在12月資安新聞中,有3大面向的議題可以進一步探討與關注,包括微軟Exchange漏洞利用的最新消息,惡意網站偽冒品牌業者,並利用搜尋引擎廣告來散布的威脅態勢,以及本月資安防護新聞有數個熱門焦點。

首先,在這個月有一項漏洞利用攻擊受關注,起因是雲端服務業者Rackspace代管的Exchange伺服器在12月初,因遭勒索軟體攻擊而中斷運作,一個月後,該公司公布委託資安業者CrowdStrike調查的結果。Rackspace指出,這場攻擊由Play勒索軟體的駭客組織發動,是使用一個未知的漏洞入侵他們代管的Exchange伺服器,並指出該漏洞與微軟11月修補的CVE-2022-41080漏洞有關,因此並非直接透過CVE-2022-41080漏洞來入侵。

特別的是,在12月20日,CrowdStrike曾經揭露相關漏洞利用相關消息,當中提供了更多資訊。該公司研究人員表示發現新的漏洞利用方法,是串連利用了CVE-2022-41080與CVE-2022-41082的漏洞,將可繞過ProxyNotShell(由CVE-2022-41082及CVE-2022-41040組成)的緩解措施,但若已安裝修補微軟11月的Exchange更新修補,此攻擊手法將變得無效。而這項發現,是他們在調查Play勒索軟體事件時所得出的結論,因此,該業者當時也趕緊建議用戶盡速安裝更新修補。

至於CVE-2022-41080漏洞,美國網路安全暨基礎設施安全局(CISA)後續也將這個漏洞列入已知被利用漏洞(KEV)列表,也印證駭客針對該漏洞鎖定利用的情形出現。

另一項關注的攻擊態勢,是美國FBI發出警告──有網路犯罪者持續利用搜尋引擎廣告、假冒品牌業者的方式,來散布惡意網站。因此他們提醒企業與民眾注意,並對企業提出三項建議,可利用網域名稱保護服務,向用戶宣導認識詐騙網站與識別正確URL的重要性,以及告知用戶如何找到合法下載管道,同時呼籲民眾個人也要懂得自保,廣告連結同樣要檢查網址是否有異。

事實上,這樣的狀況在2022年11月的資安月報也提到,因為臺灣持續有相關案例。而在美國FBI發出警告之後幾天,還有一些資安業者揭露這類型攻擊的研究與調查。

例如,趨勢科技揭露殭屍網路病毒IcedID的攻擊行動,就是會透過Google的點擊付費廣告管道,假冒知名品牌業者名義,引誘使用者到惡意網站下載安裝程式;另一家資安業者Guardio也揭露不同攻擊行動,指出駭客組織Vermux的手法更隱密,在濫用Google廣告、冒名提供應用程式的過程中,在連至真正惡意網站前,使用一個位於俄羅斯的masquerAds網域來進行重新導向,也就是先以無害的masquerAds網站,來通過Google的審核機制。

另外,12月還有多項安全防護面的重要發展,成為熱門資安新聞焦點。

例如,以開發人員與資安人員而言,有兩項消息受到廣泛關注,一是Google新推OSV-Scanner,可幫助專案相依項目與已知漏洞列表做到自動化比對,另一是GitHub推出Secret scanning的功能,可幫助開發人員檢查不慎將帳密、金鑰或憑證嵌入在程式碼,造成秘密外洩的問題。

以半導體產業而言,SEMI國際半導體產業協會宣布推出「半導體資安風險評級服務」,期盼帶動資安行動力不足的半導體業,都能更有效地提升資安量能,而且,非SEMI會員也可訂閱這項服務。

以物聯網相關上游產業而言,聚焦IoT平臺與元件的SESIP標準,首次有國際組織在臺推動,而資策會也與該標準推動者Global Platform簽署MOU,希望在臺灣建立認可實驗室後,本土物聯網產品廠商可以就地檢測,更期盼我國的IoT晶片安全與測試標準也能鏈結國際。

另外,我國金管會新發布金融資安行動方案2.0,將新增12項措施(共40項),並綜整為9個推動重點,成為國內金融業未來所關注的重點;而隨著美國國防部網路安全成熟度模型認證(CMMC)2.0版草案的推出,臺灣產業對此議題的重視程度備受探討,尤其是電機電子與國防業者在爭取商機上,應當更要密切關注與行動。

此外,本月還有亞洲國際密碼學會議在臺舉行的消息,PQC轉換議題再度浮上檯面,而在國際間,美國政府不僅開始付諸行動,白宮12月簽署量子運算網路安全準備法案(H.R. 7535),更進一步促成後量子密碼學過渡計畫的實踐。

 

【資安週報】2022年12月5日到12月9日

在這一周資安新聞中,有多項漏洞消息受關注,包括三菱電機PLC多項漏洞等待業者修補中的消息,還有American Megatrends的一系列BMC韌體漏洞被揭露,多家主機板業者受影響。

其他關注的漏洞修補消息,包括FreeBSD修補ping元件的記憶體緩衝區溢位漏洞CVE-2022-23093,Linux作業系統修補存在於snap-confine模組的高風險漏洞CVE-2022-3328,以及Intel修補資料中心管理主控臺(DCM)的漏洞。

在威脅新態勢方面,有兩大焦點值得關注。國際間出現鎖定電信業者、業務流程外包公司,竊取SIM挾持攻擊所需權限的攻擊行動;有駭客手法是在釣魚郵件中,挾帶微軟筆記軟體OneNote的檔案(.ONE)來散布惡意軟體Formbook。在國際威脅焦點方面,近期揭露的重大事件有下列幾起,像是:美國軍火供應商遭到俄羅斯駭客TAG-53攻擊的情況,以及近期中國駭客Mustang Panda(又名APT41)假借歐盟名義發送釣魚郵件,在全球植入惡意軟體PlugX的情況。

本周還有幾則新聞顯現出值得關注的趨勢,包括Google公布Android 13有更多新程式碼是用Rust開發,且Rust程式碼中目前發現的記憶體漏洞為零;12月5日「SEMI半導體資安風險評級服務」服務方案推出,非會員亦可訂閱,讓供應鏈資安強化有更容易進行的方式;Global Platform近期在臺推動一項物聯網安全SESIP標準,由於能高度與其他資安標準對應而受到看重。

至於國內資安事件的消息,衛福部在7日回應了桃園醫院資安事件的媒體報導,針對2019年的3起事件說明當時處理情形。

【資安週報】2022年12月12日到12月16日

在這一周資安新聞中,有多項漏洞修補消息受關注,包括微軟本周釋出12月Patch Tuesday,當中修補一項的零時差漏洞CVE-2022-44698,以及Citrix在13日公告修補ADC與網路閘道器產品的零時差漏洞CVE-2022-27518,都已有攻擊行動鎖定,必續盡快修補。

同時,Fortinet於11月修補SSL VPN漏洞CVE-2022-42475,後續該公司也發布資安通告說明已有攻擊行動鎖定利用的情形。還有要注意的是,iPhone的WebKit零時差漏洞CVE-2022-42856被鎖定,其中iOS 15.1手機用戶須特別注意。另外,本周新聞尚未提到的Veeam Backup & Replication的CVE-2022-26500與CVE-2022-26501漏洞修補,我們認為同樣須要留意。

關於新漏洞揭露上,亦有兩大焦點,其影響層面不小。研究人員發現多款WAF產品因無法識別JSON格式、恐被發動SQL注入攻擊,多家廠牌都受影響,已有5家廠商釋出修補,其他產品用戶也應設法了解;還有數款防毒軟體與EDR系統也被研究人員發現零時差漏洞,受關注的是,這些漏洞可能被用於打造資料破壞軟體(Wiper),多家廠商也紛紛釋出修補。

關於攻擊新趨勢方面,資安業者發現惡意軟體QBot有新的散布手法,攻擊者會在惡意郵件中的HTML附件中挾帶包含惡意JavaScript的SVG圖片;另外針對開源套件庫的方面,資安業者發現有網路攻擊者在NuGet、NPM、PyPI套件庫,透過自動化方式,打造並上傳了超過14萬個惡意套件。此外,還有一個值得留意的威脅態勢,是近來有勒索軟體攻擊濫用微軟簽章的驅動程式的情形,微軟獲報後發現數名開發人員計畫帳號被濫用。

而在國內方面,關於2022年臺灣APT攻擊現況,資安業者TeamT5揭露這方面資訊,他們觀察到全年有109起APT攻擊行動,以阿米巴Amoeba與畫皮Hupai這兩個駭客組織為大宗,政府與軍方是主要遭受攻擊目標。

至於安全防護面向上,本周Google新推的OSV-Scanner,是開發人員與資安人員重視的焦點,該機制可讓專案相依項目與已知漏洞列表,提供自動化比對的幫助。

【資安週報】2022年12月19日到12月23日

在這一周資安新聞中,就是微軟最近將9月修補的漏洞CVE-2022-37958,調整為RCE漏洞,由於該漏洞涉及SPENGO NEGOEX防護,SMB與RDP等都受影響,因此受到廣泛關注。其他重大的漏洞消息,包括Samba在15日修補多項高風險漏洞,以及思科在12月中旬更新多則資安通告,當中指出多年前修補的漏洞在今年3月被用於攻擊行動。

勒索軟體Play針對ProxyNotShell漏洞繞過的攻擊手法,持續成為焦點,資安業者發現有新手法OWASSRF攻擊Exchange伺服器。在攻擊新趨勢方面,以殭屍網路病毒而言,本周有MCCrash與Zerobot的攻擊動向受關注;在新興技術研究方面,有研究人員提出規避EDR監控的新硬體斷點技術,以及展示熱門自然語言對話語言模型ChatGPT與Codex可能被攻擊者應用的情境。

在這一週資安消息當中,有幾則都是受到比較多討論的,像是:烏克蘭軍事情報系統Delta遭到竊密軟體攻擊、FBI威脅情資交換平臺InfraGard遭駭;還有雲端身分安全業者Okta說明原始碼遭竊,以及密碼安全服務業者LastPass客戶資料庫備份遭複製的事件。

另外,國際間又有BEC詐騙案的警告,但這次並非變更匯款帳號騙取金錢,而是騙取貨品。這類案情雖不多見,但早年其實發生過,例如,五年前國內刑事警察局國際刑警科對於BEC詐騙就看到這樣的狀況,並指出手法萬變不離其宗,最終目的都是騙取金錢或貨品。

至於安全防護的焦點上,GitHub將推出一項Secret scanning功能最受關注,可協助因應因開發人員不慎將帳密、金鑰或憑證嵌入程式碼的問題。

【資安週報】2022年12月26日到12月30日

在12月最後一周的漏洞消息中,主要焦點包括:Linux核心CVE-2022-47939漏洞(CVSS評分10)被揭露,Apache ShardingSphere-Proxy的CVE-2022-45347漏洞修補,Kubernetes政策管理引擎Kyverno的CVE-2022-47633漏洞修補,以及月前Citrix ADC與Gateway漏洞修補後的企業更新狀況。

特別要注意的是,TIBCO Software在2018與2019年針對JasperReports伺服器修補的兩個已知漏洞(CVE-2018-5430與CVE-2018-18809),最近有攻擊者正針積極鎖定利用,本周新聞中尚未提到,值得先行留意。

至於威脅趨勢上,有兩起值得留意,首先是美國電信業者Comcast Xfinity用戶帳號遭入侵的事件,駭客疑繞過雙因素驗證挾持帳號;其次是駭客在Google廣告散布竊密軟體是利用masquerAds規避審核。另外,針對WordPress外掛程式的攻擊行動又有新的事件。

還有一些國際資安新聞受到不小的關注,例如:美國參議院通過公務裝置全面禁用抖音的法案,南韓警方揭露當地外交智庫學者有近千人遭網釣攻擊,以及俄羅斯駭客企圖入侵北約國家煉油廠;在國內,金融資安行動方案2.0出爐消息最受注目。

2022年11月資安月報

2022年10月資安月報

2022年9月資安月報

2022年8月資安月報

2022年7月資安月報

 

熱門新聞

Advertisement