這一星期的漏洞消息,在留意Atlassian修補CI/CD工具Bamboo重大漏洞,以及Ivanti修補同步應用系統Standalone Sentry的重大漏洞之餘,還一個大家可能容易忽略的消息是,1月HTTP非同步傳輸框架Aiohttp修補漏洞CVE-2024-23334,近期出現利用該漏洞的攻擊行動,研究人員認為,可能是勒索軟體駭客組織ShadowSyndicate所為。
在重大資安新聞方面,我們認為,最需要優先關注國際貨幣基金組織與富士通的遭駭事件。
國際貨幣基金組織(IMF)在15日公布遭遇網路攻擊事件,全球也正在關注後續發展。基本上,IMF是在二戰後為了穩定國際金融而成立,最近他們公布在一個月前發現遭遇網路攻擊,有11個電子郵件帳號被入侵。這不免令人聯想到1月微軟、HPE遭俄羅斯駭客Midnight Blizzard攻擊的事件,因為共通點這些機構都使用微軟雲端電子郵件服務。
另一個IT界很關注的消息是富士通遭駭,該公司在15日發布資安公告,說明IT系統遭入侵,發現多臺電腦出現惡意軟體,目前該公司正調查被入侵的情況與確認資料是否外洩,暫不清楚是否有其他企業或其客戶資料受波及,有待後續調查結果公布。
至於臺灣資安近況方面,趨勢科技近期發布2023年資安威脅態勢報告的新聞稿,當中特別強調臺灣須留意駭客組織Earth Estries動態,並指出對方專門針對政府機關與科技業而來,大家要密切關注後續狀況。
其他重要資安新聞焦點,包括涉及Firebase曝險、竊資軟體與中國駭客組織動態的新聞,我們整理如下:
●企業需注意Firebase配置不當的曝險問題,研究人員進行這方面的大規模盤點,發現有900個網站曝險,暴露近2千萬筆明文帳密資料。
●駭客不只利用HTML Smuggling手法來迴避偵測,最近還出現新的作法,例如竊資軟體AZORult還用上反射式程式碼載入的手法來規避偵測並啟動。
●中國駭客組織Earth Krahang近兩年的攻擊活動被揭露,有45國、上百個組織被鎖定,已確認70個組織遭入侵,多是政府機關,另發現116個組織遭鎖定。
關於新攻擊手法研究與漏洞的揭露,我們認為有3項消息,值得企業與資安研究人員重視,涵蓋DoS攻擊、LLM漏洞,以及利用處理器微架構特性的旁路攻擊手法:
(一)發現新型阻斷服務攻擊手法Loop DoS,德國CISPA亥姆霍茲資安中心指出,利用UDP通訊協定上封包驗證不足的弱點CVE-2024-2169,可導致彼此訊息無限循環回應,不只老舊通訊協定有同樣狀況,目前普遍常用的DNS、NTP、TFTP也受影響。
(二)有研究人員揭露3個新的Google Gemini聊天機器人潛在的威脅,分別是可繞過安全防護機制的漏洞,利用Gemini Pro虛構生成功能的提示越獄漏洞,以及模擬重新設定的漏洞。
(三)多名大學研究人員共同揭露GoFetch微架構旁路攻擊,資安日報近期尚未報導這方面消息,但已引發不小的關注,此手法是透過記憶體資料預先讀取機制DMP,從常數時間程式實作中竊取加密金鑰,且蘋果M系列處理器易受此攻擊影響。
在防禦態勢上,這星期有2項新進展,成為資安圈與開發圈的焦點。例如,提升組織內軟體供應鏈可見性的軟體安全評估工具GUAC,如今成為OpenSSF孵化專案,以及程式碼儲存庫GitHub發布程式碼自動掃描修復功能(Code Scanning Autofix),可協助開發者快速解決程式碼中的漏洞,目前已經支援JavaScript、TypeScript、Java與Python。
此外,國際間還有兩個安全指引的頒布,可以作為企業組織的借鏡與參考。一是英國發布雲端資料收集與監控系統(SCADA)安全指引,因為已有許多企業組織將SCADA遷移到雲端,而這樣的資訊過去也算比較少見;另一是因應中國駭客組織Volt Typhoon的威脅,最近英美等多國網路安全機構,提出防禦指引。
【3月18日】國際貨幣基金組織電子郵件帳號傳出遭到挾持
又是大型組織的電子郵件帳號遭到入侵的情況!上週國際貨幣基金組織(IMF)發布公告,透露他們一個月前遭到網路攻擊,並指出駭客入侵了11個電子郵件帳號。
值得留意的是,IMF並未透露更多細節,但他們證實電子郵件系統採用Microsoft 365雲端服務,讓人不禁聯想此事的發生,是否與1月微軟、HPE揭露的電子郵件帳號遭駭事故有關。
【3月19日】駭客組織Earth Krahang鎖定政府機關而來,疑為中國資安業者安洵旗下團隊
半個月前資安業者趨勢科技揭露中國駭客組織Earth Lusca的攻擊行動,並指出該組織與中國資安業者安洵信息(i-Soon)有所關連,但並未說明兩者之間的關係,如今相關調查出現新的進展。
研究人員發現另一個與Earth Lusca攻擊手法相近,卻有顯著不同之處的駭客組織Earth Krahang,並根據安洵外流的內部資料,研判這兩組人馬就是由該公司經營。
【3月20日】研究人員針對行動應用程式開發平臺Firebase配置不當氾濫的現象提出警告
伺服器配置不當的情況,過往最常出現的是在公有雲系統,但應用程式開發系統出現配置不當的問題,也相當值得留意。
最近有研究人員針對Google旗下的行動與網頁應用程式開發平臺Firebase進行調查,一口氣找到超過1億筆機敏資料(Secrets),值得留意的是,當中包含不少明文密碼。
【3月21日】多組人馬鎖定TeamCity伺服器加密檔案、用於挖礦、部署後門程式
本月初JetBrains修補TeamCity兩個漏洞CVE-2024-27198、CVE-2024-27199,隨後就傳出有人將其用於攻擊行動,其中一組人馬就是曾經對臺灣發動攻擊的勒索軟體駭客組織「變臉」。
但事隔不到一週,但事隔不到一週,更多駭客也加入利用這些漏洞的行列,他們對TeamCity植入更多惡意程式,以便進行攻擊行動。
【3月22日】研究人員公布無限循環的阻斷服務攻擊手法Loop DoS
透過傳送大量訊號癱瘓設備運作的攻擊手法,可說是相當常見,但最近有研究人員揭露一種造成通訊無限循環而產生大流量的方法,一旦觸發,就算是攻擊者也無法將其停止。
值得留意的是,這種新方法估計有30萬臺伺服器曝險,雖然尚未有人將其用於實際攻擊行動,但研究人員呼籲,IT人員還是應儘速採取因應措施。
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-02
2024-11-04
2024-11-07