文/周峻佑 | 2024-04-17發表

上個月思科針對旗下防火牆用戶提出警告,指出這些設備的VPN服務遭到密碼潑灑攻擊,如今該公司提出新的發現,還有其他廠牌的設備也遭遇類似攻擊。

值得留意的是,不光是VPN系統成為攻擊目標,還有數個廠牌的網路設備也是對方下手的對象,他們透過SSH連線嘗試進行暴力破解攻擊。

 

【攻擊與威脅】

登入VPN遠端存取別再用簡單或共用密碼!7個廠牌的設備或服務遭到大規模暴力破解攻擊

3月26日思科揭露啟用遠端存取VPN服務(RAVPN)的設備遭遇密碼潑灑(Password Spray)攻擊,當時研究人員Aaron Martin指出其他VPN系統也被殭屍網路Brutus鎖定,最近思科終於證實這個情況。

該公司旗下的威脅情報團隊Talos指出,他們發現從3月18日開始,有人鎖定多個廠牌的VPN系統或SSH服務,從事大規模暴力破解攻擊,VPN系統的廠牌涵蓋思科、Check Point、Fortinet、SonicWall,此外,MikroTik、居易(Draytek) 、Ubiquiti的設備也遭到鎖定。此外,他們也看到針對遠端桌面的網頁存取服務(RD Web Services)發動攻擊的情況。

不過,究竟Talos公布的資安事故,是否與當時研究人員Aaron Martin公布的殭屍網路攻擊行動有所關連?研究人員並未做出說明。

疑似XZ Utils的軟體供應鏈攻擊手法再度出現,這次是鎖定OpenJS的JavaScript專案而來

開源專案人力資源缺乏是常久以來的現象,若是有人願意出手協助處理臭蟲或是資安漏洞,照理來說,可說是求之不得。但在發生XZ Utils後門的供應鏈攻擊之後,開源界也開始擔憂,攻擊者有可能假借協助的名義成為專案的維護者,並打算等到時機成熟再暗中埋入惡意程式碼。

4月15日OpenJS基金會收到一系列的電子郵件,指出他們代管的熱門JavaScript專案存在危急(Critical)漏洞,要求該委員會採取行動,並指派他們成為該專案的維護者著手處理,但究竟這項專案存在的漏洞為何,對方並未進一步說明。他們懷疑對方企圖依循發動XZ及liblzma供應鏈攻擊模式,趁機混入專案維護團隊,待時機成熟才發動攻擊。對此,他們依循OpenJS專案的資安政策,並未授予這些用戶相關權限。

串流網路電視業者Roku遭遇帳號填充攻擊,57萬用戶恐受波及

4月12日Roku表示,他們近期持續監控可疑帳號的活動,結果發現大規模帳號填充(Credential Stuffing)攻擊行動,有57.6萬個帳號被駭。

該公司指出,他們並未發現系統遭到入侵,也並未發現攻擊者藉由他們的系統取得相關帳密,研判對方使用的帳密資料,很有可能來自使用者在其他服務設置的資料,且與Roku帳號共用密碼,而能得逞。Roku指出,其中有近400個帳號,攻擊者企圖利用帳號儲存的付款方式購買訂閱服務或是商品,但強調對方無法存取完整信用卡卡號等敏感資訊。

駭客組織TA558發動攻擊行動SteganoAmor,透過Office方程式編輯器漏洞散布惡意軟體

資安業者Positive Technologies揭露名為SteganoAmor的攻擊行動,TA558透過看似無害的Excel或Word檔案電子郵件附件啟動攻擊鏈,其共通點是利用微軟Office方程式編輯器漏洞CVE-2017-11882(CVSS風險評分為7.8)。

若是使用者的電腦沒有修補上述漏洞,攻擊者就會設法在這些裝置觸發漏洞、下載Visual Basic指令碼(VBS),該指令碼會抓取特定的JPG檔案,並透過埋藏於其中的PowerShell程式碼,下載經Base64編碼處理的惡意酬載並還原,這些惡意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。

值得留意的是,為了避免資安系統察覺異狀,攻擊者不光是將惡意酬載及相關指令碼存放於Google Drive或其他合法的雲端服務,他們也挾持FTP伺服器及SMTP伺服器,來充當C2伺服器,而且,駭客綁架的SMTP伺服器,也會用於發動網路釣魚攻擊。

其他攻擊與威脅

逾8萬臺Palo Alto Networks防火牆曝露於重大漏洞CVE-2024-3400

遭勒索軟體攻擊的健康保險服務業者UnitedHealth付出逾8億美元的代價

殭屍網路病毒藉由TP-Link路由器漏洞CVE-2023-1389散布

 

【漏洞與修補】

新型態漏洞LeakyCLI恐曝露AWS及Google Cloud帳密

資安業者Orca揭露名為LeakyCLI的漏洞,並指出該漏洞也出現在AWS及Google Cloud Platform(GCP)的CLI,涉及這些雲端平臺的自動化開發流程,一旦使用者將此種命令列介面搭配CI/CD管線流程使用,攻擊者就有機會繞過雲端服務業者設下封鎖機密資訊曝露的標籤,而有機會從事件記錄曝露帳密資料等環境變數。

對此,研究人員通報AWS及Google,但兩家公司皆認為,研究人員的發現符合自家系統的設計規畫,並未打算著手處理。研究人員表示,企業組織應避免將帳密等機密資訊存放於環境變數,而應該將由AWS Secrets Manager這類專屬服務保管,防止曝險。

PuTTY存在私鑰洩露漏洞

4月15日虛擬終端及網路檔案傳輸工具PuTTY發布資安公告,指出該軟體存在嚴重漏洞CVE-2024-31497,此為ECDSA私鑰生成漏洞,攻擊者一旦利用,就有機會恢復P521私鑰並偽造簽章,影響0.68至0.80版PuTTY,維護團隊呼籲,用戶應立即撤銷受影響的私鑰。

該漏洞之所以嚴重,是因為攻擊者不需要長期控制伺服器,或持續擁有存取權,只需短暫入侵使用該私鑰進行身分驗證的伺服器,或是暫時獲得儲存私鑰的Pageant工具存取權限,就有機會獲得簽章。也就是說,攻擊者只需要短暫存取伺服器,即可產生嚴重的後果。

對此,開發團隊發布0.81版修補上述漏洞,放棄過去產生k值的舊系統,針對所有DSA和ECDSA私鑰類型,改用RFC6979演算法來因應。此外,部分版本的FileZilla、WinSCP、TortoiseGit、TortoiseSVN,也採用含有漏洞的PuTTY,用戶應留意開發團隊相關更新公告。

其他漏洞與修補

Oracle發布2024年第2季例行更新,總共公布441個修補程式

Ivanti修補Avalanche行動裝置管理系統危急漏洞

 

近期資安日報

【4月16日】部分蘋果用戶遭中國駭客組織鎖定,利用間諜軟體LightSpy進行監控

【4月15日】XZ Utils供應鏈攻擊傳出有新災情

【4月12日】蘋果一口氣對92個國家發出間諜軟體攻擊警報,要求受影響用戶應儘速採取保護措施

iThome Security

熱門新聞

Advertisement