週一挪威政府發布公告,表示他們廣受12個機關採用的ICT平臺遭到攻擊,而駭客利用的漏洞,就是Ivanti於週日針對行動裝置管理平臺Ivanti Endpoint Manager Mobile(EPMM,原名MobileIron Core)修補的CVE-2023-35078。Ivanti聲稱沒有發現該漏洞遭到利用的跡象,但已有研究人員發現相關攻擊行動。
Atlassian上週修補的漏洞也相當值得留意,該公司針對企業協同開發軟體Confluence、持續整合與持續部署(CI/CD)系統Bamboo,修補了可被用於遠端執行任意程式碼(RCE)的高風險漏洞。
VMware針對容器管理平臺Tanzu修補的資訊洩露漏洞,也值得IT人員留意,因為,攻擊者很可能用來推送帶有惡意功能的應用程式。
【攻擊與威脅】
挪威政府傳出遭到零時差漏洞攻擊,被駭客侵入的系統是Ivanti行動裝置管理平臺
7月24日挪威安全與服務組織(DSS)證實,駭客利用第三方軟體的零時差漏洞發動攻擊,導致有12個挪威政府機關採用的ICT平臺遭到入侵,DSS察覺攻擊行動後通報了挪威國家安全局(NSM),該國警方著手調查。
挪威資料保護局也收到通報,當中提及駭客可能已從ICT系統竊得敏感資料。DSS強調政府機關的營運不受影響,但沒有提及被利用的零時差漏洞細節,以及攻擊者的身分、受害規模。針對這起攻擊行動,DSS表示他們啟動了多項防護措施,目前有12個部門的員工無法使用DSS的行動應用程式辦公,這些人員若能透過電腦存取相關服務,則不受影響。
而對於前述的零時差漏洞,挪威國家安全局透露是CVE-2023-35078,該漏洞存在於行動裝置管理平臺Ivanti Endpoint Manager Mobile(EPMM,原名MobileIron Core),CVSS風險評為10分。
資料來源
1. https://www.dss.dep.no/aktuelle-saker/departementer-utsatt-for-dataangrep/
2. https://nsm.no/aktuelt/nulldagssarbarhet-i-ivanti-endpoint-manager-mobileiron-core
竊資軟體Doenerium假冒ChatGPT或其他AI工具,透過臉書貼文進行散布
資安業者Check Point揭露竊資軟體Doenerium的攻擊行動,駭客假借提供ChatGPT、Google Bard、Midjourney、Jasper等生成式AI工具,透過臉書貼文吸引使用者上當,一旦使用者依照指示下載檔案,電腦就有可能被植入竊資軟體。
此竊資軟體會先收集系統資訊並傳送到Discord,然後從瀏覽器搜括Cookie、書籤、上網記錄、密碼,並且洗劫Zcash、比特幣、以太坊等加密貨幣錢包,此外,駭客也攔截多種社群網站與遊戲平臺的連線階段(Session)資訊,並從Filezilla竊取FTP帳密資料。
值得留意的是,駭客不只冒用的生成式AI工具品牌變得更為廣泛,他們的臉書專頁擁有數十萬或上百萬粉絲,且有許多人對貼文按讚、發表評論,使得使用者可能大幅降低戒心而上當。
韓國IIS網頁伺服器遭到北韓駭客Lazarus鎖定,將其用於散布惡意程式
資安業者AhnLab揭露北韓駭客組織Lazarus近期的攻擊行動,駭客先是入侵韓國網站並竄改內容,然後利用含有弱點的Inisafe CrossWeb EX V6軟體,對目標使用者進行水坑式攻擊。一旦使用者透過上述應用程式搭配瀏覽器存取特定的網站,就會將Lazarus的惡意軟體SCSKAppLink.dll下載到受害電腦,並透過INISAFECrossWebEXSvc.exe的漏洞植入。
在上述的惡意軟體攻擊行動裡,研究人員發現,駭客也針對IIS網頁伺服器下手,取得控制後將其用於散布惡意軟體。駭客先是針對目標伺服器存在的漏洞,部署對應的Web Shell或執行命令,其攻擊行動是透過處理程序w3wp.exe進行;接著,駭客透過惡意程式JuicyPotato(也有可能利用RottenPotato、SweetPotato)來提升權限,並執行惡意軟體載入工具usoshared.dat來進行控制。
由於許多韓國公私部門都採用Inisafe CrossWeb EX系統來進行電子交易、身分驗證、網路銀行的用途,研究人員指出,針對該軟體已知漏洞而來的攻擊仍持續進行。
【漏洞與修補】
根據資安新聞網站Bleeping Computer的報導,7月23日,Invanti修補旗下行動裝置管理平臺Ivanti Endpoint Manager Mobile(EPMM,原名MobileIron Core)的漏洞CVE-2023-35078,攻擊者可在未通過身分驗證的情況下,遠端利用該漏洞存取API,進而取用受限制的功能或是資源。
該漏洞影響所有版本的EPMM,CVSS風險評分為10,該公司已發布更新軟體修補。值得留意的是,雖然Ivanti並未透露該漏洞是否遭到利用,但該資安新聞網站指出,有人聲稱向Ivanti通報已有攻擊行動,駭客針對極為少數的組織發動攻擊。
Altassian修補旗下Confluence與Bamboo的高風險漏洞
7月18日Atlassian發布資安通告,針對旗下的企業協同開發軟體Confluence,以及持續整合與持續部署系統(CI/CD)Bamboo,修補CVE-2023-22505、CVE-2023-22506、CVE-2023-22508漏洞,CVSS風險評分介於7.5至8.5。
這些漏洞有可能讓攻擊者在通過身分驗證的情況下,遠端執行任意程式碼(RCE)來影響系統的機密性、完整性、可用性,且無須使用者互動就能進行。
其中,CVE-2023-22505、CVE-2023-22508存在於特定版本的Confluence Server與Data Center;另一個漏洞CVE-2023-22506,則是影響Bamboo Data Center。
7月25日VMware針對容器管理平臺Tanzu修補CVE-2023-20891,此為資訊洩露漏洞,影響Tanzu Application Service for VMs(TAS)、Isolation Segment等產品線,CVSS風險評分為6.5。
漏洞發生的原因,在於此系統的稽核事件記錄裡,使用16位元的編碼(Hex)記錄管理員的帳密資料,使得未具備管理員權限的使用者能存取該平臺稽核事件記錄,拆解當中的CF API管理員帳密,從而推送惡意版本的應用程式。
MikroTik路由器存在漏洞,恐讓攻擊者取得超級管理員權限
資安業者VulnCheck針對MikroTik路由器用戶提出警告,他們發現該廠牌路由器作業系統RouterOS存在CVE-2023-30799(CVSS風險評分為9.1),此漏洞一旦遭到利用,攻擊者可在取得管理員帳號的情況下,遠端存取路由器的Winbox或網頁HTTP介面,將自己的權限提升為超級管理員,進而取得該作業系統完整的存取權限。
研究人員指出,雖然攻擊者需要取得管理員的帳號才能利用這項漏洞,但是執行RouterOS作業系統的路由器都具備預設的admin帳號,且缺乏防範暴力破解的機制,而有機會讓攻擊者用來發動攻擊。
對此,MikroTik於去年10月對穩定版本RouterOS發布6.49.7版修補,但對於長期支援版本的部分,則是在VulnCheck近期通報路由器硬體的新漏洞後,該公司才發布6.49.8版緩解該漏洞。
【資安產業動態】
7月25日資安業者Thales宣布,他們取得軟體投資公司Thoma Bravo的同意,以36億美元的價格,買下網路應用系統安全解決方案業者Imperva全部的股權。
透過本次的併購,Thales將其網路安全業務提升到新的層次,併入後Imperva將進行資料安全領域的發展,並能讓Thales投入網路應用系統安全領域的市場,該公司預計其網路安全業務的整體營收將超過24億歐元。這項併購案將在通過主管機關的審核後,預計於2024年初完成。
【其他新聞】
勒索軟體駭客Clop傳出從MOVEit零時差漏洞攻擊的受害組織得到1億美元
駭客組織SiegedSec鎖定北約組織而來,外洩入口網站數百份文件
近期資安日報
【7月25日】 中華汽車發布重大訊息證實遭到網路攻擊,並著手恢復受影響系統
熱門新聞
2024-05-06
2024-05-10
2024-05-06
2024-05-06
2024-05-07
2024-05-06