https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

趨勢科技2021H1資安總評:4大待修復弱點

2021 / 09 / 28
編輯部
趨勢科技2021H1資安總評:4大待修復弱點
根據趨勢科技的「來自四面八方的攻擊:2021 上半年資安總評」報告顯示,勒索病毒仍是今年上半年最主要的網路資安威脅,2021上半年勒索病毒攻擊以亞洲地區為大宗,占了全球的60%。其中銀行產業遭勒索病毒攻擊的數量較去年同期暴增 1,318%。除了 2021 年上半年活躍的惡意軟體和資安事件外,趨勢科技還偵測出許多未知且未被修復的弱點,這些弱點對用戶構成了很大的風險,值得特別注意的是,當安全性未充分納入開發應用程式和硬體時,原先固有和非預期的程式缺陷是很有可能進一步擴大的。新興技術的出現往往也帶給採用者帶來了風險,正確的引用安全架構往往是將新技術整合到產品階段中最難實現的一環。

茄子快傳「SHAREit」

2021年初時,趨勢科技在免費跨平臺檔案分享程式 SHAREit (茄子快傳) 應用程式發現了弱點。這些弱點可以被惡意軟體用來取得使用者的敏感資料,並讓惡意程式碼或應用程式能夠用SHAREit的權限來執行任意程式碼。它們還可能導致遠端程式碼執行(RCE)。在過去,可用來從使用者裝置下載和竊取檔案的漏洞往往與應用程式相關聯。當應用程式允許傳輸和下載如Android Package(APK)等各式類型的檔案,非預期的程式缺陷就可能導致這些功能出現漏洞。SHAREit在Google Play上有超過10億次的下載量,並被評為2019年下載次數最多的應用程式之一。趨勢科技向SHAREit回報資安風險問題後,目前已迅速地完成修補。

LoRaWAN

遠距廣域網路 (LoRaWAN) 能讓企業將低功耗的 IoT 裝置透過無線方式連上網際網路,在企業運營和智慧城市建置中是一種很常見的通訊協定,透過無線射頻的技術能讓遼闊分散各區域的裝置經由無線電波連上網際網路,可應用於氣象/追蹤監控感測器、資產設備管理、自動化控制、環境溫控等等。
 
趨勢科技的研究指出了這些設備中某些可利用的弱點,包含容易受到阻斷服務 (DoS) 攻擊、假冒ACK確認封包(ACK Spoofing)和位元翻轉 (Bit-Flipping)的影響,並且受制於許多程式錯誤和漏洞,其中最常見的是記憶體的損壞,為了改善LoRaWAN的通信環境,趨勢科技創建了一個工具-LoRaPWN。
 
因為遠距的屬性使得LoRaWAN的設備飽受硬體的攻擊,如數據抓取、外部儲存器的訪問或濫用開放接口,如城市交接區域和農田交界點等偏遠處都是LoRaWAN裝置易受攻擊之處。這些受侵害的LoRaWAN 設備可能導致運作停滯、數據的洩漏或信息的偽造,由於這些設備用於基礎設施和智慧城市建案,對這些進行攻擊可能會導致人身安全的影響;如破壞高速公路監控傳感器可能會導致事故或交通擁堵而影響駕駛者。

5G企業專網

4G/5G 企業專網有助於達成產業對改善可用性、降低延遲、強化隱私以及網路隔離的要求,但這類網路卻也可能衍生新的資安漏洞,由於資訊技術 (IT) 專家與營運技術 (OT) 人員缺乏充分的知識來解決電信相關的威脅以及攻擊面擴大的問題,他們負責運行並維護工廠、關鍵基礎設施和其他此類環境,此外趨勢科技還測試了攻擊源於受感染的企業專網和其中的核心網路。
 
對於在 IP 網路上進行的攻擊,攻擊者首先需要獲得對核心網路控制的切入點。趨勢科技的研究中將這些入口點歸類為網路服務器託管服務、VM 或容器、網路基礎設施和基地台。幾種攻擊都顯示出受損的核心網路也可能成為威脅的破口,進而影響工業控制系統 (ICS),例如 DNS 劫持、MQTT 劫持、Modbus/TCP劫持、下載或重置未受保護的可編程邏輯控制器 (PLC)、遠程桌面、和SIM 卡交換。
 
趨勢科技還發現了針對行動網路的攻擊。這些攻擊強調接入點名稱(APN)的依賴性,用於識別移動網路之間的網管設備和另一個網路,並不等於加密。在公用網路中,為了更好的網路安全,公司應該著重在自己工業路由器中的VPN,而不是僅僅依靠電信商的基本防護,此外使用HTTPS、MQTTS、S7Comm-Plus這些安全協議的使用也是值得推崇的方式。
 
考慮到所涉及風險的數量和嚴重性,如果組織正在考慮更新他們的基礎設施以包括 5G 核心網路,根據趨勢科技的研究,組織將需要將 IT、OT 和通信技術 (CT)三種層面納入評估,以建立更好的安全性框架。

VPNFilter

網路犯罪分子不斷針對軟柿子進行攻擊,特別是安全性不足的物聯網設備,例如路由器、印表機和NAS設備。這些設備之所以容易成會為攻擊目標的原因有很多,如用戶鮮少進行物聯網設備的修護,操作系統沒有自動更新功能,製造商很少發布安全更新…等。
 
2021 年初,趨勢科技進行了路由器感染的調查,發現造成最多事件的惡意軟體是VPNFilter亦即2018年造成大規模感染殭屍網路事件的元凶,如同大家所了解,該惡意軟體VPNFilter會透過後門帳號和供應商漏洞來侵入路由器和儲存設備;VPNFilter 分三個階段運行,初始感染、命令暨控制傳達(C&C communications)、和有效附載佈署。
 
由於此種威脅已流傳多年,因此目前已經有數種緩解的策略可以從根本上去抗衡VPNFilter;而為了更進一步了解更多殭屍網路訊息,趨勢科技近來更與一個非營利的安全組織Shadowserver進行合作,根據 Shadowserver 的數據,殭屍網路的感染數字從2018年的一開始超過 14,000到現在已減少到剩下5,447 ,儘管如此,這些感染在這些物聯網設備被更換之前很可都會一直存在,這是物聯網殭屍網路的一個普遍趨勢。事實上,物聯網殭屍網路在某種程度上幾乎無法根除,諸如此類型的殭屍網路在根除前可能會被另一個殭屍網路或惡意軟體所接管利用。
 
理論上來說,透過在Shadowserver植入IP地址是能夠追尋其受損點,甚至可以檢驗下一個受感染的設備,很遺憾的是,針對路由器威脅攻擊的補救措施和安全解決方案在實作上遠比想像中的困難許多。韌體更新是值得推崇,但驗證和應用其更新並不像在PC生態系統中那樣簡單。還需要注意的是一些用戶無法訪問路由器來執行升級,因為負責設置和更新機器的權限落在他們的供應商或互聯網服務(ISP) 供應商身上。

本文翻譯節錄自趨勢科技報告