文/羅正漢 | 2023-11-20發表

在這一星期有微軟、SAP等每月例行安全更新修補釋出需要注意,特別要關切的是,當中包含5個零時差漏洞修補,同時還有更多已知漏洞遭利用的情形,我們持續提醒企業修補要及時,別成為受害者。

(一)有3個已遭利用零時差漏洞,以及2個細節已公開的零時差漏洞。狀態如下:
微軟發布11月例行更新,修補63個漏洞中,有5個零時差漏洞,其中3個修補發布時已遭鎖定利用,包括:位於桌面視窗管理員(DWM)核心程式庫的漏洞CVE-2023-36033,涉及Windows SmartScreen安全功能繞過的漏洞CVE-2023-36025,檔案系統驅動程式CldFlt的漏洞CVE-2023-36036,另2個零時差漏洞相關細節已被公開,幸好修補釋出前沒有被利用的消息。

(二)有多個已知漏洞,近期確認有遭攻擊者利用的消息,是我們整理這星期內容時新發現、資安日報尚未提及,在此補上。
●微軟上個月10月修補涉及MOTW安全功能繞過的漏洞CVE-2023-36584
●Juniper今年9月修補EX、SRX產品的5個可串聯漏洞CVE-2023-36844CVE-2023-36845CVE-2023-36846CVE-2023-36847CVE-2023-36851
●Sophos今年4月修補上網安全閘道系統Web Appliance漏洞CVE-2023-1671
●甲骨文在2020年修補Oracle Fusion Middleware的漏洞CVE-2020-14750

在國內,有兩大事件成為焦點,都與上市公司有關。首先,是化工業上市公司「中華化」在11月12日發布資安事件重大訊息,說明在11日發生部份資訊系統遭受駭客網路攻擊的情況:另一起事件雖是常見的臉書粉專被盜,本週iThome資安日報未報導,因受害的泰山企業是上市櫃公司並涉及對方要求付錢贖回粉專的勒索行為,也引起大眾關注——16日下午5點半,我們得知上市食品工業泰山的臉書粉專在一小時前被盜用的消息,劫持粉專者將粉專名稱改為2607,並公開張貼一則訊息:「給我錢,我會返回頁面」,當日晚間10點泰山也發重大訊息針對媒體報導說明

在資安威脅與事件方面,我們認為有下列5起事件值得留意:
●物流業者杜拜環球港務集團(DP World)近日遭網路攻擊,並導致澳洲多個港口運作受到衝擊,迫使該公司暫停營運三天,特別的是,研究人員指出,除了DP World,近期還有中國工商銀行美國子公司等多起事件,原因都是未修補已知Citrix Bleed漏洞導致。(該漏洞10月10日揭露與修補,10月18日已警告有攻擊者鎖定利用情形)
●駭客行徑更為囂張,惡人先告狀!像是勒索軟體集團AlphV發動攻擊後,近期公開表示他們到美國證交所(SEC)網站填寫資料,聲稱已舉報受害公司並未依規定揭露遭到網路攻擊。
●日本數位廳提出警告,表示有攻擊者假借入境通關線上表單Visit Japan Web名義的App。由於疫情後國內前往日本旅遊暴增,務必防範此事發生。
●丹麥關鍵基礎設施今年5月遭遇俄羅斯駭客大規模攻擊,當地SektorCERT揭露,起因是當地多家經營能源關鍵基礎設施業者的資安工作未落實,因為他們所用的兆勤科技(Zyxel)防火牆有漏洞,廠商在4月底已公告相關消息,這些業者卻遲遲未修補而遭駭。
●勒索軟體Hive疑似重起爐灶,改名Hunters International,特別的是,本期日報未提及的是,近日傳出Hunters International將國內上櫃生技醫療業「大江」列為受害者的消息。

其他最新網路威脅動向,我們認為可留意下列消息,包括:Docker容器環境遭殭屍網路OracleIV鎖定的情形,MySQL伺服器遭中國殭屍網路Ddostf攻擊行動鎖定,以及惡意軟體Ducktail近期將危害目標是時尚產業。

 

【11月13日】疑為未修補Citrix NetScaler重大漏洞釀禍!中國工商銀行美國分公司遭勒索軟體攻擊,波及美債交易

10月上旬Citrix修補NetScaler重大漏洞CitrixBleed(CVE-2023-4966),隨後陸續資安業者Mandiant揭露,至少4組人馬將其用於攻擊行動,但並未透露受害對象。如今傳出有企業因沒有修補漏洞而遭遇勒索軟體攻擊,使得業務受到嚴重影響。

在上週中國工商銀行(ICBC)美國子公司發生的勒索軟體攻擊事故,就是這樣的例子,有資安專家發現,駭客在事發數日前入侵了NetScaler伺服器,而能夠存取該公司的網路環境。

【11月14日】哈瑪斯駭客透過資料破壞軟體BiBi攻擊以色列企業組織,占用大量處理器資源抹除Windows電腦檔案

自10月初哈瑪斯突襲以色列引爆戰爭,有近百個駭客組織表態支持兩大陣營,企圖向敵對國家發動攻擊,但這些駭客多半是發動DDoS攻擊來癱瘓網站服務的運作。

但到10月底,有研究人員觀察到資料破壞軟體BiBi的攻擊行動,駭客同時針對Linux、Windows電腦而來,現在有更多研究人員揭露新的調查結果,指出這些駭客終極目的就是進行破壞,動用大量運算資源,讓企業組織難以限縮受害範圍。

【11月15日】勒索軟體駭客組織LockBit鎖定十多家大型企業,利用重大漏洞Citrix Bleed入侵,入侵這些公司內部網路環境

上週中國工商銀行(ICBC)美國分公司遭到勒索軟體攻擊,導致美國國債及部分股票無法交易,引起全球關注,當地媒體報導攻擊者就是LockBit,並傳出ICBC已支付贖金。有資安專家發現,可能是未修補的Citrix Bleed漏洞釀禍。

但ICBC並非唯一遭到上述漏洞攻擊的受害組織,據傳有十多起勒索軟體LockBit攻擊行動,駭客都利用這項漏洞入侵受害組織的網路環境。

【11月16日】殭屍網路OracleIV、Ddostf分別鎖定Docker環境、MySQL伺服器而來,將其用於發動DDoS攻擊

利用組織的應用系統來進行DDoS攻擊,近期變得相當頻繁,本週有2起攻擊事故,其中一個針對Docker環境而來,另一個則是鎖定資安防護不足的MySQL資料庫,而且,無論是Windows、Linux電腦架設的資料庫,都是攻擊者下手的對象。

其中比較值得留意的是針對Docker而來的攻擊行動,相關的惡意映像檔已被拉取超過3千次,且駭客仍不斷改良其作案工具。特別的是,此映像檔雖然含有挖礦程式,但駭客在攻擊過程並未使用。

【11月17日】針對代管Exchange業務遭遇勒索軟體攻擊事故,雲端服務業者Rackspace透露損失估計500萬美元

在今天我們整理的資安日報新聞當中,有不少與勒索軟體攻擊事故相關,其中最值得留意的部分,就是發生在去年底雲端服務業者Rackspace的資安事故,而在最近該公司向美國證券交易委員會(SEC)提出的季報資料裡,透露他們損失的情形。

近期透過財報資料披露資安事故帶來的損害情況,還有提供MFT檔案傳輸系統MOVEit Transfer的IT業者Progress,該公司亦表示SEC著手對他們進行調查

iThome Security

熱門新聞

Advertisement