在這一星期IT界與資安界最重大的新聞,就是有開發人員意外發現了XZ/liblzma被植入後門的事件,紅帽也公布了XZ相關漏洞CVE-2024–3094,本期有多篇新聞與此事件有關。

所幸的是,這次能夠及早揪出了這個潛藏的後門,目前只有部分Liunx版本受影響,影響層面還不是太廣,然而,這起針對開源軟體的供應鏈攻擊事件,正持續受到調查與探討。

不只是意外發現的過程,後門植入的手法,更讓各界吃驚的是,涉及此事件提交的GitHub帳號,竟是從2021、2022年就開設帳號並逐漸取得原始XZ維護者的信任,這樣的潛伏歷程備受矚目,也再次引發各界對於開源軟體安全議題的探討。

還有兩個Linux漏洞的揭露值得關注,一是名為Flipping Pages、涉及netfilter元件的漏洞,一是名為WallEscape、涉及util-linux 套件的漏洞。這兩個漏洞的修補,分別在今年1月底與3月底釋出,近期研究人員各自揭露漏洞細節與並利用場景,同時呼籲尚未因應的用戶盡速更新。

在其他漏洞利用消息方面,使用AI框架Ray的企業組織需特別留意,去年11月底Anyscale揭露5個漏洞,唯有CVE-2023-48022漏洞沒有修補,甚至認定這並非漏洞,但如今有資安業者揭露已濫用該漏洞的攻擊活動ShadowRay。

Google Pixel手機用戶也要當心,在Android的4月安全更新公告中,有兩個Pixel的資訊洩漏漏洞已有跡象受到針對性利用,分別CVE-2024-29745、CVE-2024-29748,本期資安日報尚未提及,在此補上。

在最近的資安事件中,還有2則新聞我們認為值得重視,分別發生在美國網路安全暨基礎設施安全局(CISA),以及非營利組織OWASP基金會。我們整理如下:
美國CISA亦受到年初Ivanti系統漏洞影響,駭客針對美國聯邦高風險化學關鍵設施,入侵CISA提供的化學品資安評估工具(CSAT),並成功部署了Web Shell,且另一關鍵基礎設施資安資訊工具CISA Gateway也受影響。
以公布十大網站資安風險而廣為知名的OWASP基金會,最近發布資料外洩通知,說明2006至2014年的成員簡歷檔案可能外洩,原因出在一臺舊的維基(Wiki)網頁伺服器,當中存在組態配置不當的問題。

此外,國內發生一起7所高中校務系統遭駭的事件,根據教育部公布的初步調查,我們認為,當中有兩個議題值得留意與警惕。一是關於駭客勒索的對象,並非這些學校,而是打造校務行政系統的亞昕資訊,另一是通用帳號密碼的問題,調查中發現駭客先入侵1所學校的系統,獲得登入該校務系統的帳密,但駭客利用同一組帳號密碼,也能成功登入其他6所學校的系統。另亞昕有其他說法,說明此事件影響單機版校務行政系統,並指出駭客是針對受害客戶的主機入侵。有待後續調查釐清。

 

【4月1日】發現潛伏三年的供應鏈攻擊事件,程式庫XZ Utils近期被植入後門

週末一起供應鏈攻擊事件的揭露,震撼了整個資安圈,也讓IT界忙於修補因應,有攻擊者針對XZ Utils資料壓縮程式庫植入後門,而這個後門將可讓攻擊者繞過SSHD的身分認證機制,且相當難以察覺。

 

幸好有研究人員因為調查一個SSH登入失敗及登入變慢500豪秒的狀況而發現,但回顧這個提交惡意的GitHub帳號,竟是在2021年就註冊,並從2022年2月就開始試探性的對XZ程式庫提交Commit。

【4月2日】CISA傳出向美國政府報告Ivanti系統遭到入侵的事故

今年初Ivanti公布一連串Connect Secure、Policy Secure漏洞,再度震撼全球資安界,有研究人員不斷發現相關攻擊行動,但截至目前為止,鮮少企業組織證實遭到相關攻擊,不知該慶幸沒事或擔心有後遺症。

 

直到3月上旬,傳出美國網路安全暨基礎設施安全局(CISA)所屬的Ivanti伺服器遭到入侵,導致其中2個系統被駭,等於證實上述漏洞的確產生衝擊,而在3月底,該機構也向數個政府機關報告此事細節。

【4月3日】研究人員發現中國駭客組織APT41旗下團體使用更為隱密的方式迴避偵測

最近幾年中國駭客組織APT41的攻擊行動不時傳出,但今年初鮮少有相關的事故揭露,直到最近,有研究人員發現該組織旗下團體的攻擊手法。

 

資安業者趨勢科技發現該組織旗下團體Earth Freybug,特別針對端點防護系統(註:這裡研究人員應該指的是EDR相關系統)追蹤惡意行動的方法下手,企圖讓這類系統無法偵測他們的行蹤。

 

熱門新聞

Advertisement