在這一周資安新聞中,有4個漏洞消息需特別關注,因為這些漏洞都開始有攻擊者鎖定利用的情形,包括Oracle電子商務套件(E-Business Suite)於去年10月修補的CVE-2022-21587漏洞,客戶關係管理平臺SugarCRM在1月中旬修補的CVE-2023-22952漏洞,老舊漏洞也被攻擊鎖定,那就是網頁應用程式框架Telerik UI的CVE-2017-11357漏洞。另外,還有一個Zoho ManageEngine的CVE-2022-47966漏洞,也要留意盡速修補。
而以新揭露的漏洞而言,有四項消息值得留意,包括威聯通(QNAP)修補旗下NAS產品SQL注入漏洞CVE-2022-27596,DNS伺服器軟體Berkeley Internet Name Domain(BIND)新修補4個漏洞,電信網路程式庫Open5GS GTP的CVE-2023-23846漏洞,以及AMI的BMC解決方案的CVE-2022-26872、CVE-2022-40258漏洞。
在威脅態勢焦點方面,法國CERT-FR警告,有駭客積極針對VMware ESXi,利用CVE-2021-21974漏洞以及OpenSLP連接埠(427埠)入侵並部署勒索軟體;資安業者揭露Vector Stealer的竊密程式,目標是包含遠端桌面連線所需的詳細資料的RDP檔案;還有資安業者揭露有POS機臺惡意軟體Prilex的攻擊行動。
在國內方面,農曆年節期間至今,有兩大資安新聞事件成為國人的關注焦點,一是汽機車共享業者iRent資料庫曝險在公開網路長達9個月,引發民眾對於個資是否調查出證實外流、以及如何身分證明文件若外流如何自保的關注,和雲行動服務公司尚未有這方面說明,最新回應是提及將向40萬潛在影響用戶影響出補償;另一是多名永豐銀行信用卡用戶遭盜刷,疑3D Secure的OTP驗證碼經電子郵件傳送被竊取而導致,由於我們注意到12月已有其他銀行示警,其背後問題也引發金管會與整個社會的重視。
【1月30日】研究人員揭露以Python打造的RAT木馬程式、密碼管理服務Bitwarden用戶遭鎖定
有研究人員近日揭露名為Py#Ration的RAT木馬程式,此惡意軟體由Python打造。雖然此木馬程式針對Windows電腦而來,但研究人員指出,由於Python跨平臺的特性,只要稍加修改,駭客也能用於攻擊其他電腦。
物聯網(IoT)裝置採用的晶片出現漏洞,也可能成為駭客鎖定的目標。有研究人員發現,自去年8月針對Realtek Jungle SDK的RCE漏洞CVE-2021-35394攻擊行動大幅增加,超過50款連網設備可能成為目標。
繼今年1月駭客攻擊NortonLifeLock防毒軟體的密碼管理器元件,意圖盜取使用者儲存的密碼,這類密碼管理服務遭到攻擊的現象也越來越常見。最近有駭客針對密碼管理服務Bitwarden用戶下手,濫用Google廣告來挾持帳號。其他密碼管理服務的使用者也要提高警覺。
【1月31日】資料破壞軟體SwiftSlicer被用於破壞AD網域、密碼管理器KeePass漏洞恐讓攻擊者取得帳密資料
烏克蘭戰爭開打至今,俄羅斯駭客利用資料破壞軟體(Wiper)發動攻擊的情況不時傳出,而最近又有相關事故傳出。有別於過往的資料破壞軟體,新的惡意程式也摧毀Windows系統的重要檔案,甚至能夠破壞整個AD網域。
開源密碼管理軟體KeePass的漏洞CVE-2023-24055也相當引人注意,一旦駭客成功利用,將能取得明文的帳密資料,且已有概念性驗證攻擊程式流傳。不過,開發團隊認為這並非漏洞,後續發展有待觀察。
有研究人員發現臺灣共享汽機車服務iRent的客戶資料庫在網路上曝露長達9個月,但離譜的是,科技媒體TechCrunch詢問和泰汽車始終沒有得到回應,直到聯繫數位發展部,才得到TWCERT/CC已介入處理的說法。
【2月1日】中國駭客組織Dragonbridge對臺散布統戰訊息、臺灣近2千臺威聯通NAS設備尚未修補重大漏洞
中國駭客組織Dragonbridge散布特定訊息來企圖左右政治局勢的情況,日前已有資安業者揭露相關攻擊行動,但過往大多針對美國而來。近期Google揭露該組織濫用旗下服務來張貼訊息的情況,並特別提及這些駭客在去年裴洛西訪臺期間,不斷發布對臺恫嚇的資訊。
一月底威聯通修補了NAS重大漏洞CVE-2022-27596,事隔數日有資安業者提出警告,全球至少有近3萬臺設備尚未更新韌體而曝險,但值得我們注意的是,臺灣曝險的設備數量全球第3,僅次於義大利和美國。
今年農曆新年期間傳出永豐銀行信用卡遭到盜刷的情況,此事近日得到金管會證實,有34名持卡人受害、被盜刷110萬元。永豐銀行認為,很有可能是他們在刷卡過程寄送的OTP驗證碼郵件遭到攔截所致。
【2月2日】竊密軟體Vector Stealer被用於挾持遠端桌面連線、駭客透過微軟認證的藍勾勾帳號發動OAuth網釣
利用竊密軟體(Info Stealer)收集目標電腦各式帳密資料,或是洗劫使用者的加密貨幣錢包的情況不時傳出,但這類惡意程式鎖定了新的攻擊目標,駭客將其用來收集遠端桌面連線的組態資料(RDP檔案),而有機會在不需知道帳密資料的情況下存取受害電腦。
在社群網站、開發工具有許多系統提供了藍勾勾的機制,來表明這是通過驗證的名人或是開發者,但這樣的機制也被濫用於OAuth網路釣魚攻擊。資安業者Proofpoint揭露發生在12月初的網釣攻擊行動,但與過往不同的是,駭客發出請求授權的惡意雲端應用程式,其開發者竟有此種標章,而可能讓使用者降低警覺。
資安業者Eclypsium於12月公布了3個AMI MegaRAC的BMC軟體漏洞,但他們最近又再公布2個發現的漏洞,而延遲近2個月才公布的原因,是要讓AMI能有較為充分的時間完成修補。
【2月3日】駭客濫用Visual Studio的附加工具VSTO執行惡意巨集、惡意PyPI套件被用於竊取開發者電腦資料
針對駭客利用挾帶惡意VBA巨集的Office檔案發動攻擊的情況,微軟去年祭出了封鎖來自網路(MoTW)的巨集執行的措施,而使得駭客也隨之調整做法,其中最常見的方式就是利用ZIP壓縮檔、ISO映像檔挾帶作案工具,並引誘使用者點選LNK捷徑檔案來突破相關限制。但最近有資安業者提出警告,他們觀察到有越來越多駭客採用Visual Studio的附加工具VSTO,來製作能讓惡意Office檔案執行VBA巨集的元件,部分元件甚至能採取遠端下載的做法來躲避防毒軟體偵測。
惡意PyPI套件的攻擊行動也相當值得留意。有研究人員近日發現兩款惡意套件,其中一款被用於竊密,並將偷得資料上傳到Slack頻道;另一款則是被用於部署惡意軟體。
思科最近針對部分IOS XE設備修補漏洞CVE-2023-20076,值得留意的是,攻擊者一旦成功利用漏洞,即可任意存取這些具有漏洞的網路設備。
【2月4日】VMware虛擬化平臺遭到勒索軟體鎖定、駭客組織Firebrick Ostrich發起大規模的BEC網路攻擊
針對VMware虛擬化平臺而來的勒索軟體攻擊行動引起了CERT-FR、雲端服務業者OVHcloud、資安新聞網站Bleeping Computer關注,其中最值得關注的是,攻擊者竟是利用2年前已被公開的漏洞CVE-2021-21974來下手,且已傳出可能有伺服器受害。
研究人員揭露駭客組織Firebrick Ostrich的BEC攻擊行動,該組織2年內竟發動至少350起攻擊,相當於每2天就有一起。駭客能這麼頻繁發動攻擊的原因,研究人員認為是採取了與先前同類型攻擊相當不同的策略而能達成。
美國CISA最近將Oracle電子商務套件漏洞CVE-2022-21587、客戶關係管理平臺SugarCRM漏洞CVE-2023-22952列入已被用於攻擊的漏洞(KEV)名單,並要求聯邦機構限期修補。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07