资安一周第5期：WordPress曝露于远端程式攻击风险中。处理器再爆L1TF漏洞，云端服务商纷纷进行修补,,处理器再爆L1TF漏

原标题：资安一周第5期：WordPress曝露于远端程式攻击风险中。处理器再爆L1TF漏洞，云端服务商纷纷进行修补

2009年曾有研究人员揭露PHP反序列化潜藏的风险，最近英国资安公司Secarma再揭露PHP的反序列化漏洞，成功开采该漏洞，可攻陷WordPress与Typo3内容管理平台，执行远端程式攻击。（图片来源：Secarma） 0816-0822一定...

2009年曾有研究人员揭露PHP反序列化潜藏的风险，最近英国资安公司Secarma再揭露PHP的反序列化漏洞，成功开采该漏洞，可攻陷WordPress与Typo3内容管理平台，执行远端程式攻击。（图片来源：Secarma）

0816-0822一定要看的资安新闻

?

?反序列化安全漏洞? ?PHP? ?WordPress?

研究人员再揭PHP反序列化安全漏洞，恐使WordPress曝露远端程式攻击风险

来自英国资安公司Secarma的研究总监Sam△Thomas相继于黑帽（Black△Hat）及BSides两大安全会议上，展示了PHP程式语言的反序化（Deserialization）安全漏洞，指出该漏洞影响所有接纳使用者资料的PHP应用程序与函式库，包括WordPress等内容管理系统（CMS）在内，成功的开采将允许远端程式攻击。

序列化（Serialization）与反序列化（Deserialization）是所有程式语言都具备的功能，序列化是将物件转成字串，以将资料迁移至不同的伺服器、服务或应用上，再通过反序列化将字串还原成物件。

资安研究人员Stefan△Essar在2009年时就曾揭露于PHP中反序列化骇客所控制资料的风险，而相关漏洞不仅存在于PHP，也存在于其它的程式语言，Thomas公布的是针对PHP的新攻击技术，可在各种场景中使用，诸如搭配XML△External△Entity（XEE）漏洞或伺服器端伪造请求（SSFR）漏洞等。更多内容

?

?L1终端故障? ?L1TF? ?处理器?

继Meltdown、Spectre后，主流处理器再爆新攻击手法L1TF

自今年初爆出Meltdown与Spectre两款针对处理器的推测执行旁路攻击手法之后，来自鲁汶大学、以色列理工学院、密西根大学、阿德雷得大学及CSIRO△Data△61的研究人员于今年1月再度向英特尔（Intel）与各大业者揭露第三款处理器攻击手法“L1终端故障”（L1 Terminal△Fault，L1TF），英特尔与Google等业者则在8月14日公布L1TF的细节与修补途径。更多内容

?

?L1TF? ?处理器漏洞?

L1TF漏洞攻击手法让云端服务商动起来，DigitalOcean也提出因应之道

近日Intel发布了L1终端故障（L1TF）漏洞后，公有云厂商陆续也启动修补工作。Google公有云运算服务，就采用主机隔离功能，确保各虚拟机不会共用作业系统核心，同时也开始监控主机是否存在特定类型的攻击。提供公有云运算的DigitalOcean，也开始进行防堵措施。

DigitalOcean资安长Josh△Feinblum表示，对该公司而言，L1TF漏洞会影响多租户架构的虚拟机环境，只要在同一处理器核心上运作的Guest应用，其资料都有曝露的风险。Feinblum表示，该公司已着手修补任务，预计未来几周内就会完成工作。更多内容

?

?苹果?

16岁青少年骇入苹果伺服器偷走90GB的资料

根据澳洲媒体The△Age的报道，一位16岁的澳洲青少年坦承曾多次入侵苹果伺服器，窃取了多达90GB机密档案，还取得用户帐号金钥，该名青少年已遭澳洲联邦刑事警政署（AFP）逮捕。

这名青少年建立了电脑化的通道及避免被追踪的网络系统来隐藏自己的身份，不过，警方在他的电脑上发现了命名为“hacky△hack△hack”的文件匣，存放了自苹果伺服器所下载的资料，所查获两台苹果笔电的序号及手机位址也都符合存取苹果内部系统的装置纪录。据说苹果一直到一年多以后才发现内部伺服器遭到外人存取。更多内容

?

?脸书? ?帐号解密?

传美国政府要求脸书解密Messenger协助办案

路透社引述消息人士报道，美国司法部为侦查国内黑帮的活动，要求脸书（Facebook）协助解密Facebook△Messenger，以便可以窃听其中首脑的通话记录。不过脸书迄今仍然拒绝配合。

脸书的立场是，本案只有两个解法，一是脸书重新撰写程式，允许用户自行移除加密，或是脸书骇入政府指定要窃听的人士帐号。但迄今脸书两条路都不愿选择。法界人士分析，之后如果法院做出有利于政府的命令，要求脸书改写Messenger加密机制，未来可能会让这类要求扩及其他类似App，像是WhatsApp、Signal或Skype等。更多内容

?

?金融恶意程式? ?Marap?

锁定金融领域的新恶意程式Marap现身

资安业者Proofpoint揭露了一款锁定金融领域的新恶意程式Marap，Marap为一恶意程式下载器，在成功进驻系统之后，可再自C△C伺服器下载其它恶意模组，目前仅观察到它下载了系统指纹模组，主要搜集遭骇的系统资讯，研究人员相信这是为了日后的攻击作准备。

Proofpoint发现最近骇客针对金融机构所寄出的数百万垃圾讯息中夹杂了Marap，它主要寄生在Excel的网页查询档案格式.iqy，并借由电子邮件散布，不管是直接以.iqy档案作为附加档案，或是在ZIP压缩档案中暗藏.iqy档案，也会藏匿在PDF文件中，或是含有巨集的Word文件。

以C语言撰写的Marap是一个可下载及安装各种模组的恶意程式下载器（Downloader），目前唯一出现的模组为系统指纹模组，能够搜集系统的使用者名称、网域名称、主机名称、IP位址、语言、国家、Outlook的.ost档案列表、Windows版本与所使用的防毒软件，并将它们传回至骇客所掌控的C△C伺服器。更多内容

?

?IoT伺服器? ?MQTT? ?智慧家庭?

Avast：3.2万个IoT伺服器在网络上门户洞开

捷克资安业者Avast在网络上找到了逾4.9万台因配置错误、而曝露在公开网络上的MQTT伺服器，其中有超过3.2万台甚至缺乏密码保护，透露出主要应用在M2M（Machine-to-Machine）与IoT装置之MQTT协议的安全部署受到严重的漠视。

MQTT的全名为Message△Queuing△Telemetry△Transport（讯息序列遥测传输），可借由智慧家庭连结中枢（Smart△Home△Hub）来连结与控制智慧家庭装置，对消费者来说，MQTT伺服器通常是存在于个人电脑或基于Raspberry△Pi的迷你电脑上。

Avast表示，MQTT协议本身其实是安全的，主要的风险来自于使用者在实现与配置上的错误，可能允许骇客借由了解智慧家庭装置的运作情况而得知主人在家与否，或者是操纵家中的娱乐系统及语音助理等智慧装置。

这些缺乏密码保护的MQTT伺服器将允许骇客拦截通过该协议所传输的所有讯息，例如得知智慧门窗或家中灯光的状态，也能嵌入恶意指令以打开车库门。更多内容

?

?GDPR?

GDPR上线后，欧洲新闻网站的第三方Cookie数量减少二成

英国牛津大学的路透新闻研究学院近日发表一研究报告，指出在今年4月与7月，在《欧盟通用资料保护规则》（GDPR）上线的前后，欧洲新闻网站上所出现的第三方Cookie数量减少了22%。

Cookie为使用者所造访网站储存用户资讯以改善互动的元件，例如通过Cookie来记录使用者的登入凭证、或是观察使用者在网站上的行为或其它偏好等，这称为第一方Cookie，但若使用者所造访的网站上出现了第三方元件，诸如广告或是脸书的“点赞”（Like）功能，这些元件也能在使用者电脑上建立Cookie，以追踪使用者所造访的网站，即是所谓的第三方Cookie，通常作为广告或行销目的。

研究人员分析，有鉴于GDPR要求网站追踪用户时必须取得用户同意，因此这些新闻组织也许只是暂时阻挡某些第三方Cookie，直到使用者接受该站的新条款；或者GDPR也可能造成大扫除效应，让这些新闻网站能够重新评估各种功能的用途，包括会危害使用者隐私的第三方服务在内。更多内容

?

?Chrome?

Chrome漏洞可能外泄使用者隐私资料

资安业者Imperva揭露一个存在于Chrome浏览器Blink引擎中的“跨域资讯外泄”（Cross△Origin△Information△Leak）漏洞，将允许骇客汲取Chrome用户存放在脸书、Google或其它平台上的个人资料，例如描绘出Chrome用户的脸书个人档案。

Imperva安全研究人员Ron△Masas指出，当时他正在研究Chrome上每种HTML标签的跨域资源共享（Cross-Origin△Resource△Sharing，CORS）机制，注意到其中的视频（Video）与声音（Audio）标签有些不同，它们能用来请求Chrome上其它网页的资源，并通过这些网页的回应来汲取Chrome用户在这些网页上所存放的个人资料。

Masas描述了针对Facebook的可能攻击场景，骇客可先建立大量的脸书文章，并限制存取这些文章的资格，像是年纪、性别或地域等，接着再打造一个暗藏恶意视频或声音标签的网站，一旦Chrome用户同时造访了恶意网站与脸书，骇客就能传递一个测试用户是否能造访这些脸书文章的请求，以偷偷建立Chrome用户的个人档案。更多内容

?

?OpenEMR? ?电子健康纪录系统?

开源电子健康纪录系统OpenEMR爆数个严重漏洞，病患隐私与系统安全拉警报

支援全球2亿人病历的开源电子健康纪录系统OpenEMR，遭Project△Insecurity揭露存在多个严重等级高的安全性漏洞，从身份验证旁路、SQL资料隐码、远端程式码执行以及任意档案操作等漏洞都有，OpenEMR社交已积极处理漏洞问题，使用者务必进行OpenEMR版本更新。

研究团队从GitHub上下载了OpenEMR△5.0.1.3程式码进行安全性测试，发现了许多严重的漏洞。报告一开始提到的漏洞是病患入口页面的身份验证旁路漏洞，受影响的共有15个Php页面，没有经过身份验证的攻击者，可以简单的浏览登入页面并修改请求网址后，绕过登入页面存取想访问的页面，这个漏洞造成的影响，会让网页程式随机展示真实病患资料。

OpenEMR也有严重的SQL资料隐码漏洞，总共有8个Php程式受到影响，未经授权的用户可以插入SQL查询指令，查看特定资料库资料，甚至执行特定资料库功能。像是对Search_code.php在发送POST请求时，可以在容易受攻击的文字参数中，使用有效负载进行SQL资料隐码，文字参数在没有任何消毒处理下，直接被用于SQL查询中，骇客可以利用此漏洞对OpenEMR介面进行身份验证。更多内容

?

?中国骇客? ?阿拉斯加州政府?

研究：中国骇客以后门程式渗透美阿拉斯加州政府及企业网络

就在美中贸易谈判进行之际，研究人员发现，中国骇客近来多次以网络后门程式骇入美国阿拉斯加州政府及该州电信、能源公司网络进行弱点扫瞄，企图刺探情报。

Record△Future研究单位Insikt△Group发现，一个名为ext4的Linux后门程式从3月底到6月底之间在该州政府、自然资源部、能源、电话和电信公司的网络上进行勘查行为，寻找可能的漏洞。经过分析是来自清华大学、IP166.111.8[.]246的CentOS网页伺服器，研判是中国骇客利用清华大学伺服器对美国政府及企业网络进行渗透。据路透社引述，清华大学驳斥此指控毫无根据。

ext4是一个极高明的程式，它在进入受害单位的网络后，除了执行后门程式的子程序外，还设定180秒的时间，即3分钟一到，程序就会休止以免被侦测到。更多内容

图片来源：Ikea、OpenEMR

?

?更多资安动态?

Web△Security事件发酵，Mozilla移除23个可疑Firefox外挂程式

台湾ATM周六上午交易异常，财金公司表示非骇客攻击造成

美国法官要求骇客以比特币支付保释金

资料来源：iThome整理，2018年8月

橙山网（Csnd.net）简评：处理器再爆L1TF漏洞，云端服务商纷纷进行修补 2009年曾有研究人员揭露PHP反序列化潜藏的风险，最近英国资安公司Secarma再揭露PHP的反序列化漏洞，成功开采该漏洞，可攻陷WordPress与