【資安日報】4月2日，CISA傳出向美國政府報告Ivanti系統遭到入侵的事故

今年初Ivanti公布一連串Connect Secure、Policy Secure漏洞，再度震撼全球資安界，有研究人員不斷發現相關攻擊行動，但截至目前為止，鮮少企業組織證實遭到相關攻擊，不知該慶幸沒事或擔心有後遺症。

直到3月上旬，傳出美國網路安全暨基礎設施安全局（CISA）所屬的Ivanti伺服器遭到入侵，導致其中2個系統被駭，等於證實上述漏洞的確產生衝擊，而在3月底，該機構也向數個政府機關報告此事細節。

【攻擊與威脅】

Ivanti自1月上旬至2月初，揭露Connect Secure、Policy Secure多個漏洞，並出現多起漏洞利用攻擊事故，3月上旬傳出美國網路安全暨基礎設施安全局（CISA）遇害，現在又有新的消息出現。

根據資安新聞網站CyberScoop的報導，3月29日CISA向主管機關通報資安事故，攻擊者透過Ivanti系統的漏洞，入侵化學資安評估工具（Chemical Security Assessment Tool，CSAT），以及關鍵基礎設施資安資訊工具CISA Gateway，估計有超過10萬人受到影響。

CISA執行長Brandon Wales透露，根據他們的調查結果，攻擊者在CSAT部署了Web Shell，導致系統失去控制，所幸CISA Gateway沒受到太大影響，且並未被植入Web Shell。他們在1月11日套用Ivanti的緩解措施，並透過該公司的完整性檢查工具進行檢查，到了26日，他們發現CSAT遭駭，攻擊者已經存取該系統有2天之久。Brandon Wales指出，這些攻擊者能繞過Ivanti的緩解措施，並能迴避完整性檢查工具的偵測。

駭客鎖定macOS使用者，利用惡意廣告、視訊會議傳播竊資軟體

資安業者Jamf揭露近期鎖定macOS用戶的竊資軟體攻擊，其中一起是假借提供新興瀏覽器Arc的名義，透過Google廣告將搜尋這款瀏覽器的使用者帶往冒牌網站，一旦使用者依照指示下載、安裝對方提供的DMG檔案，電腦就有可能被植入竊資軟體Atomic Stealer。特別的是，為了迴避偵測，上述的冒牌網站無法直接存取，必須透過攻擊者特製的贊助商連結才能瀏覽。

另一起攻擊駭客則是聲稱對加密貨幣感興趣，透過社群網站向目標發送訊息，然後假借錄製播客（Podcast）或是討論求職，要求透過名為Meethub的應用程式進行線上會議，若是macOS用戶照做，他們的電腦就會被植入竊資軟體。

人工智慧框架Ray漏洞遭到鎖定，攻擊者挾持運算能力挖礦、竊取機敏資料

去年11月Anyscale公布人工智慧框架Ray的漏洞CVE-2023-6019、CVE-2023-6020、CVE-2023-6021、CVE-2023-48022、CVE-2023-48023，其中該公司並未處理CVSS風險評分達9.8的危急漏洞CVE-2023-48022，理由是他們並未在長期設計規畫的考量中，將身分驗證機制內建到這個AI框架當中，該公司甚至認定這並非漏洞而結案，然而CVE-2023-48022已被用於攻擊行動。

資安業者Oligo揭露名為ShadowRay的攻擊行動，這波攻擊從去年9月5日開始出現，鎖定教育、加密貨幣、生物製藥等行業而來，研究人員發現數千臺能透過網際網路存取的Ray伺服器遭到入侵，被用於干擾或竄改機器學習模型、竊取設備與資料庫帳密、SSH私鑰，以及OpenAI、HuggingFace、Stripe、Slack等服務的Token，甚至有機會以root權限存取AWS、GCP、Azure雲端環境，也有被用於挖礦的現象。

研究人員指出，由於CVE-2023-48022被列為有爭議的漏洞，許多漏洞資料庫並未提供相關資訊，靜態掃描工具也不會顯示這項漏洞的資訊，使得許多IT人員不會留意這個漏洞帶來的威脅。

【漏洞與修補】

Linux核心元件Netfilter存在權限提升漏洞Flipping Pages

研究人員Notselwyn揭露Linux權限提升漏洞Flipping Pages，此漏洞存在於Linux核心5.14至6.6.14，Debian、Ubuntu、Red Hat、Fedora等版本的Linux作業系統都會受到影響。

攻擊者若趁機取得一般使用者權限，並觸發漏洞，就有機會得到root權限，從而進一步對電腦上下其手，CVSS風險評分為7.8，並登記為CVE-2024-1086列管，Linux基金會於今年1月予以修補。

該漏洞發生的原因，在於Linux核心的netfilter元件裡，處理網路封包、資料封包的nftables出現記憶體雙重釋放（double-free）的弱點，而有可能導致當機，或是讓攻擊者執行任意程式碼，研究人員在搭載6.4.16版Linux核心的電腦進行測試，結果成功率達到99.4%。

研究人員揭露WallEscape漏洞，攻擊者可對Linux電腦產生假的Sudo提示、竊取管理員密碼

研究人員Skyler Ferrante揭露名為WallEscape的漏洞，這項漏洞發生在Linux作業系統的util-linux套件，未經授權的攻擊者，有機會藉由wall命令的弱點，竊取用戶密碼，甚至是竄改剪貼簿的內容，該漏洞被登記為CVE-2024-28085，3月27日開發團隊推出2.40版util-linux修補。

研究人員指出，wall指令的主要用途，是在Linux作業系統當中，對所有登入的使用者進行終端廣播，上述漏洞發生的原因，是命令列處理輸入的參數時出現跳脫序列（Escape sequence）過濾不當的情況，使得未經授權的攻擊者能濫用特定字元在其他用戶的終端機上假造Sudo命令，誘使他們輸入管理者密碼。