【資安日報】2022年9月1日，思科遭駭勒索軟體駭客Evil Corp和Conti疑參與攻擊、研究人員揭露Linux核心漏洞DirtyCred

思科在8月10日公布遭到勒索軟體閰羅王（Yanluowang）入侵的攻擊事故，並指出還有UNC2447與Lapsus$兩組駭客參與其中。最近有資安業者提出新的發現，指出勒索軟體駭客組織Evil Corp、Conti的旗下成員也可能涉及此次事故，而使得整個態勢變得更加複雜。

勒索軟體攻擊開發中國家，並癱瘓關鍵基礎設施的情況再添一例！位於南歐的蒙特內哥羅（Montenegro）日前遭到網路攻擊，現在有勒索軟體駭客宣稱是他們所為，而在此之前，Conti攻擊哥斯大黎加也出現類似的情形。

研究人員揭露了名為DirtyCred的Linux核心漏洞相當值得留意，此漏洞具備Dirty Pipe的部分特質，但駭客利用的難度較低，且能用於逃逸容器攻擊，他們呼籲使用者應儘速安裝修補程式。

【攻擊與威脅】

思科遭駭勒索軟體駭客Evil Corp和Conti疑參與攻擊

針對思科5月下旬遭駭的資安事故，該公司認為發動攻擊的駭客組織包含了UNC2447、Lapsus$，以及勒索軟體駭客閰羅王，但似乎還有其他駭客組織參與。

資安業者eSentire指出，隸屬於Evil Corp的駭客組織UNC2165，在1個月前對他們客戶發動攻擊，其基礎設施與思科事故裡所使用的相同，因而引起他們注意並進一步調查。而在思科的攻擊事故裡，研究人員發現了名為HiveStrike的Cobalt Strike基礎設施，而這是勒索軟體駭客組織Conti前成員架設，用於散布FiveHands與Conti勒索軟體。

究竟這兩個組織執行了那些攻擊行動？研究人員認為，有可能Evil Corp與Conti旗下的組織進行合作，或是Evil Corp取得初始存取思科內部網路環境的管道，再由Conti旗下、使用勒索軟體Hive的駭客發動攻擊。

蒙特內哥羅疑遭勒索軟體Cuba攻擊

8月26日，蒙特內哥羅的政府系統與關鍵基礎設施遭到網路攻擊，美國大使館指出這起事故可能會擾亂當地交通、公營事業，以及電信服務的運作，蒙特內哥羅指控攻擊是多個俄羅斯駭客組織所為。

事隔數日，勒索軟體Cuba聲稱他們在8月19日入侵該國議會，竊得了財務資料，以及銀行員工個資、資產負債表等。

葡萄牙航空公司疑遭勒索軟體Ragnar Locker攻擊

8月26日，大型葡萄牙航空公司TAP Air Portugal證實遭到網路攻擊，但表示不影響飛航安全，旅客資料也沒有出現異常存取的情況。該公司於30日再度公告，上述網路攻擊導致網站與應用系統無法使用。根據資安新聞網站Bleeping Computer的報導，勒索軟體駭客Ragnar Locker於31日宣稱，這起攻擊事故是他們所為，並竊得數百GB的資料。

【漏洞與修補】

美國西北大學的研究人員揭露名為DirtyCred的Linux核心漏洞，該漏洞已存在長達8年，為記憶體釋放後濫用（UAF）的漏洞，攻擊者可用來提升權限。此漏洞涵蓋CVE-2021-4154與CVE-2022-2588兩個弱點，擁有類似另一個漏洞Dirty Pipe（CVE-2022-0847）的特性，能針對Linux與Android作業系統發動攻擊，但最大的不同之處在於，DirtyCred可被用於逃逸容器的攻擊，再者，駭客利用該漏洞的難度也較Dirty Pipe低。

研究人員在美國黑帽大會（Black Hat USA 2022）上進行概念性驗證（PoC）攻擊，並於執行CentOS 8與Ubuntu 20.04作業系統的主機裡，透過此漏洞成功提升權限。他們呼籲使用者要留意Linux開發團隊的公告，並儘速安裝修補軟體。

WordPress修補高風險SQL注入漏洞

8月30日，WordPress開發團隊發布6.0.2版，總共修補3個漏洞，其中包含CVSS風險評分達8.0分的高風險漏洞（尚未有CVE編號），此漏洞與WordPress提供的書籤（Bookmarks）有關，有可能被用於SQL注入攻擊。資安業者Wordfence表示，駭客要利用該漏洞的難度相當高，不只需要管理者權限，在WordPress預設組態的配置下也難以利用，但網站很有可能會因為部署了外掛程式或佈景主題而曝險。研究人員呼籲網站管理者應儘速檢查WordPress是否已經升級。