些操作出現處理不當的狀況 ,如果系統用來管理暫存檔案的工具systemd-tmpfiles已啟用自動清理該目錄,闖入本機系統的攻擊者可能利用此漏洞重建目錄,從而提升權限。
2025圖靈獎頒給量子資訊研究先驅,Charles Bennett與Gilles Brassard共同獲獎
ACM公布2025圖靈獎(A.M. Turing Award),由IBM Research的Charles H. Bennett與蒙特婁大學的Gilles Brassard共同獲獎,表彰兩人在建立量子資訊科學基礎,以及推進安全通訊與運算上的關鍵角色。圖靈獎被視為電腦科學領域最高榮譽獎項,獎金為100萬美元。
ACM這次將圖靈獎頒給Charles Bennett與Gilles Brassard,表彰兩人在量子資訊科學上的基礎研究成果,以及這些工作對密碼學、通訊與計算理論帶來的深遠影響。Charles Bennett長年於IBM研究資訊與物理的關係,Gilles Brassard則在蒙特婁大學從事量子計算、密碼學與量子資訊研究。
其他資安威脅
◆FBI警告伊朗駭客Handala利用即時通訊軟體Telegram從事惡意軟體攻擊
◆CISA指出DarkSword利用的iOS漏洞已出現攻擊活動,要求聯邦機構兩週內完成修補
◆竊資軟體VoidStealer透過除錯模式愚弄用戶,企圖竊取Chrome主金鑰
◆微軟Azure Monitor警示通知被濫用,駭客發送釣魚郵件要收信人回撥電話
◆歐洲刑警組織主導執法行動Operation Alice,撤下逾37萬個假的兒童色情素材網站
近期資安日報
執法機構出手打擊Aisuru與Kimwolf等大型殭屍網路
美國聯手德國、加拿大,打擊Aisuru、Kimwolf等大型IoT殭屍網路,揭露其控制逾300萬臺設備、發動數十萬次DDoS攻擊,甚至創下29.7 Tbps攻擊紀錄
www.ithome.com.tw
Comments (0)