2024年才剛開始沒多久,已有相當多的漏洞消息需要留意,包括零時差漏洞攻擊、已知漏洞遭鎖定利用,以及漏洞修補等不同面向:
(一)這星期又有駭客發動零時差漏洞攻擊。此次被鎖定的目標,是Ivanti的VPN產品Ivanti Connect Secure,以及網路安全存取產品Ivanti Policy Secure,當中2個零時差漏洞已被成功利用,分別是CVE-2024-21887與CVE-2023-46805,有資安業者研判是中國國家支持的駭客組織所為。
(二)我們看到美國CISA公布的新消息指出,有多個去年已知漏洞近期開始發現遭鎖定利用。包括:Adobe ColdFusion的兩個漏洞(CVE-2023-38203、CVE-2023-29300),Apache Superset的漏洞(CVE-2023-27524),蘋果多款產品的漏洞(CVE-2023-41990),Joomla的漏洞(CVE-2023-23752),微軟SharePoint Server的漏洞(CVE-2023-29357),除此之外,還有D-Link DSL-2750B的2016年老舊漏洞(CVE-2016-20017),先前的資安日報尚未提及,在此補上。。
(三)適逢微軟等多家廠商的每月例行安全性更新釋出,需要大家關注相關消息,並且儘快著手修補。例如:微軟本月修補49個安全漏洞,當中有兩個是重大等級。還有其他漏洞修補消息,包括:臺灣NAS廠商威聯通針對QTS等多項產品的修補,思科針對Unity Connection重大漏洞修補,Bosch智慧扳手(氣動扳手)也存在一系列漏洞。
另外,去年5月Apache基金會雖然修補RocketMQ重大漏洞CVE-2023-33246,但近期有開發團隊的成員指出,這項弱點尚未得到完整修復,後續修補動向需密切關注。
在資安威脅態勢上,勒索軟體攻擊仍是關注重點,SMTP走私手法與關鍵基礎與電信受害情形也引起我們的關注,我們整理相關消息如下。
●勒索軟體Akira的危害在12月增加,引起芬蘭國家網路安全中心(NCSC-FI)示警,不僅針對已知路由器漏洞攻擊,並針對儲存資料的NAS系統下手。
●微軟SQL Server用戶注意!勒索軟體Mimic正發起鎖定此系統的攻擊行動,對方的目標是曝露於網際網路的SQL Server,其手法包含濫用PowerShell指令碼,並將深度混淆處理的Cobalt Strike酬載注入Windows內建的處理程序SndVol.exe。
●新型態SMTP走私(SMTP Smuggling)攻擊手法,有人提出具體分析,問題在於SMTP伺服器的進出流程中,處理資料結尾序列不一致,導致攻擊者可能偷渡SMTP命令。
●在關鍵基礎設施與電信領域方面,相關業者也要留意,包括荷蘭IT業者與電信公司遭滲透的揭露,以及木馬程式AsyncRAT鎖定美國關鍵基礎設施的揭露。其他可留意的惡意程式動向,包括FBot鎖定雲端及SaaS平臺,以及後門程式SpectralBlur鎖定Mac電腦設備。
另一個要注意的資安威脅,在於企業社群平臺的帳號安全問題。繼日前資安業者Mandiant的X帳號被盜用後,遭張貼加密貨幣詐騙活動,如今有更多事件登上新聞版面,甚至美國證券交易委員會的X帳號都遭盜用,被假冒其名義公布宣稱比特幣ETF商品核准上市的消息。隔日,美國SEC才正式宣布,批准11檔比特幣現貨ETF交易。其他被盜的X企業帳號還包括:區塊鏈資安業者CertiK、網路設備業者Netgear、現代汽車中東及非洲的帳號。由於過往多是名人帳號遭駭,但近期事件集中發生在X平臺,並且都是企業組織官方帳號被盜,是否有不尋常的新手法出現,需要持續追蹤。
【1月8日】分散式訊息串流資料平臺Apache RocketMQ存在修補不全的重大漏洞
近期Apache基金會維護的軟體出現漏洞修補不全的情況,ERP系統OfBiz預先身分驗證RCE漏洞CVE-2023-49070就是一例,為此而衍生另一個身分驗證繞過漏洞CVE-2023-51467,由於有不少知名軟體將其整合到系統當中,若是漏洞遭到利用,影響可能相關廣泛。
而最近該基金會維護的分散式訊息串流資料平臺RocketMQ,也出現類似的情形。開發團隊發現在2023年5月修補的重大漏洞,被查出有修補不足的狀況,他們再度提供新版軟體予以修補。
【1月9日】區塊鏈資安業者的X帳號驚傳遭駭並假借帳戶安全的名義散布惡意軟體
上週出現資安業者Mandiant的X(推特)帳號遭駭的事故,駭客得逞後將其帳號改名,並聲稱提供加密貨幣錢包應用程式,但若是照做、安裝對方提供的軟體,他們的錢包就會被洗劫一空。
事隔數日,另一家資安業者的X帳號也出現遭到挾持的情況,但值得留意的是,這次攻擊者特別針對專精區塊鏈領域的業者下手,並宣稱可利用他們的工具「保護」資產。
【1月10日】有人冒用美國證券交易委員會的X帳號佯稱比特幣FTC商品核准上市
社群網站X(推特)在伊隆·馬斯克(Elon Musk)入主之後引發諸多爭議,包含了新的付費帳號及官方帳號的徽章制度、大量裁員的情況,但恐怕許多用戶最不樂見的是該網站資安受到影響。
遺憾的是,近日X屢屢爆出帳戶遭盜用的問題,繼上週資安業者Mandiant、CertiK,以及現代汽車、網路設備業者Netgear等知名企業的帳號傳出受害,本週再添一樁,而且這把火還燒到美國聯邦交易委員會(SEC),震撼全球!
【1月11日】Ivanti針對2個Pulse Connect零時差漏洞提出警告並表示已出現攻擊行動
Ivanti旗下Pulse Connect Secure(現更名為Ivanti Connect Secure)最近再傳出有零時差漏洞,這2個漏洞一旦被串連,攻擊者就有機會在未經身分驗證的情況下執行任意程式碼。
值得留意的是,這些漏洞已被用於攻擊行動,但該公司目前尚未提供修補程式,呼籲用戶在相關更新軟體推出之前,採取他們提供的緩解措施因應。
【1月12日】芬蘭企業組織的NAS設備遭到勒索軟體Akira鎖定並抹除備份資料
勒索軟體駭客為了避免使用者透過備份機制讓電腦回復正常,在作案過程裡通常會刪除相關檔案來增加復原的難度,其中最常針對的項目,就是Windows內建的磁碟區陰影複製服務(Volume Shadow Copy Service)備份資料。但如今,駭客也針對外部的備份系統下手。
例如,近期在芬蘭攻擊行動升溫的勒索軟體Akira,就是這樣的例子,駭客在攻擊的過程,會特別找尋企業組織使用的NAS設備,抹除設備上存放的所有資料。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02